Privatsphäre: Die Flucht nach vorn

Es ist die übliche Empfehlung: Zum Schutz der Privatsphäre solle man möglichst wenig über sich ins Internet stellen. Doch möglicherweise ist das exakte Gegenteil die erfolgsversprechendere Strategie.

Elahi

Die Idee stammt vom amerikanischen Medien-Künstler Hasan Elahi. Da Elahi in Bangladesh geboren wurde, befragte ihn das FBI nach 9/11 mehrmals, um Terrorismus-Befürchtungen auszuschliessen. Als Reaktion auf diese Befragungen beschloss Elahi, eine Website zu erstellen, auf der er Fotos veröffentlicht, was er isst, auf welchen Flughäfen er wartet, in welchen Betten er schläft. Kontoauszüge, Quittungen, Positionsdaten – all das ist über Jahre zurück einsehbar.
Werbeanzeigen

Der EDÖB und die Internet-Hypochonder

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Hanspeter Thür hat über seine Tätigkeit informiert und Bilanz gezogen. Es ist unbestritten, dass der EDÖB wichtig ist. Er sagt, was keiner hören will. Ja, Unternehmen und Staaten haben ein starkes Interesse an so vielen Informationen wie möglich. Ja, die meisten Nutzerinnen und Nutzer sind von neuer Technologie und ständig ändernden Nutzungsbestimmungen überfordert. Ja, bestehende Gesetze greifen nicht. Thür sagt dies schon lange, das ist seine Aufgabe. Doch wie er es sagt, ist kontraproduktiv.

Thür war Gast im Tagesgespräch auf Schweizer Radio DRS, und der Einstieg in das Gespräch ist Realsatire. Thür hatte an der Medienkonferenz angekündigt, sich auch zu überlegen, einen Facebook-Account zu eröffnen. Ein gefundenes Fressen für alle anwesenden Journalisten, denn Facebook hatte er soeben ausführlich angeprangert. Auf die Frage, ob das kein Widerspruch sei, antwortet Thür, dass fraglich sei, ob die Menschen auf der Homepage des EDÖB die dortigen Informationen und Analysen lesen, und dass man deshalb überlegen müsse, „uns auf heikles Terrain zu begeben„.

Eine Page in Facebook zu eröffnen, das ist für Thür schon „heikles Terrain„.

The Return of das Ende der Anonymität

Am Freitag hat Facebook neue Rights and Responsibilites (Nutzungsbedingungen) vorgeschlagen, die verdeutlichen, was ich im Artikel und der Diskussion „Das Ende der Anonymität“ angesprochen habe.

Another Step in Open Site Governance (Facebook Blog)
Proposed Privacy Policy, Proposed Statement of Rights and Responsibilities (Facebook Site Governance)

Die zwei wesentlichsten Punkte:

  • Es ist neu nicht mehr erlaubt, mehr als ein Profil auf Facebook zu haben.
  • Facebook nimmt sich das Recht, unter bestimmten Bedingungen an bestimmte externe Partner Benutzer-Informationen weiterzugeben, ohne vorher das Einverständnis der Benutzer zu holen.

Das war übers Wochenende das Thema in den Blogs, siehe z.B.:
Facebook May Share User Data With External Sites Automatically (ReadWriteWeb)
Facebook will Nutzerdaten automatisch weitergeben (Heise)
Sharpen The Pitchforks. It’s Almost Time For Facebook’s Privacy Wake-Up Call (TechCrunch)

Privacy-1
Zu Reden gibt vor allem der zweite Punkt: Facebook will mit bestimmten Partnern Vereinbarungen treffen können, die es Facebook ermöglichen, diesen Partnern bestimmte allgemeine Informationen der Benutzerprofile zu übermitteln, und zwar automatisch, also ohne zuvor eingeholtes Einverständnis der Benutzer.

Weiterlesen

Das Ende der Anonymität

Dieser Post wurde auf der Website von Schweizer Radio DRS 3 veröffentlicht und erscheint hier der Vollständigkeit halber als Kopie (mit ein, zwei Eitelkeitskorrekturen).

