Datum Talente

Darf’s noch ein Cookie sein ?

Die Verarbeitung personenbezogener Daten ist eigentlich verboten – außer wir geben unsere › informierte Einwilligung‹. Doch was bedeutet das eigentlich ? Wie behält man trotzdem den Überblick ? Und gibt es sinnvollere Regeln für den Datenschutz im Internet ?

·
Illustration:
Clara Berlinski
DATUM Ausgabe Dezember 2020

Stellen Sie sich vor, es läutet an der Tür. Eigentlich erwarten Sie niemanden, doch kurz darauf steht ein unbekannter Unternehmensvertreter auf der Fußmatte und bittet Sie, alle Fotoalben zu holen und an ihn auszuhändigen. Zusätzlich verlangt er, dass Sie ihm von diesem Mo­­ment an immer genauestens mitteilen, wo Sie sich gerade aufhalten, mit wem Sie kommunizieren, welche Produkte Sie einkaufen. Völlig unvorstellbar, dem einfach zuzustimmen. Verlagert man diese Begegnung ins Internet, hätten Sie aber schon längst Ihr Häkchen gesetzt.

Das Häkchen oder der Klick, um den es in dieser Geschichte geht, ist ein Symbol für ein teils ungelöstes Problem : Denn einerseits soll die seit Mai 2018 gültige Datenschutzgrundverordnung (DSGVO) die Verarbeitung unser aller personenbezogener Daten EU-weit einheitlich regeln. Andererseits ist noch immer nicht geklärt, wie genau diese rechtlich bindende EU-Verordnung im Internet umzusetzen ist – in dieser virtuellen Welt, in der den Nutzerinnen und Nutzern derzeit weitgehend verborgen bleibt, was sich in puncto Datenverarbeitung hinter der spiegelglatten Oberfläche der Verkaufs-, Medien- und Vermittlungsportale abspielt. Das ist am Beispiel der Cookies ersichtlich, hier greift auch die E-Privacy- oder auch › Cookie-Richtlinie ‹ von 2002, die eigentlich schon längst eine Verordnung wie die DSGVO sein sollte. Das scheiterte bislang, es gibt Interpretationsspielraum – aber seit Anfang November einen neu­en Entwurf zur Diskussion. Viele Anbieter wollen sich absichern, darum poppt auf immer mehr Webseiten ein Dialogfenster auf, das über die Nutzung von Daten aufklären soll : › Diese Website verwendet Cookies. Bitte stimmen Sie deren Nutzung zu ! ‹

Eigentlich ist die Verarbeitung personenbezogener Daten ja grundsätzlich verboten. Eine wichtige Ausnahme von dieser Regel ist aber die Einwilligung der betroffenen Person – im Fachjargon heißt dies auch › Informed Consent ‹. In der DSGVO ist die Einwilligung mit vier Attributen versehen : Sie muss informiert, freiwillig, für den bestimmten Fall und unmissverständlich sein. Wenn ich nun per Häkchen einer Datenschutz-Policy zustimme – ist das dann eine Maßnahme, mit der ich die Kon­trolle über meine eigenen Daten zurückerlange oder gebe ich mich, auch mangels Wahlmöglichkeit, nicht vielmehr einem gewissen Kontrollverlust hin ? Viele fühlen sich mit der Entscheidung, dieses Häkchen zu setzen oder nicht zu setzen, überfordert – und das oft noch mehr, wenn sie versuchen, die Einwilligungstexte zu lesen. Ist das Prinzip des › Informed Consent ‹ in einer komplex gewordenen Online-Welt noch angemessen oder einfach überholt ? Und gibt es in der Praxis Möglichkeiten, einen sorgsameren Umgang mit persönlichen Daten zu › erzwingen ‹ ?

