Dirk Walbrühl

Die Krake muss nicht alles wissen

6. September 2016

Firmen und Programme lesen unsere Nutzerdaten mit, werten sie aus und erstellen vernetzte Profile. Die neueste Datenkrake heißt Pokémon GO. Das Problem heißt Vertrauen. Eine Lösung auch.

Pokémon GO ist überall, auch vor meiner Haustür. Dort jagen der Sohn meiner Nachbarin und sein Freund gerade ein virtuelles Monster. Das Handy-Spiel ist seit Juli ein weltweiter 20 Millionen aktive Nutzer, 100 Millionen Downloads Hit. Das wissen auch die beiden.

Zurückgelegte Strecke: 2,5 Kilometer. Entfernung vom Wohnort 1,8 Kilometer. Stopp bei McDonald’s von 17:18 bis 17:32 Uhr. Zuletzt besuchte Webseite: Instagram.

»Wer das nicht spielt, lebt unter einem Stein«, erklären die beiden etwa 15 Jahre alten Jungs und zeigen eine ausladende Monstersammlung. Pokémon GO verwendet die Technologie der augmentierten Realität. Durch die Kamera des Smartphones wird die Umgebung aufgenommen, die App fügt digital virtuelle Figuren (Pokémon) hinzu. Der Spieler sieht auf dem Display eine Mischung aus Wirklichkeit und Videospiel. »Das Geniale ist ja, dass du überall Pokémon findest. Ich hab’ sogar mal eines auf der Tafel in der Schule geschnappt.«

Was die beiden wahrscheinlich nicht wissen, ist, dass eine Datenkrake »Datenkrake, die«: Als Datenkrake wird eine Art von Firma bezeichnet, die sich hauptsächlich von Daten der Nutzer ernährt. Sie kommt nicht mehr nur alleine im Silicon Valley vor. Neben der Hauptspezies (Google) gibt es noch weitere Ableger (Facebook, Niantic Inc., Microsoft), die einen regen Austausch mit privaten Unternehmen, Sicherheitsdiensten und Behörden pflegen. Anders als der Krake in der freien Natur ist die Datenkrake weiblichen Geschlechts. parallel ein Profil über sie anlegt – GPS und mobiles Internet machen es möglich. Keine App hat durch diese Praxis so viel Aufmerksamkeit auf sich gezogen wie Pokémon GO, tatsächlich ist sie jedoch nur eine unter vielen: Alleine im App-Store von Android werden zur Zeit 2.375.059 Apps angeboten, davon Nach eigenen Angaben von Google und der Analyse-Seite Appbrain rund 90,5% kostenlos. Bei kommerziellen Anbietern heißt das meist: Der Nutzer zahlt nicht mit Geld, sondern mit Informationen. Häufig, ohne es zu wissen.

Die abgefragten Informationen wandern direkt auf die Server von Niantic Inc. Ihr erstes erfolgreiches Spiel war »Ingress«, bei dem Spieler in der echten Welt Kontrolle über bestimmte Knotenpunkte erlangen mussten – ein Testlauf für die spätere Pokémon-GO-App. Diese entwickelte Niantic in Partnerschaft mit den japanischen Firmen Nintendo und The Pokémon Company. in die Vereinigten Staaten. Das Erstellen von personalisierten Profilen wäre in Deutschland nicht erlaubt. Das Bundesdatenschutzgesetz lässt die Erhebung und Speicherung persönlicher Daten nur zu, wenn der Nutzer es erlaubt oder dies erforderlich ist, um »die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.« Was mit Daten aus der EU passiert, die in die USA wandern, regelt seit 2016 aber das Datenschutz-Abkommen »Privacy Shield«. Wie das genau aussieht, würde an dieser Stelle zu weit führen. Der Europaabgeordnete Jan Phillip Albrecht (Grüne) nannte es einen »Blankoscheck« für amerikanische Firmen. Das Spieleunternehmen darf das, weil die beiden Pokémon-Sammler eine umfangreiche Datenschutzerklärung bestätigt haben. Sonst hätten sie das Spiel nicht installieren können.

