Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.

[...]

Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Damit liege ich mit meinen eigenen Einstellungen bezüglich Provider und WordPress-Konfiguration auf der sicheren Seite (das Piwik-Experiment dauert noch an).

Den Hinweis auf einen interessanten – und noch nicht so verbreiteten – Artikel zur vorsichtigen Annäherung von Google an deutsche Befindlichkeiten verdanke ich @seomicha auf twitter. Die dort aufgeworfene Frage wird uns wohl weiter beschäftigen: “Anonymisiert Google (demnächst) IP-Adressen?”. Ich stimme mit dem Verfasser überein: Was teilweise sehr emotional diskutiert wird, kann mit etwas gutem Willen (fast) ohne Gesichts- und Geschäftsverlust aus der Welt geschafft werden.

Funkende SD-Karten

SD-Karten im Standardformat können ihre Bildchen per WLAN an Drucker und Computer funken oder gleich ins Netz stellen. Teilweise sogar mit Geotagging der Aufnahmeposition. In Deutschland erhältlich. Mehr dazu hier. Hat natürlich Potentail für die dezente Überwachung der lieben Kinder/Partner/Arbeitnehmer/Spionageopfer (Nichtzutreffendes streichen).  Bald werden PenTest-Firmen vielleicht keine USB-Sticks mehr auf Firmenparkplätzen und in Knatinen “verlieren”, sondern SD-Karten ,-)

Mini-Bluetooth-Headsets für Nachwuchs-Spione

So winzig, dass sie im Ohr versteckt werden können: Die neuen Mini-Bluetooth-Headsets finden ihren Markt nicht nur bei Schauspielern, Showstars und soufflierten Politikern, sondrn vor allem bei Ermittlern, Detektiven und Spionen. Vor dem Meeting der Geschäftsleitung heißt es zukünftig nicht nur: Handys aus, sondern auch “Ohren waschen”.

Googles Kostenlos-Smartphone

Google darf natürlich nicht fehlen und bringt Gerüchten zufolge Anfang 2010 ein eigenes Smartphone auf den Markt, bei dem “wohlmöglich alles aus einer Hand kommt: Gerät, Software, Telefondienstleistung, – alles made by Google.” Da müssen sich T-Mobile, Vodafone & Co. warm anziehen – und die Datenberge bei Google wachsen weiter.

Kabellos Daten speichern

Die erste externe Harddisk, die kein Kabel braucht: Via Wireless USB  werden die Daten bis zu 9m weit übertrage. Da kommen mir schon ein paar finstere Ideen…

Das Ohren-Zupf-Navi

… sieht derzeit noch viel zu groß und grotesk aus, um sich auch nur ansatzweise davor zu fürchten. Abwarten! Für Blinde und Sehschwache jetzt schon hilfreich.

500 Dollar für ein Genlabor zuhause

Mehr Finanzen braucht es im Ebay-Zeitalter nicht mmehr, um das eigene Erbgut im Heimlabor unter die Lupe zu nehmen.  Da könnte doch die Personalsachbearbeiterin die wichtigen Bewerberuntersuchungen gleich selber erledigen, oder?

GPS in jedes Auto

Das ist technisch kein Brüller mehr; das niederländische Vorhaben gehört als Nr. 1 meiner aktuellen Paranoia-Liste auf jeden Fall in diesen Beitrag.

Kurz meine Meinung:

• Als praktizierender Datenschützer bin ich immer froh, wenn sich die Datenschutzaufsichtsbehörden mit ihren Nicht-Ausstattung überhaupt zu einer abgestimmten Aktion aufraffen.
• Der BfDI greift nicht wahllos einzelne Webseiten heraus, sondern schreibt die Krankenkassen an, auf deren Webpräsenzen wir besonders sensible Spuren hinterlassen: Vom Gehaltsrechner bis zur Inkontinenzberatung.
• Es gibt verschiedene datenschutzfreundlichere Alternativen zu Google Analytics und bei GA selbst unausgeschöpftes Verbesserungs- bzw. Konfigurationspotential. Typisch, dass die Idee zu einem “Opt-Out” (ein erster Schritt, immerhin) nicht von Google kommt.

