ApplePay – Alltagstauglich, doch kein Selbstläufer.

Da grade ApplePay in Deutschland eingeführt wird, schreiben alle über Bezahlen per Handy. Natürlich mit Vorbehalten. So heißt es auf tagesschau.de:

Richtig alltagstauglich ist mobiles Bezahlen aber noch nicht. „Das fängt schon bei den Grundvoraussetzungen an“, kritisiert Maike Strudthoff, Mobile-Payment-Expertin und Autorin für Digitalthemen. „Kunden brauchen das richtige Handy, nämlich NFC-fähig, und müssen die passende Bank haben, die wiederum eine kompatible Zahlungskarte anbietet. Das ist verwirrend und noch nicht unbedingt für die Masse nutzerfreundlich.“

In meinen Augen ist das falsch. Denn wenn die beschriebene Verwirrung erst einmal geklärt ist — fast jeder in der Zielgruppe hat bereits ein NFC-fähiges Handy — ist die Technik sehr alltagstauglich. Denn gerade im Alltag gibt es die Verwirrung nicht mehr: Wir kramen nicht in Handtaschen und Rucksäcken, welches von zehn Handies wir jetzt benutzen sollen. Und wir müssen auch nicht zwischen fünf verschiedenen Girokonten wählen. Einfach das Handy an die bezeichnete Fläche an der Supermarktkasse halten — fertig. In den viel zitierten Bäckerein müssen wir wohl weiterhin bar zahlen – big deal.

Insbesondere die Geschwindigkeit begeistert. Von alten Supermarktkassen bin ich es noch gewohnt, dass man den halben Einkauf einpacken kann, bis denn endlich der Beleg zum Unterschreiben aus der Kasse gezuckelt kommt. Diese Wartepause ist verschwunden.

Ich glaube dennoch, dass diese Zahlungsmethode nicht plötzlich von allen Deutschen adaptiert wird. Aus zwei Gründen:

Zum einen sind mittlerweile auch Kontokarten der verschnarchtesten Sparkassen mit NFC ausgestattet. Der Geschwindigkeitsgewinn ist also kein Alleinstellungsmerkmal des Handyzahlens.

Zum zweiten: Auch wenn Apple seit einem Jahr unentwegt dafür wirbt, dass sie nie, nie, niemals die Daten ihrer Kunden verkaufen (halt nur einen Milliardendeal mit Google, aber Schwamm drüber) – will man wirklich alle Käufe über Silicon Valley und deren Dienstleister abwickeln? Mit dem Hersteller, der buchstäblich den Puls vieler Kunden erfassen kann?

Die Blockchain und die Zensur

Ich mach mich ja oft über Blockchain-Enthusiasten lustig — und ab und zu denke ich: Ja, absolut zurecht. Jetzt springt auch noch die US-Bürgerrechtsbewegung ACLU auf den Blockchain-Zug auf — und lässt Edward Snowden erklären, warum die Technik so super ist.

Einer der Punkte, der aufkommt: Die Zensurresistenz der Blockchain. Wenn einmal ein Artikel mit der Technik veröffentlicht ist, kann er nicht mehr getilgt werden.

Ben Wizner: So even if Peter Thiel won his case and got a court order that some article about his vampire diet had to be removed, there would be no way to enforce it. Yes? That is, if Blockchain Magazine republished it.

Edward Snowden: Right — so long as Blockchain Magazine is publishing to a decentralized, public blockchain, they could have a judgment ordering them to set their office on fire and it wouldn’t make a difference to the network.

Peter-Thiel-resistant?

Das ist natürlich Quark. Gerichte stecken keine Büros in Brand. Sie können aber Leute zu Geldstrafen verurteilen oder sogar ins Gefängnis stecken. Nehmen wir an, es gäbe ein Blockchain-Magazin, das total dezentralisiert ist. (Eine theoretische Annahme, denn die meisten Blockchains sind sehr zentralisiert oder tendieren nach kurzer Zeit dorthin.) Die Technik verhindert nicht wirklich, dass ein Artikel herausgestrichen werden. Es ist halt schwer und teuer. Und zwar teuer für die Leute, die diese Blockchain betreiben. Sie müssen quasi alle Blöcke löschen, die seit dem zu zensierenden Artikel herauskamen und dann die Blockchain neu berechnen.

Der Blockchain-Idealist sagt nun: Ha, aber niemand kann sie zwingen! Es ist ja dezentral!!

Dazu sagt der hypothetische Peter Thiel aber: Das ist mir ziemlich egal.

Wir erinnern uns, wofür der reale Peter Thiel der Allgemeinheit bekannt wurde. Er hatte einen Konflikt mir dem Klatsch-Portal Gawker, fand einen Schwachpunkt und stellte seine enormen Ressourcen der Klage von Hulk Hogan zur Verfügung. Ergebnis: Gawker existiert nicht mehr.