› Cookies ‹ (› Kekse ‹) sind kleine Datenpakete, die vom Browser, also dem Programm, mit dem man durchs Internet surft, bei jeder Anfrage an einen Server mitgeschickt werden. Wir hinterlassen sie also als nachvollziehbare Spuren bei Online-Aktivitäten – etwa, wenn wir beim Besuch einer Website etwas in den Warenkorb legen. Über technisch erforderliche Cookies hinaus können nicht notwendige Cookies gesetzt werden, zum Beispiel Tracking-Cookies – genau diese sind für Unternehmen und Medi­en interessant, weshalb sie die Erlaubnis, sie nutzen zu dürfen, den Userinnen und Usern mittels Einwilligung abringen möchten. Welche (nicht notwendigen) Cookies man zulässt, hat man damit selbst in der Hand. Für viele Userinnen und User heißt das aber : Klick und weg. 

Was aber fangen die datenverar­beitenden Konzerne überhaupt mit diesen unzähligen, kleinteiligen Informationen an ? › Es geht darum, dass Sie mit Ihren Daten, mit Ihrem Verhalten, mit Ihrem digitalen Sein zum Speisen von Datenkategorien beitragen – und gleichzeitig in Ihrem realen Leben danach beurteilt werden, in welche Kategorie andere sie stecken ‹, erklärt Walter Peissl vom Institut für Technikfolgen-Abschätzung an der Österreichischen Akademie der Wissenschaften (ÖAW). Diese Kategorien sind für Unternehmen hilfreich, um Zielgruppen anzusprechen : › Die Firmen sind auch an Clustern interessiert und nicht ausschließlich an Ihnen als Person. ‹

Damit wird dann zum Beispiel Werbung personalisiert. Anstatt der Postwurfsendung vom Lebensmittelhändler, die Woche für Woche für jeden Haushalt gleich aussieht, schalten Unternehmen heute individualisierte, profilo­rientierte Werbemaßnahmen etwa in einer Handy-App. Auf Social-Media-Plattformen wird Werbeplatz sogar versteigert. › Anhand einer Anzeigenauktion bestimmen wir die geeignetste ­Anzeige, die jemandem zu einem bestimmten Zeitpunkt präsentiert wird ‹, heißt es – ganz transparent – auf der Website von ›Facebook for Business‹, laut der täglich Milliarden solcher Auktionen in der Facebook-App-Familie stattfinden.

Kerstin G. will nicht zum › Speisen von Datenkategorien ‹ beitragen und legt großen Wert auf Datenschutz, sie geht äußerst sparsam mit den Informationen um, die sie im digitalen Raum preisgibt. Deshalb erreicht man sie auch über die App Signal und nicht über Whatsapp, Facebook Messenger und Co. Die sind für sie keine Option. Wer mit Kerstin in Kontakt bleiben möchte, muss wie sie auf Datenschutz achten. Die Studentin der Musikwissenschaft und jüdischer Studien besitzt keine Kreditkarte und erst seit wenigen Jahren ein Smartphone. › Bei manchen Sachen bin ich tatsächlich so ein Dinosaurier ‹, sagt sie. Für ein ausführlicheres Gespräch mit DATUM schlägt Kerstin, die in Deutschland lebt, › Meetzi ‹ vor. Dafür müsse nichts installiert werden, außerdem wird der Raum automatisch wieder gelöscht, erklärt sie. Im Videogespräch erzählt Kerstin, dass ihr Datenbewusstsein in der › Schnittmenge zwischen sehr bewusster Lebenseinstellung und Hobby ‹ liegt. Da sie nicht sicher sein kann, was im Endeffekt damit passiert, möchte sie › einfach diese Datensammlung ‹ vermeiden. Kerstin versteht ihr Datenbewusstsein auch auf jeden Fall als politisch, weil sie Daten als gesellschaftlich schützenswertes Gut betrachtet. 

