Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken.
Vielfalt erhalten und Machtkonzentrationen verhindern – darum geht es bei dezentralen Netzwerken. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Unsplash/Omar Flores
Gut drei Jahre ist es her, dass Elon Musk Twitter gekauft hat. Viele Nutzer:innen verloren daraufhin ihr digitales Wohnzimmer. Und schnell wurde klar, dass die Plattform fortan der Willkür eines einzelnen Tech-Unternehmers unterliegt. Als Musk Mitarbeiter:innen aus dem Kern-Team entließ und die Bezahlversion für das umgetaufte Twitter einführte, verließen viele die Plattform und wandten sich Mastodon zu.
Das Versprechen hinter Mastodon: Das dezentrale Netzwerk entzieht sich der Kontrolle einer einzelnen Person. Denn hier geht es nicht um Profit, sondern vielmehr um eine digitale Gemeinschaft von Menschen, die die Kontrolle über ihre Kommunikationskanäle selbst in die Hand nehmen. Aber können dezentrale Netzwerke dieses Versprechen einlösen? Und wie dezentral sind sie tatsächlich?
Mit diesen Fragen beschäftigte sich Marco Wähner auf dem Chaos Communication Congress in Hamburg. Im Interview spricht der Soziologe über seine Forschung. Wähner arbeitet am Center for Advanced Internet Studies (CAIS) als wissenschaftlicher Mitarbeiter in der Abteilung Research Data and Methods.
„Wir haben eine Zentralität innerhalb der Dezentralität“
Marco Wähner - Alle Rechte vorbehalten Privat
netzpolitik.org: Du forschst zu dezentralen Netzwerken. Was ist deine Motivation?
Marco Wähner: Ich wollte wissen: Sind dezentrale Netzwerke der Goldstandard, der selbst nicht hinterfragt werden muss? Dafür habe ich mir unter anderem das Fediverse angeschaut.
netzpolitik.org: Was ist die wesentliche Erkenntnis deiner Untersuchung?
Wähner: Es gibt auf der einen Seite die Idee der Dezentralität. Auf der anderen Seite kann man allerdings auch in dezentralen Netzwerken einen Trend zur Zentralität beobachten. Im deutschsprachigen Ökosystem von Mastodon kann man etwa beobachten, dass sich 80 Prozent der Nutzer:innen mit ihren Accounts auf nur 14 Instanzen verteilen. Wenn man bedenkt, dass das gesamte Ökosystem aus etwa 240 Instanzen besteht, veranschaulicht das eine starke Konzentration. Da haben wir eine Zentralität innerhalb der Dezentralität.
netzpolitik.org: Woran liegt das?
Wähner: Wir haben uns daran gewöhnt, dass soziale Medien uns eine Atmosphäre bieten, in der alles für uns vorkonfiguriert ist. Auf Mastodon hat man viele Mitgestaltungsmöglichkeiten, aber es ist auch Aktivität erforderlich. Nutzer:innen müssen sich aktiv darin einbringen, die digitale Infrastruktur zu pflegen. Wir kriegen hier die Chance, uns technologisch von großen Plattformen unabhängiger zu machen, aber dafür müssen wir auch etwas tun.
Außerdem lässt sich eine Parallele zu den Anfängen des Internets ziehen. Das hat als dezentrales Konstrukt angefangen, inzwischen kam es hier aber zur Zentralisierung. Das liegt daran, dass Menschen nur einen Bruchteil des Internets für Informationen, Wissen und Austausch nutzen. Regelmäßig besuchen sie nur wenige Websites.
Ein wesentlicher Faktor ist aber auch die Monopolbildung technologischer Konzerne. Es gibt starke Machtkonzentrationen auf wenige Plattformen und wenige Unternehmen, die hinter diesen Plattformen stecken. Ich finde das Bild einer vor Banalitäten blinkenden Einkaufs-Mall passend, wo immer unterschiedliche Verkaufsangebote dargestellt werden, die so mehr oder weniger über die ursprüngliche Idee des Internets drübergebaut worden ist. Und ich denke, dass wir das Potenzial des Internets nicht ausnutzen. Vielmehr ist es geprägt durch Konsum, durch Warenangebote.
Das Prinzip des Gemeinguts
netzpolitik.org: Warum kam es zu dieser Entwicklung hin zu Zentralisierung und Monopolen?
Wähner: Das ist eine komplexe, aber nicht überraschende Entwicklung. Und sie hängt vor allem damit zusammen, dass Angebote, Zugänge und Inhalte monetarisiert wurden. Hierdurch wurde die Monopolstellung einzelner Unternehmen stark begünstigt.
netzpolitik.org: Was unterscheidet dezentrale Netzwerke davon?
Wähner: Das zentralisierte Internet folgt dem Prinzip des Privateigentums. Dort entscheidet eine zentrale Autorität, was mit einer Infrastruktur passiert, wer Zugang hat und Ähnliches. Diese Autorität ist allein durch Eigentum legitimiert. Ein gutes Symbolbild dafür ist Elon Musk, der ein Waschbecken in die Büros von Twitter hineinträgt. Als neuer Eigentümer konnte er das machen.