Wie würde der hypothetische Kläger gegen den Artikel im Blockchain-Magazin vorgehen? Nun, er würde einfach alle die verklagen, die mit dem Blockchain-Magazin assoziiert sind. Den Autor des Artikels, den Betreiber der Website, den Payment-Provider, die Anzeigenkunden des Magazins. Er würde in London Klagen, in Delaware, in Hamburg. Er könnte auch eine PR-Agentur engagieren, die ein paar Artikel in das Blockchain-Magazin stellen, die in China wirklich nicht gut ankommen. Und die Behörden dort ihren Job machen lassen.

Dezentralität als Stärke?

Dezentralität mag als Stärke erscheinen — die Kehrseite ist aber: Der Einzelne in diesem Netz ist verdammt schwach. Die einzelnen Nodes haben keine Rechtsabteilung mit Millionenbudget. Hat ein Kläger einen Schwachpunkt gefunden, kann er so viele Beteiligte des Netzes sehr effektiv attackieren und ausschalten. Er kann jedem Autoren und Redakteur klarmachen: Sobald du dich mit diesem Magazin assoziierst, wird es verdammt teuer für Dich.

Die Argumentation beißt sich an allen Punkten selbst in den Schwanz. Wenn die Gemeinschaft des Blockchain-Schwarms den einzelnen Nodes einen Anwalt zur Verfügung stellen würde, die die Kläger in die Knie zwingen kann, wäre das Blockchain-Magazin gerettet – aber gleichzeitig auch wieder überflüssig.

Ein anderer Punkt: Das Blockchain-Magazin löst vermeintlich ein Problem, das wir derzeit effektiv nicht haben. Mit mittlerem finanziellen Aufwand wäre es kein Problem, einen Gawker-Mirror mit allen Geschichten der Klatschseite online zu stellen. Einige haben sogar damit angefangen. (PS: Ein archiv von Gawker Valleywag ist tatsächlich noch unter der Urspungs-Domain online.) Nur wer interessiert sich wirklich für den Quatsch und Tratsch von vor drei Jahren? Wer wühlt sich durch die Textberge und entscheidet nachträglich: Dies hier war korrekt, dies hingegen nicht? Wenn wir optimistisch sind: Ein paar Historiker. Gawker ist jedoch nach wie vor tot und Vergangenheit.

(Hier sollte ich noch ergänzen: Die Blockchain selbst ist kein zensurresistentes Kommunikationsprotokoll wie beispielsweise Tor. Die vermeintliche Dezentralität beruht darauf, dass jeder Teile der Blockchain abrufen und auf eigenen Ressourcen neu veröffentlichen kann. Wenn das allerdings nur normale Websites sind, können sie auch genau so einfach gesperrt werden, wie gewöhnliche Websites. Gegen die Große Firewall von China ist die Blockchain deshalb absolut kein Rezept.)

No crypto for you!

Zur Ehrenrettung von Snowden muss man aber sagen. In dem vom ACLU promoteten Interview sagt er, auf die Frage, dass die Ablösung von Technikgiganten durch die Blockchain-Technik „wishful thinking“ ist. Dann aber kommt es nochmal dicke.

If a teenager in Venezuela wants to get paid in a hard currency for a web development gig they did for someone in Paris, something prohibited by local currency controls, cryptocurrencies can make it possible. Bitcoin may not yet really be private money, but it is the first “free” money.

Snowden mag zurecht frustriert darüber sein, dass US-basierte oder von den USA abhängige Zahlungsprovider Spenden für Organisationen wie Wikileaks sehr schwer machen. Das Problem ist aber: Der Teenager in Venezuela hat von den Cryptocurrencies ziemlich wenig zu erwarten. Denn seine Regierung kontrolliert die Bäckereien. Und sie hat eine eigene Krypto-Währung, den Petro. Und sie hat sich ein Ausweis-System aus China eingekauft, mit dem kontrolliert werden kann, was der Teenager kauft – und ob er es überhaupt kaufen darf.

Am Schluss sagt Snowden etwas, dem ich mich anschließen kann.

The hype is a world where everything can be tracked and verified. The question is whether it’s going to be voluntary.

Anders formuliert: Dass Blockchain Probleme wie Zentralität und Zensur lösen, ist in etwa so wahrscheinlich wie eine Lösung des Klimawandels durch Carsharing. Die Technik mag funktionieren und zuweilen sogar einen positiven Effekt haben — dazu müssen aber verdammt viele Rahmenbedingungen stimmen. Technik alleine kann soziale Probleme nicht lösen.

PS: Nach viel Kritik auf Twitter hat sich die ACLU entschlossen, den Tweet zu löschen und durch eine bullshitfreie Version zu ersetzen.

Die Legende von mythischen Datenschätzen

Gestern bin ich auf Twitter in eine interessante Diskussion geraten: Soll man Geschäftsmodelle wie Uber und AirBnB erlauben, wenn diese Unternehmen dafür versprechen, ihre Daten öffentlich freizugeben? Schließlich kann man so vieles mit öffentlichen Daten machen. Denn Daten sind Wissen. Und Wissen ist Macht. Und all die innovativen deutschen Startups, die niemals an Google und Facebook verkauft werden, könnten so die Wertschöpfung vom Silicon Valley zurückholen.