Das soziale Netzwerk Facebook gibt 400 Millionen Menschen eine Online-Identität, ein Gesicht und einen Ruf. Das macht die virtuelle Kommunikation persönlicher und dadurch zivilisierter. Im alltäglichen Umgang ist das zwar angenehm. Doch weniger Anonymität bedeutet auch weniger geistige Freiheit.
Anonymous
Foto: The Faces of Anonymous, Flickr/mandiberg

Im Internet, das sich laufend verändert, haben nur zwei Gesetze Bestand. Das erste heisst „Godwins Gesetz“ und lautet: „Je länger eine Diskussion im Internet dauert, desto grösser wird die Wahrscheinlichkeit, dass etwas mit Hitler verglichen wird.
Das zweite Gesetz heisst „John Gabriel’s Greater Internet Fuckwad Theory“ und ist eine Formel: „Normale Person + Anonymität + Publikum = Totaler Idiot„.

Beide Gesetze wurden 2004 formuliert; wer regelmässig die Kommentare z.B. auf Youtube liest, sieht sie laufend bestätigt. Die grosse Freiheit im Internet macht aus einigen Menschen äusserst unangenehme Zeitgenossen – rassistisch, sexistisch oder schlicht atemberaubend dumm.

Das Datenschutz-Pflichtenheft

Heute war ich bei Google, die zu einem Roundtable einluden und uns ihre Datenschutz-Policy erklären wollten, eine Reaktion auf den Streit zur Einführung von Street View in der Schweiz, also in erster Linie eine PR-Veranstaltung mit kaum Neuem. Weil ich mich hier schon verschiedentlich zu Datenschutz und Privatsphäre geäussert habe, dachte ich mir, wir machen mal was anderes:

Ich formuliere strukturiert einige grundlegende Prinzipien zur Datenschutz-Frage. Worum geht es? Wer ist betroffen? Wer hat welche Pflichten? Daran würde ich Datenschutz-Politik ausrichten. Und dann seid ihr gefordert: Schreibt in die Kommentare, was ich vergessen oder verkannt habe. Beipflichten darf man auch. Deal? Also los!

1

1. Grundsatz: Kontrolle

Die Privatsphäre ist etwas privates, darum steht das da im Wort drin. Weil es etwas privates ist, ist es etwas persönliches, etwas individuelles, wie die humanistisch Gebildeten zu formulieren pflegen. Man kann leicht beobachten, dass unterschiedliche Menschen ganz unterschiedliche Auffassungen von Privatsphäre und vor allem von schützenswerter Privatheit haben. Während die Teenagerin bedenkenlos ihr Dekolleté auf Tillate der Welt präsentiert, regt sich der Senior darüber auf, dass man auf Street View den Sonnenschirm in seinem privaten Garten sieht.

Es kann folglich nicht darum gehen, dass jemand für alle für immer definiert, was privat ist, und was nicht. Stattdessen ist die Frage des Datenschutzes, der Privatsphäre eine Frage der Kontrolle, und damit eine Frage der Macht. Es geht also nicht in erster Linie darum, zu definieren, welche Institution welche Daten sammeln darf. Sondern darum, wer welche Form der Kontrolle über diese Daten hat. Wer kann sehen, was gesammelt wird? Wer kann verändern oder löschen?

2

2. Die Pflichten der Unternehmen

  • Unternehmen machen transparent, welche Daten sie sammeln. Alle Daten. Im Detail.
  • Unternehmen stellen den Betroffen, den Individuen, über die sie Daten sammeln, Werkzeuge zur Verfügung, die ermöglichen, diese Daten
    • vollständig einzusehen,
    • zu bearbeiten
    • und zu löschen.