Das löste bei vielen ein Störgefühl aus, denn Twitter wurde als öffentlich-digitaler Raum verstanden und genutzt. Wie instabil so ein öffentlicher Raum ist, zeigte sich, als sich jemand als Privateigentümer durchgesetzt hat.
Dezentrale Netzwerke folgen dem Prinzip des Gemeinguts. Dementsprechend gibt es keine zentrale Autorität, die darüber entscheidet, wie Ressourcen verteilt werden, wer Zugang zum Netzwerk hat, wie das Netzwerk wächst. Hier geht es um Selbstverwaltung.
Es braucht die zivilgesellschaftliche Basis
netzpolitik.org: Könnte da die öffentliche Hand unterstützen?
Wähner: Wichtig ist die Frage, wer hat die zentrale Autorität. Die sollte nicht bei der öffentlichen Hand liegen, sondern bei der Zivilgesellschaft.
Gleichwohl könnte man hier aber gesetzgeberisch aktiv werden. Ein Weg könnte darin bestehen, dass die Arbeit einzelner Akteure aus der Zivilgesellschaft, die digitale Infrastruktur für die Gemeinschaft zur Verfügung stellen, als gemeinnützig anerkannt wir. Zudem ist das digitale Ehrenamt sicher ein guter Weg, wenn sich Menschen im digitalen Raum ehrenamtlich engagieren.
Behörden und andere öffentliche Einrichtungen sollten Mastodon nutzen und ihre Inhalte dort zur Verfügung stellen. Damit können sie dem Netzwerk auch Schub verleihen. Doch es braucht die zivilgesellschaftliche Basis, um sich von einzelnen Personen und Akteuren unabhängig zu machen.
Eine echte Option zur bestehenden Zentralität
netzpolitik.org: Was ist deine Forderung?
Wähner: Angesichts des Trends zu Zentralisierung bei dezentralen Netzwerken wie Mastodon müssen wir uns als Zivilgesellschaft eines bewusst machen: Wir brauchen dauerhaft Power, damit wir mittel- und langfristig dezentrale Alternativen haben.
Es ist einfach, monetäre Interessen zu mobilisieren. Gemeinschaftliche Interessen bringen immer Zielkonflikte mit. Wenn wir wollen, dass dezentrale Netzwerke frei von Profitdenken bleiben, müssen wir in Zukunft Organisationen, Vereine und Nichtregierungsorganisationen stärken. Die können schon jetzt ihre Mitglieder mobilisieren. Sie sind in der Lage, digitale Infrastrukturen zur Verfügung zu stellen und auch Anknüpfungspunkte für Menschen zu schaffen, um dezentrale Netzwerke zu nutzen.
netzpolitik.org: Also seid aufmerksam und sorgt dafür, dass dezentrale Netzwerke dezentral bleiben?
Wähner: Vor allem sollten sie Menschen über die Bubble hinaus mitnehmen, also auch aus der breiten Zivilgesellschaft. Überwindet den Zielkonflikt der digitalen Ungleichheit. Wir sollten uns immer fragen, wie wir Menschen befähigen, Teil dieser Netzwerke zu werden und sich damit auseinanderzusetzen. Und wie wir das als echte Option zur bestehenden Zentralität in die öffentliche Debatte tragen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Digitale Modelle von Skeletten werden neuerdings in Strafverfahren genutzt. Warum ist das etwas anderes als ein Fingerabdruck? Und warum ist es nicht ratsam, derartige Beweismethoden für eine Anklage zu nutzen? Darüber sprechen wir im Interview mit zwei Fachleuten.
Wem gehört dieses Skelett? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz
Dass Fingerabdrücke oder DNA-Spuren in Strafverfahren als Beweise herangezogen werden, ist weit verbreitet. Aber mittlerweile halten zunehmend neue Technologien in die Gerichtssäle Einzug. Ein Beispiel: 3D-Modelle von mutmaßlichen Täter:innen werden automatisiert mit Videoaufnahmen vom Tatort abgeglichen. So soll bestimmt werden, ob auf dem Video die vermutete Person zu sehen ist – ganz ohne Gesicht.
Auch im sogenannten Budapest-Komplex spielt das eine Rolle. In einem aktuellen Prozess werden einem Beschuldigten Angriffe auf Neonazis, darunter versuchter Mord, vorgeworfen. Die Anklage stützt sich auch auf eine Analyse mittels Skelett-Modell und den Abgleich mit Tatort-Videos.
Wir haben dazu mit Anne Zettelmeier und Prof. Dr. Dominik Brodowski von der Universität des Saarlandes gesprochen. Sie forschen zum Einsatz von Technologien im Justizwesen und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Sie forschen im von der Daimler und Benz Stiftung geförderten Ladenburger-Kolleg „Technologische Intelligenz zur Transformation, Automatisierung und Nutzerorientierung des Justizsystems (TITAN)“ und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Anne Zettelmeier - Alle Rechte vorbehalten Daimler und Benz Stiftung / Gerald Schiling
netzpolitik.org: Wie funktioniert eine Analyse mit digitalen Skeletten und wo kommt dabei eine KI zum Einsatz?
