Hadmut Danisch

Ansichten eines Informatikers

Juristischer Digitalschaden

Hadmut
1.10.2019 22:39

Die Juristen sind unser Untergang. Nicht überraschend, sie gehören zu den Geisteswissenschaftlern.

Der geneigte Leser wird – ebenso, wie der nicht geneigte Leser, sowas hab’ ich auch – bemerkt haben, dass ich seit einigen Wochen eine Cookie-Zustimmungserklärung der Geschmacksrichtung Holzkeule Neandertal auf meiner Webseite zum Besten gebe. Nicht, weil ich das so will, sondern wegen des EuGH und dessen Ansichten. Da gab es kürzlich eine Entscheidung.

Manche Leser hatten deshalb gemeckert, das sei ja übertrieben, das bräuchte man nur, wenn man die Cookies irgendwie weitergibt oder sonstwie verhackstückt.

Heise hat heute berichtet, dass der EuGH nachgelegt hat: EuGH: Keine Cookies ohne Zustimmung

Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese ausdrücklich zugestimmt haben. Zudem müssen die Nutzer detailliert informiert werden, wenn die Cookie-Daten an Dritte weitergegeben werden. Das hat der Europäische Gerichtshof in Luxemburg nun klargestellt.

Mit ihrer Entscheidung beenden die europäischen Richter einen deutschen Sonderweg. Bisher lässt das Telemediengesetz die Speicherung von Cookies zu, wenn die Nutzer nur informiert werden. […]

Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden. “Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‘Hidden Identifiers’ oder ähnliche Instrumente in sein Gerät eindringen”, heißt es in der Mitteilung des Gerichts. […]

Die deutsche Politik und Wirtschaft hatte sich in den vergangenen Jahren in eine Sackgasse manövriert. So hätte Deutschland die Vorgaben aus Europa eigentlich bis 2011 umsetzen müssen, interpretierte die Richtlinie aber zu großzügig, wie auch die Datenschutzbeauftragten in mehreren Stellungnahmen hervorhoben. Aus diesem Grund sind Cookie-Banner auf rein deutschen Webseiten bisher auch deutlich subtiler als bei internationalen Betreibern. Da das deutsche Gesetz bisher nicht beanstandet wurde, hatte die Bundesregierung bisher auf Nachbesserungen verzichtet.

Es gibt noch einen zweiten Artikel über Reaktionen darauf.

Ende Demokratie

Der erste Punkt, der mich daran stört, ist, dass das mit Demokratie nichts mehr zu tun hat.

Irgendwelche Leute von außerhalb Deutschlands, die ich nicht gewählt habe, die ich nicht abwählen kann, von denen ich nicht mal per Meinungsäußerung die Leute erreichen kann, die sie gewählt haben, von denen dann nicht mal die Leute, die sie gewählt haben, vorher wussten, was die, die sie gewählt haben, nach der Wahl treiben, überstimmen da unsere Gesetze. Wir sind da auf demokratischem Wege nicht mehr in der Lage, unsere Regeln hier selbst festzulegen. Wir werden gerade vom sozialistischen Monstrum EU gefressen.

Ich kann die, die politisch für solche Entscheidungen verantwortlich sind, nicht zur Rechenschaft ziehen, nicht der Öffentlichkeit als unfähig vorführen.

Technischer Unfug

Ich gehe da noch mit, dass ein Einverständnis vor der Weitergabe von Daten erforderlich ist. Es ist aber schon fragwürdig, warum sich das auf Cookies beziehen soll, denn die Daten kommen ja nicht originär aus Cookies. Damit der Webserver die Daten in Cookies gespeichert haben kann, muss er sie ja vorher woanders, etwa die Eingabe über ein Formular oder Nutzereingaben wie Seitenbeklickerei gesammelt haben. Ob der Webserver die Daten dann in einem Cookie oder woanders speichert, ist für die Frage der Weitergabe eigentlich egal. Man darf personenbezogene Daten nur mit Einverständnis weitergeben, da ist es völlig egal, ob sie vorher in Cookies gespeichert wurden oder nicht.

