Elende Passwortregeln, unverständliche Pop-Ups, mittendrin die ewig klingelnde WhatsApp-Gruppe und Datenskandale überall. Wer sind “die” überhaupt, die meine Daten haben? Und was heißt das eigentlich?
Klaudia Zotzmann-Koch erzählt, wie sie zur mündigen Online-Bürgerin wurde und warum. Sie zeigt, was jede*r in wenigen Minuten selbst tun kann, um online sicherer unterwegs zu sein.
-> Empfehlungen für Messenger, eMail, Browser, etc.
-> Updates, weitere Links und Quellen zu den Inhalten
Bezugsquellen
Als eBook erhältlich direkt bei mir. Und sonst u.a. bei:
ameis Buchecke | Amazon | Apple Books | buecher.de | eBook.de | Hugendubel | Kobo (de / at) | Nook (Barnes & Noble) | Thalia (de / at) | Weltbild (de / at / ch)
In gedruckter Form erhältlich u.a. bei:
digitalcourage | ameis Buchecke | BoD | Autorenwelt Shop | Amazon | buch7.de | genialokal.de
Leseprobe
Wie ich selbst von einer »normalen Anwenderin« zur »zertifizierten Datenschutzexpertin« wurde
Es ist noch gar nicht so lange her, da war ich eine normale Internetnutzerin. Ich hatte seit 2007 ein Facebook-Konto, nutzte Gmail und web.de und davor auch Myspace und StudiVZ. Ich arbeitete mit Google Docs und nutzte Google Maps, wenn ich mich irgendwo nicht auskannte. Ich »skypte« regelmäßig mit meiner Mutter und meiner Oma, hatte Dropbox auf allen meinen Geräten und insgesamt wenig Ahnung, wie das Internet funktioniert, wie Werbetechnologien arbeiten und all die anderen Sachen, von denen später noch die Rede sein wird. Ich hatte sogar mal Kundenkarten.
Dann wechselte ich von der Uni zu einer Vollzeitstelle als Projektmanagerin in der Webentwicklung und lernte, wie das Internet funktioniert, wie man große Webseiten, Onlinespiele und Apps baut und auch, wie man Tracking, also Besucherzählung und Analyse von Nutzer*innenverhalten, einbaut und nutzt. Zu dem Zeitpunkt war es mein Job, Kundenprojekte zu begleiten und umzusetzen und noch immer war ich mit Facebook-Veranstaltungen und -Fotoalben und allem oben genannten fleißig dabei.
Und dann gab es mehrere Ereignisse in meinem Leben, nach denen ich das vage Gefühl hatte, dass mir »Die« zu nahe auf die Pelle rückten. Personalisierte Werbung über mehrere Geräte hinweg war mir unangenehm. Bei einem Skiurlaub wusste mein Exmann genau, wo ich gefahren war, bevor ich ihm davon erzählte, weil die Familienfreigabe im Telefon ihm live anzeigte, wo sich mein Telefon – und damit auch ich – befand. Auch abseits dessen empfand ich zielgerichtete Angebote und Informationen zunehmend als übergriffig. Dabei ging es gar nicht darum, dass ich »etwas zu verbergen« hatte. Ich erzählte meinem Exmann ja auch selbst, dass ich todesmutig mit dem Skikurs die Anfängerstrecken hinunter gerast war (mit vermutlich 10 km/h). Ich fand es nur irritierend, dass er es bereits wusste.
Genauso wie viele andere ging ich damals der Illusion auf den Leim, dass »etwas zu verbergen haben« gleichbedeutend sei mit »etwas verbrochen zu haben«.
Ich jubelte, als Anonymous Websites des IS übernahm und mit Werbung für Potenzmittel bespielte. Ich feuerte die Jungs und Mädels von Anonymous an: »Go, guys, go!« Und ich beschloss, mich näher mit diesem Thema »Internetsicherheit« zu beschäftigen.
