Warum der Datenschutzbeauftragte von Schleswig Holstein Thilo Weichert im Kampf gegen Facebook falsch liegt
Über die Inkompetenz deutschen Datenschutzes.
Vor ein paar Tagen hatte ich schon darüber gebloggt, daß mir Thilo Weicherts Vorgehen gegen Facebook-Gefällt-mir-Buttons – so sehr mir Facebook auf die Nerven geht und ich es für eine grausige Datenkloake halte – willkürlich, inkonsequent und unlogisch vorkommt, weil man in der Konsequenz auch Youtube-Videos, GoogleMaps-Karten und so manche Design-Bibliothek ahnden müßte, dies aber zu einer Verletzung der Meinungs- und Lehrfreiheit führen würde, die als explizite Grundrechte aber über dem einfachgesetzlichen und aus Richterrecht hervorgehenden Datenschutz stehen.
Ich habe zu dem Blog-Artikel diverse Leser-Kommentare erhalten, die teils auch mehr oder weniger heftig in diese Datenschutzrichtung gehen und mitunter Alternativvorschläge unterbreiten (und teils als Wundermittel anpreisen), die bei Licht betrachtet nur auf Halbwissen beruhen, für die Allgemeinheit zu aufwendig und fehleranfällig oder gar unmöglich umzusetzen wären, das Lesen von Webseiten verumständlichen würden, technisch nicht funktionieren und/oder die Sache datenschutzmäßig nur noch schlimmer machen würden.
Datenschutz ist schön, gut, wichtig und wertvoll, ich verwende Datenschutzrecht gelegentlich selbst, um mich zu wehren. Aber viele Datenschutzforderungen beruhen schlichtweg auf technischem Un- oder Halbwissen, und einer naiven Heile-Welt-Sicht. Und oftmals auch auf Wichtigtuerei. Datenschutz – genauer gesagt dessen Um- und Durchsetzung – ist manchmal sogar die instutionalisierte Verleugnung der Realität.
Das Grundproblem des deutschen Datenschutzes (und nicht nur des Datenschutzes) ist, daß Deutschland kein Rechtsstaat, sondern ein Juristenstaat ist. Von der vermeintlichen Gewaltenteilung als Fundament des Rechtsstaates ist insofern nichts übrig geblieben, als in allen drei Staatsgewalten – Gesetzgebung, Rechtsprechung und Exekutive – Juristen die Entscheidungen treffen und daher ein fachliches Monopol eingetreten ist. Intellektuell haben wir schon lange keine Gewaltenteilung mehr. Statt einem Kirchenstaat, der wir waren, sind wir nun ein Juristenstaat geworden – und die Unterschiede sind gar nicht so groß. (Beide maßen sich überweltliche Wahrheiten an, sprechen in seltsamer Sprache, verkünden im Namen eines nichtanwesenden Dritten Recht und Wahrheit und tragen dabei seltsame schwarze Kittel, die oberen Priester sogar rote.) Unter deutschen Politikern sind auffällig viele Pfarrer und Juristen.
Dabei haben die Juristen drei fundamentale Grundprobleme, die allesamt mit deren Beruf, Arbeitsweise und Aufgabenstellung zusammenhängen:
-
Juristen wissen eigentlich nichts richtig, aber alles besser.
Das hängt damit zusammen, daß Juristen in der Regel in ihrem Studium nichts außer Juristerei lernen. Der Fachjurist, etwa ein Medizin- oder IT-Rechtler, ist in der (deutschen) Ausbildung nicht vorgesehen. Die Juristen hängen an dem mittelalterlichen Bild fest, daß der „Volljurist” mit der Befähigung zum Richteramt alles kann. Er kann jedes Problem lösen, weil er zu jedem beliebigen Thema Sachverständige beauftragt. Und als der, der Gesetze, Verträge und Urteile macht, kann er in jedem beliebigen Bereich jedem anderen Fach jegliche Vorschriften machen, entscheiden was falsch und richtig ist, Leute bestrafen – auch wenn er das Fach nicht versteht.
-
Die Juristerei ist nicht analytisch, nicht erkenntnisorientiert und keine Naturwissenschaft und sie beruht nicht auf Verifikation oder Falsifikation. Sie ist deklarativ und beruht auf Interessen und Machthierarchien, ist also im Grunde willkürlich. Die Juristen nehmen zwar für sich in Anspruch, Rechtsfindung zu betreiben, aber sie forschen ja nicht in einem Labor oder ähnlichem. Sie betreiben Begründungsfindung und Machtausübung.
Wären Juristen Wissenschaftler, bräuchte es keine Richter und Gerichte, weil dann die Anwälte der Streitparteien den Streit argumentativ untereinander ausmachen würden. Juristen sind Dienstleister (oder wie sich eine Anwältin mir gegenüber mal selbst beschrieb, „Mietmäuler”), die darauf trainiert sind, Interessen Dritter und damit beliebige subjektive und nicht objektive Wahrheiten zu vertreten.
