CCC-Sprecher über Datenschutzskandale: "Keine freundliche SciFi-Intelligenz"

taz.de: Herr Rieger, seit vorvergangener Woche ist Apple in den Schlagzeilen, weil das Unternehmen millionenfach Bewegungsprofile seiner iPhone-Nutzer gesammelt haben soll. Hat Sie die Affäre überrascht oder waren solche Vorfälle nur eine Frage der Zeit?

Frank Rieger: Sie ist ein Symptom des arroganten Umgangs von Konzernen, die gern unsere Daten nehmen, aber selbst nicht besonders transparent sein wollen. Apple ist da nur die Speerspitze, auch Google oder TomTom und andere verspielen hier gerade viel Vertrauen.

Was "weiß" ein modernes Smartphone heute bereits über seinen Nutzer?

Das ist pauschal schwer zu beantworten. Die Daten, die darauf gespeichert sind oder durch das Telefon hindurchfließen, enthalten bei vielen Menschen quasi ihr gesamtes Leben. Suchanfragen, Orte, Adressen, SMS-Nachrichten, Telefonate, Chats, Webaufrufe, praktisch alles, was wir tun, unternehmen wir mittlerweile mit Hilfe des Mobilgerätes. Daher ist die Empörung auch so groß, der Bedarf nach Schutz und Vertrauen so erheblich.

Apple hat letzte Woche erklärt, die auf dem iPhone enthaltene Geodatenbank sei gar keine Ortserfassung einzelner Nutzer, sondern schlicht eine notwendige Datei, um vom Nutzer explizit gewünschte Ortsinformationen zu erhalten. Ist das eine stichhaltige Erklärung?

Technisch halte ich die Erklärung für korrekt. Sie passt zu den vorgefundenen Daten. Allerdings ist die Art der Umsetzung - sowohl die technisch in keiner Weise zu rechtfertigende praktisch ewige Speicherdauer als auch das Weiterspeichern, obwohl der User die Location-Services ausgeschaltet hat - ein grober Vertrauensbruch.

Im Interview: 

FRANK RIEGER arbeitet als technischer Geschäftsführer eines Unternehmens für Kommunikationssicherheit und ist langjähriger Sprecher des Chaos Computer Clubs (CCC). Zusammen mit seiner CCC-Sprecherkollegin Constanze Kurz veröffentlichte er im April das Buch "Die Datenfresser - Wie Internetfirmen und Staat sich unsere persönlichen Daten einverleiben und wie wir die Kontrolle darüber zurückerlangen".

Insbesondere, da das Vorhandensein dieser überbordenden Speicherung schon lange in Kreisen von Telefon-Forensikern bekannt war - und sogar schon in Büchern und Anleitungen publiziert wurde, bevor es öffentlich weiter bekannt wurde. Das ist für mich ein deutliches Zeichen von Apples Arroganz.

Apples Datenbank lässt sich vom Nutzer mit etwas Mühe löschen. Die Vorratsdaten, die vor dem Eingreifen des Bundesverfassungsgerichtes von den Netzbetreibern vorgehalten wurden, waren dagegenniemandem zu kontrollieren. Was ist schlimmer, der Staat oder eine Privatfirma?

Man kann das nicht auseinanderhalten. Der Staat hat im Zweifel durch Beschlagnahme Zugriff auf die Daten, die Firmen speichern. Natürlich hat die Vorratsdatenspeicherung eine signifikant größere Bedeutung und Eingriffstiefe als die Daten auf einem iPhone, aber die Behörden können ohne große Hürden die kompletten Daten aus einem beschlagnahmten Smartphone auswerten oder eben auch die gespeicherten Daten von Serviceanbietern anfordern.

Die künstliche Trennung des Problems in Staat und Privat führt nicht zum Ziel, man muss die realen, additiven Effekte betrachten.

Glauben Sie, dass Nutzern bewusst ist, welche Informationen sie mittlerweile routinemäßig an vielen Stellen hinterlassen?

Nein. Die meisten haben eine vage Ahnung, dass es wohl ganz schön viel ist, was über sie gewusst werden kann. Aber wenn dann mal konkret die Daten vorliegen - beispielsweise in Ermittlungsakten, wo die Behörden die digitalen Lebensspuren eingesammelt haben -, dann ist der Schock oft groß.