Später im selben Jahr besuchte ich meine erste »Cryptoparty«, einen jener Abende, die es in quasi jeder größeren Stadt gibt, an denen man von fachkundigen Menschen lernen kann, wie man die eigene Privatsphäre schützen kann; beispielsweise wie man eMails verschlüsselt, wie man sein Telefon sicherer macht, etc. Ich wollte damals wissen, wie das mit dieser Verschlüsselung grundsätzlich funktioniert. Nicht wegen meines Exmanns, sondern weil ich schrecklich neugierig bin. Noch ein bisschen später zog ich dann bei ihm aus und wohnte zehn Wochen bei einem Kumpel auf der Couch, bis ich eine eigene Bleibe hatte. Während dieser Zeit war ich dann öfter im Wiener Hackspace, dem Metalab, weil ich dort mehr »Privatsphäre« hatte, als auf der fremden Couch. Ich lernte nicht nur, wie Verschlüsselung funktioniert und welche Messenger sinnvoller sind als andere und warum, ich lernte auch eine Menge Leute kennen, die im Bereich Datenschutz und IT-Sicherheit wissen, was sie tun.
Im selben Jahr fuhr ich sehr spontan nach Hamburg zum jährlichen Kongress des CCC, des Chaos Computer Clubs. Ich war überwältigt. Neben einem ausufernden Maß an Bunt und Blinken und vielen Spaß-Projekten wie beispielsweise einem Fernschreiber, dem man via Internet Nachrichten schicken konnte, die dann auf Lochstreifen ausgegeben wurden, gab es ein Vortragsprogramm, das sich gewaschen hatte. Nahezu alles wurde von den Teilnehmer*innen selbst angeboten. Keine bezahlten Vortragenden und schon gar keine »Keynotespeaker«, sondern alles Leute, die in ihren Dayjobs tagtäglich mit dem Zeug arbeiteten, über das sie da sprachen. Die Vorträge hatten insgesamt ein derart hohes Niveau, das ich an der Uni nur selten erlebt habe. Bis heute: Hut ab.
Nach diesem Kongress wurde in Wien die lokale CCC-Niederlassung re-gegründet, die die letzten Jahre eingeschlafen gewesen war. Gleich zu Beginn der Vereinstätigkeit wurden zwei große Projekte gestartet: »Chaos macht Schule« wurde von Deutschland nach Wien geholt. Das bedeutet, dass Menschen in ihrer Freizeit unbezahlt in Schulen gehen und dort Workshops zu Internetsicherheit und Medienkompetenz für Schüler*innen, Lehrende und Eltern abhalten. Viele von ihnen nehmen sich dafür extra einen halben Tag oder auch länger frei, um das ehrenamtlich zu kompensieren, was andere für viel Steuergeld in ihrer Arbeitszeit versäumen. Das andere Projekt, das im selben Jahr startete, ist die »PrivacyWeek«, die seither jährlich stattfindet. Das ist eine ganze Woche voller Workshops, Vorträge, Kunstprojekte, Filmvorführungen, Diskussionsrunden und Austausch. Zielgruppe: jede*r, den*die die Themen Privatsphäre, Medienkompetenz, Internetsicherheit und Demokratie interessieren – weil wir unser Wissen und unsere Erfahrungen in die Gesellschaft tragen wollen.
Zum Zeitpunkt der Vereinsgründung im Frühjahr 2016 hatte ich aufgehört, Facebook zu nutzen. Ebenso Google Maps, die Google Suche, WhatsApp, Gmail, web.de, GMX und einiges andere, was mir nicht einmal mehr einfällt. Ich hatte noch Twitter und die eMail-Adresse, die mit dem Webspace meiner Domain gekommen war. Außerdem noch Skype für das sonntägliche Video-Telefonat mit meiner Familie. In meiner Erinnerung habe ich nicht einmal gemerkt, wie ich mich langsam aber sicher von all dem anderen verabschiedet hatte.
Ich begann, Vorträge darüber zu halten, welche Dienste datensparsamer sind als andere. Ich erzählte bei Autor*innen-Treffen davon, was Hacker*innen sind und was alles nicht. Und dass niemand, der*die sich mit Internetsicherheit auskennt, jemals »Cyber« sagt, ohne es ironisch zu meinen. (Weil das nämlich von »Kybernetik« kommt und absolut nichts mit dem zu tun hat, wofür es im Marketing und in den Medien verwendet wird.)