Zettelmeier: Um ein Skelettmodell einer Person zu erstellen, werden Marker an die Person angebracht – entweder händisch an bestimmten Körperstellen oder durch die automatisierte Erkennung bestimmter Punkte am Skelett.
Beim Einsatz in Strafverfahren geht es um den Vergleich zwischen dem erstellten digitalen Skelettmodell und einem Tatort-Video. Bei diesem Abgleich soll eine KI eingesetzt werden, um die beiden Täter-Skelett-Modelle zu vergleichen. Das Programm nennt dann am Ende eine Prozentzahl, mit welcher Wahrscheinlichkeit die Personen übereinstimmen und ein Verdächtiger die Person auf einem Tatort-Video ist.
netzpolitik.org: Mit welcher Software kann man das machen?
Brodowski: Mit Produkten, die auf dem Markt erhältlich sind und zur Modellierung von Bewegungsabläufen oder auch zur Identifikation von entsprechenden Markern dienen.
Allerdings sind diese Produkte teils für ganz andere Zwecke geschaffen worden, beispielsweise für die Filmindustrie, um verstorbene Schauspieler mit Bewegungen wieder zum Leben zu erwecken. In Kinofilmen geht es im Gegensatz zu Strafverfahren aber nicht um die Rekonstruktion einer materiellen Wahrheit. Da gelten ganz andere Zielrichtungen und Genauigkeitsmaßstäbe.
Biomechanische Gutachten und Computer-Simulation
netzpolitik.org: Ist der Ansatz, 3D-Modelle in Strafverfahren für eine Beweisführung zu nutzen, komplett neu?
Prof. Dr. Dominik Brodowski - Alle Rechte vorbehalten Jörg Pütz
Brodowski: Dass Skelettmodelle für die Beweisführung genutzt werden, ist noch relativ neu. Der Literatur zufolge wurde das allerdings bereits in anderen Verfahren eingesetzt, um Beschuldigte zu be- oder entlasten.
Bereits etablierter sind von Gutachtern erstellte Expertisen. Ein eindrückliches Beispiel hierfür ist der sogenannte Badewannen-Mord, bei dem sich im Nachhinein herausgestellt hat, dass es gar kein Mord war.
Ein Mann wurde dafür verurteilt und saß 13 Jahre lang unschuldig in Haft, bis ein Wiederaufnahmeverfahren nachgewiesen hat, dass er als Täter nicht in Betracht kommt. Dafür hat man unter anderem in einem biomechanischen Gutachten und per Computersimulationen untersucht, wie die Mechanik des menschlichen Körpers mit dem vermuteten Geschehen in Einklang zu bringen ist.
netzpolitik.org: Worin besteht der Unterschied, ob ich ein Verfahren zur Be- oder Entlastung nutze?
Zettelmeier: Gerade das ist eine wichtige Differenzierung. Es kann auf der einen Seite natürlich zur Entlastung beitragen, wenn Körperbau und Bewegungen einer Person gar nicht zu denen eines Menschen auf einer Aufnahme passen. Um solche Modell-Analysen aber zur Belastung von Verdächtigen zu nutzen, muss man sich sehr sicher sein – beispielsweise wenn ein KI-Modell zum Ergebnis kommt, dass es sich bei einer Person auf einem Video wahrscheinlich um den Tatverdächtigen handelt.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Eine Anklage oder am Ende sogar eine Verurteilung allein auf die Ergebnisse eines solchen Modells zu stützen, wäre ein Problem, weil diese Methode nicht ausreichend wissenschaftlich fundiert und untersucht ist. Wenn jemand falsch verurteilt wird und dann wie im Badewannen-Fall viele Jahre unschuldig in Haft sitzt, hat das schwerwiegende Folgen.
Brodowski: Für eine Verurteilung muss ein Gericht von der Schuld des Beschuldigten überzeugt sein und diese subjektive Überzeugung muss sich auch auf eine objektiv hohe Wahrscheinlichkeit stützen. Umgekehrt ist es aber so, dass bereits begründete Zweifel an der Schuld zwingend zum Freispruch zu führen haben. Dann greift der In-dubio-pro-reo-Grundsatz.
Das heißt, wenn wir nun anhand einer solchen Methodik Zweifel an einer Täterschaft eines Beschuldigten säen können, funktioniert das. Aber um als alleiniges Beweismittel dafür auszureichen, dass eine Person am Tatort war, braucht man eine ausgesprochen hohe Sicherheit hinter dieser Methodik. Die sehe ich zum aktuellen Zeitpunkt noch nicht.
Es braucht mehr Untersuchungen unter Realbedingungen
netzpolitik.org: Was bräuchte es denn dafür, dass solche Skelett-Analysen für eine Beweisführung vor Gericht genutzt werden könnten?
Brodowski: Mehr Untersuchungen zur Zuverlässigkeit der Methode, gerade unter Realbedingungen. Es ist ein Unterschied, ob man solche Analysen in einem Labor unter Idealbedingungen mit genügend Vergleichsmaterial durchführt oder ob man verrauschte Handyvideos und Schwarz-weiß-Aufnahmen einer Überwachungskamera nutzt.
