7 Antworten zum Datenschutz: Uli Hegge

Nico —  31.08.2011 — 3 Comments

Uli HeggeKürzlich hatte ich 7 Fragen zum Datenschutz gestellt und heute antwortet netterweise Uli Hegge. Uli Hegge ist Medienunternehmer, war zuletzt Chef des Burda iLabs und davor Gründer des Behavioral Targeting Anbieters Wunderloop.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Allen gemeinsam ist das Verlassen der “sichtbaren Gefilde”, d.h. es werden Daten mit externen Systemen ausgetauscht. Per se ist das nicht problematisch, es kommt natürlich auf die Art der ausgetauschten Daten an.
Nur im Einzelfall lässt sich beurteilen, was wirklich passiert. Und für das Verständnis und die Beurteilung ist (falls die entsprechende Offenlegung des Externen fehlt) technisches Verständnis erforderlich, das weit über das des Durchschnitts-Nutzers hinausgeht.
Es ist durchaus möglich, bei der Nutzung nach deutschem Recht Datenschutz-konform zu sein – wenn die Datenschutzrichtlinie korrekt formuliert ist, und eine entsprechende Anonymisierung erfolgt oder wirksam eingeholte Einwilligungen vorliegen.

Was ist so schlimm am Like-Button?

Das er manchmal Seitenaufrufe verlangsamt ;) – Nee, im Prinzip gilt das Gleiche wie für alle Einbindungen externer Plug-ins, siehe oben. Das Besondere des Like-Button ist die automatische Übertragung der IP-Adressen aller Besucher, die eine Site mit dem Like-Button aufrufen. Die IP-Adresse, auch eine dynamische, wird von Datenschützern ganz überwiegend als personenbezogen und damit als datenschutzrechtlich relevant angesehen.
Falls, wie Facebook sagt, die IP-Adressen der deutschen Besucher so anonymisiert werden, dass sie nicht personenbezogen sind, wäre der entsprechende Kritikpunkt hinfällig. Allerdings ist eine für deutsche Datenschützer ausreichende Anonymisierung nicht so trivial, wie sie sich zunächst anhört (die letzten 3 Zahlen filtern, beispielsweise). Entscheidend sind u.a. der Zeitpunkt, zu dem die Anonymisierung stattfindet, und wer diese durchführt. Sobald eine theoretische Möglichkeit bestünde, dass der Anbieter aus für ihn im Zugriff befindlichen Daten einen Personenbezug rekonstruieren kann, wäre das nach dieser Ansicht schon ein K.o.-Kriterium. Die vermeintliche Anonymisierung wäre keine.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Hmm, bisschen offene Frage, oder? Inhalte, Produkte, Werbung können relevanter sein, die User Experience verbessert werden… oder ich werde ausspioniert, aufschlussreiche private Daten verwertet und ich bekomme in meinem ganz realen Leben Probleme.
Und genau das ist das Spannungsfeld, das sich um dieses Thema spannt.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Siehe vorherige Frage: Um bessere Angebote zu machen, und damit mehr Geld zu verdienen. Und dafür ist es für fast alle Business Modelle nicht wirklich relevant, ob da “Uli Hegge” sitzt. Sondern ob da jemand ist, der gerade oder grundsätzlich Interesse an … haben könnte. Auch für die Verbesserung von Datenmodellen ist, sofern es nicht um Direktmarketing geht, “Uli Hegge” als Individuum irrelevant.
Die böse Variante: Um Nutzer auszuspionieren, und dann eben damit Geld zu machen. Allerdings: Richtige Bad Guys setzen Malware ein, weil typischerweise die durch Standard-Tracking erhobenen Daten für “skalierende kriminelle Aktivitäten” kaum ausreichen dürften. Warum? Siehe nächste Frage:

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung,
Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen
die Unternehmen damit jetzt Geld?

Für die in der ersten und zweiten Frage genannten Dienste: Nein, zumindest wäre mir das nicht bekannt bisher. Da muss ich schon noch selbst bei einem Kauf/Gewinnspiel/… aktiv diese Angaben machen.
Und Geld wird z.B. durch mehr Nutzung = höhere Werbeerlöse / bessere Produktangebote = höhere Conversion/Upsells / präzisere Zielgruppenaussteuerung = höhere Kontaktpreise verdient.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Tja, wenn das wirklich nachvollziehbar und kontrollierbar wäre. Und hat schon mal jemand versucht, Ansprechpartner für die Informationspflicht der US-Unternehmen zu finden, und das auch durchzusetzen? Ich kenne (noch) niemanden.
Abgesehen davon sind die Anforderungen, gemessen an den aktuellen Diskussionen, nicht gerade anspruchsvoll.

