Sie vermessen uns, sie kapitalisieren uns, sie beschützen unsere Daten zu wenig. Und wir nehmen es hin, machen mit und entwickeln sogar Abhängigkeiten von den Tech-Anbietern. Aber es gibt verschiedene Wege, die aus diesem Dilemma führen könnten.
Made to measure“ heißt ein Kunstprojekt, das heuer auf der Ars Electronica gezeigt wurde. Übersetzt heißt das „Gemacht, um zu messen“ und der Titel bezieht sich auf Google, einen der Konzerne, die wir alle ständig fleißig mit unseren Daten füttern. So hat es auch jene Frau gemacht, die sich für das Kunstprojekt zur Verfügung gestellt hat. Genauer gesagt hat sie den Künstler*innen alle Daten geschickt, die Google bisher von ihr gesammelt hatte. Das Ziel: Anhand dieser Daten wollten die Künstler*innen sich ein Bild von der Frau machen: Wo lebt sie? Was arbeitet sie? Wie sieht sie aus? Was isst sie? Wie spricht sie? Sie engagierten eine Schauspielerin, die Szenen aus dem Leben der Frau, so wie sie es sich vorstellten, darstellte. Wie viel davon der Realität entsprach und wie viele Details die Daten hergaben – bis hin zu einer Schwangerschaft und Fehlgeburt –, schockierte die Frau.
„Made to measure“ führt vor Augen, was eigentlich bekannt ist: Die Daten, die wir im Internet hinterlassen, sind sehr aussagekräftig. Und die Konzern e, denen wir sie geben, haben enorme Macht. Unzählige Datenskandale legen nahe, dass unsere Daten bei den Tech-Giganten nicht in guten Händen sind: Sie werten sie aus, um uns zu manipulieren, verkaufen sie weiter, die Daten werden von Hackern gestohlen oder von Geheimdiensten gesammelt. Doch Hand aufs Herz: Kehren wir deshalb Facebook und WhatsApp den Rücken zu und nutzen nur noch alternative Messenger- Dienste und Suchmaschinen, von denen wir annehmen, dass unsere Daten bei ihnen sicher sind? Verschlüsseln wir seit dem NSA-Skandal unsere E-Mails und Dokumente? Haben wir unsere Android-Smartphones, die nur mit einem G-Mail-Account funktionieren, in den Müll geworfen?
Warum wir trotzdem weitermachen wie bisher, kann Lennart Freyth de Polo León, wissenschaftlicher Mitarbeiter an der Abteilung für Arbeits-, Organisations- und Medienpsychologie der JKU, erklären. Er ist auf die Nutzung von Social Media, Dating- und Messenger-Apps und Persönlichkeitsforschung spezialisiert. Laut Freyth nutzen diese Angebote menschliche Bedürfnisse – etwa nach Interaktion, Bestätigung und sozialem Wettbewerb – aus. Auch die Angst, etwas zu verpassen, spielt eine Rolle. Das Ziel der Anbieter: „Die Technologien sind darauf angelegt, uns süchtig zu machen, denn einen Gewohnheitskunden kriegt man leichter als einen neuen.“ Das gelingt etwa, indem uns negativ emotionalisierende Inhalte gezeigt werden: „Wenn dunkle Persönlichkeitseigenschaften getriggert werden, verharrt man ungefähr doppelt so lange auf einer Seite wie bei positiven. Ein negatives Posting wirkt somit aktivierender als ein positives.“ Letztlich entsperren wir unser Smartphone im Schnitt 150 Mal am Tag und verbringen elfeinhalb Stunden vor einem Screen.
Eine gesellschaftlich akzeptierte Verhaltenssucht
Freyth spricht von Smartphone- Sucht: „Es ist eine Verhaltenssucht, auch wenn sie gesellschaftlich akzeptiert und etwas anderes als eine Substanzsucht ist.“ Einem Junkie, der seinen Stoff bekommen will, sei Geld egal: „Und uns sind die Daten relativ egal, die wir hergeben, weil wir dazugehören und am gesellschaftlichen Leben teilnehmen wollen.“ Das Smartphone befinde sich im Schnitt weniger als eine halbe Stunde pro Tag außer Griffweite – in dieser Zeit müsse unsere Persönlichkeitsentwicklung stattfinden: „Wir werden durch die Online- Welt erzogen.“
Was könnte gegen diese Sucht wirken? Aufklärung ist ein Teil der Lösung. Freyth weist etwa darauf hin, dass die Cookie-Nutzung eher abgelehnt wird, „wenn man vorher juristisch aufgeklärt oder auf die Thematik hingewiesen wurde“. Aber es sei zu spät, die Problematik auf individueller Ebene zu lösen: „Das Wichtigste ist, dass der bewusste Umgang mit den Technologien zum gesellschaftlichen Thema wird. Wir müssen ihn schon unseren Kindern beibringen – nicht nur im Sinne von Medienkompetenz, sondern darüber hinaus.“ Erwachsene hätten eine Vorbildfunktion: „Wenn das Handy die Aufmerksamkeit der Eltern bekommt, prägt das die Kinder nachhaltig.“ Es gehe darum, jungen Menschen Wertschätzung für das echt e Leben zu vermitteln.
