Frau Kurz, in den letzten Wochen sorgten mehrere Konzerne und ihr Umgang mit privaten Daten für Schlagzeilen: das iPhone von Apple zeichnet die Bewegungsdaten der Nutzer auf, bei Sony wurden millionenfach Daten von Playstation-Spielern entwendet, außerdem wurde ein Datenleck bei Facebook bekannt. Das bestätigt vieles, was in Ihrem Buch „Die Datenfresser“ steht. Empfinden Sie so etwas wie Genugtuung?
Kurz: Überhaupt nicht. Im Fall von Sony sind es eine Menge verunsicherte Kunden, denen tatsächlich ein finanzieller Schaden entsteht, darüber kann ich mich nicht freuen. Aber es überrascht mich natürlich auch nicht.
Apple hat erklärt, die Bewegungsdaten würden beim iPhone nur gesammelt, damit man das Handy besser orten kann. Wie bewerten Sie diese Aussage?
Kurz: Technisch ist das erst mal ein valider Grund, keine Frage. Wenn man die Lokationsdaten eine Weile speichert, verkürzt es die Zeit, bis das Handy wieder genau geortet werden kann. Aber das gilt natürlich nicht für die ewige Liste, die da angelegt wurde. Und es gilt deshalb nicht, weil die Datenspeicherung heimlich war. Selbst wenn ich den Lokationsservice ausgemacht habe, was man ja beim iPhone kann, lief die Ortung weiter. So etwas kann man gegenüber dem Kunden nicht machen und das ist, glaube ich, auch der Grund für den Furor.
Eine andere Sache ist natürlich noch, dass die Daten unverschlüsselt waren. Jeder, der das Handy in die Hand nahm, konnte sie auslesen. Und nicht nur das. Wenn man es mit dem Computer verbunden hat, wurden die Daten auch dort gespeichert.
Was vermuten Sie dahinter?
Kurz: Entweder hat sich Apple keine großen Gedanken gemacht, in dem Fall müsste man dann schon an den Konzepten des Unternehmens und daran, wie wichtig ihm die Privatsphäre seiner Nutzer ist, zweifeln. Oder es kann sein, dass man hier Ermittlungsbehörden entgegenkommen wollte. Dass sie es nicht wussten, kann man jedenfalls ausschließen, denn einige Forensiker und Technikexperten wussten es schon seit Monaten und Apple hat definitiv nichts dagegen unternommen.
Warum nicht?
Kurz: Man kann da nur spekulieren. Natürlich kann es sein, dass die Behörden diese Datei ganz nützlich fanden. Aber dafür gibt es keine großen Indizien außer der Tatsache, dass einige Behörden in einigen Ländern diese Dateien lesen. Es kann natürlich auch sein, dass Apple den Aufwand gescheut hat, ein Update zu machen. Ein dritter Grund könnte sein, dass Apple diese Daten in Zukunft anders nutzen wollte oder uns ein weiteres Mal belogen hat und die Daten bereits nutzt. Das streiten sie ja ab.
Die Zusammenarbeit mit Ermittlungsbehörden scheint in der Branche offenbar üblich zu sein, beispielsweise auch bei Facebook…
Kurz: Facebook hat eine Politik wie fast alle großen kommerziellen Unternehmen: Auf Anfrage von Behörden geben sie die Daten raus und zwar vollständig. Das ist auch kein Geheimnis, das passiert und wird auch sehr stark zunehmen. Die Polizei lebt ja auch nicht mehr im 20. Jahrhundert die haben natürlich mitbekommen, dass Facebook eine interessante Datenressource ist. Es ist eine Selbstverständlichkeit, dass bei jeder Hausdurchsuchung die Telefone mitgenommen werden. Das ist auch der Grund, warum ich sage, dass wir klare Regeln brauchen. Es kann nicht sein, dass jeder alles benutzen darf, wo er drankommt. Wir brauchen eine klare Definition für die virtuelle Privatsphäre, einen wirklich geschützten privaten Kernbereich. Darüber müssen wir noch streiten in den nächsten Jahren.