Obwohl ich offene Daten, bzw Open Data prinzipiell sehr unterstütze, muss ich hier sagen: Nein!

Erstens: Man gibt Unternehmen keinen Bonus, wenn sie Transparenzpflichten erfüllen. Man sorgt für vernünftige Regulierungen und dann haben sich die Unternehmen dran zu halten. Punktum.

Regulieren, aber richtig

Neulich habe ich mal die AirBnB-Hilfsseiten durchstöbert, wie denn Gastgeber dabei unterstützt werden, sich an örtliche Regulierungen zu halten. Und das Ergebnis war: fast gar nicht. Es gibt ein paar schwer auffindbare und kaum verständliche Hilfstexte und den ultimativen Hinweis, dass das der Gastgeber doch bitte selbst mit den Behörden zu klären habe.

Nein, AirBnB — wenn ihr Provision kassiert, solltet ihr hier eine aktive Rolle übernehmen. Zumindest eine kostenlose Hotline, wo juristisch gebildete Mitarbeiter Einzelfälle kompetent bewerten können und auch im Zweifelsfall eine Haftung von AirBnB auslösen. Das ist meine persönliche Meinung, die konkrete Umsetzung wäre eine Sache der Politik. Denn mein Anspruch kollidiert natürlich mit solchen Dingen wie dem Rechtsberatungsgesetz.

Der zweite Punkt ist aber: Ich möchte AirBnBs Daten nicht. Ich will auch nicht wirklich dringend die Daten von Uber haben. Denn: Diese Daten mögen höchst praktisch für die Marktaufsicht sein, um eben diese Unternehmen zu überprüfen und nachzufragen, ob auch jeder Teilnehmer seine Steuern brav bezahlt. Ansonsten sind sie weitgehend nutzlos für die Allgemeinheit.

Marketing, nicht Daten!

Denn diese Unternehmen sind nicht so groß geworden, weil sie Datenanalyse auf einen neuen Gipfel gehoben hätten. Uber zum Beispiel hat es geschafft, sich als billige und gastfreundliche Alternative zum Taxi zu etablieren — mit Marketing. (Und mit den verbrannten Milliarden von Investoren, die diese beim baldigen Börsengang zurückhaben wollen.) AirBnB hat auch keinen geheimen Algorithmus, der neue Wohnungen generiert – Leute melden sich freiwillig auf der Plattform an, weil mittlerweile keine US-Sitcom mehr ohne eine Folge über die erstaunlichen Verdienstmöglichkeiten auskommt.

Wenn ihr Ubers Daten haben wollt, um mehr über den Verkehr in Eurer Stadt zu erfahren, kann ich nur sagen: Ihr seid auf dieses Marketing reingefallen. Denn Uber ist nur ein vergleichsweise kleiner Over-the-top-Player, der einen winzigen Ausschnitt des Verkehrsgeschehens wahrnimmt und sich auf Daten von anderen verlässt. Wisst ihr, wer sehr viel mehr Daten über innerstädtischen Verkehr erfasst? Busse. Denn sie müssen fast überall hin und sind nicht bevorzugt unterwegs um Millennials vom Club nach Hause zu bringen.

Die Daten liegen näher als das Silicon Valley

Aber selbst die Busse sind eine unterlegene Datenquelle. Wenn ihr heute zum Beispiel das WDR-Radio einschaltet, werdet ihr alle halbe Stunde die Verkehrsnachrichten überhören. Falls ihr aber mal wirklich zuhört, wird Euch auffallen, dass dort nicht mehr nur die physische Länge eines Staus durchgegeben wird, sondern auch wie lange die Verzögerung voraussichtlich dauern wird. Diese Daten werden aus den Bewegungsdaten errechnet, die notwendigerweise in Mobilfunknetzen anfallen. Denn fast jeder Autofahrer hat ein Handy dabei, das konstant seinen Standpunkt an die umliegenden Funkmasten sendet.

Oder anders formuliert: Alle Daten, die bei Uber anfallen, fallen auch bei Apple, Google und den Mobilfunkherstellern an. Also: Wozu soll Uber zur Verfügung stellen, was sie eh nur nachnutzen? Sicher: Wenn man sie bekommen kann und ihre systematischen Mängel berücksichtigt – warum nicht? Aber: Wollen wir wirklich, das all unsere Bewegungsdaten öffentlich werden? Zwar kann man Daten aggregieren und verschleiern, aber gerade in Randbereichen ist die nachträgliche Identifikation nicht hundertprozentig zu vermeiden.