Ich lernte im nächsten Dayjob – wieder Projektmanagement Webentwicklung –, wie große Trackinganbieter wie Adobe, IBM und Oracle arbeiten und wie ihre Verträge aussehen. Allerdings machte ich wenig Projektmanagement, weil es dafür noch eine eigene Abteilung gab. Stattdessen sollte ich mich 14 Monate lang um Google Werbebanner kümmern. Ich erzählte ihnen im Wochentakt, dass ich das nicht machen will und warum und kündigte schließlich, als ich noch mehr Werbebanner beauftragen sollte.
Stattdessen machte ich die Ausbildung zur Datenschutzbeauftragten. Ich hatte mittlerweile genug gelernt, dass ich mich mit dem Thema wohlfühlte und nach der Prüfung legte ich noch eine weitere bei der österreichischen Wirtschaftskammer zur Datenschutzexpertin ab.
Der 25. Mai 2018, also der Stichtag für die DSGVO, kam und zumindest in Österreich schien damit das Thema gestorben. Schlag Mitternacht war alles ruhig. Fünf Nachzügler-eMails kamen noch am 25. vormittags, ab dann: Totenstille. Ab dem Zeitpunkt schaute ich voller Bewunderung nach Deutschland und Frankreich wo Datenschutz tatsächlich durchgesetzt wurde. Von einigen nordischen Ländern ganz zu schweigen. Österreich schaffte es hingegen, drei Wochen vor dem Stichtag die lokale Gesetzgebung so anzupassen, dass »Verwarnen statt Strafen« im Datenschutzgesetz steht. Entsprechend lax ist zuweilen der Umgang mit Datenschutz und gerade mal das Minimum wird in vielen Firmen umgesetzt. Im November 2019 wurde von der Datenschutzbehörde mit der 18-Millionen-Euro-Strafe gegen die österreichische Post erstmals ein ernstzunehmendes Bußgeld gegen ein österreichisches Unternehmen verhängt; dafür, dass sie die politische Einstellung der in Österreich lebenden Menschen erhoben bzw. hochgerechnet und an Werbetreibende verkauft hat. Die Post will rechtlich gegen die Strafe vorgehen, weil sie darin ihr zentrales Geschäftsmodell gefährdet sieht.1 Wenn ein teilstaatlicher Betrieb sein zentrales Geschäftsmodell im Datenhandel mit sensiblen Daten sieht, sagt das auch schon sehr viel aus. Im Übrigen stellen die 18 Millionen ziemlich genau 1% ihres Jahresumsatzes dar. 4% wäre die mögliche Maximalstrafe gewesen. Die Datenschutzbehörde scheint also tatsächlich aktiv zu sein – ein Umstand, der in der Bevölkerung und bei den meisten Firmen bis heute nicht ankommt.
Bis jetzt nämlich gilt: Alle, die es sich leisten können, beauftragen ihre Haus- und Hof-Kanzleien, ungeachtet dessen, dass Datenschutz nur zum Teil ein juristisches Thema ist. Mindestens zur Hälfte ist es auch eine Sache von technischer Expertise. Einige haben dies bereits verstanden und ihre Teams divers aufgestellt – divers hier im Sinne der Mischung von Techniker*innen und Jurist*innen. Zwei meiner vergangenen Arbeitgeber setzten auf derart durchmischte Teams und die Arbeit zwischen Jurist*innen und Techniker*innen fand ich sehr bereichernd.
Auf den folgenden Seiten halte ich fest, was ich in den letzten Jahren gelernt habe.
Zitronenfalter falten keine Zitronen
»Datenschutz« klingt schon so staubig. Dabei geht es beim Datenschutz nur bedingt darum, Daten zu schützen. Zitronenfalter falten ja auch keine Zitronen.
Beim Datenschutz geht es darum, Menschen- und Persönlichkeitsrechte vor Missbrauch und Verkauf zu bewahren. Es geht also darum, Eingriffe in unsere Grundrechte zu unterbinden. Es geht um Minderheitenschutz, Privatsphäre und höchstpersönliche Lebensbereiche. Es geht darum, was niemanden etwas angeht und dass das auch so bleiben soll. Es geht um gleiche Chancen für alle in unserer Gesellschaft, unabhängig von Finanzkraft oder gesellschaftlicher Stellung.
