Datenkraken

- 1 -


Wenn ich bei Google etwas suche, schicke ich zwei Informationen dorthin: den Suchbegriff, und meine IP-Adresse. Dankenswerterweise bekomme ich ca.2,5 Millionen Antworten nach gerade 1,6ms - und zwar kostenlos. Kostenlos? Dahinter steckt ein Geschäftsmodell, das zu erklären den Gründern des Unternehmens einst (bei der Suche nach Investoren) nicht leichtgefallen sein dürfte.

Google speichert eine Suchanfrage in einer Datenbank als Assoziation, ein Pärchen aus "IP-Adresse : Suchbegriff", oder abstrakt: "key : value".

Schon in diesem sehr schlichten Konstrukt steckt ein enormes wirtschaftliches Potential, sofern (und nur dann funktioniert das) man über sehr viele Datensätze verfügt: man kann einem Werbepartner anbieten, bestimmte Suchbegriffe mit seiner Werbung zu verbinden - wenn jemand nach "Suchbegriff" sucht, schalte ich "deine Werbung" (das ist z.Zt. wohl auch das zentrale Geschäftsmodell von Google)

Wenn ich ein zweites Mal bei Google suche, also schon ein Datensatz (oder eine Vielzahl davon) von mir dort vorliegt, kann man dort die Datenbank sortieren: und zwar zunächst schlicht nach allen Suchbegriffen unter meiner IP-Adresse. Damit bekommt man die Möglichkeit, Werbung einzublenden, die mit meinem aktuellen Suchbegriff nichts zu tun hat, jedoch mit Suchen, die ich früher einmal laufen hatte. - Das ist das berühmte Target-Marketing, Amazon betreibt es nicht ungeschickt: man bekommt Werbung, für die man sich tatsächlich interessiert. Eine elegante Lösung des Spam-Problems - könnte man meinen.

Ein wenig abgedrehter (immer noch langweilig für Leute, die sich im Netz ein wenig auskennen) ist die Möglichkeit, "key" und "value" umzudrehen. Der "key" ist die IP-Adresse, das "value" der Suchbegriff, und normalerweise mache ich eine Datenbankabfrage, indem ich alle Values für einen bestimmten Key abrufe. Ich kann das aber auch umdrehen und alle Keys für ein bestimmtes Value erfragen. Bspw. könnte ich alle IP-Adressen einsammeln, die irgendwann nach "Sex" suchten - und wenn das dann strafbare Spielarten betrifft, sage ich dem Staatsanwalt Bescheid.

Noch netter - und jetzt betrete ich wahrscheinlich Programmierer-Territorium - wird es, wenn die Ausgabe der einen Datenbank zum Eingang einer anderen wird. Ich kann z.B. nach dem Value "Sex" suchen, und mit dem ausgegebenen Key "IP-Adresse" in einer Adressensammlung (in der IP-Adresse/Anschrift das "key : value" -Pärchen bilden) nach der zugehörigen Anschrift suchen. Vielleicht interessiert es mich aber auch, ob User, die bei Google nach "Bombe" gesucht haben, auch in der Kundenkartei einer Firma auftauchen, die Pflanzenschutzmittel herstellt. - Man kann das beliebig weiterspinnen: 3, 4, 5...1000 Datenbanken, mit immer verwickelteren "key : value"-Beziehungen (das geht auch rekursiv: man speist eine Datenbank mit ihrer eigenen Ausgabe).

Warum erzähle ich das hier (und ehrlich gesagt würde es mich nicht wundern, wenn kaum ein Leser hier unten landet)? - Mit jedem Piepel Information, das wir in die weltweit vernetzten Datenbanken einspeisen, machen wir uns durchsichtiger. Und zwar nicht etwa so, daß man mit einem Piepel ja eigentlich gar nichts von sich preisgibt (höchstens etwas, was sie ja alle eh schon wissen, die eigene Postleitzahl etwa). Sondern um den Faktor "Gelenkstelle", "Scharnier".