»Kann schon sein, keine Ahnung. Das ging recht schnell. Liest sich doch eh keiner vorher durch. Und wenn da was Schlimmes drinstünde, wäre es ja wohl nicht so erfolgreich, oder?«

Tatsächlich hat eine Die Studie entstand in Zusammenarbeit der York University und der University of Connecticut (2016) Studie nun bestätigt, dass die allermeisten Menschen Datenschutzerklärungen ignorieren oder höchstens überfliegen. Eine fiktive Nutzungsbedingung verlangte, alle eigenen Daten an den amerikanischen Geheimdienst National Security Agency (NSA) weiterzugeben und sogar das erstgeborene Kind als Bezahlung abzutreten. Von 543 Probanden protestierten nur 2 – der Rest klickte auf Bestätigen. Viele übersprangen die Erklärung sogar ganz und lobten anschließend die Option als »nutzerfreundlich.«

Zurück zu Pokémon GO. Wer sich nicht umständlich über eine Webseite anmelden wollte, Pikantes Detail: Die Webseite war zum Start des Spiels tagelang überlastet und stand damit faktisch nicht als Alternative zur Verfügung. konnte sich direkt per Google-Login registrieren. Auch dort reichte ein Bestätigungs-Klick für über 3.000 Worte Hier lässt sich die ganze Erklärung nachlesen Datenschutzerklärung. iPhone-Nutzer erlaubten Niantic Inc. sogar vollen Zugriff auf das eigene Google-Konto.

»Und was heißt das jetzt?«

Gute Frage.

Der Spielverderber im Kleingedruckten

Wer nach Informationen darüber sucht, was Niantic Inc. unter »Vollzugriff« versteht, stößt auf diese Erklärung: »Voller Zugriff bedeutet, dass die Anwendung alle Informationen deines Google-Accounts einsehen und modifizieren kann.«

Nicht nur Datenschützern klappte bei dieser Formulierung wohl die Kinnlade herunter. Datenkrake Niantic Inc. wurde von besorgten Etwa Adam Reeve, der als Erster darauf aufmerksam machte Spielern und in der Etwa vom Mobile-Magazin Curved Fachpresse angeprangert und ruderte eine Woche nach Spielstart zurück. Das alles sei ein technischer Der Tech-Blog Gizmondo erklärt die technischen Grundlagen (englisch) »Fehler« gewesen und man hätte sich auch unter Vollzugriff nur auf notwendige Daten beschränkt. Ob das stimmt, wissen wohl nur die Programmierer. Aus »Vollzugriff« wurde die Abfrage personenbezogener Daten – das ist bei Handy-Apps nichts Ungewöhnliches.

Das Spiel generiert die niedlichen Taschenmonster zufällig in die Umgebung des Spielers. Augmented Reality nennt sich diese neue Technik; Privatsphäre ist dabei Nebensache. - Quelle: Unsplash (bearbeitet) - CC0

Trotzdem bleibt Pokémon GO ein Diese Daten von Pokémon Go werden an Drittanbieter gesendet Alptraum für Datenschützer. Die App liest sensible Informationen über Spieler aus und Niantic Inc. speichert sie; etwa die letzte besuchte Website vor Spielstart oder die GPS-Position. Allein aus Bewegungsprofilen lässt sich so einiges schließen: Etwa wo ein Spieler wann gewesen ist und welche Strecken er täglich zurücklegt – auch wenn er gerade kein Taschenmonster fängt. In Kombination mit der Uhrzeit könnte man so theoretisch abschätzen, welcher Arbeit der Spieler nachgeht, mit wem er wahrscheinlich befreundet ist und wann er zuletzt einen Arzt besucht hat.

»Krass. Das wusste ich nicht.«

Das konnten die beiden Monstersammler auch gar nicht wissen: Welche Daten genau gesammelt und an wen weitergegeben werden (können), versteckt Niantic Inc. in schwammigen Formulierungen. So werden in der Datenschutzerklärung lediglich Beispiele für Informationen genannt, die erhoben werden dürfen. Dazu nimmt sich Niantic Inc. das Recht heraus, Daten der Nutzer an Strafverfolgungsbehörden, Regierungen und nicht näher definierte Partner und »Dritte« weiterzugeben. Niantic selbst nimmt sich hier zudem weitreichende Haftungs- und Gewährungsausschlüsse heraus – nach kalifornischem Recht. Wer nicht schriftlich Widerspruch einlegt, gerät bei Streitigkeiten an ein Schiedsgericht in den USA.