Menschen bewegen sich auch im Laufe der Zeit unterschiedlich. Die Knochen bleiben dieselben, aber der Bewegungsapparat verändert sich im Laufe eines Tages, im Laufe von mehreren Monaten. Auch in Stresssituationen können sich Bewegungsmuster verändern. All diese Faktoren und ihre Auswirkungen müssen untersucht werden. Ich sehe da noch großen Forschungsbedarf.
Dazu kommt noch eine andere Problematik, die beim Einsatz von KI auftritt: Die Berechnungen und die Ergebnisse sind nicht gut nachvollziehbar. Das ist die sogenannte Blackbox-Problematik und Ansätze mit Explainable Artificial Intelligence und ähnlichem haben noch keinen durchschlagenden Erfolg gebracht.
Wenn wir nicht wissen, wie nun eine solche Blackbox von einem Ausgangsdatensatz zum Ergebnis kommt, müssen wir das immer mit Vorsicht genießen.
Uns fehlen diesesJahr noch 257.709 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Verteidiger:innen müssen sich bei digitalen Beweismitteln weiterbilden
netzpolitik.org: Welche Auswirkungen hat es denn auf die Verteidigung und die Richter:innen in Strafverfahren, wenn Ergebnisse eines KI-Modells in Strafverfahren einfließen und nicht klar nachvollziehbar ist, wie diese zustande kommen?
Zettelmeier: Im Zweifel kann das zu einem sogenannten Automation Bias führen. Das bedeutet, dass man sich zu sehr auf die generierten Ergebnisse verlässt und beruft.
Es gibt zum Beispiel in Spanien das VioGén-System, das nach Anzeigen von Frauen wegen Gewalt das Risiko berechnen soll, erneut Gewalt zu erfahren. Basierend auf dem Risiko kann es dann richterliche Anordnungen zum Beispiel für ein Näherungsverbot der früheren Täter geben. Dort gibt es auch die Kritik, dass sich die Richter zu stark auf das generierte Ergebnis berufen und es nicht mehr zu einer eigenständigen Überprüfung kommt.
Brodowski: Umso wichtiger ist deshalb, dass man Transparenz herstellt, wann und an welcher Stelle in Verfahren Künstliche Intelligenz eingesetzt wird. Es darf etwa nicht passieren, dass ein Sachverständiger sehr überzeugt im Gerichtssaal auftritt und dort sein schriftliches Gutachten präsentiert und man nur in Fußnoten herausfindet, dass bei bestimmten Auswerteschritten KI eingesetzt wurde.
Das entspricht auch nicht den Anforderungen, die aus der EU-KI-Verordnung folgen. Diese verlangt ein hohes Maß an Transparenz, um einem solchen Automation Bias entgegenwirken zu können.
Eine gute Verteidigung wird solchen Ansätzen nachgehen und versuchen, Zweifel an der Methodik zu säen. Das verlangt jedoch viel von der Strafverteidigung, die sich deswegen auch im Bereich solcher digitaler Beweismittel zunehmend professionalisieren muss. Während in der Vergangenheit der Fokus der Verteidigung häufig auf der Glaubwürdigkeit von Zeugenaussagen gelegen hat, muss sie sich zukünftig immer mehr auch auf die Aussagekraft von solchen digitalen Beweismitteln fokussieren und hier Fachkompetenz hinzuziehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Hoffentlich ohne technisches Knockout: Einige Runden braucht man, um Computer und Smartphones umzustellen. – CC-BY-NC 2.0SHYCITYNikon
Vor drei Jahren begann ein Selbstversuch, der eigentlich für etwa ein Jahr laufen sollte: Wie kann man sich ohne viel Vorwissen und technische Detailkenntnisse von all dem Werbe-Tracking, von den professionellen Datensammlern und auch generell vom Werbemarkt loslösen, dabei auch staatlicher Überwachung und Geheimdiensten ebenso wie Kriminellen besser entgehen? Katharina Larisch und Volker Wittpahl haben es versucht, haben ihre Hardware und Software umgestellt, ihre Kommunikation verändert, ihre Social-Media-Nutzung umgekrempelt.
Sie wollten ausprobieren, ob eine datenschutzfreundliche digitale Existenz mit dem ganz normalen Alltag mit Familie, Freunden und Berufsleben vereinbar ist. Sie suchten sich allerdings von Anfang an Hilfe – für konkrete technische Unterstützung und für den Fall, dass was schiefgeht. Wir haben Katharina und Volker sowie ihren Coach Klaudia Zotzmann-Koch in einem Interview gefragt, was sie gelernt haben und welches Vorgehen sie empfehlen können. Wo sind sie an Grenzen gestoßen? Wie geht die Umstellung mit dem normalen Leben zusammen? Wie konsequent haben sie es durchgezogen?
Es ging langsamer als erwartet, die Hoheit über die eigenen Daten und Systeme zu erlangen, denn der Umstieg auf freie Software und die weitgehende Vermeidung von kommerzieller Software wurde ein mehrstufiger Prozess. Als die Tester ein Jahr nach Beginn des Selbstversuchs über ihre Erfahrungen bei der PrivacyWeek 2019 gesprochen haben, resümierte Katharina: „Es ist kein Projekt mehr, sondern eine Art zu leben geworden.“
netzpolitik.org: Liebe Klaudia, lieber Volker, liebe Katharina, bitte beschreibt doch kurz, was für ein Projekt ihr zusammen durchzieht.