Der Knackpunkt beim Datenschutz ist, dass er ein Teamsport und kein individuelles Thema ist. Natürlich soll jede*r Einzelne auf seine oder ihre Geheimnisse aufpassen. Aber nur gemeinsam arbeiten wir effektiv daran, dass es für alle gleich fair zugeht. Jede*r kann noch so gut auf Datensparsamkeit achten; sobald eine Person aus der Gruppe WhatsApp auf dem Telefon installiert, werden alle Daten aus deren Adressbuch automatisch an Facebook übertragen. Auch die Daten derjenigen Personen, die selbst nie ein Facebook-Konto hatten oder eröffnen würden.
Die Privatsphäre der einen hört dort auf, wo die Unachtsamkeit der anderen beginnt. Oder Wurschtigkeit, wie man in Österreich wohl sagen könnte.
* * *
Wer sind »Die« überhaupt?
Natürlich könnte ich jetzt hier von »Threatmodels« schreiben und weiß genau, dass 90% der Leser*innen an dieser Stelle frustriert das Buch schließen würden. Das ist auch nur das Technikerwort für »was ist Dein größtes Problem« oder »was ist Dein Bedrohungsszenario«.
Bedrohung? Aber ich fühle mich gar nicht bedroht! Ja, genau. Die Probleme, die das Internet und all die Technik mit sich bringen, sind leider nur selten sichtbar. Abgestumpft sind wir von all den Datenskandalen auch schon. Ich nehme mich nicht aus. So sehr es mich innerlich aufregt, entlockt es mir nur noch ein müdes Augenbrauenheben, wenn Facebook nahezu im Wochentakt den datensparsamen Vogel abschießt.
»Die«, das sind die üblichen Verdächtigen wie Facebook, Microsoft, Apple, Amazon und Google, aber nicht nur. Ganz vorne stehen beispielsweise Versicherungen, aber auch Krankenkassen, die nur allzu gerne vom Datenkuchen naschen. Wo früher Verkehrsbeobachtung, Bewertung von Wohngegenden und Anzahl von Versicherungsfällen einer Person berücksichtigt wurden, liegen mittlerweile quasi in Echtzeit Daten aus Kartenzahlungen, Verkehrsdaten aus Navigationsgeräten, Vitaldaten aus Fitnesstrackern, Werbeprofile und vieles mehr vor, um zu bewerten, wie risikoreich oder (un)gesund eine Person lebt.
Daneben sind auch Banken sehr an unseren digitalen Spiegelbildern interessiert. Ihnen geht es in dem Fall oft um die Kreditwürdigkeit von Menschen. Obendrein kommen Kreditauskunfteien, die ein sehr großes Interesse an Deinen Lebensumständen haben.
Viele »Startups« sind aus verschiedenen Gründen regelrechte Datenlöcher. Manche achten bei ihrer Zieleverfolgung einfach nicht darauf, datensparsam vorzugehen und nehmen einfach alles, was der Werbewerkzeugkasten so hergibt. Nicht nur für Werbung, sondern schon vorher, wenn es darum geht, ihre Apps, Services oder Webseiten mit den Softwarelösungen zu bauen, die große Anbieter wie Google oder Facebook gratis hergeben. Manche wollen auch bewusst vom großen Datenkuchen naschen und als eine Rädchen von tausenden in der Datenhandelsmaschinerie mitspielen.
Danach kommen Konzerne, Firmen, staatliche Stellen, Leute, die Geld machen wollen und last but not least: Menschen, die den Brexit und die Wahl Trumps zum US-Präsidenten zu verantworten haben. Und zwischen all denen machen tausende Datenhändler eine Menge Geld damit, Datenmengen anzukaufen, abzugleichen, zusammenzuführen und weiterzuverkaufen.
Wenn Du mehr über staatliche Überwachung und die Maschinerie dahinter erfahren möchtest, kann ich Dir die Biographie von Edward Snowden »Permanent Record« sehr ans Herz legen.