Noch unsinniger ist es aber, die Abgabe eines Einverständnisses für alle Cookies zu fordern, denn das geht auf Serverseite gar nicht. Es ist grober Unfug, was die da fordern.

Warum?

Sie verbieten es schon, ein Cookie beim Benutzer zu speichern. Das heißt, dass genau betrachtet, nicht mal die Cookie-Speicheranweisung herausgegeben werden darf, solange nicht ein Einverständnis vorliegt. Das nun wieder heißt, dass jeglicher Zugriff auf Seiten blockiert und umgelenkt werden müsste, wenn die Zustimmungserklärung noch nicht erteilt wurde. Das kann man zwar im Prinzip machen, es ist quasi und technisch so etwas wie einloggen mit dem Trivialpasswort „JA”, aber dann funktionieren ganz viele andere Sachen nicht mehr. Suchmaschinen, Datenbanken, Abrechnungen und so weiter müssen nämlich auf die Seiten zugreifen müssen, ohne ein Einverständnis geben zu können. Und das geht dann nicht mehr.

Nochmal anders erklärt: Auf so eine typische Webseite wie meine, gibt es ganz viele Zugriffe, aber die fallen in zwei Klassen:

Menschen, interaktiv
denen also müsste man aus rechtlichen Gründen erst mal sagen: Stopp! Du darfst hier nicht zugreifen, es sei denn, Du lieferst eine Zustimmung ab. Dann darfst Du.
Maschinen oder nichtinteraktiv
Google, Verwertungsgesellschaften, sonstige Crawler und so weiter greifen entweder automatisiert und rein durch Software, oder eben auch mal nicht-interaktiv zu. Kann ja mal sein, dass einer dem anderen einen Link schickt, guck mal, da gibt’s irgendeinen Text als PDF, und der andere lädt den sich aus dem Link im Mailprogramm, oder mit Programmen wie wget oder curl herunter. In dem Fall können die weder technisch, noch rechtswirksam eine Zustimmung erteilen. Und ich muss auch keine verlangen, denn Maschinen, die ohne Zuordnung zu einem Menschen irgendwas herunterladen, sind vom Datenschutzrecht nicht geschützt. Ich kann also da den Zugriff nicht von einer Zustimmung abhängig machen, weil es dann einfach nicht geht.

Und es kann auch nicht verlangt werden, weil in der DSGVO explizit drinsteht, dass Datenschutzrecht nicht über anderem Recht steht, es nicht verwendet werden darf, um andere Rechte zu brechen. Und man hat ja Meinungs- und Gewerbefreiheit, die auch umfasst, sich in Suchmaschinen verfassen zu lassen.

Das Dumme ist nun: Man kann die nicht so ohne weiteres unterscheiden.

Ich kann dem Webserver nicht so sagen, dass der das auch zuverlässig und fehlerfrei macht, dass er bei lebenden Menschen nach einer Zustimmung fragen muss, und in anderen Fällen nicht.

Es ist technischer Quatsch, was die da fordern, und es beruht mal wieder darauf, dass sich Juristen als Geisteswissenschaftler in ihrer fiktiven Rechtswelt bewegen, und dann meinen, dass die Realität ihnen zu folgen habe. Egal, ob es geht oder nicht. Die bauen sich da ihr Phantasieland und bestrafen jeden und alles dafür, sich nicht danach zu richten.

Wie es richtig wäre

Der Denkfehler ist etwa derselbe wie im Feminismus: Frau geht mit einem ins Bett, freiwillig, überlegt es sich hinterher anders, und weil Frauen nie für sich selbst verantwortlich sind, geht die Verantwortung an den „Fliegenden Vormund”, also auf den nächst greifbaren Mann, naheliegend den über oder unter ihr, über. Der ist dafür verantwortlich, dass ihre eigenen Entscheidungen zu ihrem Wohlergehen ausfallen, er hat die Verantwortung für ihre Entscheidungen zu übernehmen.

Genau das Gleiche passiert, wenn man auf eine Webseite geht und ein Cookie gesetzt wird.