Im Gegensatz dazu gibt es jetzt eine Post-Privacy-Debatte und Internetaktivisten, die sagen, von der Idee einer Privatsphäre im Netz müsse man sich verabschieden. Wie stehen Sie zu der „Datenschutzkritischen Spackeria“?
Kurz: Das ist eine ziemlich kleine Gruppe, auf die ich ziemlich häufig angesprochen wurde, weil sie eine Aussage von mir als ihren Namen verwenden – also „Spackeria“.
Ich kann mich inhaltlich damit überhaupt nicht identifizieren. Und ich habe Schwierigkeiten mit der Debatte, die dadurch entstanden ist. Weil sich die Firmen, die von den Daten anderer leben, freuen können, dass ein Teil der jungen Generation kommt und sagt: „Wenn wir alle transparent sind, wird alles schön.“ Datenschutz muss man in die neue Zeit holen, aber nicht abbauen, um noch mehr Geschäftsmodelle möglich zu machen.
Die Idee der Spackeria ist demnach nicht zeitgemäß?
Kurz: Da werden einfach viele von den langjährig bekannten und gut begründeten Argumenten in der Debatte um Datenschutz und Privatsphäre ignoriert. Diese „Ich haue alles raus“-Ideologie finde ich sehr bedenklich. Mich ärgert es auch, weil es in gewisser Weise privilegierte Menschen sind, die das tun. Jedes Fitzelchen von ihrem Leben geben sie raus und bedenken vielleicht nicht, dass es in ihrer Umgebung Menschen gibt, die nicht Teil dieses Datenexhibitionismus werden wollen, aber über die auch Informationen anfallen. Zum anderen gibt es Menschen, die nicht so privilegiert sind, weil sie eine Krankheit haben, weil sie ihre sexuelle Orientierung nicht preisgeben wollen oder weil sie finanzielle Schwierigkeiten haben.
Wie gehen Sie selbst mit Ihren Daten um?
Kurz: Ich habe mehrere Accounts bei sozialen Netzwerken, weil ich mich damit als Forschungsobjekt befasse. Aber ich habe unter meinem Namen keinen Facebook-Account und will auch meine Freunde nicht nötigen, zu Facebook zu kommen. Ich bin, wie gar nicht so wenige andere, ein bisschen vorsichtig. Ich gucke halt, welche Daten ich hinterlasse und benutze Pseudonyme. Das Bedürfnis, mich bei Facebook zu präsentieren, habe ich nicht. Wobei viele Firmen ihre Mitarbeiter mittlerweile dazu auffordern. Einfach weil man dadurch Kontakte findet.
Was konkret macht Sie bei Facebook skeptisch?
Kurz: Mich stört an Facebook vieles. Erstmal bin ich mit den Nutzungsbedingungen überhaupt nicht einverstanden, weil man einwilligen soll, alle Bilder, alle Daten zur Vermarktung freizugeben. Und zum anderen stört mich, dass hier ein Monopol entstanden ist. Es gibt keinen Markt der Sozialen Netzwerke mehr, sondern einen dominierenden, allwissenden, sich auf allen Webseiten ausbreitenden Monopolisten. Man hat eine Schwelle überschritten, wo in bestimmten Altersgruppen so gut wie jeder bei Facebook ist.
Aber ich glaube nicht, dass man sich da sklavisch unterwerfen muss. Man kann immer noch selbst bestimmen, wie viel man dort eingibt. Wir sollten nicht wie die Lemminge auf den Abgrund zulaufen. Wir bestimmen selber, wie wir mit Technik umgehen. Und nur, weil sich da welche eine goldene Nase verdienen und uns erzählen wollen, dass es nicht mehr anders geht, muss man das nicht mitmachen.
Facebook hat eine Politik wie fast alle großen kommerziellen Unternehmen: Auf Anfrage von Behörden geben sie die Daten raus und zwar vollständig.