So paradox es klingt: Die Juristerei ist nicht die Macht dessen, der Recht hat, sondern nur eine sehr abstrahierte und formalisierte Form der Macht des Stärkeren.
-
Die Juristerei ist nicht konstruktiv, sondern destruktiv.
Verträge sind nur für den Streitfall da, und Gesetze dienen nur dem Verhindern und Verbieten. Man sagt, wo kein Kläger, da kein Richter. Und wo kein Mandant ist, ist der Rechtsanwalt auch eher selten. Das heißt, daß Juristen nichts neues bauen, sondern immer erst dann gerufen, konsultiert, beauftragt werden, wenn andere etwas gebaut haben, um zu entscheiden, ob es gebilligt werden kann oder nicht.
Man sagt, daß für den, der nur den Hammer kennt, alles wie ein Nagel aussieht. So geht es den Juristen. Juristen kennen als Werkzeug im Wesentlichen nur das Verbot, die Strafe, den Unterlassungsanspruch, das Durchsetzen von Ansprüchen per Gerichtsvollzieher usw. Nur der darauf aufgespannte „Vektorraum” ist ihr Welt- und Arbeitsbild, also im Grunde genommen ein rein destruktive Weltsicht. Der Jurist baut nicht auf, er nimmt weg. Das Ingenieurhafte ist ihm fremd, das ist geradezu das Gegenteil.
Das bringt es mit sich, daß der Jurist grundsätzlich nicht die Lösung eines Problems sucht sondern den, dem er etwas am einfachsten verbieten kann. Ein böses Beispiel dafür ist die Störerhaftung. Die ist gesetzlich nirgends vorgesehen, sondern von der Rechtsprechung einfach so erfunden worden, damit man dann, wenn man es dem Schuldigen aus irgendwelchen Gründen nicht verbieten kann, einen anderen findet, dem man es verbieten kann. Das ganze Abmahnwesen beruht auf Verbieten durch Unterlassungsansprüche und -erklärungen. Und das Strafrecht hat nichts anderes zum Inhalt.
Ich habe das kürzlich schon u.a. in meinen Blogartikeln über den CSU Netzkongress
und die Kinderpornosperre angesprochen: Die Sachkunde fehlt, verstanden haben sie es nicht, aber sie sind massiv von verbotswütigen Juristen unterwandert, die als einziges Werkzeug den Verbotshammer kennen, wie der Steinzeitwilde die Keule. Und auch die ständig wiederholte Politikerplattitüde, daß das Internet kein rechtsfreier Raum sein dürfe, ist eigentlich nur das hilflose Gestammel derer, die ein Problem sehen, deren Lösungsraum aber nur eindimensional-juristisch darauf beschränkt ist, dem nächstbesten Greifbaren irgendwas zu verbieten. So wie Ärzte im Mittelalter, die auch nicht wußten, was Viren und Bakterien sind, und glaubten, mit dem Aderlaß alles heilen zu können. Man muß ihn zur Ader lassen, sagten die Ärzte und Scharlatane damals. Das Internet darf kein rechtsfreier Raum sein, sagen die Politiker heute – und die meisten von denen sind von Beruf Jurist.
Und da unsere gesamte Politik juristisch unterwandert ist, zieht sich diese katastrophale Haltung auch durch unsere IT-Politik. Konstruktiv machen wir da gar nichts. Welcher Beitrag zum Internet, welche technische Neuerung, welches Konzept wäre jemals aus Deutschland gekommen?
Wir sind da reine Konsumenten, Meckerer und Gewährleistungsinanspruchnehmer. Wir lehnen uns zurück, warten ab, was die Amis und die Asiaten so erfinden, konsumieren dann, meckern dran herum, und manchmal verbieten wir es dann. Als einzige Form der Beteiligung am Internet. Mehr haben wir nicht drauf. Sonst können wir in dem Bereich nichts, aber im Verbieten sind wir stark.
Das Dumme daran ist, daß uns das Verbieten nicht viel hilft, wenn es um das Internet geht. Weil das Verbieten hier auf ein Bundesland, auf Deutschland und – wenn wir ganz viel Einfluß gelten machen – manchmal auch auf Europa beschränkt ist. Das Böse im Internet sitzt aber meistens außerhalb von Europa. Facebook zum Beispiel. Da funktioniert das Verbieten nicht. Und weil Verbieten das einzige Werkzeug ist, das Juristen kennen, verbieten sie es dann – Störerhaftung und Kinderpornosperre lassen grüßen – einfach einem Dritten, der gerade im Geltungsbereich ist. Weil sie nichts anderes haben, wissen und können als das Verbieten und Bestrafen.
