„Wir sind über den Punkt hin­aus, wo wir Kontrolle über un­se­re Daten aus­üben kön­nen.“

Mario Sixtus, Love Lane - Do Not Enter :(. CC BY-NC-SA 2.0

Was den Datenschutz angeht, ist Facebook das Sorgenkind unter den sozialen Netzwerken. Kaum eine Woche vergeht, dass keine neuen Vorwürfe fallen: ob Datensammeln, Privatsphäre-Einstellungen oder Gesichtserkennung. Informatikerin und Privacy-Expertin Seda Gürses über die Frage, wo die wirklichen Probleme liegen.

Wie wird gegenwärtig über das Thema soziale Netzwerke und Privacy – dieser Begriff ist ja weiter gefasst als die deutschen Begriffe Privatsphäre oder Datenschutz – geredet? Was sind die Probleme?

Seda Gürses: Privacy wird in der Öffentlichkeit sehr kontrovers diskutiert, aber die Probleme gehören oft völlig unterschiedlichen Kategorien an. Beim Thema soziale Netzwerke stoßen wir etwa auf zwei unterschiedliche Diskurse. Das ist auf der einen Seite das, was wir mit „Befreiungstechnologien“ umschreiben können. Das haben wir mit dem sogenannten Arabischen Frühling erlebt, wo in den Medien plötzlich Facebook und Twitter als Werkzeuge des politischen Widerstands wahrgenommen wurden. Demgegenüber gibt es den Diskurs, wie soziale Netzwerke unsere Privatsphäre einschränken und unsere Rechte verletzen.

Beide Diskussionen beschreiben zwei sehr unterschiedliche Problemstellungen. Beim ersten geht es um staatliche Überwachung und darum, wie private Netzwerke für den Austausch von Meinungen benutzt werden, der im Idealfall frei von staatlichen Eingriffen sein soll. Das ist eine sehr klassische, politische Definition von persönlicher Freiheit und Privatsphäre gegenüber dem Staat. Der andere Diskurs dreht sich eher um das Nutzererlebnis, um den Nutzer als Konsumenten einer Dienstleistung. Dabei steht für Nutzer die Transparenz im Vordergrund, dass sie wissen, wohin die Daten fließen und was mit ihnen gemacht wird.

Wie wichtig ist die Datenschutz-Gesetzgebung im Bezug auf dieses zweite Nutzungsszenario?

Datenschutzgesetze sind auf jeden Fall wichtig, aber nicht ausreichend. Man kann Privacy nicht auf Datenschutz reduzieren, sondern muss weitere Fragen stellen. Es gibt zum Beispiel dieses Projekt „Europe vs. Facebook“, das von einer österreichischen Gruppe initiiert wurde. Die haben eine Liste gemacht, in welchen Bereichen Facebook die Datenschutzrechte seiner Nutzer verletzt und Facebook bei der irischen Datenschutzbehörde angezeigt, weil diese in Europa für Facebook zuständig sind. Das ist eine ganz bestimmte Weise, Privacy zu betrachten, die auf persönliche Daten und auf bestimmte Mechanismen wie Einwilligung bezogen ist. Die irische Datenschutzbehörde hat reagiert und arbeitet mit Facebook daran, diese Probleme zu lösen. Allerdings gibt es ein Machtgefälle zwischen einer solchen Behörde und Facebook und das wird sich auf die Lösungen niederschlagen – in der Regel sitzt da eine multinationale Firma am längeren Hebel. Außerdem löst das das Privacy-Problem von politischen Aktivisten nicht.

Aber ist es nicht gut, dass sich jemand darum kümmert, dass Firmen wie Facebook nicht alles mit unseren Daten machen können?

Wir sind über den Punkt hinaus, wo wir komplette Kontrolle über unsere Daten ausüben können. Dabei spreche ich nicht nur von Facebook, sondern auch von Diensten wie Webmail oder unseren Handydaten. Es gibt natürlich Privatsphäre-Einstellungen für soziale Netzwerke, über die man einschränken kann, wer welche Einträge sieht und wer nicht. Man darf aber nicht vergessen, dass der Diensteanbieter immer Zugang zu allen Daten hat. Wenn man sich in der Informatik etwas auskennt, dann weiß man, dass das nicht notwendigerweise so sein muss, es gibt andere technische Möglichkeiten. Das ist eine Design-Entscheidung. Aber die Frage, wer deine Nachrichten in seinem Newsfeed sieht, wird dadurch nicht beantwortet – das entscheiden nämlich Algorithmen, die die Nutzer nicht beeinflussen können. Auch das gehört zu Privacy.

