DSGVO - GDPR => PIA

Die DSGVO (engl. GDPR) ist ab heute in der EU zu befolgen. Da bin ich ja grad froh, dass die CH noch nicht alles der EU schlucken muss. Wie kann man so ein Schrott wirklich durchsetzen wollen - besser: können. PIA, übrigens, die Abkürzung zum amerikanisch-blumigen Pain In the Ass. So nützlich wie Hämorrhoiden halt.

Ich meine das so: Ein Gesetzeskrüppel, der auf Ideen und Erfahrungen des letzten Jahrtausends (!) basierend die heutige, sich rasant entwickelnde, mobile IT-Welt beschneidet. Anders kann man das nicht nennen.

Der Schutz von personenbezogenen Daten war ja mal ok, weil es gegen die Datensammelwut des Staates und vieler Firmen hilfreich sein sollte. Ich kenne Beispiele, wo die nicht vorhandene Auskunftspflicht manchen realen Geschäftsverlust bewirkte: Weil die gesammelten Daten schlichtweg falsch waren.

Damals gab es noch keine Smartphones, also keine Computers, die wir praktisch rund um die Uhr mit uns rumtragen. Ein Computer war damals nicht personenbezogen, denn man trug den nicht rum, man hatte sein soziales Leben nicht auf ihm abgebildet in Datensammlungen. Wie auch, der PC hatte meistens ja keine Kamera, GPS erst recht nicht - und eben, es war im besten Fall ein Schlepptop, kein Phablett. Und telefonieren konnten nur die wenigsten damit.

So war die DSGVO ausgerichtet auf den stationären PC. Wenn nun aber Profilerstellung und Verknüpfung der verschiedensten Aspekte des digitalisierten Lebens ja erst gerade *wegen* des Smartphones möglich wurde, praktisch überall gegen die DSGVO kollidiert, so darf man sich schon fragen, was denn das Resultat der DSGVO sein soll.

Derzeit füllt sich bei mir die Inbox von Texten, die einfach sagen "Ja, wir befolgen die DSGVO" über "Log dich ein, um zu akzeptieren" bis zu "Du musst dich neu registrieren".

Das ist sehr mühsam. Und vor allem: Was ändert sich denn? Dass ein Service beliebiger Couleur Daten speichern muss, ist doch den Benutzern klar. Jetzt muss ich allen nachrennen um zu bestätigen "ja, macht gefälligst weiter, ich will euren Service."

Cambridge Analytica und Facebook haben ja bewiesen, dass dem Gigant Facebook weder in der USA noch in der EU beizukommen ist. Die stereotypen Äusserungen von Zuckerberg zeigen doch: Bei meiner bestgemeinten Neutralität seiner Person gegenüber: Wer scheisst denn den zu mit Kohle? Die Industrie, weil sie an die Kunden rankommen wollen - personenbezogene Werbung. Dass Zuckerberg irgendwann Zugriff gegen Geld auf "seine" Daten zulässt, ist doch logisch. Und wer soll das beenden? Leute aus der Industrie? Die selbst Werbung auf FB machen? Da hackt doch eine Krähe der anderen kein Auge aus ...

1993 habe ich in IT-Schulungen begonnen, den Vorbehalt den Studenten zur Kenntnis zu bringen, dass mit Computern alles möglich ist. Und wenn was möglich ist, wird es gemacht. Ob jemals ruchbar wird, dass etwas gemacht wurde, steht ja auf einem anderen Blatt. Cambridge Analytica konnte sein Geschäftsmodell ja unbehelligt aufbauen. Wäre Trump nicht so ein polarisierender Typ, wäre CA jemals aufgeflogen? Bzw. der Datenselbstbedienungsladen FB?

Wie auch immer: Als die DSGVO geplant wurde, waren weder Smartphones, noch Clouds, noch Location-Services (GPS), noch Machine Learning, noch Face-Recognition noch vor allem die Like-Buttons vorhanden. Das erste, alles umwälzende iPhone erschien 2007!

Und meines Wissens ist es halt wirklich so, dass erst mit dem iPhone diese Smartphonitis zu grassieren begann. Diese Entwicklung war wohl nicht exakt vorherzusehen, da ja nicht Apple das smarte Telefon erfand, sondern Nokia. Aber Jobs hatte halt das Händchen, das Smarte in einem hübschen Gewand mit Streichelfaktor unter der Religionsmarke Apple unters Volk zu bringen.

So ist eigentlich alles, was wir heute machen, vor allem wenn wir es mit dem Smartphone machen - was bei vielen ja schon fast alles umfasst -, eine personenbezogene Datenverarbeitung.

