• Logo des ZEVEDI-Verantwortungsblogs
  • Kategorien
    Akzentfarbe: Türkis Autor: Renke Siems Uncategorized Verantwortungsblog

    „Going Dark“. Datentracking und Datenzugriff auf europäischer Ebene

    Es klingt, als wolle Brüssel sich zur Cyberpunk-Metropole entwickeln: eine Expertengruppe, die nicht so heißen darf, damit man nicht wissen kann, wer ihre Mitglieder sind. Datenzugriff auf Geräte, Services und Infrastrukturen, wann immer „die Sicherheit“ es für nötig erachtet. Einflussnahme auf Industriestandards, damit dies stets in Echtzeit möglich ist. Und in Geschichte und Gegenwart dieser Entwicklung immer mitten drin: wissenschaftliche Infrastrukturen.

    „Going Dark“. Datentracking und Datenzugriff auf europäischer Ebene

    Es klingt, als wolle Brüssel sich zur Cyberpunk-Metropole entwickeln: eine Expertengruppe, die nicht so heißen darf, damit man nicht wissen kann, wer ihre Mitglieder sind. Datenzugriff auf Geräte, Services und Infrastrukturen, wann immer „die Sicherheit“ es für nötig erachtet. Einflussnahme auf Industriestandards, damit dies stets in Echtzeit möglich ist. Wenn nicht, müsse man bedauerlicherweise auf Schwachstellen zurückgreifen und Haft verhängen gegen die, die nicht „kooperieren“. Was schon die Bezeichnung – „Going Dark“ – aussehen lässt wie das verbrannte Niemandsland zwischen Neuromancer und V for Vendetta, hat einen administrativen Namen: „High-Level Group on Access to Data for Effective Law Enforcement“, eingesetzt 2023. Die weitreichenden Vorschläge dieser EU-Arbeitsgruppe wurden von der ungarischen Regierung als „beeindruckend und zukunftsweisend“ bewertet. Sie sollen Schwerpunkt der aktuellen Ratspräsidentschaft werden. Und in Geschichte und Gegenwart dieser Entwicklung immer mitten drin: wissenschaftliche Infrastrukturen.

    Von Renke Siems | 13.08.2024

    Ein Smartphone, auf dessen Display eine geöffnete Tür zu sehen ist.
    Mit Adobe Firefly generiert. Prompt: „kubistisches Gemälde; minimalistisch; offene Scheunentore in ein Smartphone hinein“.

    Demokratie hat ihre Paradoxien. So verwies Christian Stöcker im ZEVEDI-Podcast Digitalgespräch (Stöcker 2024) kürzlich darauf, dass in einer Demokratie das Lügen nicht grundsätzlich verboten werden könne, denn um so ein Verbot durchzusetzen, bräuchte es eine zentrale „Wahrheits-Behörde“, und dann hätte man keine Demokratie mehr, sondern ein totalitäres Regime. Eine Gesellschaftsform, die ihre Entwicklung grundlegend aus einem vernunftgeleiteten Diskurs gemeinsamer besserer Einsicht bezieht, kann sich damit nur begrenzt gegen die Manipulation ihrer Grundlagen wehren, sondern ist auf Workarounds angewiesen, was mal besser und – in Zeiten von Trollarmeen und News Deserts – auch mal schlechter funktioniert. Eine freiheitliche Demokratie ist somit in ihren Strukturen mit einer gewissen Notwendigkeit fragil, und wir mussten es in unserer Geschichte ja auch schon erleben, dass sie sogar auf mehr oder weniger demokratische Weise abgeschafft werden kann. Das war ein Extrem, es gibt jedoch auch (bislang) nicht so weitreichende und eher schleichende Prozesse, worin Grundrechte mithilfe von Grundrechten bekämpft werden. Prozesse dieser Art prägen unsere digitale Welt seit Jahrzehnten.