So konsequent wie Kerstin sind die Wenigsten, was Bernadette Kamleitner vom ›Institute for Marketing and Consumer Research‹ der WU Wien als › Kluft zwischen Handeln und dem, was man sagt, dass man möchte ‹ beschreibt – auch › Privacy Paradox ‹ genannt. Zunächst sieht sie eine solche Kluft nicht als datenspezifisches Problem, doch haben Daten bestimmte Eigenschaften : Sie sind unsichtbar, überall, können ­geteilt werden und bleiben dadurch bei einem selbst und gleichzeitig bei jemand anderem. Außerdem entstehen sie als › Beiprodukt des Seins ‹, wie ­Kamleitner formuliert. Einer ihrer Forschungsschwerpunkte nennt sich › Psychological Ownership ‹ : › Damit ich etwas besitzen kann, muss ich es irgendwie begreifen können, und zwar ent-
weder im übertragenen Sinne oder wirklich physisch ‹, sagt Kamleitner. 

Auch Kerstin, die sich intensiv mit dem Thema auseinandersetzt, sagt, dass sie Daten nicht ganz begreifen kann. Dabei hat der heute 31-Jährigen ihr Vater, damals von Beruf Datenschutzbeauftragter beim Zoll, das Thema früh nähergebracht. › Wir sind nur Mädchen zu Hause ‹, erzählt sie, › und er hat uns ein bisschen wie Jungs großgezogen : Computer auseinandergenommen und wieder zusammengeschraubt, damit sind wir aufgewachsen. ‹ In Kerstins Schulzeit weckte eine zweite wichtige Figur ihr Bewusstsein für Datenschutz : ihre Informatiklehrerin. Mit einfachen Beispielen wie der Suche von Namen im Internet machte sie den Jugendlichen deutlich, was vermeintlich unbedenk­liche Daten preisgeben. Scheint etwa ein Name in einer Ergebnisliste eines Sportvereins auf, lässt sich leicht recherchieren, wann die Gruppe trainiert. Ist die Mutter eines Kindes eine Person des öffentlichen Lebens und somit das Kind als Person interessant, werden diese Daten schnell zu › kritischen Daten ‹, wie Kerstin sie nennt. 

Neben der schwierigen Begreif­barkeit von Daten gibt es weitere Gründe für den sorglosen Umgang mit ihnen. Auch die Menge, in der sie heute verarbeitet werden, ihr Volumen, ist laut Kamleitner für den menschlichen Geist kaum vorstellbar : › Vor allem, weil so viel dabei ist, das für uns selbst keine Relevanz hat, das nur dann bedeutsam wird, wenn es agglomeriert wird und in Kontext mit anderen Daten steht. ‹ Und auch wenn es Konsequenzen gäbe – zum Beispiel unerwartete Angebote von Versicherungen – seien diese rückblickend schwer zuzuordnen. Heutzutage fließt laut Peissl etwa in den sogenannten Credit Score einer Person (Basis dafür ist die Wahrscheinlichkeit eines Zahlungsausfalls) auch deren Vorname mit ein. Wenn beispielsweise Michael einen Kredit möchte, viele Michaels jedoch unverlässliche Rückzahler sind, stehen seine Chancen schlecht. Es fällt also das Verhalten anderer auf die Person zurück.

Kerstin verfügt nur über die nötigsten Apps am Handy. Ob sie dadurch manchmal das Gefühl hat, etwas zu verpassen ? › Nein ‹, sagt sie. Freunde schicken ihr Links über Kanäle, die sie nutzt. Doch sie erzählt auch offen : › Man kann sich Facebook und Co. extrem schwer entziehen. Und manchmal muss man auch auf Sachen verzichten, wenn man das mit dem Datenschutz ernst meint. ‹ Außerdem betont sie, wie wichtig Konsequenz sei. Datenschutz lässt sich nicht nur einmal erledigen und dann abhaken. Kerstin nutzt heute Facebook und Instagram, die nach Einwilligung der Userin selbstverständlich auch persönliche Daten verarbeiten – aber strikt nur für berufliche Zwecke. Ihre Lieblingsapp ist allerdings der Instant-Messaging-Dienst Threema, der auf End-zu-End-Verschlüsselung setzt und auf Datenvermeidung ausgelegt ist. Threema ist zwar kostenpflichtig, aber Kerstin meint : › Es kostet weniger als ein Cappuccino. ‹ So viel ist sie auf jeden Fall bereit auszugeben, um dafür ihre Daten zu sparen.

