Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden

,

In den Datenschutzdebatten der letzten Monate ging es häufig um Facebook. Bei Facebook ist im Grunde genommen jeder selbst dafür verantwortlich, welche und wie viele Daten er preisgeben will. Problematischer ist aber der Umgang mit fremden Daten: Mit sensiblen Informationen von Freunden und Bekannten wird nur so um sich geworfen. Die Verantwortung gegenüber anderen Menschen, auch in Datenschutzfragen, sollte in den Mittelpunkt der Diskussion gelangen.

Im Mai 2010 habe ich bereits auf die datenschutzrechtlichen Probleme bei WhatsApp hingewiesen. WhatsApp fordert von dem Nutzer den kompletten Zugriff auf sein Adressbuch und lädt diese Daten auf die eigenen Server. In den Lizenzbedingungen schreibt WhatsApp, dass man dem Vorgang nur zustimmen darf, falls man von allen betroffenen Personen eine Zustimmung erhalten hat (was auch nach deutschem Recht erforderlich wäre). Bei einem mit hunderten Einträgen gefüllten Kontaktverzeichnis kann es sich dabei allerdings nur um einen schlechten Scherz handeln. Dennoch: Die App ist in den AppStores als Dauerbrenner unter den Top 5. Von vielen Bekannten wurde ich schon drauf angesprochen: „Warum bist du eigentlich nicht bei WhatsApp?“. Was ich nun aber weiß, meine Kontaktinformationen haben sie dank meiner Bekannten schon.

Andere Apps, wie Facebook, Instagram oder viele andere, greifen mit der Funktion „Weitere Freunde finden“ ebenfalls u. U. auf das Adressbuch zu. Aber auch hier muss ich als Anwender diese Funktion zumindest auswählen. Und bei manchen (hier sei Facebook positiv (!) erwähnt) werde ich noch einmal mit einer Warnung über das Hochladen der Daten informiert.

Jetzt kann man WhatsApp wenigstens zugutehalten, dass man zumindest die Möglichkeit hat, den Vorgang abzubrechen. Anders sieht es bei den Social Networks Path und Foursquare aus. Wie ich in meinem gestrigen Blogpost mit „Beweisfotos“ geschildert habe, überträgt Foursquare im Hintergrund ohne jegliche Nachfrage oder Warnmeldung E-Mail-Adressen und Telefonnummern an den firmeneigenen Server. In einer ersten Reaktion begründet Foursquare Labs Inc. diesen Schritt damit, dass man dem Nutzer auf einfachem Weg seine Freunde und Bekannte anzeigen möchte, damit diese sich auch auf Foursquare „befreunden“ können. Doch dabei ist eine Übertragung der Daten in reiner Form nicht notwendig. Denn: Ginge es Foursquare tatsächlich nur darum und wäre ihnen die datenschutzrechtlichen Fragen der Nutzer wichtig, so könnten sie auf dem Smartphone sogenannte Hashwerte erstellen und nur diese mit dem Server abgleichen. Dabei werden aus Rohdaten (z. B. E-Mail-Adressen) bestimmte eindeutige Zeichenfolgen erstellt. Aus diesen Hashs kann man die ursprünglichen Rohdaten nicht wiederherstellen, aber dennoch hat eine E-Mail-Adresse immer den gleichen Hash, egal, von welchem Smartphone sie erstellt werden. Somit müssen auf dem Server nur die Hashwerte und nicht die Rohdaten gespeichert werden, um die gleiche Funktionalität anbieten zu können.

Unter Umständen kann die Übertragung der Adressbuchdaten noch viel schlimmere Konsequenzen haben. Bei Path wurden diese Daten sogar im Klartext, ohne Verschlüsselung, übertragen. Ein Mitlesen als „Man-In-The-Middle“ ist somit denkbar einfach. Aber auch HTTPS-Verbindungen können, z. B. durch gefälschte Zertifikate, nicht 100%ige Sicherheit garantieren. So könnte in autoritären Regimen, in denen insbesondere soziale Netzwerke zu Koordination von Protesten genutzt werden, die Preisgabe der Kontakte in dem Adressbuch schwerwiegende Konsequenzen haben.

Was muss getan werden?

  1. Es wird Zeit, dass Apple ein klares Rechtemanagement in seine Apps integriert. Dies lässt sich nicht über zig Pop-Up-Dialoge lösen, die einzeln fragen: „Diese Anwendung möchte Ihren Standort abfragen“, „Diese Anwendung möchte auf Ihr Adressbuch zugreifen“, usw. Klare Regelungen und Berechtigungen müssen definiert werden und für jede einzelne App einzeln konfigurierbar sein. (UPDATE: Apple hat bereits reagiert)
  2. Dennoch darf man Apple hier nicht als Sündenbock darstellen. Nicht Apple schreibt die Apps, sondern die App-Entwickler selbst. Bei Desktop-Betriebssystemen wird generell nur zwischen normalen Anwendungen und Anwendungen mit Administrationsrechten unterschieden. Dort wird ebenfalls nicht jeder einzelne Abfrage vom Betriebssystem blockert (auch ein Mac OS oder Windows haben ein Adressbuch!). Hier gilt es insbesondere an die Ethik eines Software-Entwicklers zu appellieren. Wer das Datenschutz Ein-Mal-Eins bricht sollte sanktioniert werden. Bei sozialen Netzwerken geht das ganz einfach: die Nutzer müssen sich abmelden!
  3. Viel wichtiger ist aber auch der Datenschutzdiskurs. Die Ich-Bezogenheit muss verschwinden. Jeder einzelner ist nicht nur für seine Daten verantwortlich, sondern auch für die Daten anderer. Wenn im eigenen Adressbuch persönliche Daten notiert sind (neben Kontaktmöglichkeiten können dies auch sensible Informationen sein, die als Notiz hinterlegt sind!), muss man mit diesen noch vorsichtiger umgehen, als mit den eigenen. Warum wird darüber nicht diskutiert?