Volker Wittpahl: Ziel unseres Projektes war es, unter Betreuung und Anleitung herauszufinden, inwieweit es für technische Laien möglich ist, sich im privaten Umfeld digital mündig zu machen, und wie praktikabel und nutzerfreundlich diese Mündigkeit im Alltag ist.
Katharina Larisch: Ich wurde als Familienmitglied von Volker für das Projekt einfach „verkauft“ und habe initial des Hausfriedens willen mitgemacht. Nach jeder Session mit Klaudia wurde allerdings meine Laune schlechter und damit meine Motivation besser. Und meine Sensibilität für Datenlecks, vor allem im Gesundheitsbereich, hat deutlich zugenommen: Nachrichten dazu haben mich auf einmal deutlich mehr interessiert und mich förmlich angesprungen.
Klaudia Zotzmann-Koch: Nach der PrivacyWeek 2018, bei der Volker als Vortragender in Wien war, kontaktierte er mich im Nachhinein fragte, ob ich ihn und Katharina coachen könnte, um selbstbestimmter im Netz unterwegs sein zu können. Natürlich habe ich sofort Ja gesagt. Und Clemens Hopfer, den Volker ebenfalls auf der PrivacyWeek kennengelernt hat, ist wegen Linux und Hardware auch noch mit im Boot.
netzpolitik.org: Wie kam es dazu, dass ihr informationelle Selbstbestimmung ganz praktisch in die Tat umsetzen wolltet?
Katharina Larisch: Ich habe ich mich in der Vergangenheit mit Gesundheitsdaten und Datenanalytik beschäftigt und ein Gefühl dafür, was man aus scheinbar ganz harmlosen Daten lesen kann. Seitdem bekämpfe ich auch die „Ich habe ja nichts zu verbergen“-Floskel.
Volker Wittpahl: Meine Teilnahme an der PrivacyWeek in Wien und die dort gezeigten Möglichkeiten beim Umgang mit Technologie-Konzernen und durch quelloffene und freie Software waren ein Auslöser. Kurz vor der PrivacyWeek war mein damaliges Windows-Telefon kaputt gegangen, und ich hatte nur die Wahl zwischen iPhone und Android-Geräten. Als ich deswegen frustriert war, sagte mir Clemens, dass es natürlich freie Systeme gäbe, und zeigte mir sein LineageOS-Telefon. Das hat dann den Ausschlag gegeben.
Die einfachen Dinge zuerst
netzpolitik.org: Beschreibt doch mal, welche konkreten Änderungen ihr in eurem digitalen Leben vorgenommen habt und in welcher Reihenfolge ihr vorgegangen seid.
Katharina Larisch: Die einfachen Dinge zuerst: Messenger geändert, Browser mit Plugins bestückt, nichts Wichtiges mehr per unverschlüsselter E-Mail verschickt und nicht mehr im Browser auf „alles akzeptieren“ geklickt. Und dank Volker steht der Passwortmanager KeepassXC seit langem auf meiner Liste. Ich konnte mich damit noch nicht richtig anfreunden, für mich ist das ein „der Technik ausgeliefert sein“-Gefühl.
netzpolitik.org: Hast Du auch mit den einfachen Dingen begonnen, Volker?
Volker Wittpahl: Ich habe begonnen mit einer Inventur und Bestandsaufnahme von im Haushalt, also privat vorhandener Hardware, installierter und gekaufter Software inklusive Betriebsystemen sowie Internet- und Cloud-Diensten, wie auch Mail- und anderer Nutzerkonten.
Danach habe ich mich von allen „kostenfreien“ Diensten, Angeboten und Software – auch Betriebssystemen – kommerzieller Anbieter getrennt, im besonderen jener, die unter den US-amerikanischen Cloud Act fallen.
Dann habe ich mir ein Smartphone angeschafft, auf dem ein freies Betriebssystem – in meinem Falle LineageOS – eigenständig installiert wurde, natürlich mit F-Droid und nur freien und quelloffenen Apps.
Parallel begann ich mit dem Aufsetzen einer privaten Nextcloud und der Synchronisation aller Dateien und Adressdaten von dort auf allen privaten Geräten. Das endete nach einem Jahr, weil ich das Selbsthosting zugunsten von der Nutzung einer von einem deutschen Dienstleister gehosteten Nextcloud aufgegeben habe.
Außerdem wurde Linux – konkret Linux Mint – neben Windows auf den privaten Laptops installiert. Mittlerweile läuft bei mir nur noch Linux.
netzpolitik.org: Warum hast Du das Hosting von NextCloud beendet und greifst auf einen Dienstleister zurück, aus Sicherheitsgründen?
Volker Wittpahl: Mir fehlt das Wissen und die Erfahrung aus dem Bereich Server- und Netzwerkadministration, um alle notwendigen Patches und Updates regelmäßig einzuspielen. Nach dem ersten Update-Crash des Systems war für mich klar, dass der Aufwand und die Qualität eines professionellen Dienstleisters nach europäischen Sicherheitsstandards in Relation zum Selbsthosting preiswerter und zuverlässiger sind.