Jede Assoziation, jedes "key : value"-Paar, das man seinem Kontext zuordnen kann , ist von unschätzbarem Wert für seinen Besitzer (sofern er, s.o., über einen ernstzunehmen Datenbestand verfügt): denn er kann es benutzen, um bestehende Datenbestände miteinander zu verknüpfen.

Die Schlußfolgerungen liegen auf der Hand. Allerdings habe ich eine Ahnung, daß es gar nicht einfach wird, zu erklären, warum ich den Teilsatz oben fett gedruckt habe.



- 2 -


Ich versuche, den "Scharnier"-Gedanken etwas genauer zu fassen.

Gesetzt, ich habe zwei Datenbanken, die eine besteht aus Sätzen von (Pseudocode)

key = IP-Adresse; value = Acountname;

die zweite aus

key = Bankleitzahl; value = Steuernummer;

In dieser Form sind die beiden Datenbanken nur exclusiv nutzbar.

Wenn ich jedoch eine dritte Datenbank hinzunehme, die aus einem key-value-Pärchen besteht, in dem der eine Teil einen Teil der ersten Datenbank enthält, der andere einen aus der zweiten, kann ich diese wie ein Scharnier zwischen die zuvor unverbundenen Datensätze hängen:

key = Acountname; value = Steuernummer;

oder:

key = IP-Adresse; value = Bankleitzahl;

etc., es gibt vier Kombinationen, jede bietet identische Möglichkeiten.

In diesem Szenario könnte man jetzt die "Adresse"-Felder mit der "Steuernummer" sowie der "Bankleitzahl" verbinden - mit allen Optionen, die eine Datenbank-Query bietet.

Ich habe mir gerade ein Verbot erteilt, darüber zu spekulieren, wie sich dieses Modell in der Realität wiederfinden könnte - und die gespreitzte Satzkonstruktiuon mag man als Kommentar eines Kommentars lesen, den ich nicht abgeben - will? kann?.



- 3 -


Was kann man mit nennenswerten Datenbeständen anfangen?

  • Werbung schalten - und zwar zielgerichtet und maßgeschneidert auf bestimmbare Kunden.
  • Die Ströme der Kunden mit jenen der Waren abgleichen - Stichwort: "Lagerhaltung", aber auch "zeitnahe Produktion".
  • Rasterfahndung zur Bekämpfung von Terror und Kriminalität.
  • Beschaffung von Informationen für Betrug und Täuschung (Stichwort: Geldwäsche)
  • All die Dinge, an die ich leider nicht denke, weil ich sonst ein reicher Mann wäre und es gar nicht nötig hätte, hier zu tippen
  • .

    Was zeichnet Datenbestände aus, nur weil man sie im Internet findet?

  • Man kann sie nicht löschen - sie sind potentiell ewig.
  • Sie sind unsicher - auch auf scheinbar geschützte Daten kann ein begabter Cracker immer Zugriff bekommen. D.h.: sie sind manipulierbar.
  • Sie sind von gigantischem Umfang - die Chance, kombinierbare Schlüssel zu finden, ist groß.
  • Alle Daten verweisen in die Öffentlichkeit (und das schreibe ich erstmal ungeprüft hier hin; der Gedanke überrascht mich gerade selber).


  • - 4 -


    Wenn man Worte wie "Überwachungsstaat" oder "Stasi 2.0" im Munde führt, meint man die Attacken des Staates auf die Bürgerrechte - z.B. die ebenso locker wie zahlreich vom allseits beliebten Schily-Nachfolger geführten Versuche, die grundgesetzlich geschützte Privatsphäre zu penetrieren.

    Die Attacken von Google & Co. fallen in diesem Zusammenhang fast immer unter den Tisch. Das geht so weit, daß datensammelnde Dienste wie google-analytics von Blogs verwendet werden, die stolz auf ihre kritische Haltung zu dem Thema sind.