Auch Corinna Hörmann, Universitäts- Assistentin an der Abteilung für MINT-Didaktik der JKU, ist überzeugt, dass das Bewusstsein für den Umgang mit Daten früh geschult werden muss: „Es reicht nicht, wenn man sich erst als Jugendlicher mit Themen wie dem Recht am eigenen Bild beschäftigt und damit, welche Daten man preisgeben möchte.“ Sie verweist auf das Angebot von Safer Internet: Die Initiative bietet auf ihrer Website viele Infos zur sicheren Internet-Nutzung an – für Kinder, Eltern und Lehrkräfte – und führt Workshops an Schulen durch. Laut Hörmann, früher selbst Lehrerin, funktioniert die Bewusstseinsbildung besonders gut, wenn man Kinder über ihre Erfahrungen erzählen lasse, zum Beispiel darüber, wie ein Schulkollege ohne ihre Zustimmung ein unvorteilhaftes Foto von ihnen gepostet hat. So toll Workshop-Angebote auch sind, Hörmann sagt: „Einmalige Workshops helfen nicht viel. Man muss integrativ arbeiten und diese Dinge regelmäßig anwenden.“ Zwar ist im Curriculum der Schulen digitale Grundbildung für die Sekundarstufen I verpflichtend: „Digitale Grundbildung ist nicht nur für den Informatik-Unterricht vorgesehen, sondern geht quer über die Fächer drüber.“ Doch die Umsetzung sei noch uneinheitlich: „Manche Schulen haben eigene Fächer für digitale Grundbildung, andere machen’s integrativ. Manche machen viel, andere wenig.“
Hörmann sieht die Verantwortung aber nicht nur beim Bildungssystem: Auch zu Hause müssten Kinder den Umgang mit Sozialen Medien und Co. lernen. Die Eltern seien dafür verantwortlich, wie ihre Kinder Online-Angebote nutzen. Die Anbieter würden sich mit Altersfreigaben absichern: „Sie schützen sich, indem sie sagen: Der Button ‚Ich bin über 16‘ wurde angeklickt.“ Doch schon die meisten Volksschulkinder besitzen ein Smartphone und nutzen Apps, die erst ab 13 oder 16 freigegeben sind. Hörmann schließt sich aber der Meinung der ehemaligen Facebook-Mitarbeiterin Frances Haugen, die glaubt, dass die Produkte von Facebook Kindern schaden, so nicht an: „Alles kann im Übermaß schaden, aber man kann die Angebote auch sinnvoll nutzen. Man darf nicht vergessen, dass die Öffnung des Internets einen extremen Informationsgewinn gebracht hat.“
Mit europäischen Werten nicht vereinbar
Auch aus der Sicht von René Mayrhofer, Vorstand des Instituts für Netzwerke und Sicherheit an der JKU, bietet das Internet viele Vorteile. Zugleich arbeitet er daran, die Nachteile zu minimieren. Er leitet ein Christian Doppler Labor, das sich mit der digitalen Authentifizierung in der physischen Welt beschäftigt. Klingt kompliziert, lässt sich aber erklären: Es geht etwa um Zutrittskontrollen, die mit Fingerabdruck, Gesichts- oder Gangart- Erkennung funktionieren. Auch Contact-Tracing-Apps und digitale Führerscheine fallen in Mayrhofers Spezialgebiet. Er forscht daran, wie man diese Systeme designen kann, um hochsensible Daten vor Diebstahl und Missbrauch zu schützen – zum Beispiel durch dezentrale Datenbanken. Üblicherweise werden Daten zentral gespeichert – etwa beim Social- Credit-Scoring-System in China oder in Indien, wo biometrische Daten aller Inder*innen zur Voraussetzung werden, ein Bankkonto zu eröffnen oder eine Sozialleistung zu empfangen. So etwas sei „sehr beängstigend und mit europäischen Werten nicht vereinbar“.