Unterirdische Datenqualität

Eine weitere These: Die Datenqualität von kommerziellen Unternehmen ist oft unterirdisch. Schaut mal in Eure Werbeprofile bei Facebook und Google. Darunter wird vieles sein, was erstaunlich korrekt sind: Alter, Geschlecht, Interessen. Doch wann immer ich in solche Profile gucke, sind lächerliche Fehlannahmen darunter. Facebook meinte zum Beispiel, ich höre als liebstes Blues-Musik. Was nicht stimmt. Facebook ist das jedoch ziemlich egal. Aufgrund meiner vermeintlichen Vorlieben wird mir Werbung gezeigt. Wenn mir eine Werbung angezeigt wird, die mich nicht wirklich interessiert, muss sie dennoch bezahlt werden. Und selbst wenn nicht: Ab einem gewissen Punkt rechnet sich die Optimierung auf meine tatsächlichen Interessen nicht mehr.

Es ist aber nicht nur das Desinteresse von kommerziellen Entitäten an durchweg korrekten Daten – der profitorientierte Ansatz produziert andere Daten als Entitäten, die das Gemeinwohl im Blick haben. Beispielsweise veröffentlichte Forbes neulich einen Artikel darüber, wie Fodoora entdeckt hat, das Fahrräder das effizientere Verkehrsmittel sind, weil sie im Stadtverkehr Autos und sogar Motorroller hinter sich lassen.

Dabei darf man jedoch nicht vergessen, worum es hier geht. Die Lieferfahrer haben ein sehr spezielles Bewegungsprofil. Zum einen: Sie fahren immer nur wenige Kilometer. Wenn jemand vom anderen Ende der Stadt eine Pizza bestellt, wird sie auch von dort geliefert. Für mich als Radfahrer in Köln sind diese Daten nur beschränkt übertragbar. Denn ich kann mich nicht in die nächste Lieferpizzeria teleportieren lassen, um von dort meinen Weg zu meinem Ziel fortzusetzen.

Gut genug ist nicht genug

Doch die Daten, die ein Unternehmen produziert, sind auch auf andere Weise verzerrt. Wenn ich in den Straßenverkehr schaue, wird recht deutlich, dass sich Lieferfahrer deutlich anders verhalten als andere Verkehrsteilnehmer. So sind sie ökonomisch motiviert, jede Art von Abkürzung zu nehmen, sie wissen besser als andere, wo sie was können. Dadurch werden die Daten sozusagen verseucht: Nur weil ein Lieferfahrer eine Straße langgefahren ist, ist es noch lange kein Beweis dafür, dass es sich um keine Einbahnstraße in anderer Richtung handelt — nicht einmal, wenn es 100 Lieferfahrer machen. Eine Navigation, die auf solchen Daten aufzusetzen versucht, wird notwendigerweise Probleme bekommen.

Kurzum: Für Privatunternehmen ist die Maxime: Es reicht, wenn Daten gut genug für meinen Zweck sind. Öffentliche Daten sollten jedoch einem höheren Anspruch genügen.

Den Datenschutz mit dem Klingelschild ausschütten

Es gibt viel an der Datenschutz-Grundverordnung zu kritisieren. Mit gutem Recht. Zum einen: Wir sind mit der Umsetzung ein bis zwei Jahre im Rückstand. Viele Chancen wurden verschenkt. So hätte ich mir gewünscht, dass ich meine Datenschutzerklärung nicht auf der Seite einer Anwaltskanzlei zusammenklicken musste, so etwas hätten nun wirklich die Datenschutzbehörden anbieten können. Und dann hätten sie diese Datenschutzerklärung maschinenlesbar machen können, so dass Nutzer ihre Daten tatsächlich verwalten können, statt nur stumpf sechs Seiten Text wegzuklicken. Ich wünschte die Datenschutzbehörden hätten Dark Patterns vorhergesagt und Richtlinien gegeben.

Diese ganze Aufregung um Klingelschilder zusammengefasst: ES GIBT KEIN VERDAMMTES PROBLEM MIT DEN VERDAMMTEN KLINGELSCHILDERN! Natürlich kann jeder seinen Briefkasten beschriften. Und natürlich kann dies auch von Hausmeistern übernommen werden, damit das Ganze sauber aussieht. Wir lieben saubere Klingelschilder. Wenn eine Wohnungsgesellschaft 15000 Wohnungen quer durch die Stadt automatisch beschriften will, kann man sich mal Gedanken machen. Zum Beispiel: Die Mieter fragen, was denn draufstehen soll. Erscheint Euch das zu kompliziert?

Was für persönlich mich eher ein Problem ist: Ich wohne in einem Haus mit verdammt vielen Wohnungen. Wie zunehmend viele Menschen. Trotzdem haben sich Versender bis heute nicht angewöhnt, ihre Adressformulare so einzurichten, dass man seine Wohnungsnummer eingeben kann. Ein Elektroversender hat mir tatsächlich geraten, ich soll die Wohnungsnummer doch in irgendein anderes Feld schreiben. Hallo ich bin Torsten Wohnungsnummer Kleinz 2718. Nur wurde das andere Feld auf dem Formular für den Lieferfahrer abgeschnitten. Are you kidding me??? Hättet ihr das nicht fixen können, als ihr die DSGVO umgesetzt habt?