Wir könnten jegliche Informationen über Sie (oder über das von Ihnen ermächtigte Kind), die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte offenlegen. – Pokémon GO Datenschutzrichtlinie

Der Bundesverband der Verbraucherzentralen hat bereits reagiert und im Juli Niantic Inc. Die Pressemitteilung des Bundesverbands der Verbraucherzentralen abgemahnt. Insbesondere die Datenschutzerklärung verletzt nach Auffassung der Experten deutsche Verbraucherrechts- und Datenschutzstandards. Und verweist auf das veraltete Safe-Harbor-Programm, das der Europäische Gerichtshof bereits im vergangenen Jahr für ungültig erklärte. Dass Pokémon GO bei Jugendlichen und Kindern sehr beliebt ist, die noch gar nicht für das Thema Datenschutz sensibilisiert sind, geschweige denn die verklausulierten Paragraphen der Datenschutzerklärung verstehen können, macht die Sache nicht besser. Deshalb wird in Niantics Datenschutzrichtlinie immer wieder die Formulierung »oder die Privatsphäre Ihres Kindes, das Ihre Erlaubnis hat« verwendet – als ob Eltern zu jeder Zeit den vollen Überblick über das hätten, was ihre (jugendlichen) Kinder auf den Smartphones installieren. Hier müssten eigentlich die Eltern einstehen.

»Lol. Ein häufig verwendetes Akronym für »Laughing out loud« (laut auflachen). Meine Eltern wissen doch nicht, was auf meinem Handy ist. Die freuen sich nur, dass ich jetzt zum Zocken mehr rausgehe.«

Ein bisschen tut es mir ja sogar leid, dass ich den beiden Pokémon-Sammlern ihr Hobby gerade madig mache. Aber das ist besser als der sorglose Umgang mit den eigenen Daten, den andere Spieler auf Facebook und Twitter demonstrieren:

Im Gehirn der Krake

Der Sohn meiner Nachbarin und sein Freund suchen nach einer Erklärung: »Das Spiel braucht sicher die Daten, um zu funktionieren!«

Das ist nicht ganz richtig. Die einzigen Daten, die das Spiel technisch abfragen müsste, ist eine eindeutige Identifizierung Eine einfache Registrierung per Webseite reicht hier aus. Wer Ingame-Käufe machen möchte, muss natürlich noch eine Zahlungsmöglichkeit hinterlegen. und die GPS-Position. Speichern müsste Niantic Inc. Daten überhaupt nicht und könnte Pokémon-Sammlern ihre digitale Privatsphäre lassen.

»Okay, aber warum machen die das?«

»Gehört zum Geschäft«, antworte ich und erinnere mich an ein Gespräch mit Christian Welzel vom Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS). Das Institut erforscht und entwickelt moderne Kommunikationslösungen. Welzel ist Fachmann im Bereich Mit der Frage, wie sorglos wir teilweise mit unserer Identität im Internet umgehen, beschäftigte ich mich bereits hier. Digitaler Identität und Online-Lösungen. Er behält immer auch die Perspektive der Unternehmen im Blick: »Eine No-Data-Policy ist einfach nicht mehr zeitgemäß. Daten sind mittlerweile zu einem bedeutenden Wirtschaftsfaktor geworden«. Das hat auch etwas mit der wachsenden Wirtschaft des Internets zu tun. Die Internationale E-Commerce-Studie vom Centre for Retail Research aus dem Jahr 2015 verbucht für deutsche Unternehmen einen jährlichen Online-Umsatz von 53 Milliarden Euro – Tendenz steigend. Großanbieter wie Niantic Inc. vereinen eine Vielzahl von Kunden aus aller Welt auf sich. Diese verbergen sich im Internet traditionell unter einer IP-Adresse und einem Pseudonym. Und genau hier bekommen die Daten ihren Wert für eine Firma:

Informationen, die wir von unseren Nutzern erheben, einschließlich personenbezogener Daten, werden als Unternehmenswerte erachtet. – Pokémon GO Datenschutzrichtlinie

  1. Geschäfts-Sicherheit: Je mehr Daten eine Firma von einer Person besitzt, desto sicherer ist die Geschäftsbeziehung für das Unternehmen. Mit den Worten von Christian Welzel: »Es ist heutzutage von entscheidender Bedeutung für Geschäftsprozesse im Internet, dass mir mein Gegenüber nichts vortäuschen kann.« Das sichert Firmen auch gegen Online-Betrug ab und bezieht sich auf Daten-Klassiker wie Name, Anschrift und Zahlungsmittel.

    Wir könnten gesammelte Informationen und nicht-identifizierende Informationen Drittanbietern zu Forschungs- und Analysezwecken, demografischen Erhebungen und ähnlichen, anderen Zwecken offenlegen. – Pokémon GO Datenschutzrichtlinie

  2. Weiterentwicklung: Je mehr ein Unternehmen von den Kunden weiß, desto effektiver kann es deren Bedürfnisse ablesen. »Big Data« Die Idee dahinter: mit Hilfe von Algorithmen, also von Menschen programmierten Formeln, Vorhersagen zu treffen. Wenn nach dem Kauf eines Buches Amazon weiß, welche Bücher dem Kunden noch gefallen könnten, ist ein Big Data-Algorithmus am Werk. ist das Schlüsselwort. Dabei geht es nicht um einzelne Nutzer und Namen, sondern um Statistiken aus großen Datenmengen. Das Ziel dabei: Das eigene Produkt verbessern, um neue Kunden anzulocken und die Zufriedenheit (und damit Kundenbindung) zu erhöhen. Big Data kann außerdem dabei helfen, Trends zu analysieren und maßgeschneiderte Angebote zu entwickeln. Besonders begehrt dabei: Der Standort von Personen.
  3. Datenverkauf: Mit genügend Daten kann eine Firma ein Profil über einen Nutzer erstellen. Mit diesen lässt sich Werbung auf eine Einzelperson zuschneiden und damit ihr Kaufverhalten anhand ihrer Interessen subtil beeinflussen. Da die wenigsten Firmen aber selbst der Werbeindustrie angehören, verkaufen sie die Profile weiter – für guten Profit. Niantic Inc. denkt etwa bereits über Das geht aus einem Bericht von John Hanke hervor standortbasierte Werbung nach. An wen die eigenen Daten verkauft oder weitergereicht werden, darüber hat der Nutzer meist kein Mitspracherecht.

    Falls wir durch einen Dritten als Ergebnis einer Transaktion wie einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten oder […] im Falle einer Geschäftsschließung oder Insolvenz übernommen werden, könnten einige oder sämtliche Vermögenswerte, einschließlich Ihrer (oder der des von Ihnen ermächtigten Kindes) personenbezogenen Daten offengelegt oder an den übernehmenden Dritten in Verbindung mit der Transaktion übertragen werden. – Pokémon GO Datenschutzrichtlinie

»Okay, so verdienen die also ihr Geld.«

Pokémon-GO-Spieler treffen sich bei der Jagd und kommen über ihr gemeinsames Hobby ins Gespräch; hoffentlich auch über Datenschutz. - Quelle: Fred Schaerli - CC BY-SA

Tatsächlich ist Pokémon GO (wie viele Apps heutzutage) Free-to-Play. Das reduziert psychologisch die Hemmschwelle, um es auszuprobieren. Seltsamerweise fragen sich wenige Nutzer, warum etwas »gratis« angeboten wird. Jeder kann das Spiel kostenlos herunterladen. Bezahlt wird dann eben nachher und indirekt mit den eigenen Daten. Damit wird es verständlicher, warum Niantic Inc. gar nicht daran interessiert ist, die Reichweite der eigenen Krakenarme offenzulegen: Dieser Daten-Deal wäre für manche Nutzer ein Grund, sich gegen das Programm zu entscheiden.