Apples großer Konkurrent im Smartphone-Geschäft ist mittlerweile Google mit seinem mobilen Betriebssystem Android. Google besitzt schon seiner Suchmaschine detaillierte Informationen über Nutzer. Was passiert, wenn das mit Ortsinfos und anderen mobilen Android-"Sensordaten" zusammenieworfen wird?

Die Detailtreue, mit der Google oder auch Facebook über einen Nutzer aufgrund seiner Aufenthaltsorte, Suchanfragen, Nachrichten und Status-Updates Bescheid wissen können, hängt vom individuellen Nutzungsprofil ab. Jemand, der einmal die Woche kurz den Weg zum Restaurant nachschaut, ist sicherlich weniger detailliert abzubilden als ein Intensivnutzer, der sein ganzes Leben nur noch mit Online-Diensten im Griff behält.

Der Schritt zum integrierten Lebensmanagement ist das erklärte Ziel von Google. Das Telefon soll vorausahnen, was wir als nächstes tun wollen und Vorschläge unterbreiten - inklusive Werbebeimischungen. Ich halte das durchaus für eine realistische Vision. Der Computer, der uns durch unser Leben begleitet, wird dann eben nicht die weise, freundliche Science-Fiction-Intelligenz, die wir ins Vertrauen ziehen können, sondern ein werbefinanzierter Online-Dienst, der unsere Daten verwertet.

Vorfälle wie Apples "Locationgate" schaffen es auf die erste Seite großer Zeitungen. Was passiert, wenn Nutzer nach und nach desensibilisiert werden, wenn die nicht mehr anonyme Erfassung zum Normalfall wird?

Die datengetriebenen Dienste haben ein Interesse daran, uns zu mehr Datenfreigiebigkeit zu verführen. Ihr Unternehmenswert und die Effizienz ihres Werbeverkaufs hängen davon ab. Ich bin nicht sicher, dass es wirklich eine Desensibilisierung gibt, eher ein resigniertes Erdulden mangels Alternativen.

Gerade die letzten Vorfälle bei Apple, Sony und TomTom haben aber viele Menschen nachdenklich gemacht. Und die Unternehmen müssen sich endlich mal erklären und versuchen, das Vertrauen der Nutzer zurückzugewinnen. Insofern bin ich nicht so pessimistisch. Ich sehe eher, dass sich neue soziale Umgangsformen und Gewohnheiten herausbilden und Unternehmen die Chance sehen, die in einem Markt für Privatsphäre liegt.

Bei einer runderneuerten Datenschutzgesetzgebung fürchtet mancher Internet-User, dass das Kind mit dem Bade ausgeschüttet werden könnte, also mehr verboten wird als notwendig ist. Wie lässt sich das verhindern?

Die aktuelle deutsche Datenschutzgesetzgebung muss dringend reformiert und ans Internet-Zeitalter angepasst werden. Dabei sind einige Grundsätze - etwa die Datensparsamkeit und die Zweckbindung von Datenspeicherung - sicherlich bewahrenswert. Datenschutz und Privatsphären-Bewahrung müssen dringend ohne das verstaubte und realitätsferne Großrechner-Prozesslistendenken der aktuellen Gesetze verankert werden.

Ich würde es sehr begrüßen, wenn das Hauptaugenmerk bei einer Runderneuerung auf einer Stärkung der User-Rechte liegt, die Firmen und Behörden also zur Transparenz gezwungen werden, mitzuteilen, was sie an Daten speichern, verkaufen und wofür und an wen die Daten übermittelt werden. Das kann man auch gut automatisieren und an die aktuellen Userinterfaces und Vernetzungsmethoden anpassen.

Es muss darum gehen, die Machtbalance wieder zugunsten der User zu justieren, anstatt sie immer weiter in Richtung der Firmen und des Staates driften zu lassen, die niemand in ihre Karten schauen lassen wollen. Es gibt dafür auch schon genug qualifizierte Vorschläge, die müssten nur mal von der Politik aufgegriffen werden.