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Das mit dem Geld verdienenen funktioniert teilweise schon gar nicht so schlecht – allerdings nur für die wirklich Großen wie Google und Facebook. Durch die (notwendige) Masse an Daten und deren derzeit mehr oder weniger geschickte Nutzung ist die Qualität der Services (meist) sehr gut und eine ständig optimierte Vermarktung möglich.

Das Verständnis von “Datenschutz” muss sich grundsätzlich wandeln, die entscheidenden Fragen neu gestellt und beantwortet werden: Wer oder was muss vor wem geschützt werden? Die bisherigen Denkmodelle hinter den Gesetzen und deren mehrheitlicher Auslegung sind definitiv nicht auf die Internationalität und die technischen Möglichkeiten des Internets ausgelegt.

Kurzform: Was tatsächlich passiert, wie das kontrolliert werden kann, und wie die Nutzer mit ihren Daten umgehen können (wenn sie wollen), sind meiner Meinung nach die zentralen Fragen.
Ist es beispielsweise möglich, die technische und rechtliche Bewertung in ein simples, verpflichtendes und zertifiziertes Ampel-Modell zu bringen? Nur als Denkanstoss: Grün ist anonym, Gelb bedarf expliziter Nutzerentscheidungen, Rot ist personenbezogen und verlangt nach Opt-in. Und diese Informationen gibt es an einer zentralen Stelle auf jeder Site für alle genutzten Dienste, in einem einheitlichen Format.
Die Zertifizierung bedingt klare, verpflichtende Regelungen mit eindeutigen Zuständigkeiten. Das heisst das Gegenteil von dem, was gerade in der EU passiert.
Und die Back-ends können über sichere (ja, ich weiß) APIs gegenseitige standardisierte Abfragen machen. Verschiedene Anwendungen nutzen die gleiche Privacy-Infrastruktur, während der Nutzer über seinen Key den zentralen Access kontrolliert. Eingesetzt wird es vom Browser-Plugin bis zum personalisierten Fernseher.

Wahrscheinlich in der Form kompletter Blödsinn, aber ich halte es für notwendig, andere Denkrichtungen mal in Praxis-Szenarien zu übersetzen.

Eine Anmerkung zum Schluss: Relevant ist übrigens auch sicher die Beobachtung, dass in jeder Befragung die Nutzer ganz überwiegend superharte Datenschutz-Regelungen und entsprechende Funktionen fordern. Tatsächlich gibt es reichlich Beispiele, dass überhaupt nicht reagiert wird, sobald die wahrgenommenen Vorteile überwiegen. Zuletzt schön zu beobachten beim Versuch deutscher Social Networks, sich über das Thema Datenschutz in Abgrenzung zu Facebook zu profilieren und Nutzer zu gewinnen – der Erfolg ist an den Nutzerzahlen abzulesen.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami und 7 Antworten zum Datenschutz: Martina Pickhardt in der kleinen Interview-Reihe erschienen.

3 responses to 7 Antworten zum Datenschutz: Uli Hegge

  1. MarcoRipanti 31.08.2011 at 12:40

    Gäbe es wirklich ein solches Problem in den Köpfen der Unternehmen in Deutschland, hätten doch schon alle unseren Spreadly Button eingebaut und den Facebook LIKE entfernt, oder?

  2. Ich glaube, im aktuellen NDR Info / Logo – Das Wissenschaftsmagazin Podcast gibt es ein Interview mit Thilo Weichert, der die Fragen wohl sehr ähnlich beantworten würde. Nur leider kriegt dann nicht so ganz die Kurve, dass man die Nutzer einfach darüber aufklären muss, sondern, dass man die Buttons/Widgets/etc. entfernen muss.

Trackbacks and Pingbacks:

  1. 7 Antworten zum Datenschutz: Dr. Thilo Weichert - 8.09.2011

    […] Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt, 7 Antworten zum Datenschutz: Uli Hegge, 7 Antworten zum Datenschutz: Christian Bennefeld, 7 Antworten zum Datenschutz: Christian Sauer, 7 […]

Los, kommentier das mal!