    Man tut so, als ginge die Gefahr davon aus, daß der Staat "Informationen sammelt" - Abhören von vertraulichen Gesprächen, Kameraüberwachung auf öffentlichen Plätzen, Speicherung von E-Mail-Verkehr etc. - Wenn dies das Problem wäre, würde ich mit den Schultern zucken - oder, um im Bild zu bleiben: ware im Wald, Pilze pflücken.

    Die Gefahr stellt die Verwendung dieser Daten dar (was eine wenig gehörte Binse ist); und verwenden kann man sie nur, indem man sie verarbeitet. Datenbanken (egal, woher sie kommen) ermöglichen genau dies: man kann (fast) beliebig große Datenmengen mit ihnen verarbeiten.

    Ja was? es komme doch aber darauf an, wie und wer und zu welchem Zweck diese Verarbeitung erfolge (man kann darauf wetten, daß in der Diskussion nach kürzester Zeit die Analogie zum Messer und dessen möglicher Verwendung zum Brotschneiden wie zum Töten aufschlägt).

    Genau dies ist das Problem. Wer Daten sammelt, verhält sich moralisch wertneutral; er ist in nichts besser oder schlechter als der Hersteller eines Messers (oder einer Pistole, mit der man einen Einbrecher erschießen kann, etc.). Datenbanken sind keine amorphe "Information", keine waberne Masse aus akustischen Geräuschen oder nahezu zufällig angeordneten Buchstaben: sie sind ein Werkzeug, und damit einer moralischen Zuordnung durchaus fähig: ein Messer kann in die Hand eines Mörders gelangen.

    Und wer sind "die da oben", die ein Messer, so sie es zu fassen bekommen, nicht nutzen!

    In diesem Zusammenhang sind die Verbrecherkarteien und lausig unterdimensionierten Computer der Polizei kaum der Rede wert. Zufällig befindet sich gerade bloß jenes viel zu oft erwähnte Messer in den Händen von - immerhin! mein Ironielevel liegt bei ca.50% Wahlbeteiligung - gewählten Volksvertretern.

    Maschinenpistole und Panzerfaust liegen jedoch in den Händen von (- Anteilseignern, Aufsichtsräten, Vorständen - von = >) Mannschaften, deren Ziel sich jedes Bild entzieht.

    Fröhliches googeln die Tage.



    - 5 -


    Wie kann man sich gegen die Datensammler wehren?

    Zunächst: es gibt kein Tool, dessen Installation das Thema erledigt - das gibt es sowenig wie einen Virenscanner, der einem alle Bedrohungen vom Leibe hält. Man muß hier wie dort an seinem Netzverhalten arbeiten. So wie man es sich abgewöhnen muß, jeden E-Mail-Anhang anzuklicken, muß man sich selber verbieten, bedenkenlos jedes Anmeldeformular auszufüllen und abzuschicken.

    Hier eine vorläufige, unvollständige Liste Vermeidungsverhaltens:

    • Internet Explorer abschaffen. Es sei denn, man glaubt tatsächlich, Microsoft halte sich an seine Zusagen bezüglich "Privacy".
    • Google-Dienste meiden. Es sei denn, man glaubt tatsächlich, Google halte sich an seine Zusagen bezüglich "Privacy".
    • Cookies nach einer Session löschen (ganz abschalten wäre noch besser, aber dann funktionieren zu viele Sites nicht mehr). Gleiches gilt für Cache, Passwörter, History, und Download-History (wobei das nicht ganz so schwer wiegt wie Cookies). Wenn man Firefox benutzt, kann man das unter Extras->Einstellungen->Datenschutz festlegen.
    • Möglichst wenig Datenbanken mit persönlichen Daten füttern. In vielen Fällen kommt man nicht daran vorbei - zugegeben: ich habe Accounts bei Ebay, Amazon, und einigen anderen Onlineshops: was mich aber eher naserümpfend denn glücklich macht. - Das ändert nichts an einer gewissen Grundhaltung: Veranstaltungen wie Facebook u.ä. werde ich nicht bloß um Armlänge von mir halten.[1]
    • Tor installieren. Ich muß allerdings gestehen, daß meine Installation mich in Modem-Zeiten zurückversetzt hat und momentan abgeschaltet ist. Trotzdem: das Konzept ist genial, ich werde da demnächst noch Zeit investieren.