Müssen wir also einfach nur alle zu Datensparern werden, die bewusste wie unbewusste Informationen über unsere Person wie einen Schatz hüten und mit jedem verweigerten Häkchen zur Cookie-Nutzung die Datenschutzwelt ein bisschen besser machen ? Bernadette Kam­leitner von der WU ist skeptisch. Die Forscherin meint, das Konzept der Einwilligung würde nicht einmal dann funktionieren, wenn alle so datenbewusst wären wie Kerstin. Sie nennt das Prinzip des Informed Consent schlichtweg › Unsinn ‹ – vielleicht auch einfach : überholt. › Es geht von diesem lange Zeit dominierenden Menschenbild aus, dass der Mensch seine Entscheidungen basierend auf den Informationen treffe, die er hat. Doch es übersieht die Fülle an Informationen, die Häufigkeit von Einverständniserklärungen, mit denen wir konfrontiert sind. Wenn wir uns mit allen Informationen, mit denen wir uns befassen sollten, befassen, dann tun wir nichts anderes mehr als genau das. Das ist unmöglich. Es gibt ein Leben jenseits von AGBs und Einverständniserklärungen. ‹

Walter Peissl wiederum hält die mangelnde Kenntnis der Hintergründe für ein Problem. Für ihn ist gerade ein kostenloses Angebot, und mag es noch so unerheblich wirken, ein dringender Grund, das Kleingedruckte zu lesen : › Wenn Sie eine kostenlose App haben, müssen Sie mit irgendetwas bezahlen, und das sind dann die Daten. ‹ Auch der IT-Rechtler Nikolaus Forgó sieht in dem Geschäftsmodell, das scheinbar gratis tolle Dinge verspricht, einen Grund für den unkritischen Umgang mit Daten. Allerdings glaubt er nicht, dass sich das ändern ließe, indem man den Menschen noch genauer erklärt, was geschieht. Im Grunde wisse jeder, was passiert, wenn man bei Facebook Mitglied wird oder bei Rewe eine Kundenkarte löst. Jeder wisse, dass man nichts geschenkt bekommt. Und trotzdem tue es jeder. › Insoweit ist das Privacy Paradox eigentlich nicht paradox, es ist eine halbbewusste Entscheidung für ein Produkt zu einem Preis. ‹

Dass jeder einwilligen, aber niemand lesen will, was in den Einwilligungserklärungen steht, habe laut Forgó auch damit zu tun, dass Unternehmen teils sehr lange Texte produzieren – schon mit dem Ansatz, sie möglichst leserunfreundlich zu gestalten. Positive Beispiele sieht Forgó überraschenderweise bei den großen Playern : › Die großen Unternehmen, Facebook und Google et cetera bemühen sich da mehr als viele kleine. ‹ Ein weiterer Aspekt : Leute, die online einkaufen, wollen eben einkaufen, nicht einen Exkurs ins Datenschutzrecht starten. Dabei wäre laut Forgó genau das derzeit nötig : eine viel grundsätzlichere Debatte darüber, was uns unsere Daten wert sind. Was aber, wenn man den Anbietern einer Website das Zugeständnis abverlangte, dass sie ihre Erklärungen in Bezug auf den Umfang limitieren müssten ? › Diese Diskussion haben wir weitgehend noch nicht geführt ‹, sagt Forgó, › weil man seit den 80er-Jahren sagt : Wenn du informiert eingewilligt hast, dann reicht das. ‹

Das heißt im Umkehrschluss : Wozu ich nicht zustimme, das kann später auch nicht auf mich zurückfallen. Das bedeutet aber auch, dass man bestimmte Angebote nicht nützen kann. Dieses Prinzip vermittelt Leo Hemetsberger in seinen Schul-Workshops Tee­nagern zum komplexen Thema Datenschutz. Er stellt sich als frei praktizierender Philosoph vor, der an Universität und Fachhochschule lehrt und Workshops für die Initiative saferinternet.at hält. Verbote und erhobene Zeigefinger meidet er, › das bringt bei Jugendlichen überhaupt nichts ‹, und auch das Kleingedruckte von Apps geht er mit den Kindern nicht durch : › Das verwirrt sie nur. Ich mache es umgekehrt und sage ihnen, wie sie die Einstellung so setzen können, damit möglichst wenig Daten übermittelt werden. ‹ Privatsphäre-Leitfäden für Whatsapp, Tiktok und Co. mit einfacher Schritt-für-Schritt-Bildbeschreibung gibt es dazu auf der Website von saferinternet.at.