Juristen glauben, der Webserver würde etwas auf dem Rechner des Nutzers speichern.

Das ist aber falsch. Das stimmt nicht.

Der Server gibt in der Antwort eine Headerzeile mit, in der steht, dass man ein Cookie speichern soll. Oder hat JavaScript im Seitencode, das bei Ausführung (der Benutzer soll ihn ausführen) dem Browser sagt, dass er ein Cookie speichern soll.

Es ist nicht der Webserver, der Cookies beim Benutzer speichert. Es sind nur der Benutzer und sein Browser selbst. Niemand sonst. Der Server sagt „Du sollst” oder „Ich würde so gerne”, aber machen tut es letztlich der Benutzer durch den Browser und dessen Einstellungen selbst.

Technisch ist die reine Speicherung als keine juristische Frage der Zustimmung, sondern allein eine Frage, ob man der Aufforderung des Webservers nachkommt.

Es gibt Browser, die fragen da tatsächlich. Es gibt so einen uralten, Textfenster-basierten Primitivbrowser namens Lynx. Der macht das richtig. Zu jedem Cookie, was da geschickt wird, fragt der den Benutzer „Willst Du das speichern oder nicht?” Und dann gibt man nicht der Gegenseite eine Willenserklärung ab, sondern man sagt seinem eigenen Browser, ob man es nun speichern will oder nicht. So und nur so kann das richtig sein.

Bei den großen bunten Browsern gibt es sowas nicht, das ist aber kein Fehler im Prinzip, sondern ein Mangel der Browser. Es gibt (oder zumindest gab es das früher, an der Stelle ändert sich gelegentlich etwas) für Browser wie Firefox Einstellungen, wonach man auch bei jeder Seite gefragt wird, ob man will, oder die auf die Sitzung beschränken kann. Da kann (oder konnte) man systematisch beschränken, welche Cookies wie lang oder ob überhaupt gespeichert werden. Das müsste der Standard und von der GUI besser unterstützt sein.

Kapieren die Juristen aber nicht.

Ein Beispiel zur Verdeutlichung

Stellt Euch vor, ihr steht auf einer Brücke. Dann kommt einer vorbei und sagt „He, Du, spring doch mal von der Brücke!”

Und Ihr springt, weil der es gesagt hat.

(Alternativ: Fahrt ins Wasser, weil das Navi „3km geradeaus” gesagt hat.)

Kennt Ihr den typischen Eltern-Spruch, wenn Kinder damit kommen „der Fritz hat aber gesagt…”, mit dem Eltern antworten „Und wenn der Fritz sagt, spring von der Brücke, springst Du dann von der Brücke?”

In der Vorstellungswelt der Juristen muss Fritz es aber unterlassen, jemandem „Spring von der Brücke” zu sagen, solange der nicht ein Einverständnis erklärt hat, weil das Springen als Folge der Aufforderung allein in der Verantwortung von Fritz liegt. Die gebotene richterliche Frage „Sie Idiot, warum springen Sie von der Brücke, wenn ihnen das ein Fremder sagt? Können Sie nicht nachdenken?” drängt sich da auf, weil man leicht versteht, was da vor sich geht.

Was in Computern vor sich geht, verstehen sie nicht. Es ist aber im Prinzip das Gleiche. Einer sagt, „Speicher ein Cookie”, und der andere tut es ohne zu überlegen, meint aber dann, dass der andere für sein Handeln verantwortlich wäre.

Das Problem der Juristenregierung

Ein Thema, das ich schon oft im Blog hatte.

Alle drei Staatsgewalten, Legislative, Exekutive, Judikative werden von derselben Personengruppe kontrolliert, den Juristen. Geisteswissenschaftlern, in deren Ausbildung Realität oder das, worüber sie Recht sprechen, nicht vorkommt, die per Konstruktion Universal-Laien sind, aber glauben, alles müsste ihren Vorstellungen folgen, egal wie absurd die sind.