Mayrhofer: „Unabhängig von der politischen Entscheidung ist es sehr gefährlich, so große Datenbanken aufzubauen, denn selbst Anbieter wie Facebook schaffen es nicht, ihre Datenbanken sicher zu halten.“ Je mehr Daten in einer Datenbank liegen, umso eher würde sie zum Angriffsziel. Der Gegenvorschlag: Jede*r wählt, wo die eigenen Daten gespeichert werden: „Ich möchte selbst entscheiden, wo mein Fingerabdruck, mein Gesichtsbild und all die Teile meiner digitalen Identität liegen – bei meiner Hausbank oder Religionsgemeinschaft, in Sozialen Netzwerken, auf einem Kleinserver daheim oder am Smartphone.“ Wenn die Daten kryptografische Signaturen haben, seien sie nicht fälschbar. Doch noch gibt es ungeklärt e Fragen, zum Beispiel: „Woher soll ein Grenzbeamter in einem Land, das ich bereisen will, wissen, dass meine Daten bei meiner Hausbank liegen?“ Es gebe hier erste Ansätze, aber noch kein fertiges System, das das Forschungsteam empfehlen kann.
Auch Stefan Rass, Inhaber des Lehrstuhls Secure Systems am LIT Secure and Correct Systems Lab der JKU, forscht daran, wie man den Zugriff auf Daten für Unbefugte erschwert – sowohl technologisch als auch organisatorisch. Er arbeitet daran, wie man Systeme stärken kann, sodass Angriffe zu aufwendig werden und mehr kosten, als sie bringen würden. Angreifer werden immer kreativer. Rass: „Im Gegensatz zum Phishing-Mail, wo gebrochenes Deutsch darauf hindeutet, dass es sich um einen Betrugsversuch handelt, wird für immer mehr Angriffe gezielt ein Köder für eine bestimmte Person ausgelegt.“ Ein Beispiel: „In meinem Fall könnte es sein, dass ich gebeten werde, meine Zugangsdaten in ein wissenschaftliches Publikationssystem einzugeben oder die Teilnahmegebühren für eine Konferenz einzuzahlen.“
Der Fortschritt in der Künstlichen Intelligenz und im Information Mini ng macht Angreifern die Arbeit leichter. Soziale Netzwerke seien eine Fundgrube an Informationen, die helfen, gezielt Köder auszulegen. Daher sei es ratsam, nur ausgewählte Inhalt e auf Sozialen Medien zu veröffentlichen. Ist etwas einmal online, ist es so gut wie unmöglich, es wieder aus dem Netz zu bekommen. Angreifer können sich zudem Hilfe holen: „Einen Virus einzuschleusen, ist eine Dienstleistung, die im Darknet angeboten wird: Ich kann zu Softwareherstellern gehen, die den Virus für mich bauen, und zu einem Spammer, der ihn für mich teilt. Das ist ein kompletter Markt geworden.“ Letztlich könne man sich nie zu 100 Prozent gegen Angriffe absichern. Ein Restrisiko bestehe auch beim besten Schutz, weil es sein kann, dass ein Angriffspfad verwendet werde, den man noch nicht kennt. Möglich sei es daher nur, eine Art „Best Effort“ zu erreichen.
Den nächsten Schritt der Angreifer frühzeitig erkennen
Mit dem technischen Fortschritt wachsen automatisch auch die Gefahren des Hackings. Ein Beispiel sind etwa autonome Fahrsysteme. Computersicherheits- Experte und JKU-Absolvent Gerhard Eschelbeck arbeitet als Chief Security Officer für Aurora, einen Anbieter autonomer Fahrsystem e im Silicon Valley. Dort ist er für die Entwicklung neuer Technologien zuständig, um autonome Fahrzeug e vor Hackern zu schützen: „Durch die zunehmende Vernetzung haben sich die Bedrohungsszenarien in den letzten Jahren stark verändert.“ Die Aufgab e seines Teams sei es, „wie bei einem Schachspiel immer einen Schritt voraus zu sein und den nächsten Schritt der Angreifer frühzeitig zu erkennen“.
