Seit dem 28. Januar 1981 gibt es eine europäische Datenschutzkonvention, jedes Jahr wird an diesem Datum der Europäische Datenschutztag gefeiert. 2017 gibt es keinen Grund zum Feiern, aber einige Gründe für erhöhte Wachsamkeit. Ein Kommentar von Dr. Martin Halter.

Am 28. Januar 2017 konferieren die Datenschutzbeauftragten von Bund und Ländern zum Thema „Diktatur der Daten? – Privatsphäre und Selbstbestimmung im Zeitalter von Big Data und Algorithmen“. Was das konkret bedeutet, verdeutlicht ein Fall aus der jüngeren Geschichte der Big-Data-Analysen.

Was Facebook alles über uns weiß

2015 wiesen Michael Kosinski und Wu Youyou von der Cambridge University in einer Studie nach, dass Facebook mit nur wenigen Likes, ohne besondere Erhebungen oder menschliche Interaktionen, mehr über den Charakter eines Menschen (oder genauer die Big Five der psychemetrischen Persönlichkeitsforschung: Offenheit, Extrovertiertheit, Neurotizismus, Verträglichkeit, Gewissenhaftigkeit) weiß als Kollegen, Freunde und Familienmitglieder. Wer Lady Gaga mag, ist eher extrovertiert als jemand, der Voltaire googelt; wer MAC-Kosmetika liked, ist angeblich mit hoher Wahrscheinlichkeit homosexuell. Zehn solcher Likes – Facebook-Nutzer haben im Schnitt 227 auf ihrem Account – sollen reichen, um mehr über mich zu wissen als mein Arbeitskollege. Mit 70 Likes kann der Computer ein genaueres Persönlichkeitsprofil von mir erstellen als meine Freunde. Mit 150 Facebook-Likes sticht er Familienmitglieder, mit 300 Likes sogar Partner aus. Offenbar verfügt ein guter Algorithmus über mehr soziale Kompetenz und psychologisches Gespür als ein altes Ehepaar; schließlich analysiert er systematischer und verlässlicher und urteilt emotionsloser und unbefangener als ein Mensch.

Wie leicht Facebook und Google, ganz zu schweigen von NSA, BND und anderen Geheimdiensten, an unsere Daten kommen, hat sich mittlerweile herumgesprochen. Man muss sich nur mal seine Location History bei Google anschauen oder sich fragen, woher die Werbefuzzis immer so genau wissen, dass man sich gerade für Hotels in London, den neuen Tiguan oder Blasentee interessiert. Googeln und streamen, posten, liken und twittern, Mails abrufen, bei Amazon einkaufen: Alles, was ich im Netz unternehme, hinterlässt Spuren, wird registriert, von berufenen wie unberufenen Akteuren genutzt oder auch missbraucht. Wer liest schon immer das Kleingedruckte in den Nutzungsbedingungen und AGBs?

Donald Trumps Wahlhelfer

Wer Apps und Cookies immer noch für harmlose kleine Helferlein hält, sollte mal lesen, wie die Geschichte mit den Facebook-Charakteren weitergeht. Nach Kosinskis Methode zur Übersetzung von digitalen Fußabdrücken in Persönlichkeitsmerkmale kann man etwa mit nur 68 Facebook-Likes mit 95-prozentiger Wahrscheinlichkeit die Hautfarbe eines Menschen bestimmen. Nicht viel mehr Daten braucht es, um es, um seine Intelligenz, Krankheiten, heimliche Leidenschaften, sexuellen oder politischen Präferenzen zu bestimmen. Nachweislich wählen Hello-Kitty-Fans meist demokratisch. Das macht nicht nur Marketingexperten, sondern auch Politiker hellhörig. Tatsächlich haben nicht nur die britischen Brexit-Anhänger, sondern auch Donald Trump bei seinem überraschenden Wahlsieg mit dem auf Kosinskis Forschungen basierenden Big-Data-Unternehmen Cambridge Analytica zusammen gearbeitet. Psychometrische Analysen und darauf gründende Algorithmen und Kampagnen ziehen uns nicht nur das Geld aus der Tasche, sondern können auch Wahlen entscheiden.