    Das mag sich nach Paranoia anhören. Diese Einschätzung dürfte verfliegen, wenn man eine whois-Anfrage auf die eigene IP-Adresse macht. - Man muß sich darüber klar werden, daß diese Informationen jedem zugänglich sind, dessen Webadresse man klickt - und der diese dann mit all jenem Kram abgleichen kann, den man bei ihm sonst noch hinterließ.

    1. [1] Vielleicht sieht es komisch aus, daß man hier ein Impressum mit maschinenlesbarer Anschrift findet. Meine Site ist keine Datenbank - und das macht einen erheblichen Unterschied.
    4 Kommentare

    - 6 -


    Es gibt noch eine sehr spezielle Form der Spionage, sehr subtil, weil selbst von den Spionen kaum bemerkt: der Einsatz von google-analytics. Man findet immer mehr Blogs, die diesen (oder einen anderen, vergleichbaren) Dienst einsetzen, um sich ein Bild davon zu machen, wer bei ihnen so alles anklopft.

    Ich kann verstehen, wenn jemand, der sich in die Öffentlichkeit wagt, auch wissen will, wer sich hinter jener anonymen "Masse" verbirgt, der ihn anklickt (wobei das selten eine "Masse" ist, sondern meistens ein paar wenige eh schon Bekannte) - schließlich ertappe ich mich selber beim Ego-Googeln (hey: ich habe mir da gerade die Bronzemedaille verdient!) und bei der Analyse der access-logs (heute habe ich mit meiner Hausverwaltung telefoniert, von denen ich via E-Mail eine Auskunft wollte; nachdem ich meine Domain-Mail mitgeteilt hatte, kam prompt von deren Servern reger Kontakt zu meinen Hamburg-Fotos).

    Der Punkt ist ein anderer: unsichtbar - demnach hinter meinem Rücken - wird Google mit meiner IP-Adresse (die dort - im anderen Zusammenhang - längst vorliegt) und einer weiteren Verknüpfung auf meine Bedürfnisse versorgt.

    Mir wäre es lieber, wenn man statt dessen eine Webcam in meinem Wohnzimmer installierte: deren Bilder wären nämlich nicht von einer Maschine lesbar.

    Ich sage das ein zweites Mal (und meine das wirklich ernst): mir wäre es lieber, eine Kamera im Wohnzimmer zu haben, als all dieses unüberschaubare Mitgeschreibe meiner Kontakte in das Internet. Letzteres kann eine Maschine protokollieren; die Kamerabilder müßte sich ein Mensch anschauen.

    Bis es sich herumgesprochen hat, daß "Don't be evil" ein netter Werbegag ist, sollte man sich wappnen:

    • keine Sites anfliegen, die Google und Co. an Bord haben (was unrealistisch ist)
    • Firefox benutzen, einen Werbeblocker (z.B. Adblock) installieren - und zwar ausdrücklich nicht, um Werbung auszublenden (das ist ein völlig anderes Thema), sondern um Java-Scripten die Möglichkeit zu nehmen, Verbindungsdaten an einschlägige Dienste zu verschicken.

    Ich nehme diesen Eintrag zum Anlaß, meine laue "Meta-Blog"-Kategorie umzubenennen ("Hacking" hat nichts mit dem "Cracker" zu tun).



    - 7 -


    Die Übernahme von Double-Click durch Google hat nun auch den Segen der EU-Kommission erhalten. Die Geschichte hatte ich völlig aus den Augen verloren, sonst hätte ich google-analytics nur in einem Nebensatz erwähnt. Double-Click plus Google ergibt eine Datenbank, vor der man wirklich erschrecken muß.

    Bei Zeit-online gibt es ein sehr lesenswertes Interview mit dem Bundesdatenschützer Peter Schaar, in dem alle Bedenken benannt werden, die ich - weniger allgemeinverständlich - ebenfalls äußern würde.