Sie beschreiben in Ihrem Buch den fiktiven aber realitätsnahen Fall einer Community für Tierhalter, deren Daten einzig und allein zum Zweck des Weiterkaufens gesammelt werden. Was sind das für Käufer?
Kurz: Man hat das früher Adresssammler genannt. Da geht es darum, die Bevölkerung abzubilden. Die Post macht so etwas, Arvato oder die Schufa. Hier entstehen natürlich auch soziale Profile, keine Frage, wenn spezielle Daten wie Hobbys, Alter, Wohnort und Geschlecht dabei sind. Neben diesen großen Anbietern, die schon jahrelang ihrem Geschäft nachgehen, ist eine sehr ausdifferenzierte Industrie entstanden, die die Menschen taxiert. Sie stellt Daten aus vielen großen Quellen zusammen, um dann wieder eine Anreicherung zu machen. Also wieder Algorithmen drüberlaufen zu lassen. Denn am Ende möchte man für den Kunden, der ein Produkt hat und das bewerben will, eine möglichst passende Gruppe von Menschen finden, wo die Wahrscheinlichkeit möglichst hoch ist, dass die endlich mal kaufen. Solche Datensätze kann man natürlich für mehr Geld verkaufen.
Und den Anbietern von Sozialen Netzwerken geht es auch nur noch ums Geld? Eigentlich ist die Idee der Vernetzung ja sehr charmant.
Kurz: Die sozialen Netzwerke, die wir heute haben, sind von Anfang an durchkommerzialisiert. Bei den ersten, die es mal gab – Friendster zum Beispiel – war es noch nicht unbedingt so. Es gibt ja einige Ideen, wie man solche Netzwerke frei gestalten kann. Aber die großen, die es heute gibt, sind alles Werbemaschinen. Das Geschäftsmodell war von Anfang so gebaut.
Wie müsste der Staat Ihrer Meinung nach mit den Anbietern umgehen?
Kurz: Man müsste ihr Geschäftsmodell beschränken.
Wie könnte so eine Beschränkung aussehen?
Kurz: Man könnte sich zum Beispiel fragen: Was ist ein Menschenprofil und darf man eins erstellen? Man müsste juristisch definieren, wie detailliert eine Datensammlung über einen Menschen sein darf. Bei sieben gespeicherten Merkmalen könnte man sagen, dass es ein Menschenprofil ist, und wenn nur drei oder vier Merkmale gespeichert werden, ist es ok. Man kann sich auch überlegen, ob es besonders schutzwürdige Gruppen gibt, von denen Daten nicht kommerzialisiert werden dürfen, zum Beispiel Kinder.
Es gibt sehr ausgefeilte Vorschläge für eine Reform des Datenschutzes, die seit Legislaturperioden verschleppt werden. Und jetzt, wo die Politik so lange untätig war, heißt es: „Das ist nun mal so, daran haben wir uns alle gewöhnt.“ Und wenn man darüber streitet, kommt garantiert von einem Politiker das Argument: „Aber die jungen Leute geben doch sowieso alles preis.“ Da komme ich mir vor wie in einer Bananenrepublik.
Warum wurden die Vorschläge zu einer Neuordnung des Datenschutzes nie umgesetzt?
Kurz: Der Grund ist, dass die Politik die Geschäftsmodelle nicht beschneiden will, weil die Datenprofiteure ordentlich Lobbyarbeit betreiben. Da kommen sofort die Verbände von Direktmarketingunternehmen und sagen: „Aber das kostet ganz viele Arbeitsplätze.“
Der Staat selbst will ebenfalls viel über seine Bürger wissen. Ist er deshalb vielleicht auch nicht so streng mit den kommerziellen Datensammlern?
Kurz: Praktisch ist das so. Früher waren es nur die Bahn und die Autovermieter, die so eine Datensammlung hatten, die man in einem Ermittlungsverfahren sehr praktisch finden kann. Heute kann der Staat problemlos auf alle kommerziellen Datensammlungen zugreifen. Die Unternehmen haben da nicht so eine große Wahl, weil es in vielen Bereichen die Pflicht gibt, mit den Ermittlungsbehörden zusammenzuarbeiten.
