Datenkrake im Schafspelz: netID

Ein guter Start…

Eigentlich war ich echt gut gelaunt, als in meinem Feed-Reader die Headline “Warum Cookie-Abstinenz der Branche gut tut” von lead-digital auftauchte. Seit Inkrafttreten der DSGVO gibt es ja immer wieder einiges an seltsamen Ansichten und Einstellungen dazu, ob Nutzer sich überhaupt vor der Verfolgung durch Werbenetzwerke und sonstige Datenkraken schützen können sollten und wenn ja in welcher Form.

Ich war also wirklich positiv gestimmt und dachte, irgendwer hätte eingesehen, dass dieses ganze Cookie-Dilemma keinem weiterhilft und man endlich mal in die andere Richtung denken muss. Bereits im Anreisser wurde ich dann aber enttäuscht. Wobei man auch hier sagen muss: Es ging gut los und dann kam der letzte Satz.

Statt Cookies könnten Single Sign-on Logins eine Lösung sein.

Single Sign-On für Werbenetzwerke? Okay, das kann ja was werden…

Alles in allem enthält der Artikel aber viel Gutes, das muss man ihm lassen. Die aktuelle rechtliche Lage wird beleuchtet und auch, dass es offensichtlich ist, dass es kein “weiter so!” im Bereich von Tracking und Onlinewerbung geben kann.

Es wird im Weiteren auf das aktuelle Gutachten der Datenethikkommisson verwiesen, dass sich (Seite 133 im verlinkten PDF) für Softwaretools stark macht, die eine zentrale Verwaltung von Datenschutz-/Privatsphäreeinstellungen ermöglichen. Diese werden als “Privacy Management Tools (PMT)” und “Personal Information Management System (PIMS)” bezeichnet. Auch darauf komme ich nochmal zurück.

… und ein steiler Absturz

Und dann geht es leider auch schon steil bergab.

Klar ist auf jeden Fall: Eine solche Lösung brauchen wir nicht nur für Deutschland, sondern auf europäischer Ebene. Alles andere wäre Kleinstaaterei und würde den Anforderungen des globalen Werbemarktes und der Dominanz der US-Konzerne nicht gerecht werden.

Die hier geforderte Lösung nennt sich “DSGVO” und ist eben auch geeignet US-Konzerne in die Schranken zu weisen, wenn man das denn möchte. Wer die Presse verfolgt hat wird festgestellt haben, dass die Datenschützer des Landes langsam härter gegen Verstöße vorgehen (z.B. gegen die “Deutsche Wohnen” oder auch “Drillisch”, den meisten besser bekannt als 1&1.)

Und auch wenn sich Drillisch gegen die knapp 10 Millionen Euro Bußgeld gerichtlich wehrt, so wird doch klar, dass die DSGVO anscheinend kein so stumpfes Schwert ist, wie immer behauptet wird. Und ich bin zuversichtlich, dass es auch US-Firmen noch hart treffen wird, sobald man da handfeste Beweise in der Hand und die Vorarbeit sauber abgeschlossen hat.

Gute Idee,…

Zurück zum Artikel. Die Lösung ist also eigentlich da, aber stattdessen wird etwas anderes vorgeschlagen:

Mit netID haben wir eine solche, europaweit anwendbare Lösung im vergangenen Jahr etabliert. Sie gibt Usern die Datenhoheit und Werbungtreibenden, ECommerce-Unternehmen und Publishern die Möglichkeit, ihre Kunden und Leser wirklich rechtskonform zu adressieren – über alle Geräte hinweg und frei von Streuverlusten.

Jetzt muss ich eingestehen, dass ich von netID bis zu diesem Artikel noch nie etwas gehört habe. Ein wenig Suchen und man findet ein paar Dinge:

Die European netID Foundation wurde im März 2018 von der Mediengruppe RTL Deutschland, ProSiebenSat.1 und United Internet gegründet. Sie verfolgt das Ziel, mit der netID als Single Sign-on eine europäische Alternative zu den US-Anbietern zu etablieren.

Mit der netID können Nutzer ihre Einwilligung zur Nutzung von Internet-Diensten datenschutzkonform und transparent in einem sogenannten Privacy Center organisieren. Dazu hat die Stiftung einen offenen Standard entwickelt, der es Nutzern branchenübergreifend ermöglicht, auf alle Internet-Angebote der Partner der European netID Foundation mit denselben Log-in-Daten zuzugreifen.

Quelle: European Net ID Foundation

Auf 60 Partnerseiten finden Nutzer nun einen hellgrünen Button “Mit netID anmelden”. Das Versprechen der Stiftung: Wer den deutschen Login nutzt, muss seine Daten nicht Facebook oder Google überlassen und kann seine Daten zentral auf europäschen Servern verwalten.