    Für all die, die keine rechte Vorstellung haben, welche Informationen sie standardmäßig verschicken, habe ich ein Spionage-Tool gebastelt, mit dem man sich ansehen kann, was so alles über das Kabel hier (und bei weniger wohlwollend gestimmten Adressen) landet.



    - 8 -


    Ich hatte bereits darauf hingewiesen, daß ich den Einsatz von Google Analytics für durchaus problematisch halte, wenn es darum geht, das Benutzerverhalten einer Website statistisch zu ermitteln.

    DoubleClick (eine weitere Google-Tochter) trägt prinzipiell ebenso dazu bei, den eigenen Rechner in eine Datenschleuder zu verwandeln - noch dazu verbunden mit der zusätzlichen Bandbreite, die das Herunterladen von unerwünschter Werbung in Form von Images oder Flash-Dateien vergeudet. Immerhin sieht der User dann aber noch, daß auf der von ihm angesteuerten Website Inhalte eingeblendet werden, die offenkundig von außen kommen.

    Wesentlich finsterer sieht es aus, wenn YouTube-Videos von einem Blog eingebunden werden. Es scheint nur so, als gäbe es eine Kopie des Videos auf dem Server, der auch das Blog hostet, und man nur diesem die eigene IP mitteilt. In Wirklichkeit wird der Stream von den YouTube-Servern abgeholt, wobei die IP-Adresse des Clients zwangsläufig mitgeteilt wird. Und YouTube gehört bekanntlich - Google.

    Richtig eklig wird es, wenn man - wie dies heute fast jeder tut - seine regelmäßig gelesenen Blogs mitverfolgt, indem man deren Feeds abonniert. Ein Feedreader lädt in bestimmten Intervallen eine Datei, die die aktuellen Bloginhalte mehr oder weniger genau beschreibt. Dazu muß er natürlich wieder einmal die IP-Adresse des Clients übermitteln - eigentlich kein Problem, wäre das Feed-File auf dem Server des Blogs abgelegt. Dummerweise gibt es einen - beliebten und viel genutzten - Service, bei dem man nicht nur die Feed-Files auf einem zentralen Server ablegen kann, sondern überdies Zugriffsstatistiken erhält - u.a. über die Anzahl der Abonnenten des Feeds. Er heißt Feedburner und gehört seit zwei Jahren - wem wohl, Google.

    Man muß wirklich kein Verschwörungstheoretiker sein, um hier eine ganz eindeutige Strategie mit einem klar definierten Ziel zu erkennen. Google tut alles, um die Internetgemeinde möglichst oft und in möglichst breitgestreuter Form über seine Server zu locken. Das tun sie nicht, um ihren Pagerank zu erhöhen oder die Werbeindustrie mit der Anzahl von Page-Impressions zu beeindrucken - der Sinn der Veranstaltung ist es, die Wege möglichst zahlreicher User im Netz zu protokollieren und nachvollziehbar zu machen. Was man mit diesen Informationen aktuell macht, interessiert dabei eher wenig, weil es - auch nicht ganz harmlos - momentan darum geht, die Google-Suche mit Werbung zu verknüpfen. Weit interessanter ist die Frage, was man damit machen könnte - denn genau das ist es, was man in naher Zukunft auch tun wird, von welcher Seite auch immer.

    Was kann man tun? Zumindest sollte man einen Werbeblocker installieren, mit dem man bestimmen kann, welche Angebote von einer Website tatsächlich heruntergeladen werden, sprich: welche Instanzen die eigene IP-Adresse zu sehen bekommen. Nützlicher Nebeneffekt ist, daß man die Bandwidth-Diebe aussperren kann und teilweise erheblich schnellere Ladezeiten bekommt (ich benutze Firefox mit Adblock Plus).