So niederschwellig wie möglich
netzpolitik.org: Wie kam es dazu, Klaudia, dass Du anderen helfen kannst und willst, selbstbestimmter mit den digitalen Werkzeugen umzugehen?
Klaudia Zotzmann-Koch: Ich bin Mit-Organisatorin der PrivacyWeek in Wien und seit 2015 aktiv im Chaos Computer Club. Ich habe selbst über mehrere Jahre hinweg gelernt, wie Dinge zusammenhängen, was hinter Tracking und verschiedenen Businessmodellen steht, aber auch, was man selber tun kann. In vielen Workshops, die ich seit 2016 dazu gebe, sehe ich auch, woran es immer wieder hakt und welche Fragen „Normaluser:innen“ haben.
Klaudia Zotzmann-Koch.
Das sind üblicherweise ganz andere, als IT-Kundige und politische Entscheidungsträger:innen meinen. Während viel von informationeller Selbstbestimmung, informierten Zustimmungen zu Datenverarbeitung und anderen abstrakten Konstrukten geredet wird, sind die Probleme überwiegend viel weiter vorne. Schon allein Software- und Hardwarefehler zu unterscheiden, fällt den meisten schwer: Das Ding ist einfach kaputt. Selbst etwas programmieren, davon sind wir ganz weit weg. Oder auch davon, die Zusammenhänge hinter den Kulissen datenverarbeitender Firmen zu durchschauen. Für die meisten sind Datenschutzerklärungen oder AGBs unnütze Informationstexte, die man schnell wegklickt, weil man gerade ein ganz anderes Problem zu lösen hat.
Es ist mir seither ein echtes Anliegen, die Inhalte so niederschwellig wie möglich zu vermitteln. Und ich lerne selber jede Woche wieder etwas Neues, das ich dann in Workshops und Coachings einbaue und in die nächste überarbeitete Neuauflage meines Buches „Dann haben die halt meine Daten. Na und?!“, was ein weiteres Ergebnis meines Erlernten ist.
netzpolitik.org: Heute bist Du Coach, aber wie bist Du vorgegangen, um selbst digital selbstbestimmter zu werden?
Klaudia Zotzmann-Koch: Ich besuchte ab Herbst 2015 Cryptoparties und fing erst einmal mit den „Quickwins“ an, also leichten Dingen, die einfach machbar sind: Browser-Plugins für https und Adblocker nutzen. Ich wechselte zum Messenger Signal, nutzte bald eine Nextcloud. Kalender und Adressbuch wanderten von den Herstellern meiner Geräte in meine eigenen Hände.
Der Password-Safe war für mich ein „Game-Changer“. Dann habe ich meine Social-Media-Profile ausgemistet, Facebook nicht mehr benutzt, Twitter nur noch gezielt und sehr selbst-moderiert verwendet. Und danach lief das quasi spiralförmig, also Apps gegen datenschutzfreundlichere Alternativen auswechseln, Programme auf „Nachhause-Senden von Informationen“ kontrollieren. Eins nach dem anderen und immer etwas straffer.
E-Mail-Verschlüsselung war eine Herausforderung. Aber durch Menschen um mich herum war es sehr einfach, an die Informationen und an Hilfe zu kommen. Im Nachhinein kann ich nicht einmal sagen, dass mir die Umstellung sehr schwer gefallen ist, aber durch mein Umfeld war ich auch in einer privilegierten Position.
netzpolitik.org: Mit Blick auf euren ganz normalen Alltag, beruflich und privat: Wie sehr hat sich eure Techniknutzung und der Blick auf den Umgang mit Technologien verändert?
Katharina Larisch: Privat nutze ich viel mehr freie und quelloffene Software, beruflich stelle ich unangenehme Fragen wie etwa zum Datenschutz und zur digitalen mündlichen Prüfung über den Anbieter Zoom. Und ich nutze seitdem nicht mehr das Wort Datenschutz, um lästige Dinge loszuwerden, ganz im Gegenteil: Wenn jemand die Augen verdreht, singe ich das Hohelied vom Datenschutz.
Volker Wittpahl: Es hat sich sehr verändert, da ich nun bei „freien“ Angeboten kritischer den Datenschutz und die Wahrung der Privatsphäre hinterfrage. Beim Kauf von neuer Technik schaue ich immer, ob es auch eine bereits bewährte Open-Source-Lösung gibt, beispielsweise beim Smart Home.
Ich nutze im Privaten nur noch Open-Source-Software und bekomme sofort ein komisches Gefühl, wenn mich jemand nötigt, für einen Vorgang eine kommerzielle App wie die Luca-App zur Corona-Nachverfolgung oder eine „Security-App“ zur Online-Kreditkarten-Zahlung auf einem Android- oder iOS-Gerät zu installieren.