Warum aber diese boshaften Reflexreaktionen?

Ich habe eine bitterböse These dazu. Dafür muss ich etwas ausholen: Zum Thema Datenschutz kann jeder mitreden, denn jeder ist betroffen. Mal mehr, mal weniger. Das ist die große Stärke der Datenschutzbewegung, wenn sie denn gelegentlich Fahrt aufnimmt. Das ist aber zugleich ihre größte Schwäche, denn ohne persönliches Betroffensein verliert das Thema für die meisten seine Brisanz. In der jüngsten Vergangenheit hat sich das in der Datenschutzpolitik widergespiegelt: wenig Strategie im Alltag, viel Aktionismus nach Krisen. Hohe Wellen – dann schnell wieder Ebbe. Wenig Lobby, die den Bereich dauerhaft auf der Agenda hält.

Unsere heftigen Reaktionen auf Pannen und Skandale hängen damit zusammen, dass wir persönlich betroffen sind oder betroffen sein könnten. SWIFT, Vorratsdatenspeicherung, Kreditkartenumtausch und Quelle-Daten gehen jeden an (auch ELENA – das ist nur noch nicht so durchgedrungen). Wenn ich dagegen als Webseitenbetreiber Google Analytics einsetze, weil es kostenlos und übersichtlich ist, dann verarbeite (und exportiere) ich immer nur…

… DIE DATEN DER ANDEREN.

DIE sind doch selbst schuld, wenn sie Cookies annehmen und JavaScript nicht deaktivieren. Und beim Blick auf meine Besucherkurven habe ich endlich auch mal dieses Gefühl der Kontrolle und bekomme Lust auf mehr… Die meisten der Statistiken brauche ich momentan gar nicht, aber vorratsdatenspeicherunghalber lasse ich sie mitlaufen, vielleicht habe ich morgen Bock drauf? Man kann ja nie wissen. Wer sich das noch ansieht, ist mir eigentlich egal, so groß wird der Schaden schon nicht sein. Und wenn: Es sind ja DIE DATEN DER ANDEREN.

Google Analytics weckt den Datensammler in Dir. Du bist Google. Deshalb die Aufregung.

Du willst meine Seele speichern
um dich daran zu bereichern
Nichts an mir ist dir egal
du schlägst aus allem Kapital

Aber die Behauptung, das neue Google Dashboard habe nichts mit Datenschutz zu tun, halte ich für unbedacht, vielleicht sogar populistisch.

Ja, das Dashboard bündelt nur, was vorher bereits im Einzelnen zu sehen war:

Neue Informationen darüber, was über einen gespeichert wird, liefert Dashboard nicht. Alle Einstellungsmöglichkeiten gibt es längst bei den einzelnen Anwendungen wie Blogger, Google Alerts, Kalender, Mail oder Reader. Man kann sie nun lediglich auf einen Blick erkennen.

(Kai Biermann auf ZEIT online)

Ist das nun schon “Datenschutz” oder nicht? Ja, denn die Auskunft über gespeicherte Daten ist eine wesentliche Voraussetzung, damit ich mein Selbstbestimmungsrecht wahrnehmen kann. Ja, denn Google realisiert, wozu viele andere Datenverarbeiter nicht willens oder in der Lage sind.

Womit beginnt ein neuer Datenschutzbeauftragter seine Tätigkeit in einem Unternehmen oder einer Behörde? Vereinfacht gesagt: Er verschafft sich einen Überblick über die vorhandenen Datenverarbeitungen und verfolgt dabei wie ein digitaler Rutengänger die Datenströme im Haus und außerhalb. Als guter Datenschutzbeauftragter setzt er dabei gleich seine Prüferbrille auf: Rechtmäßigkeit? Erforderlichkeit? Zugriffsrechte? Die Liste ist lang.