Der Bereich Datenschutz macht da keine Ausnahme. Er liegt im Wesentlichen in der Hand von Juristen, und damit nur im Vektorraum der Strafen und Verbote, die dann, wenn sie gegen den Schuldigen nicht wirken, eben gegen Dritte verhängt werden.
Und genau so agiert der Jurist und Landesdatenschutzbeauftragte Thilo Weichert, wenn er nun die „Facebook-Gefällt-Mir-Buttons” auf Webseiten mit Untersagungsverfügungen und Bußgeldern jagt.
Das Ziel – Bekämpfung der Datensammlung durch Facebook – ist völlig richtig. Aber der Weg ist grottenfalsch. Und er beruht auf den eingangs dargestellten Schwächen der Juristen. In dieser Weise auf die Webseitenbetreiber loszugehen ist der völlig falsch Ansatz.
Weichert macht im Prinzip denselben Fehler, den europäische Datenschützer schon bei Cookies gemacht haben, nämlich das Problem beim Webseitenbetreiber zu suchen. Das ist schon deshalb unsinnig, weil die meisten Webseiten außerhalb der EU betrieben werden.
Warum ist das falsch? Ich will es mal weit überspitzt sagen, um das Problem herauszuschälen. Würde jemand von der Brücke springen oder sein Haus anzünden, nur weil irgendeiner vorbeilief und sagte „Spring doch mal von der Brücke oder zünde doch mal Dein Haus an!”, würde jeder sagen, so blöd kann man doch gar nicht sein, da ist doch jeder selbst dafür verantwortlich, sich nicht zu schädigen. Das ist ja schon der Standard-Spruch von Eltern zu den Kindern, wenn die irgendwo mitgemacht haben, „Und wenn der Rudi sagt, spring von der Brücke, springst Du dann?”. Schreibt aber einer – per HTML oder JavaScript – auf seine Webseite, ach, übertrag doch mal Deine Daten zu Facebook, dann machen wir das alle und suchen die Schuld alleine bei dem, der das gesagt hat.
Das Grundproblem ist wieder dasselbe. Die Juristen haben eine Aufgabe, und als einzige Lösung fällt ihnen wie immer nur der Juristenstandardweg ein, es einfach dem nächstbesten innerhalb des eigenen Geltungsraumes verbieten zu wollen und mit Strafen zu bedrohen. Mehr haben sie nicht drauf.
Würde man das Problem stattdessen sicherheitstechnisch analysieren, käme man zu einem ganz anderen Ergebnis:
Der Dreh- und Angelpunkt der Daten und das Element, was auch sicherheitstechnisch unter Kontrolle des Verteidigers und nicht des Angreifers ist, ist nämlich nicht die Webseite, sondern der Browser. Übrigens nicht nur in Bezug auf Datenschutz, sondern auch sonst in Bezug auf Websicherheit, wie ja auch das entsetzliche Kuddelmuddel mit den Zertifikaten zeigt (das haben übrigens nicht die Juristen, sondern die Informatiker verbockt, die bauen nämlich auch sehr viel Mist, nur anders). Da gäbe es außer dem Datenschutz noch jede Menge sicherheitstechnischer Probleme, die zu lösen wären, Stichworte dazu etwa Phishing oder Sicherheitslücken in Flash.
Hier müßte man konstruktiv überlegen und Anforderungen aufstellen, wie eigentlich eine sichere und datenschutzkorrekte Webseite aussehen muß und wie sich der Browser verhalten soll. Was darf der Browser nicht oder nur mit ausdrücklicher Einzelbestätigung des Nutzers tun. Beispielsweise gehört dazu, daß verschlüsselte Webseiten (Telebanking, Versand usw.) keine Seitenelemente anderer Quellen eingebunden werden. Oder daß PDF-Dokumente in einer wirklich abgedichteten Umgebung angezeigt werden müssen usw. usw.
Und dazu gehört beispielsweise, daß der Browser nicht einfach so Elemente von einer Webseite lädt, wenn die nach außen verweisen, also nicht einfach folgt, wenn irgendwo die Zähler von Google oder die Gefällt-mirs von Facebook drin sind, sondern daß der Benutzer bestätigt, ja, das will ich jetzt. Wobei diese Facebook-Buttons meines Erachtens sowieso nicht auf die Webseite gehören sondern als Plugin in den Browser, das der Nutzer – wenn er denn unbedingt will – selbst installieren muß. Es ist nämlich keine Funktion der Webseite und hat da eigentlich nichts verloren (aber Webseitendesigner war ja auch noch nie ein Beruf mit echten Qualitätsanforderungen, Hauptsache bunt, viel und blink). Und in der Konsequenz müßten auch die Werbebanner genauso behandelt werden.
