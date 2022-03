Digitalisierung Forschende der Unis St. Gallen und Luzern sagen: «Friss oder stirb» bei der Datenweitergabe muss nicht sein Viele Angebote im Internet können nur wahrgenommen werden, wenn man die Bestimmungen zur Datenweitergabe akzeptiert. Das soll sich ändern. Stefan Borkert Jetzt kommentieren 24.03.2022, 05.00 Uhr

Exklusiv für Abonnenten

Wer den Geschäftsbedingungen und Datenbestimmungen der Unternehmen nicht zustimmt, kann deren Dienste nicht nutzen. Daviles / iStockphoto

Anbieter von Dienstleistungen oder Waren lassen ihren Kunden eigentlich kaum eine echte Wahl, wenn es um Datenschutzeinstellungen geht. Forschende der Universitäten St. Gallen und Luzern propagieren deshalb ein Recht auf Anpassung («Right to Customization»). Technologisch sei das machbar. Eine Community könnte dabei noch unterstützend mitwirken. Das Forscherteam will mit der Scheinwahl brechen und schlägt abgestützt auf der Datenschutzgrundverordnung der EU ein Recht auf Anpassung von Online-Diensten vor.

Einzelne Personen sollen vermehrt entscheiden können, wie ihre Daten verarbeitet werden, sagt etwa Aurelia Tamò-Larrieux der Law School (LS-HSG) der Universität St. Gallen. Entgegen einem sogenannten «Take-it-or-leave-it»-Ansatz sei es technologisch möglich, entweder die Verbesserung der Kontrolle über die Datenbereitstellung oder die Art der Datenverarbeitung umzusetzen, betont Simon Mayer, Inhaber des Lehrstuhls Interaction- and Communication-based Systems am Institut für Computer Science (ICS-HSG) der Uni St. Gallen. Eine Community, ähnlich wie sie um die «Recht-auf-Reparatur»-Bewegung entstanden sei, könnte Nutzende ausserdem dabei unterstützen, die passenden Datenschutzeinstellungen zu finden, ergänzt Zaïra Zihlmann von der Universität Luzern.

Ohne Akzeptanz wird keine Ware geliefert. Andrea Warnecke / dpa

Will man als Kundin oder Kunde etwas bestellen, so müssen die Allgemeinen Geschäftsbedingungen (AGB) akzeptiert werden. Sonst geht das nicht. Auch Cookies werden häufig der Einfachheit halber komplett akzeptiert, was nicht sein müsste. Wie gehen die Forschenden selbst damit um? Simon Mayer sagt: «Ich lese ausgewählte Teile der AGB bei Diensten, die ich noch nicht kenne.» Aurelia Tamò-Larrieux meint es komme darauf an, um was für einen Dienst es sich handle. «Wenn ich weiss, dass ich keine Alternativen habe, etwa weil ich genau diesen Dienst nutzen muss, dann lohnt es sich nicht wirklich, zu viel Zeit damit zu verbringen, AGBs zu lesen.» Und Zaïra Zihlmann ergänzt:

Zaïra Zihlmann, Rechts­­wissenschaftliche Fakultät Universität Luzern. PD

«Im Wissen darum, dass man auf gewisse Dienste nicht verzichten kann, kann es gemäss meiner Erfahrung auch sehr unangenehm sein, die jeweiligen AGBs zu lesen, da einem so umso mehr bewusst wird, welche Daten man preisgibt.»

Es kommt aber durchaus vor, dass eine Dienstleistung nicht genutzt wurde, weil man nur zwischen Zustimmung oder Ablehnung entscheiden konnte. Simon Mayer sagt, eben habe er eine solche Erfahrung gemacht. Die Zustimmung bezog sich auf «Cookie»-Präferenzen einer Website, auf die er zugreifen wollte. «Ich habe die entsprechenden Informationen schliesslich von einer alternativen Website geholt.» Und Aurelia Tamò-Larrieux nennt ein Beispiel:

Aurelia Tamò-Larrieux , Law School Universität St. Gallen. PD

«Gestern hat mir Simon einen Artikel der österreichischen Tageszeitung «Der Standard» geschickt und da gab es nur die Optionen: «Einverstanden» oder «Jetzt Abonnieren». Ich habe weder noch gewählt.»