Ein Ergebnis seiner Bemühungen ist das  Verfahrensverzeichnis nach § 4g Absatz 2  BDSG. Die Übersicht bündelt einige grundlegende Angaben über den Datenbestand des Unternehmens. Ein  Ziel des Gesetzgebers war es, betroffenen Mitarbeitern oder Kunden einen schnellen Überblick über potentielle Datenbestände zur eigenen Person zu verschaffen, sozusagen eine Vorstufe des konkreten Auskunftsanspruches. Deshalb soll dieses Verzeichnis “auf Antrag jedermann in geeigneter Weise verfügbar” gemacht werden.

Über Sinn und Unsinn von Verfahrensverzeichnissen kann man streiten. Praktisch ist das Modell aus meiner Sicht gescheitert, die meisten Verzeichnisse sind nur Makulatur.

Der Umweg zur Datenauskunft über zentrale Datenregister, Meldepflichten und öffentliche Verfahrensverzeichnisse stammt noch aus einer Zeit vor der allgemeinen Verbreitung des Internets. Heute kann und sollte ich meine Rechte als Betroffener direkt wahrnehmen; zwei Aspekte dabei:

Unternehmen müssen in der Lage sein, mir auf einfache Weise einen Überblick über meine gespeicherten Daten (incl. Herkunft und Weitergabe)  zu geben. Schnell, kostenlos. Der Zugriff darf nur authorisiert erfolgen.

Insbesondere will ich selbst bestimmen, über welche Kanäle ich beworben werde, ob meine Daten weitergegeben werden und an wen. Notwendig dazu ist ein Einwilligungsmanagement durch den Anbieter, damit ich nachvollziehen kann: Wann habe ich wie zugestimmt? Wie kann ich widerrufen?  Beispiel Quelle-Insolvenz: Es sollte mich zukünftig keinen Musterbrief, sondern nur drei Klicks kosten, um mich aus der Kundendatenbank zu verabschieden.

Vermutlich sind die im Google Dashboard dargestellten Daten nur die Spitze des Eisberges. Deshalb müssen neben die Auskunftsansprüche der Betroffenen auch regelmäßige Kontrollen der Aufsichtsbehörden treten, meinetwegen auch Zulassungsverfahren oder Zertifizierungen.

Dennoch sollte seine Übersichtlichkeit als Vorbild für andere Großdatenverarbeiter dienen.  Beispiel SAP: Versuchen Sie mal, Ihre Betroffenenrechte gegenüber einem SAP-ERP-System durchzusetzen, egal ob als Unternehmensmitarbeiter oder Kunde. Die Seiten 60-65 im “Leitfaden Datenschutz SAP ERP 6.0 ” der DSAG beschreiben nüchtern, was alles NICHT möglich ist; z.B:

“Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benachrichtigung eines Betroffenen anzeigt oder ausdruckt.”

“Es gibt keine Standardfunktion, die den Zugriff auf historische Daten mit personenbezogenen Angaben, die nur noch aus Gründen der Aufbewahrungspflichten gespeichert werden, beschränkt – auch wenn alle buchhalterischen Abschlusstätigkeiten erledigt sind.”

“Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im SAP ERP-System z. Z t. nicht vorhanden.”

In vielen komplexen Unternehmen und Anwendungen sieht es nicht besser aus. Personendatenbestände lagern verstreut in den verschiedensten Datenbanken. Das erschwert Auskünfte , Werbewidersprüche, Löschungen, aber auch durchgehende Zugriffsberechtigungskonzepte (und erleichtert gleichzeitg unkontrollierten Datenabfluss).