Das Ergebnis wäre, daß der Webseitenbetreiber Nutzerdaten nicht selbst an Dritte übermitteln darf, und daß der Browser abhängig von den Benutzereinstellungen Daten zu Dritten überträgt oder eben auch nicht. Damit würde man auch ganz wesentlich Datenschutzprobleme mit Seitenanbietern außerhalb der EU in den Griff kriegen. Weil nicht (nur) die Webseite, sondern vor allem der Browser unseren Datenschutzanforderungen genügen muß – und im Gegensatz zu der auch immer unter unserer Kontrolle liegt.
Der richtige Weg wäre also, solche konstruktiven Anforderungen an Browser zu formulieren und dann von kommerziellen Anbietern zu fordern – so wie man auch Autos nur verkaufen darf, wenn sie gewissen Sicherheitsanforderungen entsprechen.
Damit würde man statt der kleinen Blogger vor allem kommerzielle Softwareanbieter wie Microsoft, Apple, Google usw. in die Pflicht nehmen, konforme Browser herzustellen. Alternativ könnte man ja auch mal frei verfübare Browser in Deutschland entwickeln, die dem entsprechen (falls wir das überhaupt auf die Reihe kriegen). Etwa in der Art von „Hört mal her, ab 2013 dürft Ihr nur noch Browser verkaufen, die diesen und jenen Anforderungen an Sicherheit und Datenschutz genügen, und im übrigen haftet Ihr über die Gewährleistung hinaus für Schäden!” Microsoft und Apple verdienen hier Milliarden und haben extreme Geldmengen in der Kasse, das juckt die gar nicht, die Browser etwas umzuprogrammieren.
Denn letztlich – und das muß man bei aller Abneigung gegen Facebook sagen – besteht das Problem nicht aus Facebook und den bösen Webseitenbetreibern, sondern darin, daß das Internet und das Web und die Software zu einer Zeit gewachsen sind, als man die Probleme nicht kannte – und vor allem, daß es miserabel konstruiert ist. Vieles in der IT ist ad hoc zusammengerührt und entsprechend fehlkonstruiert, und vieles beruht einfach extrem auf der amerikanischen Mentalität, in der für hohe Sicherheitsanforderungen und Datenschutz kein Platz ist, und vor allem auf Kommerz, der versucht, den konstruktiven Aufwand zu minimieren.
Das Problem ist damit eigentlich ein technisches Problem der Informatik und kein primär juristisches oder datenschutzrechtliches. Deshalb ist die Strafkeule Weicherts hier das völlig falsche Werkzeug (wer nur den Hammer kennt…). Das richtige Werkzeug wäre, konstruktiv bessere Mechanismen zu entwickeln.
Und dazu wird es niemals kommen, solange der Datenschutz und die IT-Sicherheit Domänen der Juristen sind, weil die sowas nicht kennen und können. Das kommt in deren Welt nicht vor.
(Ob die deutschen Informatiker dazu befähigt wären, ist allerdings eine andere Frage. Denn irgendwas nennenswertes haben die bislang auch nicht hervorgebracht. Hätten wir nämlich was auf der Pfanne, bräuchten wir nicht Google und Facebook aus Amiland, sondern hätten längst clevere dezentrale Alternativen entwickelt. Wir sind aber keine Konstrukteure, wir sind nur unzufriedene meckernde Konsumenten.)
Und die Quintessenz daraus: Das Vorgehen Weicherts ist verfehlt, wenn man Datenschutz als Ziel hat. Wirksam (das Wort richtig verbietet sich in diesem Zusammenhang) ist es, wenn man das Ziel hat, sich selbst in die Presse zu spielen, Aktionismus zu ventilieren und auf möglichst einfache und billige Art (so ganz in der Art juristischen Abmahnwesens) ein paar Exempel-Schuldige vorzuführen. Aber so funktioniert eben die Politik der Juristenrepublik Deutschland. Rein destruktiv.
(Ich war übrigens 2 1/2 Jahre als IT- und Sicherheitsberater für ein großes Rudel Juristen – auch Datenschützer – in der Rechtsabteilung eines großen deutschen IT-Konzerns tätig.)
15 Kommentare (RSS-Feed)
@tonne: Es ist in der Regel nicht die Seite, die Du besuchst, die deine Daten an facebook, google, twitter usw. übermittelt. Es ist Dein Browser. Und das ist der Knackpunkt. (So würde ich mich übrigens auch gegen eine Verfügung oder einen Bußgeldbescheid eines Datenschutzbeauftragten wehren.)
Zu den Zählmarken der VGWort habe ich keine Alternative. Der Gesetzgeber sieht vor, daß Autoren an die Verwertungsgesellschaften gebunden sind, Alternativen läßt man nicht. Und die VGWort hat mir versichert, daß ihr Verfahren datenschutzrechtlich geprüft und für einwandfrei befunden wurde. Immerhin sind die vom Gesetzgeber vorgesehen. Vom Zählverfahren für PDF-Dateien habe ich aber absichtlich Abstand genommen, weil es mir zu dubios ist.