Zaïra Zihlmann sieht das ähnlich, wenn sie für einen Online-Artikel mit ihren Daten bezahlen müsse, dann verzichte sie auch mal.

Herrschaft über die eigenen Daten zurückgeben

Das Forscherteam will nun den Menschen die Herrschaft über ihre Daten wieder zurückgeben. Mayer betont, dass durch die fortschreitende Vernetzung von Individuen und der Verwertung von Daten, speziell von personenbezogenen Daten, dieses Problem über die letzten Jahre immer grösser geworden sei. Tamò-Larrieux sagt, es gehe nicht unbedingt darum, dass man «Kontrolle» über Daten haben müsse, sondern vielmehr darum, dass man tatsächliche Alternativen habe. Im Moment müsse man den Service annehmen oder sei davon ausgeschlossen. Dieses «take-it-or-leave-it», also «Friss oder stirb», sei unbefriedigend, da wir als Nutzer nicht wirklich eine Alternative haben. Das müsse nicht sein. Der Fokus der Unternehmen auf Einwilligung sei natürlich für diese praktisch, aber er lasse dem Nutzer keine wirkliche Wahl. Kimberly Garcia von der Uni St. Gallen wird deutlicher:

Kimberly Garcia, Institut für Computer Science Universität St. Gallen. PD

«Es ist besorgniserregend, dass Unternehmen so viel über viele Aspekte unseres Lebens wissen. Das ermöglicht zielgerichtete, personenbezogene Anzeigen, Nachrichten und andere Inhalte. Nutzer werden damit quasi in einer Informationsblase gefangen.»

Standard sollte Minimierung von Datensammlungen sein

Den Unternehmen helfen bei dieser Infoblase auch Cookies. Meist ist es einfacher, alle zu akzeptieren, statt gezielt auszuwählen. Mayer fordert eine Umkehr. Die «bessere und einfachere» Lösung sei es, als Voreinstellung nur die technisch notwendigen Cookies zuzulassen.

Simon Mayer, Lehrstuhlinhaber Interaction- and Communication-based Systems am Institut für Computer Science Universität St. Gallen. PD

«Die Standardeinstellung eines Online-Dienstes bezüglich Cookies sollte jene sein, die die unnötige Datensammlung minimiert. Weiter sollte die Anzahl an «Klicks», die Nutzende benötigen, um die datensammlungsminimierende Einstellung zu wählen, strikt kleiner sein als die Anzahl «Klicks», um die eigenen Daten freizugeben.»

Mayer selbst wählt gezielt aus. Ihn stört es insbesondere, wenn das gezielte Auswählen schwieriger ist als das «Accept-all» oder wenn die entsprechenden Links in einer Form hervorgehoben werden, die den Nutzer verleitet, die «datenintensivere» Alternative zu wählen. Zihlmann ergänzt, der Aufwand, der für die Auswahl von datenschutzfreundlicheren Einstellungen betrieben werden muss, störe.

«Es ermüdet einen und man neigt mit der Zeit vielleicht auch immer mehr dazu, sich für die «alle akzeptieren »-Option zu entscheiden.»

Als Lösung schlägt das Team ein Recht auf Anpassung von Online-Diensten vor, basierend auf dem Konzept von Datenschutz durch Technik und stützt sich dabei auf die Bewegung «Right to Repair». Diese fordert ein Recht auf Reparatur und eine Kreislaufwirtschaft, um den Ressourcenverbrauch zu verringern. Weiter könnte sich eine Community bilden, die unter anderem Druck aufbauen könnte, um das Recht auf Anpassung durchzusetzen.

Datenschutz durch Technik fordert dem Team zufolge, dass anhand von technischen und organisatorischen Massnahmen die Prinzipien des Datenschutzrechts umgesetzt werden. Dies sollte es auch Nutzern erlauben, ihre Rechte durchsetzen zu können und privatsphärenfreundliche Alternativen zu verlangen. Natürlich müsse dies immer abgewogen werden mit den Interessen und Rechten von Unternehmen. Man propagiere, dass es schlussendlich ein angemessenes Recht auf Anpassung geben müsse.