[…]

Um die Nutzer von dem Konzept zu überzeugen, setzt NetID auf Transparenz. Wer sich auf einer Partner-Website erstmals über NetID einloggt, wird zunächst darüber informiert, welche Daten des eigenen Profils an den Anbieter weitergereicht werden sollen - etwa die E-Mail-Adresse, eine Lieferadresse oder das Geburtsdatum des Nutzers. Dabei kann der Nutzer mitunter auch die Weitergabe einzelner Daten verhindern.

Quelle: heise.de

Bei genauerer Betrachtung wird also klar, dass mit netID eben eines der zuvor genannten “Personal Information Management Systeme” aufgebaut werden soll. Eine zentrale Stelle zur Verwaltung persönlicher Preferenzen und mehr bezüglich personalisierter Werbung. Das könnte man ja grundsätzlich erstmal ganz gut finden.

Aber eigentlich sollte einem das Ganze schon komisch vorkommen, wenn man sich die Gründungsmitglieder anschaut: Wenn sich ausgerechnet nach Inkrafttreten der DSGVO die deutschen Internet- und Mediengiganten zusammen schließen und vorschlagen, dass man als Deutscher/Europäer seine persönlichen Daten doch besser in ihre Hände als in die von Facebook und Co. läge, dann ist da irgendwas faul.

… aber nur alter Wein in neuen Schläuchen

Ganz so selbstlos wie sich netID in seiner Selbstdarstellung gibt ist das Ganze natürlich nicht. So schreibt heise.de im bereits verlinkten Artikel vom letzten Jahr:

Im Anschluss können Nutzer ihre Daten zentral im Portal ihres NetID-Providers verwalten. […] Hier setzen die Partner aber augenscheinlich weniger Wert auf Transparenz. […] Auch wer Newsletter abbestellen will, muss sich durch diverse Unterpunkte klicken.

[…]

Dies ist kein Zufall, denn die Geburtsidee der Stiftung ist es, den hiesigen Unternehmen einen übergreifenden Datenpool zu beschaffen. […] Widerspricht der Nutzer jedoch nicht, haben die beteiligten Unternehmen die Möglichkeit, ihn über seine NetID-Kennung ohne externe Dienste zu tracken und ihm damit interessebezogene Werbung auszuspielen.

Auch die Digitalethikkommission warnt ausführlich davor, dass ein “fehlerhaft ausgestaltetes” PIMS ein Problem sein kann:

So besteht bei fehlerhafter Ausgestaltung von PMT/PIMS die Gefahr, dass statt der Ermöglichung echter Selbstbestimmung betroffene Personen auf einen Weg der unbewussten oder sorglosen Fremdbestimmung geführt werden.

Insbesondere würde es dem ethischen Wert der Selbstbestimmung letztlich widersprechen, wenn PMT/PIMS so ausgestaltet werden, dass Entscheidungen weitgehend (z.B. durch Blankomandate) von betroffenen Personen an die Betreiber von PMT/PIMS abgegeben oder Entscheidungen betroffener Personen durch diese interessenwidrig beeinflusst werden.

PMT/PIMS müssen den betroffenen Personen als Hilfsmittel dienen, dürfen deren selbstbestimmte Entscheidungshoheit jedoch nicht ersetzen oder diese gar durch sog. Dark Patterns o.ä. manipulieren.

heise bestätigt also, dass netID anscheinend “fehlerhaft ausgestaltet” ist. “Fehlerhaft ausgestaltet” ist aber zu wohlwollend. Es ist genau so gebaut worden, wie man das braucht.

netID wird ganz bewusst mittels Dark Patterns wie komplexen Strukturen, vielen Klicks, vielen Standardeinstellungen etc. pp. den Benutzer genau in die Richtung lenken, in der sie maximal viele Daten sammeln können. Es wäre naiv zu glauben, dass ein von der Industrie getragenes System überhaupt anders konzipiert werden würde.

Und wer sich dann bei einem netID-Partner einloggt um etwas zu kaufen oder seine Mails zu checken oder sonstwas, der ist dann mit dieser Session wieder über alle möglichen Webseiten hinweg identifizier- und adressierbar. Ist das nicht genau das was wir Facebook immer alle vorgeworfen haben? Das die uns durch “das ganze Internet” verfolgen? Nichts anderes passiert also hier.

Am Ende tauscht man also amerikanische Datenkraken gegen deutsche/europäische Datenkraken, die sich unter dem Deckmantel der DSGVO-Konformität verstecken. Tolle “Lösung”.

Coverbild: Franck V. auf Unsplash