Wo geht die Reise hin, was muss man für die Zukunft im Umgang mit seinen Daten bedenken?
Kurz: Man sollte immer bedenken, dass Informationen Macht über Menschen bedeuten. Und wie diese Informationen benutzt werden, insbesondere auch im Arbeitsverhältnis, ist eine Debatte, die wir führen müssen, damit der Arbeitgeber seine Machtposition nicht weiter ausbauen kann. Natürlich auch im Verhältnis Bürger/Staat. Wer verdient an meinen Daten? Wie transparent geht man damit um? Es wäre auch vorstellbar, dass statt der Beschneidung der Geschäftsmodelle eine absolute Transparenzpflicht für soziale Netzwerke oder Datensammler wie Google eingeführt wird, damit diese Firmen ihren Nutzern viel deutlicher machen, was sie mit den Daten tun.
Es soll inzwischen auch Software geben, die aus den Datenspuren in Intranetzen von Unternehmen den Wert eines Arbeitnehmers ermittelt.
Kurz: Ja, es gibt Firmen, die Arbeitgebern so etwas anbieten, eine davon ist Cataphora. Mit der Software wird der Datenstrom des Mitarbeiters analysiert: Emails, Internetnutzung, Chat. Man guckt sich an: Was ist der Inhalt der Mails? Wer sind die Mitarbeiter, die im Arbeitsprozess gefragt sind, wer steht mehr am Rand des Teams? Wo kommen die Impulse her? Wer antwortet zu welchen Zeiten? Daraus schätzen die Firmen für den Auftraggeber den Wert des Mitarbeiters ein. Denn man wird lieber in einen Mitarbeiter investieren und ihn fortbilden oder befördern, wenn er sich als leistungsfähig und wichtig darstellt. Und man wird sich eher von den Leuten trennen, die als nicht so wichtig für das Unternehmen gelten. Das ist eine ganz rationale Abwägung des Arbeitgebers und da es heute möglich ist, wird es auch gemacht. Für mich stellen sich da sehr viele ethische Fragen…
Welche?
Kurz: Etwa inwieweit ein Arbeitgeber seine Angestellten nach reinen Effizienzkriterien bewerten darf, ob er physische und mentale Leistungsfähigkeit algorithmisch und damit maschinell bewerten lassen darf. Letztlich geht es um Fragen danach, ob Computer darüber entscheiden, wie erfolgreich jemand im Arbeitsleben ist, ob er gefördert wird oder nicht.
Würden Sie selbst auch in die Politik gehen, um etwas zu verändern?
Kurz: Nein, ich bin sicher ein politischer Mensch und versuche Einfluss zu nehmen. Aber ich würde nicht in die Politik gehen. Bei der Selbstverständlichkeit, mit der Wirtschaftsverbände ganze Politiksparten bestimmen, würde ich das nicht machen wollen.
Zum Schluss: Gibt es eigentlich sichere Daten?
Kurz: Darüber kann man viel philosophieren. Man kann den Aufwand so erhöhen, dass die Wahrscheinlichkeit von Datendiebstahl oder Missbrauch geringer wird. Aber man sollte im Hinterkopf haben, dass es passieren kann. Es gibt immer noch viele Sicherheitslücken auf den Plattformen und wenig Motivation, Geld in die Sicherheit zu investieren.
Eine hundertprozentige Sicherheit kann es im Netz nicht geben, das ist eine Binsenweisheit. Aber es gibt ein paar Grundregeln, mit denen man einfach dafür sorgen kann, dass man nicht zu den Datenopfern gehört. Also, dass die Passwörter nicht zu trivial sind, dass man sie ab und an ändert und dass man nicht auf allen Plattformen denselben Benutzernamen hat. Diese einfachen Regeln kennen die meisten Menschen ja mittlerweile.