Was können Nutzer konkret tun, damit ihre Interessen gehört werden und mit ihren Daten kein Schindluder getrieben wird?

Das Wichtigste, was Nutzer tun können, ist es, sich zusammenzuschließen, sich über Missstände zu beschweren und technische, politische und juristische Änderungen zu fordern. Technologie muss nicht so datenintensiv und aufdringlich sein, wie sie es jetzt ist. Das aufdringliche, datenintensive Technologie-Design, das im Augenblick genutzt wird, ist ein Ergebnis der Ideologie, dass mehr Daten mehr Profit und mehr Kontrolle bedeuten. Da sollten wir ansetzen. Technische Alternativen, wie dezentrale soziale Netzwerke (ein Beispiel dafür ist etwa n-1 von Lorea) sind auch spannend, sie sind aber nur Teillösungen, wenn das ganze Web zu einen Überwachungswerkzeug entwickelt wird.

Wir sollten auch vorsichtig sein, wenn wir Privacy auf Regeln der Selbstkontrolle reduzieren, also wie man sich auf sozialen Netzwerken verhalten soll. Diese Regeln sind oft sehr normativ und propagieren konservative gesellschaftliche Moralvorstellungen. Zum Beispiel: Pass auf, was du postest; schreibe nichts über deine Sexualität, vor allem wenn sie nicht der Norm entspricht; lade keine Fotos hoch, in denen du deinen unbekleideten Körper zeigst; schreibe nicht, dass du bestimmte Dinge genießt; schreibe nicht über deinen Arbeitgeber oder über politische Dinge. Das führt zu Selbstzensur.

Was halten Sie von der Diskussion über Opt-in und Opt-out? Brauchen wir Gesetze? Müssen die Nutzer allen neuen Features zustimmen, bevor sie aktiviert werden?

Ich würde das pauschal nicht so sagen wollen. Viele dieser Dienste würden nicht funktionieren, wenn es Opt-in-Lösungen wären, weil sie eine kritische Masse brauchen. Ein gutes Beispiel ist die Geschichte des Newsfeeds bei Facebook. Als er 2006 eingeführt wurde, haben viele Nutzer gesagt, dass sie das nicht wollen. Bis dahin war das so, dass die Leute auf deine Seite kommen mussten, um deine Updates zu sehen. Es haben sich Facebook-Gruppen mit Hunderttausenden von Nutzern gegründet, um gegen den Newsfeed zu protestieren. Ziemlich bald wurde aber der Newsfeed das populärste Feature von Facebook. Es geht jetzt nicht darum zu behaupten, dass der Newsfeed großartig ist – die Einführung hat aber nur funktioniert, weil es ein Opt-out war und kein Opt-in.

Außerdem ist es gar nicht schlecht, wenn man ein bisschen experimentierfreudig ist. Ich finde die Diskussion darüber, was das digitale Leben mit uns macht, viel wichtiger. Und das können wir nur herausfinden, wenn wir Dinge ausprobieren. Dabei muss man natürlich vorsichtig sein: Wenn eine Firma so groß wird, wie Microsoft, Facebook oder Google, dann bestimmt sie, was wir ausprobieren können. Das ist natürlich ein Problem. Da ist eine kritischen Begleitung nötig, um zu entscheiden, was ist gut, was ist schlecht und was kann man ändern.

Wenn Sie auf das Jahr zurückblicken: Wohin geht die Entwicklung? Eher positiv oder negativ?

Bezüglich der neueren Entwicklungen mache ich mir inzwischen mehr Sorgen über Webtracking als über Social Networks. Bei sozialen Netzwerken hat man immerhin eine Firma, die einem gegenübersteht, mit der man irgendwie reden kann, auch wenn es einen großen Machtunterschied gibt. Bei Webtracking weiß ich nicht mehr, wer mich beobachtet, wer meine Daten sammelt und sie unter sich austauscht. Da brauchen wir Gesetze, die regeln, was erlaubt ist und was nicht. Die gute Nachricht ist, dass die Privacy- und Security-Community diese Frage endlich entdeckt hat – wenn auch relativ spät. Wir nehmen jetzt endlich wahr, was für eine Riesenindustrie dahintersteckt. Im Vergleich dazu sind Social Networks nett, da sie ihre Datensammlungsaktivitäten wenigstens explizit machen und die Daten in der Regel für sich behalten. Webtracking halte ich für wirklich gefährlich. In dem Sinne der Kampf geht weiter.

Seda Gürses

Seda Gürses

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit und Überwachung, und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Foto: Privat
Seda Gürses