Anlässlich der eben stattfindenden ersten großen Pressekonferenz der „Sammlungsbewegung aufstehen!“ habe ich mir die dazugehörige Webseite angeschaut. Die Sammlungsbewegung setzt zur Verhandlung politischer Fragen und zur Vernetzung auf das Online-Werkzeug pol.is: „pol.is is an AI powered sentiment gathering platform. More organic than surveys, less effort than focus groups.“1. Oder in den Worten der drei Gründer des Start-Ups mit gleichem Namen: „We originally conceived of this as tool for political leaders.“ Künstliche Intelligenz also soll Stimmungen sammeln und auswerten. „Die Webseite aufstehen.de ist nämlich der Dreh- und Angelpunkt der Bewegung“ schreibt der Freitag ganz euphorisch in einer harschen Kritik („Arroganz!“) der Kritiker*innen der Sammlungsbewegung. Mich interessiert, wie das auf der Webseite der Sammlungsbewegung umgesetzt ist und wem das dient.
Um mein Ergebnis, eine große Unzufriedenheit, vorwegzunehmen: Die Daten der politischen Prozesse, die die Plattform abbildet, laufen über die Server einer US-amerikanischen Firma, die sich die Auswertung (auch durch Dritte) zu Werbezwecken vorbehält, ebenso wie den Mit-Verkauf der Daten im Falle ihres Aufgekauftwerdens durch einen größeren Investor. Und das, obwohl das gesamte Tool als Freie Software vorliegt, es also ein leichtes wäre, einen eigenen Server mit der Plattform unter eigener Kontrolle aufzusetzen und zu betreiben.
Die pol.is-Instanz von aufstehen ist voll in die Webseite der Sammlungsbewegung eingebettet und erscheint so als ununterscheidbarer Teil der Webseite. Die Domain aufstehen.de ist zwar bei „United Domains“ in Deutschland gehostet. Auf der Datenschutz-Seite sind die Bemühungen um die Einhaltung vernünftiger Standards erkennbar, so ist zwar Google Analytics im Einsatz, aber auch das Versprechen zu finden: „WIR STEIGEN GERADE AUF MATOMO UM„. Matomo hieß früher Piwik und ist das Pendant zum Konzernservice aus dem Kosmos der Freien Software. Es kann – und sollte! – auch auf eigenen Servern unter eigener Kontrolle betrieben werden.
Der Privacy-Link auf der aufstehen-Pol.is-Seite führt allerdings direkt auf die Server des von Seattle (USA) aus operierenden Start-Ups gleichen Namens. Die Start-Up-Gründer umgeben sich zwar mit dem progressiven Hauch ihrer Wurzeln in der Occupy-Bewegung, verzichten aber nicht darauf, sich alle Rechte der Weiterverwertung der anfallenden Daten zu sichern, z.B. zum Zwecke personalisierter Werbung:
We [pol.is] may also use Personal Information you provide to contact you regarding products, services, and offers, both from ourselves and from third parties, that we believe you may find of interest. We allow you to opt-out from receiving marketing communications from us as described in the ‚Choice‘ section below.“
Ob die Opt-Out-Möglichkeit seitens der Macher*innen von aufstehen.de wahrgenommen wird, wissen wir nicht, da zu Pol.is auf der Datenschutzseite (Stand heute) leider gar nichts zu finden ist. Mal ganz abgesehen davon, dass Opt-Out nicht nur als schlechte Praxis gilt, sondern spätestens durch den Grundsatz „Privacy by default“ der Europäischen Datenschutz-Grundverordnung ganz einfach nicht mehr zulässig ist.
Aber nicht Opt-Out ist das eigentliche Problem. Und auch nicht, dass die kompletten Daten der in der Sammlungsbewegung entstehenden linken Netzwerke, die hier Probleme diskutieren und Positionen bestimmen, über Server in den USA laufen und dort für Werbezwecke ausgebeutet und zur Optimierung staatlicher Überwachung benutzt werden. Auch wenn klar ist, dass nicht nur die Firmen selbst Daten sammeln und weiterverkaufen, sondern auch die US-Regierung jederzeit auf alle Daten von US-Firmen zugreifen kann, die nicht von US-Bürgern stammen: Am 25. Januar 2017 hat der neu gewählte US-Präsident eine Anordnung unterzeichnet, der zufolge die Geltung des Privacy Acts für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, ausgeschlossen sei.2 Damit setzt er noch den pro-forma-Schutz des aktuellen US-EU-Datenschutz-Deals namens Privacy Shield3 außer Kraft und macht deutlich, dass von einem „angemessenen Datenschutzniveau“ für EU-Bürger in einem Geschäfts- und Dienstleistungsverhältnis mit einer in den USA ansässigen Firma nicht mehr ausgegangen werden kann.