Klaudia Zotzmann-Koch: Ich versuche, auf dem Stand der Technik zu bleiben und da, wo ich Verbesserungsmöglichkeiten sehe oder auf diese hingewiesen werde, auf Open-Source-Alternativen umzusteigen. Ein bisschen was geht immer noch besser. Bei vielem haben mich Volker und Katharina tatsächlich überholt, oder sie suchen rigoroser nach quelloffenen Lösungen, wo ich auch mal bei kommerziellen Produkten hängenbleibe, die allerdings für mich immer gute Bewertungen von Datenschutzexpert:innen haben müssen.
Ein Fazit
netzpolitik.org: Was würdet ihr sagen, welche Software oder Hardware hat die größte Veränderung mit sich gebracht?
Klaudia Zotzmann-Koch: Generell hat Software für mich den größten Unterschied gemacht, eindeutig. Da ist von meinen alten „Normaluser:innen“-Gewohnheiten von vor dem Herbst 2015 fast nichts mehr übrig. Adblocker und Password-Safe waren meine größten Gewinne, und der Umstieg von Twitter ins Fediverse, wo Clemens und ich mittlerweile einen eigenen Mastodon-Server betreiben. Wir bieten auch eine ganze Open-Source-Sammlung für Autor:innen und Kreative an.
Volker Wittpahl: Beim persönlichen Verhalten war der Umstieg auf ein Smartphone mit freiem Betriebssystem und freier Software die größte Veränderung. Noch besser wurde das Gefühl beim Wechsel von LineageOS zu GrapheneOS. Seit GrapheneOS kann kein Laie mehr sagen: „Ich würde ja gern ein freies Phone haben, aber die Installation ist zu komplex für mich.“
netzpolitik.org: Was für ein Fazit würdet ihr bisher ziehen?
Volker Wittpahl: Bei mir gab es eine enorme Sensibilisierung für Aspekte des Datenmissbrauchs und für das kritische Hinterfragen bei der Anschaffung und Nutzung neuer technischer Dinge. Gefühlt gibt es bei mir weniger Auf- und Erregung durch Push-Nachrichten auf dem Smartphone.
Katharina Larisch und Volker Wittpahl bei der PrivacyWeek in Wien.
Auf der PrivacyWeek habe ich gelernt, dass für die Sicherheit von Computer und Smartphone regelmäßige Updates wesentlich wichtiger sind als Virenschutzprogramme. Fast täglich meldet mir mein Laptop und einmal in der Woche mein Smartphone, dass wieder Software-Updates zur Installation bereitstehen. Ich freue mich jedesmal, wenn ich ein Update installieren kann: Denn dann hat sich jemand um eine Sicherheitslücke auf meinem Gerät gekümmert. Auch wenn es sich komisch anhört, aber es gibt mir ein anderes Gefühl der Sicherheit im positiven Sinne, als ich es bei den Updates der kommerziellen Programme habe.
Klaudia Zotzmann-Koch: Volker und Katharina sind sehr engagiert bei der Sache und haben es wirklich ein Jahr lang durchgezogen. Wir haben uns regelmäßig online getroffen, und sie haben auch mich immer wieder mit ihren Fragen und Recherchen an meine thematischen Grenzen gebracht. Ich habe selbst viel aus diesem Coaching gelernt. Die beiden sind noch immer fleißig dabei und tragen ihre Erfahrungen weiter. Das finde ich sehr schön zu beobachten.
netzpolitik.org: Woran seid ihr gescheitert? Was würdet ihr gern nutzen, was aber ohne richtig viel Aufwand oder viel Zeit nicht machbar war?
Katharina Larisch: Mailverschlüsselung, auch nachdem mir Klaudia den Unterschied zwischen Mail, verschlüsselter Mail und VPN-Nutzung erklärt hat. Aber diese Erklärung nutze ich bis heute, falls mal wieder ein Arztbrief per Mail ohne Verschlüsselung bei mir landet.
Klaudia Zotzmann-Koch: Ich hätte gern einen leicht zu bedienenden Static Site Generator für Webseiten. Ich warte auf eine Nutzer:innen-freundliche Umgebung, die ich dann auch wieder in Workshops unfallfrei und guten Gewissens an Einsteiger:innen weitergeben kann.
Volker Wittpahl: Zu vielen Dingen, etwa Fitnessbänder oder Smart-TVs, gibt es jede Menge Studien und Berichte über Datenschutzfragen. Aber für die Anschaffung und Einrichtung eines Privacy-freundlichen Druckers gibt es kaum Studien oder Empfehlungen, auch nicht von den Verbraucherzentralen oder Datenschützern.
„Nicht zu streng mit sich selbst sein“
netzpolitik.org: Was haltet ihr angesichts eurer Erfahrungen für ein sinnvolles Vorgehen, wenn andere nun auch etwas mehr informationelle Selbstbestimmung in die Praxis umsetzen wollen?
Katharina Larisch: Ganz einfach anfangen: soziale Medien wie Facebook meiden, ebenso Whatsapp. Es gibt ausreichend gute Alternativen.
Klaudia Zotzmann-Koch: Genau, ganz klein anfangen und nicht zuviel auf einmal umstellen. Wenn es stressig wird, fallen wir fast unweigerlich in alte Verhaltensmuster zurück, dann verzetteln wir uns. Immer eins nach dem anderen.