Mutter-Datenkrake macht es vor

In den Köpfen der beiden Pokémon-Freunde arbeitet es. Dann die Preisfrage: »Ja, aber warum sagt dann niemand etwas? Wieso kommen die damit durch?«

Die kurze Antwort: Datenhungrige Firmen wie Niantic Inc. setzen darauf, dass sich Nutzer nicht mit dem Thema Datenschutz beschäftigen. Das ist mühsam und unbequem in einem Zeitalter, in dem wir gewohnt sind, die meisten Dinge mit einem Klick zu erledigen.

Die lange Antwort: Die Unsitte des umfangreichen Abfragens von Daten ist mittlerweile gesellschaftlich geduldet. Immerhin liest auch das neue Microsoft Betriebssystem Windows 10 So kannst du dich dagegen halbwegs schützen fleißig mit und sogar die Bordcomputer moderner Autos senden Daten ADAC deckt auf: Diese Daten werden von modernen Autos versendet an die Hersteller. Käufer und Nutzer wissen häufig gar nicht, was technisch mittlerweile möglich ist – vor allem bei Smartphones und Mobile-Apps.

»Manche Leute würden das Überwachungs-Kapitalismus nennen.« – Regisseur Oliver Stone

Dahinter steht aber auch eine Philosophie, ausgerechnet von Mutter-Datenkrake Google höchst selbst. Aufsichtsratschef Eric Schmidt erklärte sie in Ein Ex-CEO über Googles Erfolg »Wie Google tickt«: Die totale Vernetzung frei verfügbarer Daten soll die Menschheit verbessern. Nutzer sollen am besten alle Daten gern und freiwillig hergeben. Keine große Sache. Schmidt träumt von medizinischer Vorsorge, optimierten Arbeitsabläufen und intelligenten Computerassistenten für das eigene Leben. Was er dabei verschweigt: Datenbanken vergessen nicht und können zur staatlichen Überwachung missbraucht oder von Hackern Bekannter Fall von Datenklau: Der Sony-Hack 2014 geknackt werden. Jedenfalls ist es kein Wunder, dass gerade Google als Geschäftsmodell darauf basiert, Kundendaten effektiv auszuwerten und zu kommerzialisieren.

Und was hat das mit Pokémon GO zu tun? Nun, Niantic Inc. gehörte seit der Gründung 2010 als Startup zu Google – es ist sozusagen eine Baby-Krake. Der Chef, John Hanke, war unter anderem für Google Earth zuständig. Niantic Inc. löste sich zwar 2015 formal als eigenständiges Unternehmen ab, doch Google bleibt weiterhin Investor.

»Echt jetzt?«

Datenschutz-Lösungen sind auch Vekaufsargumente

»Ja, aber wir wollen nicht aufhören, Pokémon zu fangen!« protestieren die beiden, obwohl ich das nicht einmal vorgeschlagen habe. Verstehen kann ich sie. Die wohl einfachste Lösung, nämlich die App zu deinstallieren, kommt für viele Spieler trotz des Daten-Deals nicht in Frage.

Firmen wie Niantic Inc. wälzen aktuell das Problem mit den Daten ganz auf den Nutzer ab. Das ist auch Christian Welzel ein Dorn im Auge: »Wir sollten das Problem nicht nur auf den Bürger verlagern, sondern den Anspruch haben, Lösungen zu bauen, für die man kein Informatikstudium braucht – die alle anwenden können und die ausreichend sicher sind.«