    Auf die Möglichkeit, YouTube-Videos einzubinden, wird wohl kaum jemand verzichten wollen. Die Alternative wäre, nur noch Links auf YouTube zu setzen. Das wäre nicht nur weniger als der halbe Spaß, sondern löst das Problem auch nicht wirklich - zumindest nicht für all jene, die dem Link auch tatsächlich folgen, und genau dazu will man die Besucher ja bewegen. Ich bin da letztlich ratlos und weiß auch keine Lösung. Zumindest habe ich einen Flashblocker installiert (FlashBlock), der verhindert, daß Videos ungefragt geladen werden, und erst nach einem bestätigendem zweiten Mausklick das Video abspielt. Damit behält man immerhin die Illusion einer Kontrolle. - Möglicherweise müßte man als Blog-Betreiber aber eine Möglichkeit für die Besucher anbieten, Flash generell zu unterdrücken, sprich, das Einbinden von YouTube dynamisch zu erledigen.

    Die Grundeinstellung müßte freilich lauten: YouTube=off.



    - 9 -


    Ich habe mir den Spaß erlaubt, bei Gravatar ein Foto von mir abzulegen. In einigen Blogs, in denen ich mehr oder weniger regelmäßig kommentiere, wird dieser Dienst verwendet, um kleine Bildchen neben den Kommentaren einzublenden, mit denen sich die Kommentatoren kenntlich machen.

    Dabei ist das natürlich mal wieder eine dieser IP-Einsammelstellen, die zudem noch die E-Mail-Adressen abspeichert: man lädt ein Foto in Verbindung mit der eigenen E-Mail hoch, wobei die E-Mail als „Key” verwendet wird, um das zugehörige Bildchen in der Datenbank zu finden. Wenn man also einen Kommentar in einem Blog hinterläßt, der „Gravatar” unterstützt, wird dort nachgefragt, ob für die E-Mail ein Bild existiert, und dieses, falls vorhanden, von dort herunter geladen. Dabei teilt das anfragende Blog nicht nur die eigene IP mit, sondern ermöglicht einen Abgleich mit IP und E-Mail des Kommentators (sofern der dort einen Account hat).

    Unter dem Gesichtspunkt des Datenschutzes ist das völlig verhehrend. Man kann davon ausgehen, daß, sofern der Dienst eine gewisse Ausbreitung erfährt, Google ein Angebot machen wird, das die jetzigen Inhaber nicht ausschlagen werden.

    Sei's drum - ich finde, es macht Sinn, jenen Blogs, auf denen ich kommentiere, mitzuteilen, daß meine E-Mail-Adresse nicht irgendein Fake ist, sondern man mich darunter tatsächlich erreichen kann.

    Ich habe dann noch ein wenig gebastelt, und das Feature auch in mein Blog integriert (ich bin ja kein Wordpress-User, sondern habe eine eigene Lösung). Dabei wird es nur dann aktiviert, wenn der erste Kommentar auf einen Eintrag von jemandem kommt, von dem ich (aufgrund der E-Mail-Adresse) weiß, daß er einen Gravatar-Account hat - ich will jedenfalls keinen Grund geben, sich eigens einen zu beschaffen.

    Das ist nur eine Spielerei - aber manchmal macht es halt Spaß zu spielen, selbst wenn man das Interesse des Herstellers des Spielzeugs beiseite drängen muß.



    - 10 -


    Stefan Niggemeier hat Post vom Berliner Datenschutzbeauftragten bekommen, in der er - unter Androhung einer Strafe von bis zu 50.000 Euro - dazu aufgefordert wird, die Speicherung der IP- und E-Mail-Adressen seiner Kommentatoren einzustellen.

    [Der Datenschutzbeauftragte] verweist auf das Telemediengesetz, wonach “Nutzungsdaten” in der Regel “nur zu Zwecken der Abrechnung” gespeichert und “Bestandsdaten” wie die E-Mail-Adresse nur erhoben werden dürften, “soweit sie für die Begründung, inhaltliche Ausgesatltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind”.