Cambridge-Analytica-CEO Alexander Nix lässt sich als Trumps Königsmacher feiern, Kosinski fühlt sich wie der klassische Zauberlehrling: Ja, Big-Data-Psychemetrie könne „das Wohlergehen, die Freiheit und sogar das Leben von Menschen gefährden“. Aber er habe die Bombe nicht gebaut oder gar gezündet, sondern nur „gezeigt, dass es sie gibt“. Allerdings gibt es genug Nixe, die sie auch an den Teufel verkaufen würden. Marine Le Pen und die AfD sollen bereits Interesse am Cambridger Voter Targeting geäußert haben.

Datenschutz in Deutschland

Natürlich muss die Bombe nicht gleich explodieren. Schon gar nicht in Deutschland, wo der Datenschutz bislang relativ restriktiv gehandhabt wird. Selbst die EU-Kommission hat gerade Pläne für einen verschärften Datenschutz angekündigt. So sollen etwa Anbieter wie Google, Microsoft oder Apple personenbezogene Werbung, Cookies und Spam nicht mehr automatisch, ohne Zustimmung des Nutzers, auf ihren Browsern platzieren dürfen. Das sind gewiss kleine Schritte, aber sie gehen in die richtige Richtung: Die informationelle Selbstbestimmung der Verbrauchers muss gestärkt werden.

Dazu gehört aber auch ihre Selbstverantwortung. Nur sehr blauäugige Menschen glauben noch an Privatsphäre im Netz. Es gibt keine absolute Datensicherheit. Aber man kann persönliche Daten so gut es geht gegen unerwünschtes Auslesen, Verarbeiten, Sperren und Löschen schützen. Das kostet Zeit, Geld und Nerven, aber anders geht es nicht, wenn man dem Datenhunger von Wirtschaft, Verwaltung und Geheimdiensten etwas entgegensetzen will. Also: Passwörter sorgfältig wählen, Nutzungsbedingungen lesen, möglichst nur verschlüsselt und in sicheren Räumen kommunizieren, sensible Daten nur auf halbwegs vertrauenswürdigen Trägern speichern, also eher in deutschen Clouds als bei Facebook oder Dropbox, und so weiter.

Wir müssen aber auch zur Kenntnis nehmen, dass unsere Systeme umso verwundbarer werden, je mehr sie vernetzt sind. Kürzlich unkte das Magazin Wired schon, das Internet der Dinge sei tot: Zu anfällig für Sicherheitsprobleme, Hacker, Abstürze und Technikschrott. Tatsächlich haben spektakuläre Vorfälle wie die Hacker-Attacken auf Telekom-Router, selbstfahrende Autos oder Yahoo-Kundendaten und zuletzt die Debatten um Fake News, Social Bots und russische Hackerangriffe im US-Wahlkampf die Öffentlichkeit alarmiert. Umfragen zufolge ist das Vertrauen in die Sicherheit unserer Daten gesunken. Die nach dem Scheitern des Safe-Harbor-Abkommens für 2018 angekündigte neue europäische Datenschutzverordnung wird die Standards nicht unbedingt anheben.

Terrorismus und Datenschutz

Für Datenschützer sind neuartige Phänomene wie Cambridge Analytica ein Alptraum, unethisch und gefährlich für die Demokratie. Aber Datenschützer haben derzeit einen schweren Stand: Die Furcht vor Terroranschlägen droht bislang gültige Datenschutzbestimmungen und Freiheitsrechte auszuhöhlen. Noch vor wenigen Wochen beklagten sie, unterstützt von grünen, liberalen und sozialdemokratischen Experten, die geplante Ausweitung von Videoüberwachung und Vorratsdatenspeicherung. Heute, nach dem Anschlag von Berlin, sind sie leiser geworden oder rudern eifrig zurück.

Datenschutz, recht verstanden und klug gemanagt, ist für Unternehmen keine Bürde, sondern ein Wettbewerbsvorteil. Das sagt Andres Dickehut, Geschäftsführer des IT-Dienstleister Consultix, in seiner Botschaft zum Europäischen Datenschutztag. Fehler, Verstöße und Versäumnisse werden künftig noch härter bestraft, und wer sich rechtzeitig und offensiv auf die neue Datenschutzverordnung einstellt, verbessert seine Chancen auf dem Markt. Politisch und gesellschaftlich hat es Datenschutz dagegen heute schwer. In Zeiten des Terrors und der populistischen Bedrohungen ist das Ausspähen – auch unter Freunden- offensichtlich kein Tabu mehr. Wir können den politischen Willen, im Namen eines „Supergrundrechts auf Sicherheit“ Überwachung, Kontrolle und Zensur auszuweiten, kaum aufhalten; wir wollen es vielleicht auch gar nicht. Aber wir sollten schon genau hinschauen und gut aufpassen, wenn Unternehmen, Parteien und Lobbyverbände uns für ihre politischen und kommerziellen Zwecke durchleuchten, aushorchen und manipulieren wollen.