3
Foto: Flickr/jdn

3. Die Pflichten des Staates

  • Es ist nicht die Pflicht des Staates, zu definieren, was privat ist und was nicht; welche Daten schützenswert sind, und welche nicht. Der Versuch, das zu tun, führt zu faulen Kompromissen.
  • Es ist stattdessen die Pflicht des Staates, alle datensammelnden Institutionen darauf zu verpflichten,
    • ausschliesslich transparent Daten zu sammeln
    • und den Betroffenen die volle Kontrolle über diese Daten zu geben.
  • Das gilt auch für den Staat selbst.

4

4. Die Pflichten der Medien

  • Es ist nicht die Pflicht der Medien, mit Angstmacher-Schlagzeilen Besorgnis vorzuheucheln und gleichzeitig auf den knackigen Aufmacher zu schielen. Nur von diffusen Gefahren zu schwurmeln, verwirrt. Verwirrte Benutzer sind machtlos. So bewahrt man nur die Macht der Wissenden.
  • Es ist stattdessen die Aufgabe der Medien, die Kompetenz der Benutzer zu fördern, indem
    • sie erklären, welche Daten wofür verwendet werden,
    • die Komplexität nicht ausblenden, sondern durchschaubar machen,
    • und helfen, dass Betroffene die Kontrolle über ihre eigenen Daten aktiv wahrnehmen können.

5

5. Die Pflichten der Benutzer

Ja, wir müssen auch ran. Datenschutz ist etwas privates und darum nicht vollständig delegierbar. Benutzer müssen:
  • sich Medienkompetenz zulegen; wissen, welche Daten über uns wo gesammelt werden, und welche Kontrollmöglichkeiten wir haben.
  • Selbstverantwortung zeigen, wo sie können. Die mögliche Kontrolle der Daten auch tatsächlich wahrnehmen.

Das ist ein recht kompliziertes Gebilde. Die historische Erfahrung zeigt aber, dass Leute mit einfachen Lösungen zu komplexen Problemen meistens falsch liegen. Und jetzt seid ihr dran – die Diskussion ist eröffnet.

Facebook wird demokratisch

Gestern hat Facebook ihr Versprechen nach dem Kerfuffle eingelöst: ein Vorschlag der neuen Nutzungsbedingungen wurde veröffentlich und zur Diskussion gestellt.

Die neuen „Principles„:

Die zwei Diskussion-Gruppen:

Und Zucki im Facebook-Blog:

Zucki

Besonders wichtig scheinen mir diese Punkte:

2. Ownership and Control of Information

People should own their information. They should have the freedom to share it with anyone they want and take it with them anywhere they want, including removing it from the Facebook Service. People should have the freedom to decide with whom they will share their information, and to set privacy controls to protect those choices. Those controls, however, are not capable of limiting how those who have received information may use it, particularly outside the Facebook Service. 

[…]

6. Open Platforms and Standards
People should have programmatic interfaces for sharing and accessing the information available to them. The specifications for these interfaces should be published and made available and accessible to everyone.
[…]
9. Transparent Process 
Facebook should publicly make available information about its purpose, plans, policies, and operations. Facebook should have a town hall process of notice and comment and a system of voting to encourage input and discourse on amendments to these Principles or to the Rights and Responsibilities. 
10. One World
The Facebook Service should transcend geographic and national boundaries and be available to everyone in the world.

Das ist nun die versprochene klare Sprache und die klare Aussage: Die Kontrolle über die eigenen Daten liegt bei den Usern, nicht bei Facebook. Das wurde gefordert und wird von Facebook erfüllt.

Gleichzeitig verspricht man offene Standards für die hinterlegten Daten. Das ist bedeutend, weil es ermöglichen wird, die bei Facebook aufgebaute Identität auf andere Plattformen zu übertragen oder mit diesen zu verbinden. Damit wird verhindert, dass man Facebook nicht mehr verlassen kann, weil man so die virtuelle Existenz löschen würde und neu aufbauen müsste.