>”Microsoft […] verdienen hier Milliarden und haben extreme Geldmengen in der Kasse, das juckt die gar nicht, die Browser etwas umzuprogrammieren.”
Sicher? Also das mit dem Geld glaube ich sofort.
Aber, wird es dann nicht mit der Kompatibilität problematisch.
Würden dann schlecht geschriebene Software nicht mehr laufen und die Kunden meckern dann Microsoft an, dass nichts mehr läuft und ggf. nicht upgraden?
Ich meine, Microsoft sitzt ja auf einer Kompatibiliätsblase, bis die bald gar nichts mehr (sinnvolles) verbessern können, ohne dass ein Programm ausfällt.
So erkläre ich mir immer, das der IE6&IE7 immer noch existiert. Meinst du das stimmt so?
@Hadmut: Das mit den Webdesigner kann ich so kaum stehen lassen 😉
Mal ehrlich: Du sagst es ja selbst: schuld sind die Browser. Auch. Man könnte auch das www-konstrukt nehmen – henne-ei.
Aber wo geht dann Reise hin? Wir wissen doch schon, dass es jetzt im Labor schon Versuche gegeben hat, bei denen man auch ohne Cookie & Co einzelne User tracken kann. Wollen wir uns auf diese Hatz einlassen? Ist das nicht der falsche Weg? Das Netz lebt und wächst doch von seiner simplizität, zumindest was das Protokoll angeht.
Meiner Meinung nach hast Du schön gebrüllt, und ich gebe Dir gerne mit Deinen “Anschuldigungen” Recht (Juristen==Inquisition).
Dein Lösungsvorschlag macht aber den selben Fehler wie die Juristen. Er ist mit Verlaub gesagt die Analogie zur Mitstörerhaftung in der Dipl-Welt. Aber immerhin kann man auf Deinem Niveau zu diskutieren anfangen. Du hälst wenigstens die Tür auf. Und du bist wenigstens unterhaltsam. Das kann man heutzutage ja auch nicht genug betonen.
@Michael: Ich bin wenigstens „unterhaltsam”? Ich bin mir nicht sicher, ob ich das als Lob oder Beleidigung auffassen soll.
Auch verstehe ich beim besten Willen nicht, worauf Du hinauswillst. Die Tatsache, daß man auch ohne Cookie & Co tracken kann, beruht wesentlich auf Konstruktionsfehlern des Browsers (und seiner Plugins wie Flash). Oder dem Store in HTML5. Oder der Tatsache, daß man per JavaScript auslesen kann, ob jemand schon mal eine Seite besucht hat. Das halte ich alles für Konstruktionsschwächen des Browsers. Oder hältst Du das für eine Art des übergeordneten unabwendbaren Bösen?
Und wenn man auf Webseiten zugreifen will, die außerhalb Deutschlands und damit außerhalb unseres Rechtssystems liegen, bleibt einem doch gar nichts anderes mehr übrig, als den Browser zu korrigieren.
Welche Vorgehensweise schlägst Du vor? Das kann ich nämlich nicht ersehen…
Ein Beispiel wie man das Problem auf genau die von dir beschriebene Art lösen kann gibt es hier: http://sharemenot.cs.washington.edu/ (via schneier.com) Und es kommt zur Überraschung aller nicht aus Deutschland 😉
Ja, es gibt inzwischen mehrere Ansätze, die in diese Richtung gehen. Und daß sie beim Browser ansetzen, sagt ja auch was. Auch Mozilla bastelt ja an einigen Sicherheitsmaßnahmen im Browser.
Es paßt allerdings nicht so wirklich, weil es sich da allein auf das Tracken bzw. meistens auf eine sehr amerikanische Sichtweise von Privacy bezieht. Datenschutz wird zwar häufig mit Privacy übersetzt, ist aber nicht das gleiche. Zumal bei uns ja nicht nur Datenschutz- sondern auch Sicherheitsanforderungen bestehen. Insofern müßte man das schon etwas sauberer konstruieren und erst mal die Anforderungen aufstellen, während das mehr so ad hoc geschusterte Lösungen sind.
Die Frage ist halt auch, wie gut das funktioniert, denn zumindest nach der Beschreibung sperrt es nur Buttons. Das Tracking funktioniert aber auch mit allen anderen Elementen, wie css, Javascript, Graphiken usw., und das müßte man dann schon klären, wie die sich dann verhalten sollen. Etwa wenn Google Maps oder Youtube eingeblendet werden. Deshalb reicht es auch nicht, Elemente einfach zu sperren. Der Browser müßte in der Lage sein, für bestimmte Elemente die Requests entsprechend zu anonymisieren, so daß man sich zwar per Cookie bei Google einloggen kann, das cookie aber nicht übertragen wird, wenn auf einer anderen Webseite ein Element referenziert wird. Es sollten also immer nur Cookies usw. für die aktuell besuchte Seite herausgegeben werden, um solche Seitenelemente ggf. auch möglichst trackingfrei zu besuchen.