    Niggemeier versteht die Welt nicht mehr, war er doch vor kurzem dazu verdonnert worden, Kommentare nicht mehr ungeprüft zu veröffentlichen, sondern sie vorher auf rechtlich unzulässige Äußerungen zu prüfen. Ein Teil der Begründung des Gerichts lautete, daß er aufgrund der Anonymität der Kommentare nicht wissen könne, wer da bei ihm hereinschneit, und er deshalb die Beiträge zu moderieren habe.

    Niggemeier argumentiert, daß durch das Verbot der Speicherung von IP-Adressen ihm eine Möglichkeit genommen sei, die Identität der Kommentatoren wenigstens näherungsweise zu bestimmen. Zumindest grober Mißbrauch durch Identitätsklau ließe sich ausschließen. Auch gäbe es auf diese Weise die Möglichkeit, ggf. den kompletten IP-Bereich eines Krawallmachers zu sperren und erst nach Moderation freizuschalten.

    Ich will hier nicht alle Argumente auflisten, und nenne nur die m.E. wichtigsten. Mir fällt dabei auf, daß Niggemeier - wie übrigens auch der Großteil der Kommentatoren unter seinem Artikel - an einer zentralen Stelle mit zweierlei Maßstäben mißt: wenn er für sich das Recht beansprucht, bestimmte Daten zu erheben, müßte er dies gleichzeitig dem Innenministerium oder dem BKA zugestehen. Ich denke, ich bekomme wenig Widerspruch, wenn ich mich vehement dagegen wehre, daß staatliche Stellen meine Bewegungen im Netz beobachten, indem sie meine IP-Adresse bei bestimmten Gelegenheiten abgreifen und protokollieren. Dann lautet aber die Folgerung, daß dies auch kein Blogger tun darf, für welch ehrenwerte Zwecke auch immer. Das Argument „wir sind doch die Guten” fällt auch von staatlicher Seite, und man macht es nicht richtiger, wenn man es selber in den Mund nimmt.

    Man sollte sich bei dieser Angelegenheit den Grundsatz des Datenschutzes ins Gedächtnis rufen: Datenschutz ist zunächst Datenvermeidung, d.h., man erfaßt nur dann Daten, wenn dies unbedingt geboten ist. Wenn man einen Führerschein beantragt, muß man seine Adresse angeben, nicht aber seinen Beruf oder Arbeitsplatz - die Polizei muß nicht wissen, wo ich arbeite, um mir einen Strafzettel zu verpassen. Gleiches gilt im Grunde für IP- und E-Mail-Adresse: für die Funktionsweise der Kommentarfunktion spielen sie keine Rolle, und ermöglichen lediglich einige unterhaltsame Spielereien, wie z.B. die Entlarvung von Trollen, die unter falscher Flagge segeln (wie war das neulich? ein angeblicher Angehöriger der X-Partei schreibt Kommentare, die von einem Rechner der Y-Partei-Zentrale abgeschickt werden?).

    Dabei ist es zunächst einmal unerheblich, daß in heutigen Zeiten das Datenschutzgesetz ein zahnloser Tiger ist und seine Wurzeln aus den 80er Jahren nicht verleugnen kann. Google und Co werden in ihrer Funktionsweise nicht einmal annähernd begriffen, und können deshalb auch nicht wirkungsvoll in ihre Schranken verwiesen werden. Eine interessante Pointe ist die, daß auch jener Teil der Öffentlichkeit im Netz, der Netzneutralität und Datenschutz auf seine Fahnen schreibt, sich nur allzu gerne jener Dienste bedient, die die Wege ihrer Benutzer haargenau aufzeichnen und dadurch deren Vorlieben manchmal besser kennen, als deren Ehepartner. - Aber das Thema hatte ich ja schon vor längerem am Wickel. Ich deute das hier noch einmal an, um klar zu stellen, daß die Zuordnung von „Guten” und „Bösen” hier - wie immer im richtigen Leben - definitiv nicht zu haben ist. Es braucht Regeln, die ausnahmslos für alle gelten.