Juristen sind meist das fleischgewordene Dunning-Kruger-Syndrom. Weil sie sich eine eigene, für außenstehende schwer verständliche Fachsprache angeeignet haben, und dabei auch Begriffe umdefinieren, für das zum „Ein Geisterfahrer? Hunderte, Hunderte!”-Syndrom. Weil sie und die Realität aneinander vorbeireden, fühlen sie sich nur immer überlegener und alle anderen für nicht selbstvertretungsbefähigt.

Ich habe mal vor vielen, vielen Jahren drei Jahre in einer Rechtsabteilung gearbeitet, zwei Informatiker und ein großes Rudel Juristen. War ganz schrecklich. Völlig realitätsfern und darin noch die eigene Überheblichkeit schöpfend. Beispiel: Ich habe denen wöchentlich gepredigt, sie sollen Backups machen. Festplatten können kaputt gehen, Notebooks können geklaut werden, Software kann Macken haben, Menschen können Fehler machen. Und so weiter. Da haben sie gelacht. Der verrückte Informatiker, der hat ja keine Ahnung, wir haben doch einen Wartungsvertrag mit einem Dienstleister für alle IT-Fragen. Mmmh, ja. Backup für die Server-Maschinen. Nicht für die Arbeitsplatzrechner. Die Daten vom Arbeitsplatzrechner auf die Server zu schaufeln ist jedermanns ureigenste Aufgabe.

Eines (bis dahin) schönen Tages kam ich morgens rein und merke, dass was nicht stimmt. Panik, Hektik, Entsetzen, Juristenauflauf vor einem Büro, alle gucken konsterniert und aufgelöst, fix und fertig. Im ersten Augenblick dachte ich, da sei einer der Kollegen plötzlich verstorben, Herzinfarkt oder sowas, und liege nun tot in seinem Büro.

Auf den zweiten Blick sah ich den Büroinhaber, einen großen, breiten, starken Juristen, Baum von einem Mann, sonst hochaggressiv, überheblich, herablassend, so ein Kopfabbeißer von einem Rechtsanwalt, heulend und wie ein Häufchen Elend in seinem Büro sitzen. In Rotz-und-Wasser-Verfassung. Zweiter Gedanke: Ach, das ist der Tote, und dem macht sein Tod ja mächtig zu schaffen. Der Arme.

Ich: Was’n los?
Rechtsanwältin: Die Festplatte von seinem Notebook ist kaputt.
Ich: Und, wieviele Daten sind futsch?
Rechtsanwältin: Zwei Jahre. Ganz wichtige Verträge, Emails und sowas. Alles weg.

Ist aber nicht so, dass sie etwas draus gelernt hätten. Oder die anderen.

Völliges Vertragschaos, weil sie darauf bestanden, alles als Word-Dokument wild hin- und herzumailen und irgendwo zu speichern und dran rumzufummeln. Keiner wussste, was die aktuelle oder letzte Version war, jeder fummelte einfach an irgendwas, und im Zweifel fragte man halt mal rum, ob irgendwer eine neuere Version hat. Ich sagte den Leuten, dass die Firma ein Heide-Geld für Microsofts Sharepoint ausgegeben hat, und ihre geliebten Universaltools Word und Excel direkt darauf arbeiten können. Alles schön auf dem Server, mit Versionskontrolle, History, Locking, Benachrichtigung und so. Löst alle ihre Probleme, obwohl von Microsoft. (Bringt dann zwar andere, aber das habe ich ihnen nicht gesagt.) Nee, das wär nichts für sie, das könnten sie nicht, sie wollten das lieber so mit Dateien hin und hermailen und in irgendwelche Verzeichnisse legen, rumkruschteln, weil sie in ihren Kanzleien auch so arbeiten. Ja, hatte ich dem gesagt, hätt’ste mal in Sharepoint. Er hat es auch danach nicht eingesehen. Er hat ja jetzt ein neues Notebook mit einer neuen Festplatte, und die alte hätte ja auch vier Jahre gehalten.