    Ein Großteil dessen, was den aktuellen Konflikt in Brüssel ausmacht, hat seinen Ursprung in den 1980er Jahren mit einem Kokain-Schmuggler, der die Seiten wechselte.1 Als Hank Asher – ein in Europa wenig bekannter Daten-Pionier – sein Business zu heiß wurde, bot er sich der Drug Enforcement Administration (DEA) als Informant an. Dort fand er seine Berufung, denn die DEA war eine der ganz frühen law enforcement agencies, die mit einer zentralen Datenbank arbeitete: Verdächtige wurden im System erfasst, bekamen einen Identifier und blieben dort für immer gespeichert. Asher lernte schnell, besorgte sich Hardware und machte 1992 seine eigene Firma auf. Als Kunden hatte er zunächst die Versicherungswirtschaft im Blick, der er das verkaufen wollte, was heute ein Teil der digitalen Risk Solutions ist: Daten, mit denen sich Schadensereignisse vorab kalkulieren und am besten auch gleich noch Prozesse automatisieren lassen. Bei der Sammlung von Führerschein- und Kennzeichendaten begriff er dabei etwas, was man die Grundrechtsschleife nennen kann, die alle Data Broker seit ihm ausnutzen: Datenschutz- und Informationsfreiheitsgesetze gab es zwar schon seit Jahrzehnten, aber die Rechte, die sie begründeten wie die informationelle Selbstbestimmung, waren so konzipiert wie etwa die Wissenschaftsfreiheit auch – als Abwehrrecht gegenüber dem Staat. Der Staat sollte keine Geheimnisse vor den Bürgern haben können, aber die Bürger gegenüber dem Staat. Hank Asher war nun nicht der Staat, also suchte er sich eine Anwältin und begann, die Daten aus den öffentlichen Stellen herauszuholen: Fahrzeughalter, Standesamtsdaten, Schwerbehinderungen, Immobilien, Konzessionen, Adressänderungen, Insolvenzen schwemmten in seine Server, wurden zu Personenprofilen aufbereitet und seinen Kunden angeboten. 1997 erfolgte der Dammbruch und er bekam auch Daten von Kreditkarten- und Versorgungsunternehmen. Damit war Ashers Produkt AutoTrack unhintergehbar geworden, denn all die Mechanismen, die wir heute z.B. gegen das Tracking der digitalen Werbung ins Feld führen, griffen in diesem Universum harter Echtzeitdaten nicht: es gibt kein Opt-Out gegenüber dem Standesamt, das meine Eheschließung beurkundet, und kein Recht auf Vergessen gegenüber dem Energieversorger, der in diesem Moment meinen Rechner mit Strom versorgt.

    Diese Unausweichlichkeit führte Asher wieder zum law enforcement zurück, nun als interessierte Kunden – beginnend mit Leigh McMorrow, einer IT-Mitarbeiterin von einem benachbarten Police Department, der er sein Produkt vorführte.

    „‚How are you doing that?‘ she wondered aloud. He explained that he was gathering public records to build a product for the insurance industry. ‚I was just so flabbergasted‘, McMorrow says. ‚The minute he showed it to me, I’m like, my God, oh my God. I said ‚You’re sitting on a gold mine. Law enforcement will eat this up with a spoon.‘“ (Funk 2023, 73)

    So kam es dann auch und die Grundrechtsschleife zog sich zu: der Staat, der keine Geheimnisse haben durfte, mietete sich den Zugang zu denen seiner Bürger über außerstaatliche Third Parties. In der Welt nach 9/11 entwickelten sich data fusion solutions zu einem Multimilliardenmarkt mit jährlichen Wachstumsraten von 15 bis 20 Prozent (Verified Market Research 2024, Chemical Industry Latest 2023) überboten nur von den explosionsartigen Datenmengen, die aus Social Media und Werbetracking hinzukommen. Auch die Anwendungsgebiete wuchsen, wenn z.B. Gesichtserkennung als digitales Instrument zur Überwachung der Offline-Welt eine neue Unentrinnbarkeit erzeugt: „You could delete your social media account. You could leave your phone at home. You couldn’t leave your face at home.“ (Funk 2023, 197) Data Fusion führt dabei nicht nur zu Profiling, sondern sowohl im staatlichen wie Wirtschaftsbereich zu immer mehr Scoring. Was in China der social credit score, sind in der westlichen Welt eine immer größere Reihe an Scores: renter scores, juror scores, voter scores, customer-lifetime-value scores, welfare-benefits scores – und in der Pandemie dann noch socioeconomic health scores, die Maßnahmen und Verteilung von Ressourcen begründeten.

    Wenngleich der Markt für Data Fusion groß ist, sind die relevanten Marktteilnehmer eher überschaubar in der Anzahl und einige Marktführer davon auch in der Wissenschaft sehr bekannt: RELX (der Mutterkonzern von Elsevier), Thomson Reuters, Clarivate und Palantir. Warum teils so bekannte Wissenschaftssupplier hier vorne dran sind, hat seine Ursache in der Digitalisierung der Wissenschaft: Elsevier z.B. hatte in den Jahren um 2000 noch eine erdrückende Papierquote bei seinen verlegten Zeitschriften. Der Verlag suchte in der Furcht, vom aufstrebenden Internet überrollt zu werden, nach einer Alternative und als Hank Asher gesundheitlich zusehends ausbrannte und seine Firma zum Verkauf stand, griff Elsevier zu und fusionierte Ashers Erbe mit dem eigenen Datendienst LexisNexis. Auch in Palantir wurde bereits 2006 investiert. (RELX 2021)