Klick und weg: DSGVO
Nee, bleib weg! Alles nur schwachsinniges Gelaber und alles ist viel komplizierter geworden! Mein Arzt will jetzt eine Einwilligung von mir, dass er mein Blut wie vorher auch immer ans externe Labor zur Untersuchung schicken darf! …
Ja, ich weiß. Es ist soviel Blödsinn passiert, dass die Wörter »DSGVO« genauso wie »Datenschutz« völlig verbrannt sind. Bei den Wörtern stellt es den meisten die Nackenhaare auf. Bis auf ein paar Leute, die freiwillig in dem Bereich arbeiten (ich zum Beispiel), hat kaum jemand positive Assoziationen dazu. Und zwar – leider – aus gutem Grund.
Versuchen wir es trotzdem, ja? Also: Was ist die DSGVO und warum wollen wir sie haben?
Die DSGVO, die europäische Datenschutz-Grundverordnung, ist tatsächlich ein großer Gewinn auf der Seite von Bürger*innen. Leider versäumten es die Regierungen sowohl in Deutschland als auch in Österreich (sowie auch in den meisten anderen europäischen Ländern), innerhalb der zwei Jahre Vorlaufzeit zwischen Inkrafttreten der DSGVO im Mai 2016 und ihrer tatsächlichen Ausführung am 25. Mai 2018, hilfreiche Informationen zu produzieren und flächendeckend auszugeben. Statt zwei Jahren, die eine relativ bequeme, tiefergehende Information und halbwegs entspannte Umsetzung ermöglicht hätten, blieben letztlich nur zwei Monate, um die Auflagen der DSGVO zu erfüllen.
Die zwei Monate vor dem Stichtag am 25. Mai 2018 waren überall hektisch. Zu Recht waren Websitebetreiber*innen, Kleine und mittlere Unternehmen (KMUs), Anwält*innen, Blogger*innen, Unternehmer*innen, Podcaster*innen, Vereine, Ärzt*innen, … unglücklich darüber, die strengen Auflagen der DSGVO für ihr jeweiliges Angebot in viel zu kurzer Zeit und ohne hinreichende Informationen umzusetzen; schließlich standen sie mit der Aufgabe im Dunkeln – allerdings allesamt in einem Boot und damit nicht alleine da. Immerhin. Eine Glanzleistung war die Kommunikation seitens Politik und Wirtschaftsvertretungen ganz eindeutig nicht.
Viele beklagten sich darüber, dass die DSGVO so schwammig ist und so viele Details unklar seien oder fehlen. Das stimmt. Es war aber auch geplant, die DSGVO gemeinsam mit der ePrivacy-Verordnung an den Start zu schicken. Die ePrivacy-Verordnung beinhaltet all das, was in der DSGVO an konkreter Umsetzung fehlt. Leider haben sich hier die Lobbyisten der Werbeindustrie durchgesetzt und die ePrivacy-Verordnung auf das Abstellgleis befördert.
So blieb nur noch die DSGVO übrig mit all ihren Höhen und Tiefen. Im Übrigen ist es ein himmelweiter Unterschied, zwischen dem Stempel »DSGVO-konform« auf einem Angebot, einer App, Webseite, … und tatsächlicher Datensparsamkeit. Die DSGVO sagt lediglich, dass die Betreiber angeben müssen, was mit den Daten passiert. Es sagt absolut nichts darüber aus, wie datensparsam ein Unternehmen, eine App etc. tatsächlich ist. Dies ist allerdings ein wichtiger Unterschied.
Der Großteil der Menschen, die Websites oder Onlineshops anbieten, Kundenverkehr etc. haben, haben es mittlerweile geschafft, die Auflagen umzusetzen. Für uns Bürger*innen und Konsument*innen das Sichtbarste sind dabei die Informationspflichten; also Aushänge mit Hinweisen auf Kameraüberwachung und Datenschutzerklärungen. Manche haben ihre Datenschutzerklärungen, sei es aus Angst, etwas falsch zu machen (und mit drakonischen Geldstrafen bedroht zu werden), sei es aus der Annahme, einen juristisch bindenden Text verfassen (und dafür einen teuren Anwalt engagieren) zu müssen, mit Hilfe von Datenschutzerklärungs-Generatoren verfasst, die zwar fehlerhafte Texte ausgeben, aber besser als nichts. Selber schreiben hätte in den meisten Fällen nicht viel länger gedauert und dann wüsste man wenigstens selber, was drin steht. Aber das ist in der allgemeinen DSGVO-Panik vor dem 25. Mai auch völlig untergegangen.