Am aufregendsten ist aber, dass mit diesen Principles gewissermassen die Basis-Demokratie eingeführt wird, jedenfalls was die grundlegenden Nutzungsbestimmungen betrifft. Damit wird nun in Facebook das vollzogen, was zu erwarten war: die Nutzer „importieren“ ihre Erwartungen und Gewohnheiten bezüglich Recht und Mitsprache in die virtuelle Welt; ein Unternehmen, das auf das Vertrauen dieser Nutzer angewiesen ist, muss diesen Erwartungen gerecht werden.

Dass dieser Prozess unter viel Getöse ins Rollen kam, ist schade, ändert aber am Resultat nichts. Wir erleben hier den ersten ernsthaften Versuch, vom autokratischen „Wenn es euch nicht passt, könnt ihr woanders hin“-Modell wegzukommen und echte Lösungen für komplexe Datenschutz-Fragen zu finden.

Um nicht nur eitel Freude zu verbreiten: offen bleibt die Frage, wie bindend diese Vereinbarungen zwischen Facebook und den Benutzern wirklich sind. Ein nationales Gesetz z.B. könnte die Facebook-Betreiber zur Herausgabe zwingen. Das Unternehmen könnte verkauft werden, neue Besitzer andere Regeln einführen. Das sind denkbare Szenarien, die mit den neuen Principles nicht verhindert werden. Trotzdem: hier wird Pionierarbeit geleistet, und das soll man respektieren.

Sturm im Wasserglas: Facebook, die Medien und die Demokratie

Facebook hat vor einigen Wochen ihre Terms of Service (TOS) geändert. Laut Facebook wollte man vor allem die TOS verständlicher formulieren, und nicht etwa die TOS faktisch verändern. Kommuniziert hat man diese Änderung nicht.

Das stellte sich als Fehler heraus: irgendwann realisierte jemand, dass sich die TOS geändert haben und machte das publik. Plötzlich begannen sehr viele Leute, die TOS zu lesen und in alle beliebigen Richtungen zu interpretieren. Im wesentlichen geht es darum, dass Facebook das Recht hat, Daten der Nutzer weiterzugeben. Das war vorher schon so. Trotzdem begannen einige, Panik zu schieben.

Fb

Diese Panik wurde gestern von den Massenmedien und den Datenschutzbeauftragten aufgenommen und verstärkt. Weil es im Moment opportun ist, Facebook in einer Schlagzeile zu haben und sich lauthals für den Datenschutz einzusetzen. Die Kommentare sind geprägt von Überreaktion und Unwissen.

Zuckerberg hat das Problem gestern so erklärt:

Our philosophy is that people own their information and control who they share it with. When a person shares information on Facebook, they first need to grant Facebook a license to use that information so that we can show it to the other people they’ve asked us to share it with. Without this license, we couldn’t help people share that information. […] People want full ownership and control of their information so they can turn off access to it at any time. At the same time, people also want to be able to bring the information others have shared with them […] to other services and grant those services access to those people’s information. These two positions are at odds with each other.“ Facebook Blog, On Facebook, People Own and Control Their Information

Damit Facebook den Dienst überhaupt möglich machen kann, müssen sie das Recht haben, Daten vom Nutzer weiterzugeben (z.B. an andere Nutzer). Die Frage ist nicht, ob sie dieses Recht haben sollen – wenn sie es nicht kriegen, funktioniert der Dienst gar nicht. Sondern wie sie das erhaltene Recht nutzen, also wem sie unter welchen Bedingungen welche Daten weitergeben.

Diese differenzierte Sichtweise habe ich nirgends gelesen, die Problematik ist offenbar vielen zu komplex. Das ist enttäuschend. Mein Kommentar zu Google Latitude lässt sich copypasten: 

Datenschutz ist ein Deal. Ich gebe gewisse Daten von mir preis und erhalte dafür etwas (andere Daten, Funktionalität). Um auf einen solchen Deal eingehen zu können, muss ich über das System Bescheid wissen, und für mich persönlich entscheiden, ob der Deal aufgeht. Unbestritten ist bei einem solchen Handel immer Vertrauen im Spiel. […] Es ist deshalb legitim, mit Nachdruck präzise und ausführliche Information und Transparenz zu fordern. Diffuse Angst ist aber nie ein guter Ratgeber.