  • Der technologische Weg: Wie solche Lösungen aussehen könnten, steht dabei nicht in den Sternen. An ihnen wird bereits gearbeitet. Ein Beispiel ist die zentrale Sicherheits-Schaltstelle. Die Idee dahinter: Ein zentraler Anbieter würde damit alle persönlichen Daten eines Nutzers verwalten. Statt selbst Daten für eine sichere Identifizierung zu erheben, würden die Firmen dort nur »anklopfen« und je nach Sicherheits-Stufe bestimmte Daten erhalten oder sogar nur eine verschlüsselte Bestätigung. Doch dafür müssen erst politische Grundlagen gelegt werden, betont Christian Welzel: »Die internationale Politik muss globale Standards definieren. Nur diese können sich in einer globalen Welt durchsetzen.« Das wäre natürlich nur eine Teil-Lösung und beträfe vor allem nicht das Lieblingsfutter der Datenkrake: Big Data, vor allem von Standorten. Doch wem könnte man eine solche Schaltstelle anvertrauen? Google sicher nicht. Private Firmen, wie Mobilfunkanbieter, hätten die nötige Infrastruktur, aber ebenfalls ein starkes Eigeninteresse. Der Staat wiederum könnte auf den digitalen Personalausweis aufbauen, aber die Daten auch zur Überwachung nutzen. Die beste Option: Jeder Nutzer selbst. Wie das aussehen könnte, zeigt seit 2008 das Open-Source-Framework Higgins.
  • Der marktwirtschaftliche Weg: Das führt direkt zum zentralen Punkt beim Datenschutz: Vertrauen. Niantic Inc. verspielt aktuell Vertrauen durch Intransparenz. Das kann sich das Unternehmen nur leisten, weil es mit Pokémon eine starke Lizenz und aktuell ein Monopol auf Handy-Taschenmonster besitzt. Doch das wird nicht so bleiben. Der Erfolg des Spiels sorgt in einer Marktwirtschaft zwangsweise für Konkurrenz, die ein Stück vom Kuchen abhaben will. Gerade für neue Produkte mit geringeren Entwicklungskosten könnten Transparenz und Datenschutz zu einem wichtigen Alleinstellungsmerkmal werden.

Gib der Krake keine Chance: Für viele Programme gibt es bereits sicherere Alternativen. - Quelle: Lucia Zamolo - copyright

Das sind Hier erkläre ich, warum »utopisch« nicht »unmöglich« heißt utopische Lösungen für die (teilweise ferne) Zukunft. Doch auch die beiden Pokémon-Sammler können dazu beitragen, dass sie schneller Wirklichkeit werden. Je mehr das Thema Datenschutz in die Mitte unserer Gesellschaft rückt, desto mehr wächst der Druck auf die Politik und auf die Wirtschaft. In den Vereinigten Staaten entdecken Politiker bereits Pokémon GO und das Thema Datenschutz im laufenden So schrieb der demokratische Senator Al Franken bereits einen kritischen Brief an Niantic Inc. Wahlkampf.

»Geht in Ordnung. Aber was können wir gerade jetzt tun!?«, fragen mich die beiden Pokémon-Sammler vor meiner Haustür.

»Ihr habt bereits einiges getan, indem ihr nun sensibler für Datenschutz seid. Sprecht mit euren Freunden über das Thema und überprüft die Das Google-Dashboard zeigt für Android-Systeme genau, welche Handy-Apps was dürfen Sicherheitseinstellungen eurer Apps. Informiert euch über Alternativen zu Kraken-Programmen, denen ihr mehr vertrauen könnt. Die gibt es außer für Pokémon für fast alles, vom Betriebssystem bis zum Browser. Sie sind natürlich nicht immer bequem oder Free-to-Play, aber sicherer. Und überlegt euch, welche Geo-Daten ihr wirklich welchem Unternehmen anvertrauen wollt! Datenschutz heißt auch, sich ausreichend zu informieren, bevor man eine App installiert. Einen Anfang könnt ihr machen, wenn ihr euer Handy zur Monster-Jagd nicht vor eurer Haustür oder auf dem Schulweg, sondern nur im Nachbarort Damit erhält Niantic Inc. zumindest keine sensiblen Daten über tägliche Lebensabläufe oder das direkte Umfeld des Wohnortes. anschaltet.«

Lucia Zamolo - copyright

 

Werde jetzt Mitglied!

Als Mitglied erhältst du deine tägliche Dosis neuer Perspektiven:
Statt Nachrichtenflut ein Beitrag pro Tag - verständlich, zukunftsorientiert, werbefrei!

Die Diskussionen sind leider nur für Mitglieder verfügbar.

Diesen Artikel schenkt dir Dirk Walbrühl von Perspective Daily.

Mitglied werden ›