Dass sich BILD und Co unqualifiziert und polemisch über die DSGVO mokieren — geschenkt. Ich bin jedoch verwundert, wie schnell auch andere Leute quasi alles vergessen, was sie zu Datenschutz mal gehört haben und flugs im Ton der vermeintlichen Vernunft in die Ecke der Ignoranz abschweifen, weil es eben grade günstig scheint.

Dieser Kommentar auf FAZ.Net gehört dazu.

Ein unbehebbarer Fehler ist die Konstruktion des Datenschutzrechts: Es verbietet praktisch sämtliches Hantieren mit persönlichen Daten. […]Aus dieser Strenge spricht der Geist des Volkszählungsurteils: Das Bundesverfassungsgericht erblickte in jeder Information des Staates über die Bürger ein Risiko. Dieses Konzept ungefiltert auf die Wirtschaft auszudehnen war ein Fehler.

Nein, das ist kein Konstruktionsfehler. Denn ist der verdammte Sinn des Ganzen. Ein Datenschutzrecht, das sich nicht auf Konzerne erstreckt, wäre schlichtweg kein Datenschutzrecht. Und es würde auch die Schutzrechte gegen den Staat abschaffen. „Ach, wir können nicht die Wohnung von X abhören? Kein Problem — fordern wir das Protokoll beim Google, Facebook oder dem intelligenten Stromzähler an.“

Und:

Allein Deutschland hat 18 Datenschutzbehörden und mindestens so viele Rechtsauffassungen. Das ist unzumutbar.

Das wäre unzumutbar… und ist falsch. In den meisten Fragen liegen die Datenschützer ganz eng beisammen – wenn es in einzelnen Fragen einen Ausreißer gibt, dann ist das frustrierend, aber halt immer noch ein Ausreißer. Eine Reduzierung der Zahl der Datenschutzbehörden würde hier leider auch gar nichts helfen — denn die Regeln müssen nun auch durch Gerichte interpretiert werden. Und wer sich mal mit deutschen Landgerichten beschäftigt hat, weiß: Das wird noch um einiges frustrierender und zeitraubender.

Richtig ist: Viele kritische Fragen wurden verschleppt. Dass in letzter Minute erst ein Konsens zum Nutzerkonsens gefunden wurde – unzumutbar. Aber bisher ist das große Problem ausgeblieben.

Es bleibt die Verwirrung der Bevölkerung. Eltern bestehen plötzlich darauf, dass Bilder ihrer Kinder bloß nicht erscheinen sollen. Oder im Gegenteil: Sie bestehen auf Fotos. Das wirkt lächerlich — ist aber auf gewisse Weise notwendig. Denn dass Privatfotos plötzlich in eine bereite Öffentlichkeit dringen und damit nicht mehr kontrolliert werden können, ist für viele ein neues Phänomen. Ich sehe alltäglich auf sozialen Medien, wie ein Konsens gesucht wird, damit umzugehen. So haben mittlerweile viele Eltern für ihre Kinder eine Art Codenamen ersonnen: „Der Große“, „Kind 2“ oder „der Schnuppel“. Dabei ist es nicht notwendig, dass diese Leute Angst haben, dass ihr Kind entführt wird, nur weil jemand den vollen Namen weiß. Es ist schlichtweg eine Linie im Sand. Ich weiß, dass es da Probleme geben könnte. Ich überblicke nicht, welche Konsequenzen mein Handeln haben kann. Also bin ich lieber vorsichtig.

Die Datenschutz-Grundverordnung wird uns in den kommenden Jahren noch viel Frust bescheren. Was jedoch fehlt: Eine grundsätzliche Alternative. Jetzt einfach die Augen zu schließen und die ignorantesten Standpunkte aufzuhübschen, ist nicht hilfreich. Den Datenschutz mit dem Klingelschild auszuschütten – das wäre einfach dämlich. Verdammt dämlich.

Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.

Regulierung muss moderne Geschäftsmodelle verhindern

Der Satz wird so oft gesagt, dass man ihn schon nicht mehr wahrnimmt. „Regulierung darf moderne Geschäftsmodelle nicht verhindern“, heißt es immer wieder. Und jeder nickt.

 

Dabei ist der Satz grundfalsch. Denn es ist gerade die Aufgabe von Regulierung moderne Geschäftsmodelle zu verhindern. Früher verhinderte die Regulierung den Verkauf äußerst preisgünstiger und immens arbeitplätzeschaffender Dampfkessel, die dann beim Kunden irgendwann explodierten. Das war ein äußerst modernes Geschäftsmodell. Heute muss Regulierung Geschäftsmodelle verhindern, die rücksichtlos und dauerhaft schädigend mit Daten umgehen. Auch Crypto-Trojaner, die ganze Unternehmensnetzwerke lahmlegen, bis denn eine Zahlung geleistet wurde, sind ein sehr modernes und lukratives Geschäftsmodell.