Kurz drauf hatte eine Vorstandssekretärin sich Ransomware auf ihren Rechner eingefangen, und die IT-Abteilung war vorbeigekommen, um den Rechner zum Putzen einzukassieren, und hatte ihr einen neuen hingestellt. Strengstes Einschalteverbot. Heulendes Elend, Vorstandspanik. Warum? Es mussten an diesem Tag Pflichtmitteilungen nach irgendwelchem Aktienrecht verschickt werden, noch zwei Stunden Zeit, und die Adressen dafür waren alle auf dem Rechner der Frau. Ja, wie? Backup? Adressliste auf dem Server? Hatten doch für Mördergeld ein Sharepoint angeschafft? Äh, nein, natürlich nicht, die Juristen hatten gesagt, die seien vertraulich, dürften deshalb nirgends gespeichert werden.

Einer der Juristen bat mich um Rat. Seine Frau, Lehrerin, habe über mehr als zehn Jahre hinweg ganz wichtige Aufgaben- und Prüfungs- und Lehrblätter geschrieben, ein enormer Haufen Arbeit, nicht wieder herzustellen, brauche sie ganz wichtig. Und hat sich versehentlich alle gelöscht. Backup? Natürlich nicht, wozu auch. (Äh…genau dazu?) Alles nur auf diesem einen Uralt-Notebook. Glücklicherweise war die Platte noch in Ordnung, eine Datenrettungsfirma konnte ihr alle Daten wiederherstellen und hat ihr zur Sicherheit obendrauf gleich alles noch auf eine CD gebrannt.

Derselbe beschloss, Datenschützer zu werden. Ging für teuer Geld auf eine 3-Wochen-Schulung und kam in der vollen Überzeugung zurück, in IT-Sachen jetzt alles besser zu wissen als ich, Informatiker mit damals 20 Jahren Berufserfahrung.

Ergebnis: Er hatte da gelernt, dass das Löschen von Daten in einer relationalen Datenbank nicht notwendigerweise dazu führt, dass die Daten auch in den Sektoren der Festplatte gelöscht wird. (Im Prinzip dasselbe Problem wie das der gelöschten Datei, die man wiederherstellen kann, was er ja vom Fall seiner Frau auch gelernt hatte.) Also gab er als neuer Datenschützer die Anweisung heraus, dass jedesmal, wenn irgendwer, etwa ein Werbeempfänger, die Löschung seiner Daten verlangt, ein einfaches Delete-Statement in SQL nicht ausreiche, sondern die gesamte Datenbank rauszudumpen, alle Platten auszunullen und dann der Dump wieder einzuspielen wäre. Schön.

Dass das aber ein Riesen-Datawarehouse aus einem größeren Oracle-Cluster war, und so eine Aktion so ungefähr zwischen 24 und 48 Stunden dauern würde, und während dieser Zeit der gesamte Betrieb stehen bleibt, konnte der sich nicht vorstellen. Der dachte, die Kunden- und Werbeempfängerdatenbank wäre so etwas wie ein Excel-Sheet, das jemand auf einem Notebook gespeichert hat. Datenbanken sind sowas wie Excel, nur ein bisschen größer und unpraktischer. Die IT-Abteilung schickte einen Gruß, da könnte er auch direkt Insolvenz beantragen, das wäre weniger Mühe, wenn man es gleich macht. Er meinte, die hätten wohl nicht verstanden, was eine Insolvenz ist. Die meinten, er habe wohl nicht verstanden, was eine Datenbank ist.

Und so weiter.

Und diese Sorte Mensch schreibt nun der ganzen EU vor, wie sie mit Cookies umzugehen hat.

Und dann kommen Politiker und meinen, jetzt müssten wir aber mal voran machen mit der Digitalisierung und dem Fortschritt, wir wollten doch an die Weltspitze.

Und wer wird EU-Kommissionspräsidentin? Ursula von der Leyen, die als höchste Priorität die zwei Aufgaben ansieht, die Frauenquote zu erhöhen und einen Bedenkenkatalog zur KI zu erarbeiten.

Heieieieiei, ist das alles so schlimm.

Frohe Digitalisierung Euch allen!