Aber die Richtung stimmt.
@Hadmut Das war durchaus als Lob gemeint. Und nein ich meinte wirklich im Stealth-Modus des Browsers. Heise hatte mal vor längerem darüber berichtet. Es ist tatsächlich ein Labor-versuch gewesen. Aber abgesehen davon:
Dein Ideal-Browser lädt also nur Domain-spezifisches. Gut. Alle Nutzer werden irgendwie an so einen Browser gelangen, weil alle Hersteller es so implementieren müssen. Gut.
Also müssen alle ihre Seiten umbauen, damit sie in D/EU funktionieren. Gut.
Wenn dann ein GGL-Maps iframe geladen werden soll (nach Vorstellung des Seitenbesitzers) wird der Browser Interaktion vom User abnötigen. Mehr (IE/FF) oder weniger (Saf/Chr/Opera). Ab hier wirds heikel.
@Michael: Ich habe nicht gesagt, daß er nur Domain-spezifisches lädt. Im Gegenteil, in dem vorangehenden Artikel zu GoogleMaps und Youtube habe ich im Gegenteil beschrieben, daß ich es für eine Verengung der Meinungsfreiheit hielte, wenn er nur das täte.
Es ist auch nicht so, daß alle ihre Webseiten umbauen müßten. Es ist so, daß der Browser – je nach Einstellung – verweigern oder warnen würde und der Benutzer sich dann überlegen kann, ob er will oder nicht. Es ist dann die Entscheidung eines ausländischen Anbieters, ob er gesehen werden will oder nicht. Zwingen kann man ihn nicht. Irgendwie hab ich das Gefühl, daß Du das alles bewußt überverstehst.
Ich habe noch nicht erkannt, worauf Du hinauswillst bzw. was Du vorschlägst.
Der Witz an der Sache ist doch eigentlich, dass die entsprechende Funktionen in den meisten Browser schon existierten (Privatmodus, Adblocker, NoScript etc). Was allerdings fehlt, ist eine hübsche Oberfläche für die seiten-/domainspezifische Verwaltung, welche den ganzen Kram für den Benutzer vernünftig zusammenführt.
Genau dann sind aus Nutzersicht der Aufbau solcher Regeln möglich wie:
– Wenn facebook.com als Seite aufgerufen wird, dann liefer vom Browser alles an den Server, was HTTP hergibt
– Wenn Daten von facebook.com von einer anderen Seite eingebunden werden, dann liefer nix/nur Cookie/Referrer/was der User freigibt.
Ein Firefox-Plugin sollte für einen entsprechend erfahrenen Programmierer wohl vorallem eine Fleißaufgabe darstellen.
Der große Haken an der Sache: Die IP geht immer noch an Facebook. Technisch notwendig. Aber genau das stört eben die Datenschützer. Die halten sie für ein personenspezifisches Datum, das Facebook ja viel zu lange speichern könnte.
Das erste was die Datenschützer am Internet abschaffen würden, wäre die IP. Klingt doof, ist aber so.
Hallo Hadmut,
endlich mal n kraftvoller, kluger Beitrag zum Versuch, die Bewältigung des facebook-Problems diskussionsfähige Form zu geben.
I) Allgemein: Die moderne systemtheoretische Soziologie, für die Niklas Luhmann steht, erklärt uns – und das ist kompatibel zu Deinen Ausführungen -, dass für die Juristen tatsächlich nur ein eindimensionaler Darstellungs- und Lösungsraum zur Verfügung steht. So ist es. Das kann man beklagen. Oder konstatieren und damit dann rechnen. Ergebnis: Die ganze Welt besteht rechtlich aus Normen. Darüberhinaus erklärt uns duiese Theorie aber auch, dass die Welt durchzogen ist von betriebswirtschaftlicher Rechenhaftigkeit. Die ganze Welt besteht aus betriebswirtschaftlichen Bilanzen der Kaufleute. Maradonna konnte sein rechtes Bein versichern. Super Konstruktion! Name it, ich krieg es in der Bilanz unter. Darüberhinaus besteht die Welt, und zwar vollständig also verlustfrei, aus Machtdifferenzen. Das ist die Thematisierung von Politik. Durchsetzen, an allem vorbei, nur das zählt. Und dann haben wir noch Wissenschaft wie bspw. die Soziologie, die meint, das ganze beschreiben und erklären zu können. (Ich höre mit der Reihe auf, sie ließe sich fortsetzen). Der Witz ist, dass keine dieser relevanten Größen ein letztes Wort beanspruchen kann oder zugestanden bekommt. Letzte Worte sind vorbei (ausser eben diese Feststellung. Paradox? Ja. Nur dieser kreative Abschluss ist noch akzeptiert.). Ja, wir haben einen Juristen-Staat. Und einen Kaufleute-Staat. Und einen Politiker-Staat. Und einen Dochletztverkünder-Staat, wenn man denn Halt bei den Wissenschaften sucht. Das ist die Analyse moderner Soziologie, wenn sie von “funktionaler Differenzierung” spricht.
