It is our purpose to consider whether the existing law affords a principle which can properly be invoked to protect the privacy of the individual; and, if it does, what the nature and extent of such protection is.

Ergründen, ob und wie es im geltenden Recht einen Grundsatz gibt, um die Privatsphäre des Einzelnen zu schützen – die heutige Degitalisierung definiert ihren Zweck ein klein wenig so wie der juristische Aufsatz von Samuel D. Warren II und Louis Brandeis – „The Right to Privacy“. Vielleicht nicht ganz so tief juristisch und theoretisch wie damals, aber doch tief dem Thema Privacy in dieser Zeit auf den Grund gehend.

„The Right to Privacy“ war 1890 ein durchaus einflussreicher Aufsatz, der ein Recht auf Privatheit ergründete. Wir werden in dieser Kolumne auf den Gedanken zurückkommen. Kommen wir aber erst zu der Frage, wie es sich denn heute mit der Privacy verhält und wieso es vielleicht wieder an der Zeit ist zu klären, wen sie eigentlich schützen soll und wie weit das gehen soll.

Eine Dreiecksbeziehung

Eins vorneweg: Es geht heute um Privacy. Das ist nicht unbedingt dasselbe wie Datenschutz und auch nicht dasselbe wie Informationssicherheit, wird aber immer mal wieder in den gleichen Topf geworfen. Für den Gedanken dieser Kolumne ist es aber wichtig, das einigermaßen sauber voneinander zu trennen, auch wenn es bei heutigen digitalen Systemen zurecht nicht immer ganz zu trennen ist. Weil in gut gemachten Systemen oftmals alle drei Fachdisziplinen beteiligt sein sollten.

Es gibt klassische Definitionen der Disziplinen: Datenschutz ist dabei der eher rechtliche Schutz der Bürger*innen vor Beeinträchtigungen ihrer Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Daten, die ihre Person betreffen – Oxford Dictionary. Informationssicherheit sei, laut Wikipedia, ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll.

Und Privacy? Aus der englischsprachigen Wikipedia übersetzt: die Fähigkeit eines Individuums oder einer Gruppe, sich selbst oder Informationen über sich selbst abzutrennen und sich dadurch selektiv auszudrücken.

Oder anders formuliert und ins Digitale übertragen: Mehr Privacy und deren angewandte Techniken führen dazu, dass es weniger Informationen gibt, die gesichert werden müssten und weniger Rechte begründet im Datenschutz gefährdet werden können. Eigentlich.

An sich ist Privacy in digitalen Systemen etwas Gutes. Systeme, die so wenig Informationen offenbaren, dass keine Menschen gefährdet werden und deren Datenschutzrechte beeinträchtigt werden könnten. Toll eigentlich. Keine aufwändigen IT-Sicherheitsmaßnahmen, weil es gar nicht so viel gibt, was aufwändig geschützt werden muss.

Nur ist das nicht so ganz einfach, wenn wir genauer darauf schauen, zu welchem Zwecke Privacy heute denn noch so genutzt werden könnte.

Fuchs, du hast die Daten gestohlen

Mitte Juli fiel der ansonsten wegen seinen guten Privatsphäre-Eigenschaften beliebte Browser Mozilla Firefox unangenehm auf. Der kleine Internetfuchs sammelte heimlich, still und leise, aber Privatsphäre-bewusst Daten für Werbeanbieter. Das Prinzip: Die Daten von einzelnen Nutzer*innen – oder eher Browsern – sollen nicht offenbart werden. Stattdessen gibt es zusammengefasste Daten, die aber nichts mehr über einzelne Nutzer*innen verraten sollen. Daran ist vieles durchaus bemerkenswert, speziell für einen Browser, der sich bisher damit rühmte, besonders privatsphäreschonend zu sein.

Firefox’ „datenschutzfreundliche Werbemessung“ ist aus Sicht der Privacy ein leider unrühmliches Beispiel, wie verzerrt heute privatsphäreschonende Techniken gegen Menschen eingesetzt werden können. Im Interview bei Heise wird das an drei Stellen deutlich: So wurde die Funktion bewusst als Opt-Out umgesetzt – andernfalls hätte das laut Aussage von Mozilla die Prototypentests behindert. Nur mit Massendaten sei die Funktion nützlich und würde sonst die „wichtige Standardisierungsarbeit nur unzureichend unterstützen“. Am Ende sei die Funktion dann ja sogar gut für die Privatsphäre, weil sie einen starken Schutz der Privatsphäre biete, wenn sie aktiv sei. Das klingt in der Summe nach dem kleineren Übel.

Alles gut dann? Mitnichten. Letztendlich hat speziell das heimliche Aktivieren des Werbetrackings von Mozilla dazu geführt, dass eine der Kernforderungen vieler Privacy-Bemühungen untergraben wurde: die Möglichkeit, bestimmte sensible Informationen selektiv und selbstbestimmt zurückzuhalten. Auch wenn es vermeintlich schonender wirkt, mit Techniken wie dem Distributed Aggregation Protocol Informationen von Menschen nur in größeren Gruppen zusammenzufassen und daraus dann Werbemaßnahmen abzustimmen, anstatt sie individuell zu analysieren, kann das am Ende gegen Menschen eingesetzt werden.