Nun kann man drüber streiten, welches Geschäftsmodell genau mit welchen Mitteln verhindert oder eingeschränkt werden darf. Die Modernität ist jedenfalls kein Kriterium, das einen Regulierungs-Freibrief begründen könnte. Oder kurz gesagt: Regulierung muss moderne Geschäftsmodelle verhindern. Sonst kann man sie sich auch sparen.

„Bevor Sie fortfahren…“ – Googles GDPR-Fragen

Derzeit bereiten sich ungefähr alle Firmen auf die Datenschutz-Grundverordnung vor, die in vier Wochen gültig wird. Für uns Nutzer heißt das: An allen Ecken und Enden des Internets werden wir aufgefordert, neue Nutzungsbedingungen abzusegnen, E-Mail-Abos zu bestätigen oder unsere Einstellungen zu überprüfen.

Grade eben hatte ich die neuen Bedingungen von Google auf dem Schirm. Und es ist wirklich ein Vorzeigebeispiel dafür, wie einen Firmen dazu drängen, genau die Option auszuwählen, die in ihrem Interesse ist.

Zunächst mal: Die Aufforderung erschien, als ich mal eben etwas auf Google Maps nachschlagen wollte. Es gab keine Option zum Wegklicken — anders als bei anderen AGB-Änderungen. Also bin ich sehr motiviert, diesen Prozess schnell hinter mich zu bringen, weil ich doch schnell etwas auf Google Maps nachschlagen will.

Der Leerraum in diesem Dialog ist wirklich beachtlich. Warum wird hier so viel Platz verschenkt? Auf der zweiten Seite werde ich dann etwas näher aufgeklärt, worum es geht. Es sind grade so viele Details, dass ich auf meinem HD-Bildschirm scrollen muss, um alles zu lesen. Aber will ich das wirklich alles lesen? Ich will doch nur mal eben etwas auf Google Maps nachschlagen… Und dazu müsste ich nur auf den bereits blau markierten Button „Ich stimme zu“ klicken.

Doch halt. Da gibt es ja noch „Weitere Optionen“. Was dahinter wohl stecken mag?

Bingo. Eine wahre Schatzkiste an Sachen, mit denen Google Geld verdient. Zunächst einmal die Sucheinstellungen.

Hier geht es im wesentlichen um meine eigene Bequemlichkeit – also lässt mich Google gewähren.

Bei der Frage zur personalisierten Werbung hingegen wird klar, dass Google wirklich, wirklich nicht will, dass ich diese abschalte. Zunächst mal werde ich zu einer Einstellungs-Webseite geleitet, die ein ganz anderes Design hat. Dann werden mir zwei Fragen gestellt, wo eigentlich eine genügt hätte. Wenn ich Personalisierung abschalten will, will ich sie vermutlich überall abschalten. Google hingegen teilt dies in zwei Fragen auf, die verschiedene Optionen haben, „Nein“ zu sagen: Bei der ersten Frage muss man einen Schalter betätigen, bei der zweiten einen Button anklicken. Man beachte auch: War der „Zustimmen“-Button anfangs rechts, ist er nun links angesiedelt. die wahrscheinlichkeit, dass man zumindest einen Ausschalter übersieht, ist also ziemlich hoch.

Nicht genug. Falls man tatsächlich die Option „Deaktivieren“ wählt, warnt einen Google ausdrücklich davor, einen schweren Fehler zu begehen. „Werbetreibende können Ihre früheren Besuche ihrer Website nicht bei der angezeigten Werbung berücksichtigen.“ Das heißt: Keine Retargeting-Werbung mehr. Wie könnte ich nur so etwas wollen?? Die subtile Androhung, es könne mehr Werbung eingeblendet werden, halte ich derzeit für wenig realistisch.

Die Warnmeldung kommt gleich zwei Mal. Besonders lachen musste ich jedoch, als ich die zweite Warnung wegklickte, und dann dies angezeigt bekam:

Ich kann mir nicht helfen — aber ich sehe vor meinem inneren Auge einen kleinen Google-Manager verzweifelt-wütend mit dem Fuß aufstampfen. „Wenn du schon unsere kostbar-lukrative Werbung nicht willst, dann sperr wenigstens auch die der Konkurrenz!!!“

Was natürlich bei privatsphäre-orientierten Nutzern eh nicht klappt, weil sie in ihrem Browser Third-Party-Cookies gesperrt haben.

Als dritter Punkt kommen die YouTube-bezogenen Einstellungen, die nicht weiter interessant sind. Der vierte Punkt ist aber nochmal lustig: die „browserbezogenen Einstellungen“:

Statt einfach einen Link zu den Cookie-Einstellungen zu setzen, bekommt man eine 5 Punkte umfassende IKEA-Bauanleitung. Und um Google Analytics abzuschalten, muss man ein eigenes Add-On installieren.

Nachdem man das alles erledigt hat, muss man dann noch zwei Mal auf „Zurück“ klicken und dann auf „Ich stimme zu“. Erst dann ist Google GDPR-AGB-Parcour erfolgreich absolviert.