Und wie steht Kerstin zur informierten Einwilligung ? › Ich weigere mich konsequent ‹, sagt sie und meint damit die Nutzung von Diensten, die ihren Da­­tenschutzstandards nicht entsprechen. Will jemand mit ihr in Kontakt bleiben, hat er oder sie schlicht keine andere Möglichkeit, als ihre Alternativen zu wählen. Damit will die Datensparerin auch ein Zeichen setzen und andere motivieren, ihre Daten nicht länger mit beiden Händen aus dem Fenster zu werfen. 

Die DSGVO ist seit Mai 2018 in Kraft, zusätzlich gibt es auch ein natio­nales Datenschutzgesetz in Österreich. Was hat sich seither geändert ? › Das ist eine Frage der Perspektive ‹, sagt Forgó. Immerhin : Das Datenschutzrecht sei durch die DSGVO im Mainstream als The­ma angekommen. Allerdings : › Was die Grundkonzeptionen des  Datenschutzrechts betrifft, hat die DSGVO so gut wie nichts Neues gebracht. ‹ 

Was die DSGVO durchaus ermögliche, sei laut Forgó die bildhafte Darstellung von Datenschutz-Policys. Aktuell hat er sich im interdisziplinären Projekt › Privacy goes iconic ‹ mit Studierenden der Bereiche Design, Informatik und Recht des Themas angenommen. Bild statt Text lautet das Motto. Denkbar wären – ähnlich den Qualitätssiegeln für Lebensmittel – ein grüner Farbcode für ausgesprochen datenschutzfreundliche Unternehmen oder ein Piktogramm, das signalisiert : › Achtung, deine Daten werden in die USA übermittelt. ‹

Was aber kann man in der aktuell unbefriedigenden Situation als Einzelner tun ? Die Experten empfehlen Apps wie den Nachrichtendienst Signal oder die Suchmaschine Startpage – und legen uns Nutzerinnen und Nutzern nahe, uns mehr für die Geschäftsmodelle der Datenverarbeiter zu interessieren. Umgekehrt ist es uns, die wir im Internet surfen, derzeit aber nicht möglich, die Cookies-Nutzung generell zu unterbinden, etwa über eine wirksame Grundeinstellung im Browser – im Fachjargon hieße das › Privacy by Design ‹. Kamleitner rät zu mehr Achtsamkeit im Umgang mit Daten als › deinem digitalen Selbst ‹. 

Was Leo Hemetsberger aber am meisten freut, ist, wenn die Kinder selbst aktiv werden : › Wenn sie zu mir kommen, mir Fragen stellen und dann selber am Handy nachschauen, wo kann ich das finden, das habe ich gar nicht gewusst. ‹ Normalerweise besucht er Schulklassen für jeweils zwei Unterrichtsstunden und deckt ein breites Spektrum ab, von Menstruationszyklus-Apps über Spiele, Ad-Blocker, Smart-Home-Apps bis zu den › Zehn Geboten der digitalen Ethik ‹. Das erste davon lautet : › Erzähle und zeige möglichst wenig von dir. ‹ Vor den Schülern erklärt er das so : › Aus dem Bauch heraus einen Blödsinn machen, daran kann ich mich auch noch erinnern. ‹ Aber im Unterschied zu den Jugendlichen heute ist sein Blödsinn nirgends dokumentiert : › Ich sag ihnen dann immer : Ihr werdet nie erfahren, was wir mit 14 alles gemacht haben. ‹ •