Sei es, wie es sei, für Bürger*innen, Konsument*innen, Websitebesucher*innen, Kund*innen bietet die DSGVO völlig neue Möglichkeiten. Wir haben mit dieser EU-Verordnung ein Werkzeug an die Hand bekommen, mit dem wir überhaupt erstmals die Macht bekommen, unsere Privatsphäre einzufordern. Wir können (und sollten) lernen, diese neue Macht auch zu nutzen. Anfragen stellen, was mit den über uns und unser Verhalten gesammelten Daten passiert. Beschweren, wenn uns ein Datenverkauf nicht passt. Die Datenschutzbehörden haben dazu passende Formulare und Textvorschläge auf ihren Webseiten gesammelt. Wie sie »verwurstet« und an wen sie weiterverkauft werden. Wir haben die Möglichkeit, selbst der Sand im Getriebe einer ganzen Datenindustrie zu sein und den Verantwortlichen auf die Finger zu klopfen. Und das ist gut so, schließlich geht es um unsere digitalen Spiegelbilder und die Auswirkungen, die der Datenhandel direkt auf unser Leben, unsere Selbstbestimmung, unsere Grundrechte, die Demokratie und nicht zuletzt auf unsere Geldbeutel hat.
Nerv nicht! Sch* Banner und Pop-ups überall.
Alles DSGVO, oder was? Was sollen diese ganzen Popups und Warnmeldungen, die ich nicht verstehe und die immer nur im Weg sind?
Kommen wir dazu, dass viele, insbesondere große Websites wie Newsportale, große Webshops etc., die DSGVO nur, sagen wir mal, halb umgesetzt haben. Die DSGVO fordert nämlich leicht zu findende, für jede*n verständliche Informationen, welche Daten gesammelt werden, wozu und was genau (!) mit den Daten passiert. Ja, die meisten Seiten zeigen einen Hinweis, dass personenbezogene Daten verarbeitet werden. Aber schon alleine das Wozu und der Detailgrad, was damit dann passiert, an wen sie weitergegeben oder verkauft werden, da hapert es gewaltig. Außerdem ist der Hinweis meistens so verschwurbelt, dass keine*r versteht, was eigentlich mit den Daten wirklich passiert. Die Cookie-Banner nerven, die Popups auch, von den doppelten und dreifachen Newsletter-eMails müssen wir jetzt gar nicht anfangen und überhaupt ist Surfen im Netz anstrengender geworden. Aber:
Der Sinn der Sache ist, dass Nutzer*innen eine informierte Entscheidung treffen können, ob sie ein bestimmtes Angebot nutzen möchten – lies: ob es ihnen das wert ist, was auf der Plattform und darüber hinaus mit ihnen geschieht. Marketing sei Dank sind die Erklärungstexte extra lang und so mühsam geschrieben, dass keine*r Bock hat, sie zu lesen und alle den Hinweis nur wegklicken, womit sie bei den meisten Seiten automatisch in alles einwilligen, inklusive Datenhandel, Verfolgung und Profilerstellung über alle Geräte und das gesamte Internet hinweg.
Ja, da ist System dahinter. Anbieter von großen Onlineshops ebenso wie Hardwarehersteller usw. haben absolut kein Interesse an mündigen und aufgeklärten Bürger*innen. Sie machen es uns absichtlich schwer und umständlich, die Infos, die sie rechtlich geben müssen, zu finden, zu lesen und zu verstehen.
Wichtig: Du bist nicht zu doof, es wird Dir absichtlich schwer gemacht.
So schwer, wie möglich. Ich weiß es, ich habe versucht, in einem Unternehmen verständliche Datenschutzerklärungen einzuführen und mir wurde gesagt, es sei nicht im Interesse des Unternehmens, dass die Kund*innen lesen und verstehen können, in was sie mit Unterzeichnung des Vertrags einwilligen. Denken wir an das Beispiel der österreichischen Post: Ihr zentrales Geschäftsmodell ist laut ihren eigenen Aussagen der Datenhandel. Pakete austragen? Höchstens noch ein Seitenzweig.