Wer bereits allzu eilig den Dialog weggeklickt hat, kann die Einstellungen auf dieser Seite wieder ändern.

You are not the product

Solche Sätze werden wir in den nächsten Tagen öfter hören.

Though Facebook has made a few changes to make privacy control better, that basic calculus has not changed, and the old adage still applies: If you’re not paying for something, you are the product.

Wenn Du für einen Dienst nicht zahlst, dann bist Du das Produkt! Das ist ein schöner Sinnspruch, der Menschen zu gesundem Misstrauen auffordert. Und dennoch ist er falsch. Und zwar in Sachen Facebook/Cambridge Analytica ganz entscheidend falsch, da er den Blick dafür verstellt, was hier passiert ist.

Wären die Nutzer das Produkt, wäre Facebook niemals so nachlässig mit den Daten umgegangen. Wäre der Nutzer das Produkt, wäre das Geschäft eigentlich abgeschlossen, sobald ihr einmal die Facebook-App auf Eurem Smartphone installiert habt, wo Euer Adressbuch liegt.

Doch das eigentliche Produkt seid nicht ihr selbst, es ist Eure Aufmerksamkeit. Facebook konnte so nachlässig mit seinen Daten sein, da die Werbetreibenden mutmaßlich keinen Ausspielkanal hatten, mit dem sie die erhobenen Daten verwerten konnten — außer eben Werbung auf Facebook zu schalten, zielgenaue Inhalte auf Facebook zu posten. Kalkuliert war eine Win-Win-Situation. Irgendwelche App-Betreiber bekommen Zugang zu Daten, mit denen sie mehr Aufmerksamkeit generieren können, die sie irgendwie in Geld umwandeln. (Oder auch nicht. Zynga lässt grüßen.)

Wer jedoch mehr Aufmerksamkeit und mehr Geld haben will, muss immer zu Facebook zurückkommen, muss die Leute zu mehr Klicks animieren und damit auch wieder die gewonnenen Daten zurück zu Facebook überführen. Was Facebook nutzen wollte, um mehr Werbeplätze zu verkaufen.

Auch Unternehmen wollen Datenschutz

Das Jahr 2018 wird geprägt werden von der Umsetzung der europäischen Datenschutz-Grundverordnung und dem zunehmend schrilleren Lobbykampf um die ePrivacy-Verordnung. Auch die künftige Digitalministerin Dorothee Bär stellt den Datenschutz als Hemmnis für Wirtschaft und Innovation dar.

Diese einseitige Sichtweise teile ich jedoch nicht. Zwar würde ich es zum Beispiel auch begrüßen, wenn wir einen funktionierenden Streetview-Dienst in Deutschland hätten. Aber man darf gleichzeitig auch nicht vergessen: Für sich selbst nimmt die Wirtschaft sehr wohl jeden Datenschutz in Anspruch, den sie bekommen kann.

Pressestellen sind Eigendatenschutzbehörden

In meiner Praxis als Journalist ist das für mich offensichtlich. Wenn ich zum Beispiel einen Experten oder Sachbearbeiter eines Konzerns oder Wirtschaftsverbandes interviewen will, arrangiert die Pressestelle meist eine Telefonkonferenz, bei der auch ein Vertreter der Unternehmenskommunikation sehr genau mithört, was im Gespräch gesagt wird, welche Informationen aus dem Unternehmen nach draußen dringen. Das ist natürlich auch ein legitimes Interesse von Unternehmen.

Manchmal ist es das auch nicht. Ich habe grade zu Algorithmen im Finanzbereich recherchiert und bin darauf gestoßen, dass Unternehmen mitunter drauf bestehen, dass ihre Registrierkasse die rückstandslose Löschung von Buchungen zulässt. Und wenn Leute aus meiner Berliner Twitter-Blase sich darüber beklagen, dass mal wieder ein Taxifahrer die Zahlung per Kreditkarte verweigert, dann liegt es wohl oft genug daran, dass die Kreditkartenumsätze vor den Steuerbehörden nicht verschwiegen werden können.

Einer der Gründe, warum ich den Heilsversprechen der Blockchain-Industrie so skeptisch gegenüberstehe ist dieser unternehmerische Drang zum Eigen-Datenschutz. Es klingt zwar toll, wenn Unternehmensdaten fälschungssicher und dezentral abgelegt werden. Man kann die Unternehmen aber nur in Ausnahmefällen dazu zwingen, ihre genauen Daten offenzulegen. Und Kryptographie alleine kann sie nicht davon abhalten zu lügen.

Geschäftsmodell als Privatsache

Mir kommen zum Beispiel immer wieder Klagen zu Ohren, dass Konzerne wie Amazon ihren Datenzugriff auf die eigene Plattform dazu benutzen, lukrative Geschäftsmodelle zu identifizieren und dann mit ihrer überlegenen Kapitalmacht und Infrastruktur zu übernehmen. Verlegt man Unternehmensinformationen auf eine Blockchain, ist dies kaum vermeidbar.