Was können Privatmenschen tun, um ihre Privatsphäre zu schützen?

Wenn wir uns im Internet bewegen hinterlassen wir unweigerlich Spuren. Wir sind jedoch nicht gänzlich aufgeschmissen: Datenschutz ist in gewissem Sinne auch Selbstschutz, denn es gibt einige Möglichkeiten, zu kontrollieren welche Daten man hinterlässt. Sogenannte Tracker verfolgen die Bewegungen auf Websites und schicken die Analyse-Daten an die Betreiber von Webseiten. Oft helfen sie jedoch auch Werbefirmen zur gezielten Schaltung von Werbung – und genauso oft wird Datenschutz hier eher klein geschrieben. Es gibt allerdings einige mehr oder wenige effektive Möglichkeiten, sich dagegen zu wehren.

Ein erster Schritt ist die Aktivierung der „Do-Not-Track-Funktion“ im Browser. Das heißt, man signalisiert Webseiten, dass man nicht getrackt werden möchte. Diese Funktion bieten die meisten gängigen Browser. Leider bleibt es jedoch meistens beim Wunsch, denn Seitenbetreiber sind nicht verpflichtet, die Do-Not-Track-Funktion zu respektieren.

Daneben gibt es die Privatsphäre-Funktion der Browser. Bei unterschiedlichen Browsern heißt diese einmal „Inkognito-Modus“ (bei Chrome), „privates Fenster“ (Firefox) bzw. „privates Surfen“ (Safari) oder auch „InPrivate Browsen“ (beim Internet Explorer). Egal wie die Funktion heißt: sie sorgt dafür, dass der Browser keinen Verlauf, keine Cookies und keine Such- und Formulareingaben speichert. Das heißt, andere Benutzer des gleichen Geräts können später nicht sehen, welche Seiten angesteuert wurden.

Die Privatsphäre-Funktion ist allerdings kein Schutz dagegen, dass Tracker Daten über die Benutzer sammeln und speichern. Hierfür gibt es schließlich eine Alternative: Anti-Tracking-Add-Ons. Es gibt einige verschiedene Produkte: Eine ziemlich gute Übersicht bietet die Website des Bayrischen Rundfunks, weswegen wir hier nicht alle mit ihren Vor- und Nachteilen aufführen wollen.

Anti-Tracking-Apps wie Ghostery oder Disconnect funktionieren als Browser- Add-On und sorgen dafür, dass Tracker beim Laden von Webseiten geblockt werden. Das hat übrigens auch den angenehmen Nebeneffekt, dass ein Großteil der Werbung geblockt wird und Seiten minimal schneller laden. Der Einsatz solcher Tools geht denkbar einfach. Dadurch sind sie ein guter Weg, sich ein bisschen Privatsphäre aus dem Web zurückzuholen – auch wenn man auch mit Ihnen nie gänzlich anonym surft.

Datenschutz im Unternehmen

In Unternehmen spielt der Datenschutz eine noch viel größere Rolle. Das gilt für die Beschäftigten, die personenbezogene Daten einerseits hinterlassen und andererseits oft auch damit arbeiten (z.B. Kundendaten, sobald es einen konkreten Ansprechpartner gibt). Aber auch für die Unternehmen, die in der Pflicht stehen, Datenschutzregelungen einzuhalten.

Glücklicherweise gibt es für den Austausch im Unternehmen Systeme, die es erlauben, selbst die Datenhoheit zu behalten. So müssen etwas beim Betrieb eines Intranets auf den eigenen Servern keinerlei Daten nach außen gegeben werden. Damit bietet es sich zum Austausch von Informationen und auch personenbezogenen Daten an. Ähnlich funktioniert das Ganze mit Hilfe eines Extranets oder auch B2B-Portals auch für die Zusammenarbeit mit externen Geschäftspartnern.

Datenschutz ist und bleibt ein wichtiges Thema. Insofern hat der Europäische Datenschutztag seine Begründung nicht verloren: Es ist heute wichtiger denn je, dass über Rechte und Pflichten im Internet diskutiert und über mögliche Gefahren aufgeklärt wird.