Waschmaschinen und Online-Dienste anpassen

Mayer erklärt das an einem Beispiel. Bei einer Waschmaschine seien Hersteller angehalten, diese Produkte in einer Art und Weise zu konstruieren, welche einfachere Reparaturen zulasse. Beispielsweise sollen Steck-, Schnapp- und Schraubverbindungen statt Verklebungen benutzt werden. Bei Software, insbesondere bei Online-Diensten, könnte man in ähnlicher Art und Weise argumentieren, dass einzelne Teile einer Dienstleistung entsprechend entkoppelt werden sollten. So würden Komponenten austauschbar werden und es käme zu einem Recht auf Anpassung von Online-Diensten.

Nutzer sollen über ihre Daten selbst bestimmen können und nur die nötigsten weitergeben müssen. Andrew Paterson / Alamy

Garcia verdeutlicht, dass Unternehmen Varianten desselben Dienstes anbieten könnten, von denen einige die Erhebung und Verarbeitung von personenbezogenen Daten mehr erfordern würden als andere. Ein Nutzer könne aus einem Katalog von Diensten jene auswählen, die seinen Bedürfnissen besser entsprechen und seine Datenschutzpräferenzen respektieren. Ein Benutzer würde dem ausgewählten Dienst Zugriffs- und oder Verarbeitungsrechte für bestimmte Teile seiner persönlichen Daten gewähren.

Technik ist bislang zahnlos

Es gibt seit vielen Jahren technische Initiativen, welche das Ziel verfolgen, Nutzern mehr Kontrolle über ihre Daten zu geben. Mayer nennt als Beispiel das P3P-Projekt (https://www.w3.org/P3P/), welches vor fast genau 20 Jahren zu einer Empfehlung des World Wide Web Consortiums, also des Lenkungsgremiums des Web, erhoben wurde. «P3P und ähnliche Initiativen sind jedoch zahnlos. Sie erlauben zwar Nutzern, ihre Webbrowser wie Firefox so zu konfigurieren, dass diese den besuchten Websites mitteilen, inwiefern der Nutzer Tracking zustimmt. Jedoch gibt es nur sehr geringe Anreize für Anbieter von Web-Inhalten, diese Präferenzen zu respektieren.»

Die umgekehrte Methode sei viel spannender. Wenn zuerst Regulation geschaffen werde, die Anbieter verpflichte, solche Präferenzbekundungen ernst zu nehmen, dann könnten basierend auf dieser Regulation Werkzeuge wie beispielsweise Plug-ins für Browser gebaut werden, um die Regulation auch auszunutzen.

Forschende der Unis Luzern und St.Gallen wollen mehr Datenautonomie erreichen. HSG

Doch wie realistisch und durchsetzbar ist es, dass Anbieter Datenschutz konforme Angebote machen müssen? Tamò-Larrieux sagt, es komme auch darauf an, wie viele Nutzer von einem solchen Recht auf Anpassung Gebrauch machen. Deshalb sei ein Gemeinschaftsansatz wichtig. Es wäre gut, wenn sich «Anpassungs-Communities» bilden würden, um solche Anpassungen und Varianten zu erzwingen.

Ob es in der Region Ostschweiz Unternehmen gibt, die Datenschutzanpassungen in diesem Sinne bereits anbieten, ist dem Forscherteam so nicht bekannt. Mayer erklärt, dass sie sich in der Forschung an weltweit tätigen Unternehmen mit grossen globalen Datensammlungen orientieren.

«Sollte es jedoch Unternehmen in der Region geben, die sich mit diesem Ansatz stärker auseinandersetzen möchten, stehen wir sehr gerne für eine Zusammenarbeit zur Verfügung.»

Bei Cookies ist es aktuell noch oft ein komplizierter Weg, will man nur den nötigsten zustimmen. Rawf8 / Alamy Stock

0 Kommentare Alle Kommentare anzeigen