Kann Eschelbeck, früher Sicherheitschef von Google, nachvollziehen, dass sich viele User immer mehr wie gläserne Menschen fühlen und das Gefühl haben, unter allen Umständen – auch unter Freigabe ihrer wichtigen persönlichen Daten – bei Tech-Angeboten dabei sein zu müssen? „Unsere größte Notwendigkeit ist der verantwortungsvolle Umgang mit Benutzerdaten. Um das Vertrauen der Benutzer zu gewinnen, ist Transparenz und Kontrolle durch sie erforderlich.“ Nur die Eigentümer*innen von Daten sollten laut Eschelbeck in der Lage sein, zu entscheiden, wie und wo ihre Daten verarbeitet würden. Aus seiner Sicht werde es notwendig sein, im Internet einerseits als „Public Persona“ zu agieren und andererseits als Privatperson, die besonderen Schutz benötigt.
Doch so sehr Sicherheits-Experten sich anstrengen und so sparsam wir mit unseren Daten umgehen: Wir können immer Opfer eines Hacks oder Datenlecks werden, schon allein, weil wir Kund*innen von Unternehmen sind, die unsere Daten speichern. Es gibt unzählige Fälle, in denen Firmen ihre Kund*innendaten inklusive Adressen, Geburtsdaten und Kreditkartennummern gestohlen wurden. Dann bleibt einem nur der Rechtsweg. Laut Rechtsanwalt Severin Hammer gibt es im Datenschutz-Recht zwei Rechtsschutz- Instrumentarien: zum einen das Beschwerderecht bei der Datenschutzbehörde, zum anderen die Möglichkeit, eine Klage bei einem Landesgericht einzubringen und neben den Betroffenenrechten auch Schadenersatz einzufordern. Wobei der erste Schritt laut Hammer immer derselbe ist: „Wer das Gefühl hat, mit seinen Daten wird Schindluder betrieben, muss ein Auskunftsbegehren stellen.“ Erst danach beginnt die Arbeit der Rechtsanwälte. Aber wie erfährt man überhaupt, dass die eigenen Daten vielleicht gestohlen wurden? „Entweder Sie erfahren es aus den Medien oder Sie haben einen persönlichen Nachteil.“ Zweiteres kommt etwa immer wieder vor, wenn jemandem ein Kredit verweigert wird und diese Person über ein Auskunftsbegehren erfährt, dass es in der Datenbank einer Kreditauskunftei einen falschen Eintrag über sie gibt. Die Löschung eines solchen Eintrages lässt sich einklagen.
Hemdsärmeliger Umgang mit Daten durch Unternehmen
Gerade bei Datenschutzvergehen, von denen in der Regel viele Menschen betroffen sind, machen Sammelklagen Sinn. In Österreich koordiniert solche etwa der Verein Cobin Claims. Severin Hammer vertritt zum Beispiel in einer Sammelklage Klient*innen, die durch den Datenskandal der Post geschädigt wurden – der Fall liegt derzeit beim EuGH. Hammer wundert sich jedenfalls, „wie hemdsärmelig unternehmensseitig oft mit Daten umgegangen wird“. Und er hält es für wichtig, Verstöße nicht hinzunehmen, sondern sich mit rechtlichen Mitteln zu wehren: „Wenn die Leute ihre Ansprüche nicht geltend machen, wird sich am aktuellen Zustand nichts ändern und es werden weiter jene Verantwortlichen prämiert, die sich nicht an die Datenschutzgesetze halten.“
Wenn es um unsere digitale Identität geht, um die Nutzung von Smartphones und Sozialen Medien, aber auch um unser Dasein als Konsument* innen, ist es unvermeidbar, dass wir Datenspuren hinterlassen. Was aus gesellschaftlicher Sicht mit diesen Daten passieren darf und soll, ist eine der großen Fragen unserer Zeit. All die aufgezeigten Wege – von Bildung über die Entwicklung sicherer Technologien bis hin zu Datenschutz- Gesetzen – sind Versuche, ein System im Zaum zu halten, das gefühlt ständig droht, aus dem Ruder zu laufen – und es immer wieder tut. Aber bleiben wir zwangsoptimistisch: Vielleicht sind die Datenskandale, -Leaks und -Hacks nur – um zur Schach-Metapher zurückzukehren – notwendige Bauernopfer auf dem Weg zur Hoheit der Bürger*innen über ihre Daten. Vielleicht bieten sie der Gesellschaft die beste Gelegenheit, eine technologische Resilienz zu entwickeln, die sich sehen lassen kann.