Meine Daten im Überblick: Was im kleinen Online-Shop noch funktionieren kann (aber nicht muss), wird in Sozialen Netzwerken schon schwierig, bei ERP- oder Krankenhausinformationssystemen zur Sisyphosarbeit und beim Cloud Computing fast unmöglich.
Google Dashboard schlägt sich in diesem Vergleich wacker, sollte aber nicht die letzte Werbebotschaft in puncto Transparenz und Datenschutz bleiben.

Ich habe natürlich den Service gleich genutzt, um für meine digitalen Teilidentitäten (Niemals alle Aktivitäten über ein Konto!) eine “Kontenprüfung” durchzuführen.

Google führt alle mit meinem Konto verknüpften Dienste auf und erwähnt am Ende die noch nicht integrierten Produkte mit Informationen über meine Person. Dabei werden öffentliche Daten besonders hervorgehoben. Der Zugriff auf die jeweiligen Datenschutzbestimmungen und mögliche Profilverwaltungen ist übersichtlich.

Wie fast immer (SCHUFA-Auskunft einholen, Mailprogramm durchstöbern, Rechnungen sortieren, Passwortlisten im Browser entrümpeln), bin ich auch diesmal erschrocken über die Fülle der “irgendwann” genutzten Dienste und der dort erhobenen Daten.  Als Nutzer stehe ich damit vor der Frage, wie ich mit dem neuen Wissen umgehe.

Meine Einschätzung:

• Mit dem Dashboard geht Google einen Schritt in die richtige Richtung: Transparenz zählt.
• Die Selbstverwaltung von Profildaten, aber auch von Werbeeinwilligungen, Kommunikationswünschen etc. liegt im Trend.
• Mit dem Überblick habe ich “ein stärkeres Maß” an  Selbst-Kontrolle über meine Kontodaten wiedergewonnen. Mehr oder weniger.
• Das Dashboard erinnert mich an meine eigene gelegentliche Datenfreigiebigkeit. Die Mahnung finde ich gut.
• Je mehr Dienste ich mit einem Google-Konto verknüpfe, desto besser sollte mein Passwort beschaffen sein (und beschützt werden), damit das Dashboard nicht zu einem komfortablen Werkzeug für Identitätsdiebe wird.
• Wie unkompliziert ich einzelne Dienste tatsächlich “abschalten” kann, werde ich in den nächsten Tagen mit ein paar Abmeldungen ausprobieren (und danach versuchen, mich mit derselben Mailadresse wieder anzumelden).
• Zugleich bleibt ein Unbehagen: Google ist weit größer als das, was hier dargestellt und offengelegt wird. Bei der regelmäßigen Nutzung fallen Unmengen weiterer Datenspuren an.

Oder, wie in einem Kommentar gelesen:

“Bildlich betrachtet stünde google nackig dar, wenn alle Geheimnisse um ihre Daten gelüftet würden, ich glaube sie hat noch nicht mal begonnen sich auszuziehen.”

Meine persönliche Google-Strategie hat sich dadurch nicht geändert – vielleicht ein paar Tipps auch für andere:

• Google-Konten nur im absolut notwendigen Umfang nutzen. Viele Dienste lassen sich ohne Konto nutzen (z.B. auch Alerts -wenigstens teilweise).
• Bei Bedarf mehrere Konten nutzen (z.B. dienstlich, privat, Verein, Sport, etc.). Im Zweifelsfall ein Konto = ein Dienst, z.B. bei YouTube. Nach der Nutzung wieder abmelden.
• Google-Suche nicht verwenden, während man angemeldet ist. Hier bin ich einfach skeptisch…
• Sichere Passwörter verwenden und geheimhalten!
• Google-Alternativen verwenden, so weit möglich (Piwik statt Analytics, Google Maps nicht für Routenplanung, kein Desktop, AdSense etc.).
• Regelmäßig Cookies löschen

Ich bin persönlich derzeit kein Google-Freund (siehe hier) und werde so schnell keiner werden, aber ich begrüße das Dashboard trotz aller Bedenken als brauchbares Beispiel für andere Anbieter.