Für den Anfang ist der Wechsel zu beispielsweise Firefox mit dem Plugin uBlock origin eine überschaubare Sache, hilft aber schon viel. Als Zweites würde ich einen Password-Safe empfehlen. Und wenn das nach ein paar Tagen oder auch zwei, drei Wochen „sitzt“, dann das nächste angehen.
Vor allem sollte man aber während des Wegs nicht zu streng mit sich selbst sein. Wir stoßen alle an Grenzen, wo wir zum Teil nicht frei entscheiden können – im Job oder im Verein zum Beispiel, wo bestehende Strukturen da sind und wo Hinterfragen vielleicht schon zu vehementer Gegenwehr führt. Das sind dicke Bretter, die man nur über die Zeit bearbeiten kann. Auf jeden Fall nicht kleinkriegen lassen, immer wieder die Themen ansprechen. Meist ist es überraschend, wie viele Verbündete es tatsächlich schon gibt, die erleichtert sind, dass jemand das Thema angesprochen hat.
netzpolitik.org: Welche Rolle spielt Bequemlichkeit?
Volker Wittpahl: Die gleiche wie überall. Das kann man mit gesunder Ernährung oder Sport vergleichen. Prinzipiell weiß jeder, wie das funktioniert, aber sehr viele bewegen sich kaum und essen ungesund. Ähnlich wie bei Sport und Ernährung kann ich mich auch zu digitalen Aspekten mit überschaubarem Aufwand informieren und mein Verhalten ändern. Hier greifen die gleichen Verhaltensmuster.
Katharina Larisch: Bequemlichkeit spielt mit der Zeit keine Rolle mehr, man gewöhnt sich an vieles. Zudem ist der Unterschied zwischen freien und kommerziellen Produkten nicht groß, sobald man die erste Hürde genommen hat. Für die Motivation der ersten Hürde hatten wir ja Klaudia. (lacht)
Klaudia Zotzmann-Koch: Bequemlichkeit spielt eine große Rolle. Aber wenn man sich erst einmal an andere Lösungen gewöhnt hat, sind das die bequemen. Teams oder Zoom installieren? Wozu das denn? BBB und Jitsi laufen im Browser und sind viel niedrigschwelliger.
netzpolitik.org: Habt ihr politische Forderungen?
Katharina Larisch: Aufklärung, Aufklärung, Aufklärung! Ich habe nicht viel Wissen, werde aber mittlerweile als Experte gehandelt frei nach dem Motto: Unter Blinden ist der Einäugige König. Zudem wird Datenschutz zu oft als Ausrede missbraucht, um eigenes Versagen zu verschleiern.
Volker Wittpahl: Der Aussage von Katharina kann ich mich nur anschließen: aufklären und vorleben. Allein die Kenntnis um den Cloud Act und das EuGH-Urteil zum Privacy Shield machen Dich in Diskussionen auf einmal zum Experten, selbst unter studierten Informatiker:innen. Wenn dann noch rauskommt, dass man ein Smartphone mit freiem Betriebssystem nutzt, steht man nicht als digital mündiger Bürger da, sondern entweder in der Nerd- oder Fanatiker-Ecke.
Klaudia Zotzmann-Koch: Die Bildung und das Bewusstsein in der Fläche schaffen, das wäre meine Forderung. Vor allem sollten nicht wieder Digitalkonzerne diejenigen sein, die in die Schulen gehen, da alles voll ausstatten und den Kindern dann ausschließlich die eigenen Lösungen beibringen. Wir brauchen keine auf bestimmte Lösungen dressierten Leute, die nichts hinterfragen, sondern für alle solides Grundwissen, auf dem dann je nach eigenem Berufs- und Lebensweg aufgebaut werden kann.
netzpolitik.org: Wie wollt ihr weitermachen?
Katharina Larisch: Auf meiner to-do-Liste stehen noch Mailverschlüsselung und Passwortgenerator, aber ich versuche auch, Wissen weiterzugeben, beispielsweise durch eine Lehrveranstaltung zur digitalen Gesundheitskompetenz.
Volker Wittpahl: Mein Ansatz ist lebenslanges Lernen: Wenn es neue Dinge gibt, die relevant sind, etwa bei der Nutzung von Messengern, passe ich mein Verhalten an. Ich versuche, Vorbild zu sein, um anderen zu zeigen, wie digitale Mündigkeit gelebt werden kann.
Klaudia Zotzmann-Koch: Auch für mich gilt: Ich möchte selbst weiter lernen und weitergeben, was ich gelernt habe.
netzpolitik.org: Vielen Dank für das Interview und eure Zeit!
Katharina Larisch ist Professor für Physician Assistance an der Europäischen Fachhochschule und Fachärztin für Arbeitsmedizin. Sie ist Mitbegründerin und war Medical Lead des Online-Gesundheitsportals netdoktor.de.
Volker Wittpahl ist Ingenieur und Direktor des Instituts für Innovation und Technik in Berlin sowie Professor an der Klaipeda University in Litauen.
Klaudia Zotzmann-Koch ist Podcasterin und Datenschutzexpertin, gibt Workshops zu Medienkompetenz und Privatsphäre. Sie ist Autorin von Krimis, Romanen, Science Fiction sowie verschiedenen Bereichen moderner Medien.