II) Speziell ULD: Das ULD weiss was es tut. Das Problem sind nicht die doofen Juristen oder Techniker (kennst Du das ULD-Gutachten zur Analyse der facebook-Aktivitäten? https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf ) des ULD, die die Falschen (Webseitenbetreiber) schlagen, obwohl sie eigentlich an facebook ran wollen. Was ist dazu zu sagen:
a) rechtlich: Die deutsche Gesetzeslage lässt gegenüber einem amerikanischen Unternehmen nichts anderes als diese Vorgehensweise zu.
b) ökonomisch: Diese Drohungen gegenüber der Kundschaft von facebook tut facebook tatsächlich richtig weh.
c) politisch: Es wurden tatsächlich Wirktreffer erzielt, was empirisch erwiesen ist, oder?
d) technisch: Es entstehen wieder Anlässe, neu über technische Möglichkeiten nachzudenken. Da zähle ich schon Deine Erinnerung dazu, dass auf Seiten des Browsers mehr zu tun ist.
III) Speziell facebook: Ich habe in den letzten Wochen versucht klar darzulegen, worin das eigentlich zu lösende Datenschutzproblem liegt. Und welche soziale Funktion Datenschutz, das mehr als nur Datenschutzrecht ist, erfüllt. Und da bin ich an Deinen Beginn angelangt: Datenschutz, u.a. in dessen rechtlicher Inkarnation, beobachtet und bewertet zunächst einmal an den Deformationen der Privatheit einzelner Menschen sozial-strukturelle Deformationen. Konkret: Die Deformationen der Gewaltenteilung, des Marktes und der herrschaftsfreien Diskurse, in denen ein Raum freizuschaufeln ist, in dem allein der “seltsame Zwang des besseren Arguments” (Habermas) zählt. Und ein guter moderner Datenschutz agiert dann auch noch konstruktiv, überlegt sich also, wie Abhilfe geschafft werden kann.
Das sieht dann zum Beispiel so aus:
a) “Das facebook-Problem” aus Sicht einer Datenschutztheorie:
http://www.maroki.de/pub/privacy/HU-Mitteilungen-facebook.pdf
b) Das facebook-Projekt – Warum facebooks Transparenz-Aktivitäten der letzten Tage so ganz ohne Relevanz sind:
http://marokiblog.wordpress.com/2011/09/10/die-facebook-bewegung/
Besten Gruß
Martin (ULD-Mitarbeiter)
Ich danke für das Lob und die Links. Nein, kannte ich noch nicht. Werde ich baldmöglichst lesen.
Hallo Hadmut,
vielen Dank für den spannenden und passenden Beitrag zu diesem Thema, aber ich glaube nicht das eine rein technische Lösung dem Problem angemessen ist, denn es gibt es da einige Konflikte zwischen Mechanismen die prinzipiell zu meinen Gunsten arbeiten, aber zum Tracken verwendet werden können. Z.B. lässt sich Tracking über Caching-Header machen: Jeder Nutzer kriegt ein Seitenelement mit einem individuellen E-Tag oder Expire-Header gesendet und schwupps meldet sich der Browser korrekt mit “If-Modified” oder “If-Modified-Since” im Header und identifiziert mich. [1]
Nun kann ich Caching abschalten, aber das ist eigentlich nicht in meinem Sinne. Oder ich kann Verbindungen zu externen Diensten verbieten, aber dann werden die Dienste halt unter dem Domainnamen der Seite angeboten die ich besuche – ob der Tracker nun unter zeitonl.ivwbox.de oder unter ivwbox.zeit.de läuft ist ja erst mal sekundär.
Man fängt sich in einem klassischen Arms-Race: Der Browser kann es schwieriger machen zu tracken, aber nicht unmöglich. Am Ende werden nur die großen tracken, aber leider sind die Großen die bei denen es gefährlich ist. Eine juristische Lösung wird auch nicht wirklich tragfähig, wie du sehr zutreffend dargelegt hast. Das User-Interface mit mehr und mehr Optionen zu füllen die kein Normaluser versteht ist auch keine Lösung, mal ganz abgesehen davon dass es den meisten meiner nicht so webaffinen Bekannten ein Rätsel ist *warum* das alles überhaupt ein Problem sein solle…
Ratlos
Felix
[1] Via http://www.schneier.com/blog/archives/2011/08/new_undeletable.html
Hallo Martin,
Du schreibst, “Es wurden tatsächlich Wirktreffer erzielt” mit der Taktik des ULD, “die die Falschen (Webseitenbetreiber) schlagen”.
