Die Privatsphärer derer, die uns die Privatsphäre rauben

Als der US-Kongress in dieser Woche gegen den Datenschutz stimmte, hatte Adam McElhaney eine Idee. Der Aktivist aus Chattanooga (Tennessee) „will den Abgeordneten nun zeigen, wie die Suppe schmeckt, die sie den Netizens eingebrockt haben“, umschreibt heise sein Vorhaben, gegen die Lockerungen im Datenschutz vorzugehen. Sein Ziel: „Ich will den Browserverlauf aller Abgeordneter, Kongressmitglieder, Manager und ihrer Familien kaufen und online auf searchinternethistory.com durchsuchbar machen. Alles, von ihren medizinischen Daten, über Pornografie hin zu ihren Finanzen und Untreue.

Dafür hat Adam ein Crowdfunding gestartet, an dem sich Stand Donnerstag abend deutscher Zeit nahezu 11.000 Menschen beteiligt haben. Auf diese Weise will er ausreichend Geld einsammeln, um die Datensätze derjenigen US-Politiker zu kaufen, die für die Lockerungen im Datenschutz stimmten.

Ein schöne Form der digitalen Demonstration, die natürlich die Frage aufwirft, ob man sich als Datenschutz-Aktivist derart gegen seine eigenen Ziele stellen und persönliche Daten veröffentlichen darf.
Adam bezieht hier klar Position und verteidigt seinen Plan als politische Selbsthilfe. Darüber kann man streiten, vorher entzündet sich im US-Techumfeld aber eine andere Debatte: Man kann gar keine persönlichen Daten kaufen, argumentieren The Verge und TechCrunch und verweisen darauf, dass auch nach den neuen Bestimmung nur anonymisierte Daten gehandelt werden können.

To be clear, you can’t do this. Just because carriers are allowed to market against data doesn’t mean they’re allowed to sell individual web histories. The campaigns seem well-intentioned, but that’s just not how it works.

Und spätestens hier wird die Aktion von Adam McElhaney zu einer bedeutsamen politischen Demonstration, denn sie richtet den Blick darauf, wie Datenhandel aktuell bereits funktioniert. In einem Update auf der GoFund-Seite stellt Adam nämlich klar, dass er sehr wohl glaubt, an persönliche Daten gelangen zu können:

If the data must be bought in bulk, ok that’s fine. Give us the external IP address of we are requesting the data for so we can filter.

Ohne die Details des amerikanischen Gesetzes zu kenne, würde ich nach meinen Erfahrungen des vergangenen Jahres sagen: Die Frage ist nicht, ob Adam die Browserhistory von z.B. Ryan Paul kaufen kann. Die Frage ist nur, ob er dafür genügend Geld und Zeit aufbringt. Denn vermutlich finden sich auch Ryan Pauls Daten in den Paketen, die bereits heute gehandelt werden – allerdings nicht über die Internet Service Provider, sondern z.B. über Browsererweiterungen, die mitlesen (Details dazu hier)

Im vergangenen Winter habe ich für die SZ aufgeschrieben, wie ich selber erleben musste wie meine Daten gehandelt wurden:

Formaljuristisch gesehen sind diese Daten pseudoanonym. Man kann also in den verkauften Daten zunächst nicht nach einem Klarnamen suchen, sondern nur nach einer Nummer, hinter der sich das Profil eines bestimmten Browsers verbirgt. Wenn man nun zum Beispiel die Seite analytics.twitter.com/user/dvg/home in den Daten findet, kann man sicher sein, dass es sich um jemanden handelt, der Zugang zu meinem Account @dvg hatte, denn man kann die Seite nur mit Passwort aufrufen.
In anderen Netzwerken sind diese Seiten ein wenig besser geschützt als bei Twitter, aber auch hier gilt: Wenn man eine solche Seite in den Daten gefunden hat, hat man ziemlich sicher auch den Besitzer des Accounts, der vermutlich auch seinen Klarnamen auf der Seite eingetragen hat. Von diesem Moment an sind die Daten mit einer konkreten Person verbunden – und alles andere als anonym.

Es gibt also durchaus eine Chance, dass Adam mit ausreichend Zeit, Geld und (krimineller) Energie an die Daten kommt, die er veröffentlichen will. Die Frage ist deshalb umso mehr, ob es richtig sein kann, einen derartigen Bruch des Datenschutzes zu betreiben – um sich für Datenschutz einzusetzen. Vielleicht wäre die Energie besser eingesetzt, um konstruktiv an einer anderen Datenschutzpolitik zu arbeiten!