    Seitdem wachsen führende Anbieter für wissenschaftliche Services in den Risk Solutions-Bereich hinein, liefern Datenprodukte für Predictive Policing (Wang et al. 2022) und übertragen die Arbeitsweisen dieses Bereichs immer mehr in die Wissenschaft. Vor Jahren hat die DFG bereits über das Datentracking in der Wissenschaft berichtet und wie die vormaligen Verlage nun als Data Analytics-Unternehmen ihre Plattformen mit Überwachungstechnologien ausstatten (DFG 2021) – nur um aktuell festzustellen, dass sich bei den Verhandlungen zu den großen DEAL-Verträgen nur teilweise ein rechtskonformer Zustand herstellen ließ. (Altschaffel et al. 2024) Seit langem an ein Scoring mit fragwürdigen Indikatoren gewöhnt, lässt sich die Wissenschaftsgovernance nach dem Muster von law enforcement jetzt international „Research Intelligence“ anbieten und greift zu – ohne dass anscheinend groß überlegt wird, was die Gewinnung dieser „Insights“ für Forschende an Gefährdungen bedeutet, welcher Wissens- und Technologieabfluss dadurch möglich wird und welche neuen Möglichkeiten sich auch für die Merchants of Doubt bieten, mit diesen Strukturen und Anreizsystemen die Wissenschaft in den gleichen Morast zu führen, in dem ein großer Teil des Nachrichtenwesens schon liegt und der auch hier dazu führen kann, die vormals gemeinsame Faktengrundlage durch den Wettkampf konkurrierender Narrative zu ersetzen (Siems 2024b) und wissenschaftliche Infrastrukturen immer näher an den fantasy industrial complex heranzuführen, den Renée DiResta beschreibt. (DiResta 2024)

    Die EU-Initiative „Going Dark“ ist auf diesen Boden gewachsen und anscheinend dafür angetreten, die Entwicklung nochmals zu eskalieren. Getrieben von der Befürchtung, aufgrund der Verbreitung und der Fortschritte bei Verschlüsselungstechnologien könnte die Strafverfolgung erblinden – eben „going dark“ – wurde die eingangs benannte High Level Group unter der schwedischen Ratspräsidentschaft im Juni 2023 eingesetzt. (European Commission 2023) Die Gruppe sollte ursprünglich vielfältige Perspektiven einbringen, nicht nur law enforcement und criminal justice, sondern auch data protection und privacy, cybersecurity, private sector, non-govermental organisations, und academia. Dazu scheint es nicht gekommen zu sein – die High Level Group versank gleichsam selbst ins Dunkel – (FragDenStaat 2023) Mitgliederlisten wurden geschwärzt, und abgesehen vom Europäischen Datenschutzbeauftragten als Gast scheint law enforcement und dessen Umfeld unter sich zu sein. Die wesentlichen Schritte der Expertengruppe stehen nun im Zeitraum der ungarischen Ratspräsidentschaft an: die Veröffentlichung der Empfehlungen (European Commission 2024) fällt ins direkte Vorfeld, im Verlauf des Herbsts erscheint der Schlussbericht und wird auch das Arbeitsprogramm der neuen Kommission veröffentlicht. Abschließend tagt im Dezember auch noch der Rat der Europäischen Union mit einem Austausch zum Thema (Council of the European Union 2024). Ungarn hat „retention and access to law enforcement data“ ausdrücklich in sein Arbeitsprogramm aufgenommen. (Hungarian Presidency 2024)

    Die „Going Dark“-Gruppe setzt für ihre Arbeit drei Schwerpunkte: Zugang zu den Daten auf Endgeräten, Zugang zu den Daten, die bei den Providern liegen, und Zugang zu den Datenflüssen. Ein besonderer Schwerpunkt liegt auf den Over-the-top (OTT)-Services, die in Konkurrenz zu den traditionellen Kommunikationsdiensten stehen wie Messaging und Videotelefonie. Internationale Kooperation auch außerhalb der EU wird hervorgehoben, hier werden die USA genannt. Sehr viel Wert legt die Gruppe auch darauf, ihre Vorstellungen mit bereits bestehenden Regulierungen zu verknüpfen, mehrfach wird dabei der Digital Services Act als Ansatzpunkt genannt.

    Hinsichtlich der Gerätedaten beklagt die Gruppe die mangelhafte Kooperation der Hersteller mit law enforcement, weshalb es sehr schwierig sei, legal Daten aus dem Gerät herauszuholen und unverschlüsselt mit den nötigen Metadaten gerichtsverwertbar zu machen. Zentral seien daher zwei Dinge: law enforcement müsse zum einen mehr Einfluss als bislang auf die Standardisierungsgremien nehmen und damit Protokolle, Schnittstellen und technische Architekturen formen, damit künftige technische Standards von Beginn an entsprechend entwickelt werden. Zum anderen sollten der Industrie, wenn sie nicht freiwillig kooperiere, dann eben Verpflichtungen auferlegt werden.