Du begründest hier eine Maßnahme mit ihrer Wirksamkeit. Klar, wir schlagen auf die Falschen ein, aber das ist okay, denn schaut mal, den Bösen tut das auch “tatsächlich richtig weh”.
Der Zweck heiligt die Mittel. Da hab ich kein gutes Gefühl dabei. Gibt’s dafür sozio-philosophische Rückendeckung von Luhmann oder gar Habermas…?
Ciao, Patrick
PS: “Die deutsche Gesetzeslage lässt gegenüber einem amerikanischen Unternehmen nichts anderes als diese Vorgehensweise zu” – das ist doch genau Hadmuts Punkt, daß Juristen konstruktiv einfach nicht im Repertoire haben, und wenn es solche Probleme gibt (im Netz also immer), dann stattdessen auf die hauen, derer sie habhaft werden können.
Bei diesem Sicherheitsproblem, wie bei jedem anderen informatischen Problem mit Massenbezug, sollte man auch mal ernsthafter über die sprachliche Konstruktion der Machwerke nachdenken. Ich würde mal behaupten, dass vieles – auch an gute Ideen – sehr schnell daran scheitert, dass es in einer Sprache verfasst ist, die die meisten User einfach nicht beherrschen. Es ist für die meisten einfach nur kryptisch-abgekürztes Einerlei, dass deswegen auch selten nützlich eingestellt werden kann. ich denke, wenn man die Sicherheit und den Schutz von Daten großflächig umsetzen will in einer Weise, die die Bezeichnung “sicher” verdient, kommt man nicht um dieses Sprachproblem drumherum,
Und angesichts des Informatikunterrichts an unseren Schulen (“Was für Tastenkombis gibts in Excel?”) kann man wohl nicht annehmen, dass der Durchschnitt da demänchst gebildeter sein wird. Gibts eigentlich sowas wie die vereinigten Informatik-Pädagogen oder Informatiker für die Verbesserung des informatischen Durchschnittswissens?
Hadmut, Deine Kritik an der Unzulänglichkeit der Aktion des Datenschützers ist berechtigt. Trotzdem hat die Aktion allerhand in Bewegung gebracht und das Thema auf den Tisch. Dass heise und viele andere Seiten jetzt anfangen, den bei ihnen eingebetteten Schnüffelcode zu entschärfen, ist ein Schritt in die richtige Richtung.
Aber auch die Idee, die Übermittlung der eigenen Bewegungsdaten im Browser einstellbar zu machen, hat was. Bei FF gibts das ansatzweise schon, den nicht-tracken-Schalter. Hält sich nur kein Tracker dran. Und dass der Browser wie bei Cookies für die Verfolgung von Links von externen Drittseiten einen Schalter oder besser eine Whitelist oder Regelwerk bräuchte. Nur, da sind wir noch lange nicht.
Bis dahin weiss ich nicht mal, ob eine Seite, die ich gleich besuche, meine Daten an facebook, google, twitter etc übermitteln wird. Egal ob ich jemals bei facebook auf der Seite geschweige denn da angemeldet war. Und auch egal, ob ich cookies aus und Adblock anhabe – es sei denn, in den Filterregeln ist facebook etc drin, und auch das kann mit Aliasseiten *serverseitig* umgangen werden. Oder noch besser, wenn die Trackingseiten über Subdomains der Host-Webseite eingebunden sind, die für den Browser transparent die externen Server antelefonieren.
Das Problem geht noch viel weiter. Selbst auf Deiner Seite trackt vgwort. Und auf den vielen Seiten, die Werbung schalten, trackt ivw. Konseqenterweise müsste man ivw auch abknipsen, aber dann kann ivw die Reichweite einer Seite nicht mehr ermitteln, also keine Grundlage für die Anzeigenpreise mehr. Ich fände ein werbefreies Netz klasse, aber für viele werbefinanzierte Seiten wäre das browserseitige Opt-In fürs ivw-tracking keine Option. Analog bei denen, die googleAds einsetzen und alle anderen Werbelinks. Noch besser die Zahlungsdienstleister, denn wenn man die clientseitig vom Tracken abhält, kann man sie gleich gar nicht mehr nutzen. Das gezielt, datenschutzfreundlich einzurichten, geht nur serverseitig auf der Webseite. Insofern geht der Vorstoß des Datenschützers nicht daneben.