Das eigentliche Problem sehe ich vielmehr hier: Obwohl Pol.is als Freie Software vorliegt, liefert die Sammlungsbewegung ihren auf der Online-Plattform angesiedelten Diskussions- und Organisierungsprozess einem Start-Up aus, das sich die Möglichkeit des Ausverkaufs in ihren „Privacy“-Richtilinien schon explizit vorbehält unter dem Stichwort „Business Transfers“. Die Problematik der Nutzung von Diensten auf fremden Servern ist bekannt und von Richard Stallman, Freie-Software-Programmierer und „Erfinder“ der GPL, der wichtigsten freien Software-Lizenz, gut zusammengefasst:
Wenn Sie schon den Server eines Dritten nutzen, sollten Sie wenigstens nicht den Servern eines Unternehmens trauen. Einzig und allein ein Kundenvertrag bietet keinen Schutz, es sei denn Sie können einen Vertragsbruch nachweisen und das Unternehmen anklagen. Das Unternehmen legt seine Verträge wahrscheinlich so aus, dass viele missbräuchliche Praktiken erlaubt sind. Der Staat kann Ihre Daten vom Unternehmen beschlagnahmen, genauso wie die Daten der anderen, so wie es Obama mit Telefongesellschaften getan hat, vorausgesetzt die Gesellschaft gibt sie nicht sogar freiwillig weiter, wie US-amerikanische Telefongesellschaften, die ihre Kunden im Auftrag von Bush illegal abgehört haben. Wenn Sie auf einen Server zurückgreifen müssen, verwenden Sie einen Server, dessen BetreiberInnen Ihnen über die Geschäftsbeziehung hinaus ein Vertrauensverhältnis bieten können.4
Mit anderen Worten, das eigentliche Problem liegt darin, dass aufstehen.de seine Pol.is-Instanz ohne Not überhaupt auf Server auslagert, die nicht durch die Nutzer*innen selbst betrieben und kontrolliert werden können. Stattdessen liegt sie in den Fängen einer Firma, die ihre eigenen Ziele verfolgt. Um einen denkbaren Einwand hier gleich vorweg zu nehmen: Falls die Daten tatsächlich anonymisiert auf die Server von Pol.is laufen, dann ist das kein rechtfertigender Einwand. Es geht mir hier – ganz abgesehen von den Möglichkeiten der Re-Personalisierung anonymisierter Datensätze – um die Auslagerung und Auslieferung der Infrastruktur als Ganzes. Schon 2014 formulierte Federico Heinz, ein lateinamerikanischer Programmierer und Software-Aktivist, im von der Heinrich-Böll-Stiftung mitherausgegebenen Band „COMMONS – Für eine neue Politik jenseits von Markt und Staat “ unter der Überschrift „Öffentliche Verwaltung braucht freie Software„:
Eine öffentliche Verwaltung aber, die der ganzen Gesellschaft verpflichtet ist, kann es sich nicht leisten, die Kontrolle ihrer Infrastruktur Einzelpersonen oder Organisationen zu überlassen, die andere Interessen vertreten. Sie verwaltet Daten, deren Sicherheit – also Zuverlässigkeit und Verfügbarkeit – das Leben jedes Bürgers in erheblichem Maße beeinflusst. Deswegen ist es unverantwortlich, diese Daten mit Software zu verarbeiten, für die von den Herstellern lediglich eine begrenzte Nutzungserlaubnis zu restriktiven Bedingungen erworben werden kann.“
Was für öffentliche Verwaltungen gilt, sollten sich als progressiv, emanzipatorisch verstehende politische Projekte alle Mal zu Herzen nehmen. Eine eigene Pol.is-Instanz auf einem eigenen, von mir aus virtuellen Server bei einem „Community-Provider“, einem nicht-kommerziellen, selbstgestaltungs-orienterten Anbieter von Internet-Diensten (wie z.B. in-berlin.de), wäre da das Mindeste.
- Quelle: Wiki der P2P-Foundation [↩]
- Executive Order: Enhancing Public Safety in the Interior of the United States. In: whitehouse.gov. 25. Januar 2017, whitehouse.gov [↩]
- Der EuGH hatte 2015 im sog. Safe-Harbor-Urteil Kriterien für den Datenschutz in transatlantischen Geschäftsbeziehungen festgelegt. [↩]
- Quelle: Wem dient dieser Server wirklich? [↩]