    Ich hätte einen Vorschlag, wie man die Kommentarfunktion so umgestalten kann, daß man der rechtlichen Verantwortung der Blog-Betreiber für den Inhalt der Kommentare relativ komfortabel gerecht wird, ohne den Fluß der Diskussion durch permanente Moderation zu zerstören: die Kommentatoren müssen sich registrieren, wie in Foren. Einige Blogs machen das bereits - bei „blogger.de” gibt es sogar ein Verfahren, das alle unter diesem Host geführten Blogs umfaßt. Ich habe dort noch nicht beobachtet, daß irgendjemand großartig mault oder sich über die Einschränkung seiner Meinungsfreiheit beschwert. Im Gegenteil: durch die eingebaute Hürde überlegt sich wohl so manch ein Troll, ob es den Aufwand wert ist - er geht ja das Risiko ein, mit einem Mausklick wieder herauszufliegen, wenn er seinen Müll erzählt, und weiß schon vorher, daß er sich dann nicht so ohne weiteres unter einem neuen Nick weiter austoben kann.

    Auch die technische Seite solch einer Lösung wäre nicht besonders schwierig. Zum einen wäre es ein Feature-Request an die Wordpress-Autoren - ich bin sicher, daß sich so etwas relativ leicht erledigen läßt, wenn es ein Plug-In in dieser Richtung nicht sogar schon gibt. Zum zweiten gäbe es die Option, die Registrierung zu zentralisieren. Man könnte einen Dienst schaffen, über den Blogs Zugriff auf eine gemeinsame Datenbank mit registrierten Kommentatoren bekommen. Mit kleinen Bildchen geht so etwas schließlich auch.

    2 Kommentare

    - 11 -


    OTTO darf Dritten sogar mitteilen, WAS man bei OTTO gekauft hat. Möglich ist das durch das oben angeführte „Listenprivileg“, eine Ausnahmeregelung, die das von der Bundesregierung gerne im Zusammenhang mit Facebook und Google zitierte Recht auf Informationelle Selbstbestimmung de facto aushebelt und ad absurdum führt.

    Dieses Listenprivileg sieht vor, dass Versandhäuser, Zeitungsverlage oder auch Direktmarketing-Firmen Kundenlisten erheben dürfen, wobei einer Person neben Name, Anschrift und Telefonnummer auch jeweils ein Zusatzkriterium zugeordnet werden darf. Beispiel: Schulbildung, oder Beziehungsstatus, Einkommensklasse, Raucher/Nichtraucher etc.

    […]

    Wie in einem Güter-Bahnhof werden bei Dienstleistern wie Schober Personendaten (die u.a. durch Umfragen, Gewinnspiele oder eben das Listenprivileg legal erworben wurden) zu umfangreichen Kunden-DNA-Ketten zusammengesetzt. Aus unterschiedlichsten Einzel-Informationen werden auf diesem Weg völlig legal detaillierte Kundenprofile erstellt. Auch Social Media Quellen wie z.B. Facebook werden dazu neuerdings ausgewertet. Schober wirbt ganz unverhohlen damit, über 50 Millionen Privatadressen mit über 300 Zusatzkriterien sowie mehr als 27 Millionen private E-Mailadressen zu besitzen.

    Das Listenprivileg, über das der Blogeintrag von Richard Gutjahr berichtet, ist ein mir bislang unbekanntes Konstrukt im (Nicht-)Datenschutz. Was Gutjahr hier beschreibt, ist ein absolutes Desaster, das die Praxis von Google & Co. fast harmlos erscheinen läßt.

    Dabei finde ich die Tatsache, daß ich vom Listenprivileg bislang nichts wußte, fast erschreckender als dessen Existenz. Ich dachte, daß ich über Netz- und Datenschutzdinge einigermaßen gut informiert bin, wenn ich mich nicht auf die offizielle Propaganda der geläufigen Medien verlasse, sondern zB. regelmäßig Blogs lese, die in meinen Augen so etwas wie eine Gegenöffentlichkeit darstellen. – Offensichtlich reicht selbst das noch nicht aus.



    Kommentieren [Drucken]