Schlafen Sie ruhig (weiter).

Inhaltsüberblick (Dank an Rolf Grießhammer):

Wie ist das Internet entstanden?
Welche Rolle spielte das Internet im Wahlkampf von Barack Obama?
Die Piratenpartei und Onlinepetitionen: das Internet als politisches Machtinstrument
Die Bedeutung des Internets im Iran
Das Rätsel der 6 Ecken
Die Gefahr des Datenmissbrauchs
Cloud Computing im Studium
Suchmaschinen: Google & Co – wie funktionieren sie eigentlich?
Das Google-Monopol
Google Street View und der Datenschutz
Freiheit und Kontrolle im Netz

Amy Barzdukas, General Manager für Internet Explorer und Consumer-Security bei Microsoft, hat auf der RSA-Konferenz in London den Datenschutz von Chrome 3.0 kritisiert. Der Browser sende mit jedem Buchstaben, der in das Suchfeld eingegeben werde, ein Datenpaket an Google.

In einer Rede demonstrierte Barzdukas unter Verwendung des HTTP-Debugging-Proxys “Fiddler“, dass der Internet Explorer 8 bei der Verwendung von Bing keine Daten zurück an Microsoft sendet, während ein Nutzer Daten in das Suchfeld eingibt. Im direkten Vergleich zeigte sie, wie Chrome zusammen mit der Google-Suche nach jeder Eingabe eines Zeichens ein Datenpaket an den Suchanbieter verschickt, auch wenn noch keine Suchanfrage ausgelöst wurde. “Browser-Hersteller müssen beim Datenschutz sorgfältiger sein”, sagte Barzdukas.

Microsoft kritisiert Google – und mit Recht.

Vor nicht allzulanger Zeit waren die Rollen genau umgekehrt verteilt: Microsoft als böser Monopolist, dessen Produkte artig (und heimlich) nach Hause telefonierten; Google dagegen der werbefreie Strahlemann und Heilsbringer der Suchmaschinenwelt.

Ohne Anspruch auf Vollständigkeit ein paar Meilensteine für den Imagewechsel von Microsoft – aus meiner ganz persönlichen Datenschutzberater-Sicht:

• Microsoft war das erste Unternehmen, das 2002 den BigBrotherAward persönlich entgegennahm – vertreten durch den Datenschutzbeauftragten Sascha Hanke. Den Mumm hatte seitdem nur noch Telekom-DSB Claus Ulmer im vergangenen Jahr.
• Spätestens seit diesem Zeitpunkt bemühte sich Microsoft um gute Kontakte in die Datenschutzszene, beispielsweise durch Unterstützung und Mitwirkung bei Kongressen und Tagungen wie der DuD.
• Microsoft gibt Studien zum Thema in Auftrag, Beispiel “Bewusstseinswandel im Internet” vom Januar 2009
• 2005 forderte Microsoft ein nationales Datenschutzgesetz für die USA (Was ist eigentlich daraus geworden?)
• In Deutschland unterzieht sich Microsoft seit 2006 für verschiedene Produkte den Prüfungen zum Schleswig-Holsteinischen Datenschutz-Gütesiegel (ULD).
• Microsoft verwendet den Begriff “Datenschutz” in seinen Produkten und Erklärungen überwiegend in korrekter Weise – das ist leider nicht selbstverständlich.

Das ist nicht nur Marketing- und PR-Gebrumm, sondern schlägt sich zunehmend auch in den Produkten wieder. Ich weiß: Natürlich gibt es immer noch gute Gründe gegen Microsoft-Produkte; natürlich gibt es immer wieder neue Lücken und neue Begehrlichkeiten. Aber Microsoft nimmt den Datenschutz seiner Kunden zunehmend wahr und ernst – und fährt gut damit.  Nachmachen, bitte!