Was nützt es da denn, wenn ich alles halt abnicke? Wenn da drin steht, dass Firma XY damit AB macht, was kann ich wirklich machen? Mit der DVSGO könnte ich, wenn ich wollte ... den Verknüpfungen nachgehen. Da bezweifle ich aber, dass das die allermeisten interessiert. Dass die Leute ja im Internet eh freizügig sind, wussten wir schon vorher. Wird sich diese Mitteilsamkeit ändern? Wohl kaum. Aber die Administrationslast auf Diensten, die was anbieten, ist halt gross geworden.

Gerade hat eine TV-Sendung als Beispiel eine mittelgrosse Käseproduktionsfirma genannt, die nun bis zu 15 Leute habe, die sich (teilzeitig) um die DSGVO-konforme Abhandlung von Daten kümmern müssen.

Aktivisten meinen gar, dass sie den Grossen der Branche, FB, Google, Amazon in die Hände spiele, da sich die schon mit dem Gesetz rumschlagen können. Aber Grassroot Dinge, die im Internet ja gang und gäbe sind, würden so im Keim abgewürgt.

Nun, die DVSGO tritt jetzt verbindlich für alle Betroffenen in Kraft. Und aus Deutschland kennen wir die Saubannerzüge der Abmahnindustrie. Davor haben wohl viele Schiss. Und lassen es vielleicht grad sein. So werden die Kleinen vielleicht gar nicht mehr interagieren können als Datenverarbeiter, sondern halt nur noch unidirektionale Dinge abliefern können. Eine Verarmung des doch recht demokratischen Internets sei die Folge, noch mehr Meinungsmache nur durch die Grossen.

Ein Impressum musste man ja sowieso schon länger haben, aber wenn einer wie ich in meinen Blog Google Analytics verwendet, muss ich dann Google zu einem Vertrag mit mir zwingen, sollte ich Kommentare in irgendeiner Form Google zukommen lassen, weil der Google Spider meinen Blog indiziert, weil ein Leser einen GA Call auslöst? Und möglicherweise eine Email-Adresse eines Kommentators mitbekommt? Das ist ja nicht so, denn es sind keine Email-Adressen von Kommentatoren im Quelltext dieser Blogwebseiten erkennbar, und an die Datenbank kommt Google ja nicht ran.

Dass man ein Auskunftsrecht hat, welche Daten in welchem Umfang wozu gespeichert sind, das haben wir in der CH auch schon seit langem. Klar, man musste halt nachfragen, was mit den Daten geschieht, wer sie wann wozu nutzt. Weil beliebige Verarbeitung nicht per se verboten war.

Die DVSGO verbietet das ja auch nicht, aber sie verlangt, dass ich bei Nutzung eines Dienstes nachschauen kann, was mit den Daten passiert. Das finde ich eigentlich das Beste, wenn die AGB denn schnell und übersichtlich zu lesen und zu verstehen sind. Das Verklagen, eben, das ist halt nun mit saftigen Strafen bewehrt. Das ist wohl das einzige Neue ab heute. In der EU.

Und ob Kraken wie FB und Google und Amazon ... man denke ja nur an Alexa etc ... sich wirklich in die Karten schauen lassen? Ich bin da sehr pessimistisch. Denn wenn die ihre KI-Netze lernen lassen wollen, brauchen sie ja die Masse unserer Daten. Und zwar wohl recht spezifische Trainingsdaten. Soll eine KI als Call Center Agent meine Laune zuverlässig erkennen und meine Aktionen vorhersagen können, muss sie doch irgendwie gelernt haben ... aus Datenprofilen. Klar, die kann man anonymisieren. Aber das ist ja nicht das Hilfsmittel. Profile helfen ja gerade, auch anonyme Leute zu identifizieren. Weil sie halt bei FB ev. noch anonym sind, aber bei Amazon Kreditkarte, Adresse und Vorlieben in Echt hinterlassen.

Die Kunst des Profil-Erzeugens ist ja gerade, aus verschiedenen Datenquellen ein Profil zu erstellen. Mir scheint, dass es da ein nur noch mittelgrosses Problem ist, eine Adresse zum Profil zu finden.

Ich mag mit all dem ja falsch liegen. Es ist nicht so wichtig. Ich bin einer von denen, die wissen, dass das Internet kein rechtsfreier Raum ist - dass es nur eine Frage der Zeit ist, wenn mich seine Speichergewalt einholen könnte. Also habe ich mich halt im Internet genau so benommen wie im realen Leben: Im Voraus überlegen, wem ich was wozu über mich preisgeben mag.

Nun, wir warten ja alle die ersten Gerichtsfälle zur DSGVO ab. Dann sehen wir, wie heiss die Suppe geschlürft wird.