Heute hat Zuckerberg nun angekündigt, dass die geänderten TOS rückgängig gemacht und die alten wiederhergestellt werden. Er schreibt:

Based on this feedback, we have decided to return to our previous terms of use while we resolve the issues that people have raised. […] Our next version will be a substantial revision from where we are now. It will reflect the principles I described yesterday around how people share and control their information, and it will be written clearly in language everyone can understand. Since this will be the governing document that we’ll all live by, Facebook users will have a lot of input in crafting these terms. You have my commitment that we’ll do all of these things, but in order to do them right it will take a little bit of time.“ Facebook Blog, Update on Terms

Zucki

Dieses Zurückrudern wird von den Panikmachern ohne Zweifel als Erfolg gewertet werden – was ihre Ahnungslosigkeit erneut beweist: Sind doch nun wieder die gleichen TOS aktiv wie früher, mit den gleichen weitreichenden Rechten von Facebook und noch dazu in unverständlicher Sprache.

Natürlich ist der Post von Zuckerberg in Watte gepackte Corporate-Speak eines Unternehmers, der auf das Vertrauen seiner Nutzer angewiesen ist. Es bestätigt aber auch eine Prognose, die ich an anderer Stelle schon gemacht habe: Nutzer erwarten, dass sie gewohnte politische/rechtliche Strukturen auch in der virtuellen Welt wiederfinden. Wie Zuckerberg schreibt: Facebook hat mit über 175 Millionen die Einwohnerzahl eines grossen Landes, und damit eine grosse Verantwortung. Ich habe den Eindruck, dass er sich dieser Verantwortung bewusst ist und sie wahrnehmen will.

Facebook hat mit ihren TOS eigentlich lediglich das getan, was ohne Ausnahme alle Betreiber eines Social Network oder einer virtuellen Welt tun. Sie bestimmen die Bedingungen selber, und sie ändern sie unilateral. Und sie formulieren sie zu Beginn immer so, dass vor allem ihre eigenen Interessen und Angriffsflächen abgesichert sind.
Wenn die Nutzer sich dann auf diesen Dienst einlassen und in ihrem Alltag einbauen, erwarten sie irgendwann Mitspracherecht; unilaterales und defensives Vorgehen wird nicht mehr akzeptiert. Das zeigt die aktuelle Diskussion, und das hat man bei Facebook sehr wohl begriffen.

In diesem Licht muss man Facebook als fortgeschritten bezeichnen. Im Gegensatz zu vielen anderen Betreibern (die aber nicht im Fokus der Medien stehen) haben die Facebook-Leute diese Problemfelder erkannt und bemühen sich, Lösungen für ein sehr komplexes Problem zu finden. Jetzt Facebook als böse und gefährlich hinzustellen, zeigt nur, wie wenig man diese Fragen wirklich verstanden hat.

Wir erhalten hier die Gelegenheit, die Datenschutz-Problematik in aller Komplexität zu diskutieren und sogar aktiv an einer Lösung mitzuarbeiten. Und zugegeben: diese Möglichkeit ist dank dem jetzt aufgebauten Druck entstanden. Trotzdem: Wer einfach auf Panik macht und die Leute mit Alarm-Schlagzeilen veräppelt, führt sie mehr hinters Licht als das Facebook jemals getan hat.

Hilfreich wäre es stattdessen, sich mal hinzusetzen, nachzudenken und die vielen Einstellungen anzuschauen, die Facebook heute schon bietet, um Datenschutz-Fragen Rechnung zu tragen.
Eine tolle Zusammenstellung mit Tipps ist hier: 10 Privacy Settings Every Facebook User Sho
uld Know
Wenn man diese Tipps befolgt, hat man sich so ziemlich gegen jede unangenehme Situation abgesichert und kann den Dienst trotzdem nutzen.