Es reicht ja mitunter, einen winzigen Aspekt eines Geschäfts transparent zu machen, damit die Konkurrenz sehr genau die eigenen Umsätze abschätzen kann. Aus Sensordaten, die so banale Dinge wie eine Kühlkette sicherstellen sollen, kann man mit ein paar Kalkulationen den Lagerbestand ermitteln. Wenn im Güterhafen von Rotterdam Dein Unternehmen als Empfänger eines Containers voller Quinoa oder China-Gadgets öffentlich markiert wird, bekommt man mitunter sehr genaue Einblicke über Deinen Absatz, Lieferanten, etc. Big Data ist zwar nicht so allmächtig wie es zuweilen dargestellt wird — in dem Umfeld des An- und Verkaufs sind der Technik aber kaum Grenzen gesetzt.

Plattformen nutzen Daten für sich

Das Problem wird auch nicht gelöst, indem man Blockchains nicht öffentlich lesbar macht, sondern in einer Art Privat-Cloud ablegt. Denn dann hat man immer noch Geschäftspartner im Daten-Verbund, vor denen man naturgemäß am meisten Konkurrenz befürchten muss. So gibt es schon heute Beschwerden, dass Amazon sich seinen Marketplace sehr genau ansieht und irgendwann entscheidet, ein profitables Geschäft mal eben selbst zu übernehmen. Und dieses Plattform-Denken greift immer mehr um sich.

Aber wie so oft geht es nicht um die Technik oder das Medium Blockchain — es macht aber die bestehenden Probleme und Zusammenhänge ein wenig sichtbarer als vorher. Was ich mir von einer Digitalministerin erhoffe, ist zum Beispiel eine gründliche Erforschung der Frage, wie es denn um Daten bestellt ist, welche Interessen für und welche Interessen gegen Transparenz stehen.

Dabei sollte sie aber keiner Wirtschafts-Scheuklappen aufsetzen. Transparenz ist keine Einbahnstraße. Wer sie für andere, für seine Kunden, für die Allgemeinheit fordert, sollte nicht zurückstehen, sobald es um die eigenen Daten geht.

„Datenschutz aus dem 18. Jahrhundert“

Die neue Digital-Staatsministerin Dorothee Bär wird grade wegen ihrer unbestreitbaren Kompetenz mit Vorschuss-Lorbeeren überschüttet. Ich weiß ehrlich gesagt nicht so viel über sie. Aber ich bin eben zufällig über ein Interview mit ihr gestolpert.

Da steht aber – wie so oft – der gute alte deutsche Datenschutz davor. Bär: Richtig! Wir brauchen deshalb endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.

Ich weiß, das ist nicht wörtlich gemeint. „Wie im 18. Jahrhundert soll eigentlich nur heißen: „Das ist gaanz, gaaaaanz veraltet“. Und „wie im 18. Jahrhundert“ klingt halt gebildeter, ministerieller. Und doch…

Und doch wünsche ich mir, dass eine Digitalministerin weiß, dass unser Datenschutz ausdrücklich aus dem 20. Jahrhundert stammt. Aus Gründen. Da gab es zum Beispiel ein Regime, das Großkunde von IBM war und damit das staatliche Großprojekt namens Holocaust organisierte. Und dann gab es noch das andere Regime, dessen minutiöse Aufzeichungen über Millionen Bürger immer noch aus Fetzen zusammengesetzt wird. Daher stammt unser Datenschutz. Und wir sind noch im ersten Viertel des 21. Jahrhunderts — also ist das viel zu früh, das 20. Jahrhundert zu vergessen oder es einfach mit kleinen Witzchen beiseite zu wischen.

(Ich würde mir auch wünschen, dass eine Politikerin der Partei, die ein Heimatministerium durchgesetzt hat, ein wenig Kenntnis deutscher Literatur hat. Im 18. Jahrhundert bestand der Datenschutz darin, dass man Geheimnisse besser gut versteckte und wenn es nicht klappte, musste man halt sein Dorf verlassen oder in einen fernen Krieg ziehen.)

Aber ich weiß, das ist nicht wörtlich gemeint. Genau so wie solche Sätze: „Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können.“ Das ist eine Metapher, denn um zehn Ärzte zu sehen, braucht man mindestens ein Jahr.

Da diese Platitüde aber auch der Slogan des neuen Gesundheitsministers ist, können wir uns schon mal drauf einstellen, dass unsere Gesundheitsdaten tatsächlich um die Welt geschickt werden sollen. Drüben über dem Atlantik wurde grade versucht, die Krankenversicherung für Lehrer in West Virginia an ein modernes Programm namens Go365 zu knüpfen. Wer da Fitness-Ziele nicht erfüllt, keinen Fitbit mit sich führt und auch kein automatisiertes Schlaf-Logbuch anlegt, muss halt für die Krankenkasse etwas mehr bezahlen. Das wurde per Streik zwar grade noch verhindert, aber es war halt auch nur der erste Versuch.