Am Ende bleibt auch hier ein inhärenter Konflikt: Werbetreibende wollen auch mit privatsphäreschonenden Techniken mit der Zeit immer mehr Details und möglicherweise Gruppen mit spezielleren Profilkombinationen. Die Gewährleistung der Privatsphäre wird aber dann wieder unwahrscheinlicher, je genauer und verknüpfter solche Informationen werden. In dieser Abwägung wird aber meist zugunsten der Unternehmen entschieden – gegen die individuelle Privatsphäre.

Recherchen über Xandr oder jungst über die Databroker Files sollten uns inzwischen gelehrt haben, dass jede noch so kleine technische Möglichkeit, Menschen aus Werbeinteressen direkt gezielt anzusprechen, ohne Rücksicht auf Gefahren bösartig genutzt werden kann und wird.

Die schiere Masse an Informationen, Gruppen und Kategorien, die die Werbeindustrie durch möglichst gezieltes Targeting nutzen wird, kann auch durch privatsphäreschonende Techniken nur bedingt eingedämmt werden. Allein die Existenz von Kategorien wie Schwangerschaftsabbrüchen oder Depressionen, Kategorien nach Religionszugehörigkeit oder sexueller Identität oder Orientierung richtet sich in ihrem Wesen gegen das Privatsphäre-Bedürfnis von betroffenen Menschen. Vor allem, wenn das ohne Wissen im Hintergrund passiert und wenn es für Betroffene immer wieder zu einem neuen Aufwand wird, sich dagegen zur Wehr zu setzen.

Privatsphärendeschonende Techniken werden so – trotz ihrer guten Intentionen – zu einem Wegbereiter einer minimal weniger schlechten, aber einer nach wie vor schlechten digitalen Welt. Eine digitale Welt, gegen die es dann sogar weniger Argumente geben könnte, sich zur Wehr setzen zu können, weil das ja sicher und anonym sei.

Cookies überall

Dabei ist Mozilla eigentlich noch eines der Unternehmen, das zumindest bemüht ist, bestimmten Versprechen nachzukommen. Drittanbieter-Cookies etwa, quasi nur von Werbeanbietern oder Trackinganbietern genutzt, können in Firefox zumindest relativ einfach blockiert werden. Cookies zum seitenübergreifenden Tracking sind standardmäßig blockiert.

Anders verhält es sich bei Unternehmen wie Google, die aus Privacy-Sicht ein doppeltes Spiel spielen. Einerseits will man mit Google Chrome einen besonders privatsphäreschonenden und sicheren Browser haben, andererseits ist das schlecht fürs eigene Werbegeschäft. Chrome sei laut eigener Aussage ein Browser „eine Nummer sicherer“ und ein Browser mit „mehr Datenschutz mit individuell anpassbaren Einstellungen“.

Die Realität aus Sicht der individuellen Privacy ist aber anders: Googles Privacy Sandbox, die ja eigentlich die individuelle Privatsphäre der User*innen besser schützen sollte, verwendet selbst Dark Patterns, also manipulatives Design, zur Einwilligung. Google sitzt also selbst auf einer von Google kontrollierten, als datenschutzfreundlich vermarkteten Funktion, die aber mit zweifelhaften Methoden durchgesetzt wird.

Am Ende ist das aber unerheblich: Drittanbieter-Cookies wird es in Google Chrome weiterhin geben, sie werden weiterhin nicht standardmäßig blockiert. Die alleinige Privacy Sandbox wird wohl nicht kommen, Drittanbieter-Cookies bleiben. Die Umstellung habe zu großen „Einfluss auf Verlage, Werbetreibende und jeden, der in der Werbebranche tätig ist“.

Organisationen wie das W3C, denen man durchaus Wissen über das World Wide Web attestieren kann, sind nach wie vor klar in ihrer Haltung zu Drittanbieter-Cookies. Diese müssen schlicht verschwinden.

Ein Gewerbe mit Fleiß und Unverschämtheit

Gossip is no longer the resource of the idle and of the vicious, but has become a trade, which is pursued with industry as well as effrontery.

1890 wurde in „The Right to Privacy“ bereits beklagt, dass der Austausch von Klatsch zu etwas geworden sei, das als Handel mit Fleiß und Unverschämtheit betrieben werde. Deren Einzelheiten in den Kolumnen der Tageszeitungen breitgetreten würden. Damals war das noch langsam, nicht hochindividualisiert und brauchte noch Papier.

2024 hat sich am Grundproblem wenig geändert. Trotz fortgeschrittener Technik, trotz mühsam erkämpften Grundrechten im Bereich des Datenschutzes und trotz vermeintlich sicherer Informationstechnik sind es nun nicht mehr die Klatschspalten von Tageszeitungen, die Klatsch verwerten. Intimste Details werden inzwischen von einer Werbeindustrie ausgeschlachtet im Dienste des Kapitals. Mit Fleiß und Unverschämtheit.

Menschen, die sich für Privacy und Techniken, die die individuelle Privatsphäre von Menschen erhalten sollen, einsetzen, müssen sich sehr genau überlegen, ob sie sich damit gemein machen wollen. Privacy-Preserving-Technologien mögen an sich gut sein, nur müssen sie immer den Menschen dienen, deren Privatsphäre sie individuell schützen sollen. Privacy-Preserving-Technologien dürfen nicht schamlos allein dazu genutzt werden, um Interessen von Unternehmen und somit letztlich den Kapitalismus zu schützen. Ansonsten ist alles nur: Privacy Preserving Capitalism.