    Bei den Providerdaten kommt unweigerlich das Thema Vorratsdatenspeicherung auf den Tisch, das mit Nachdruck und ausführlich behandelt wird weit über klassische Telekommunikationsdienste hinaus: insbesondere OTT-Services sollen „Transparenz schaffen“ über die Daten, die bei ihnen anfallen, verarbeitet und gespeichert werden. Interessanterweise werden auch Autohersteller dabei als communication service betrachtet und Instrumente diskutiert, um bei denen Compliance zu erzwingen, die heute von der „Connectivity“ ihrer neuen Modelle schwärmen, und davon den Zugang zum europäischen Markt abhängig zu machen. Diskutiert wurde ebenso „the opportunity to legislate on data already in the possession of providers for business purposes.“ Das kann nun vieles bedeuten: Zugriff auf die Nutzerdaten in der Breite, wie sie etwa der Data Act versteht, oder auch Zugriff auf die Datenbestände der Data Broker, denn auch deren beliebtestes Produkt Lokalisierungsdaten werden in diesem Zusammenhang angesprochen.

    Datenflüsse stellen für die Gruppe die Anforderung, mit großen Datenmengen in Echtzeit umzugehen. Auch hier soll deshalb Einfluss auf Standardisierung genommen werden, etwa bei 5G/6G. Bei unkooperativen Providern müsse man wohl weiterhin auf die Nutzung von Schwachstellen zurückgreifen, hier und insgesamt wäre daher Verschlüsselung sehr im Weg: „law enforcement authorities need to have a pre-established lawful access to readable data“ – daher sind Initiativen wie Apples Private Relay gar nicht gerne gesehen.

    Im Einzelnen schlagen die Empfehlungen dann u.a. mehr Geld für Forschung und Entwicklung zur Datenbeschaffung vor (Nr. 4), Verbesserung der Schwachstellennutzung (Nr. 6), Einbindung der Wissenschaft (Nr. 8), Ausbau der Fähigkeiten, große Datensätze in Echtzeit zu übertragen (Nr. 9) und – in Ergänzung zu Nr. 6 – anscheinend das gezielte Knacken von Geräten und Services, wenn man anders an die Daten nicht herankomme (Nr. 10). Der Einfluss auf technische Standards soll das gesamte Spektrum des Internet of Things abdecken wie etwa connected cars und auch Satellitenkommunikation (Nr. 20). Hersteller von Hard- und Software, aber auch Cybersecurity, Datenschutz- und Standardisierungsexperten sollen insgesamt verstärkt eingebunden werden in eine „technology roadmap“, „in order to implement lawful access by design in all relevant technologies in line with the needs expressed by law enforcement“ (Nr. 22). Ziel ist ein „EU-level handbook“ der einschlägigen Gesetzgebung (Nr. 25), „a harmonised EU regime on data retention“ (Nr. 27) und auch eine Harmonisierung der strafrechtlichen Werkzeuge, Kooperation zu erzwingen, bis hin zur Inhaftierung (Nr. 34). Dabei sind insgesamt Zentralisierungsbestrebungen weg von den Mitgliedsstaaten hin zu EU-Einrichtungen festzustellen, die z.B. als „Single Point of Contact“ gegenüber Unternehmen dienen sollen.

    Angesichts dessen, dass hier offenkundig keine Snowflakes am Werk waren und die Pläne weit über das hinausgehen, was bislang unter dem Label Chatkontrolle Furore machte, ist das öffentliche Echo auf dieses ausufernde Überwachungspaket bislang erstaunlich dünn. Das Arbeiten im administrativen Untergrund, ein Thema, das in seiner technischen Komplexität für klassische Presseberichterstattung meist eher unattraktiv ist, und ein offenbar ebenso stiller wie weitreichender Konsens unter vielen Mitgliedsstaaten trugen dazu bei, dass bislang kein breiter Diskurs entstanden ist, obwohl schlichtweg jede und jeder in einem europäischen Land betroffen sein wird. Es sieht so aus, als wenn die europäische Öffentlichkeit im Bereich Überwachung, über den schon so lange gestritten wird, mittlerweile einen Ermüdungsbruch erlitten hat.

    Bislang widmen sich dem Thema hauptsächlich ausgewählte Tech-Presse wie Netzpolitik und Europaparlamentarier. Hier ist insbesondere Patrick Breyer hervorzuheben, der hartnäckig dieses Thema verfolgte2 – nur damit die EU-Kommission eine Anfrage von ihm monatelang ignorierte, bis er nach den Wahlen jetzt aus dem EU-Parlament ausscheidet. (European Parliament 2024) Fasst man die digitalaktivistische Kritik dabei bewusst überspitzt zusammen, steht hier der Vorwurf einer „Stasi 4.0“ im Raum: ein völlig von der Kette gelassener Sicherheitsapparat, der keinerlei Interesse mehr daran hat, sich von Grundrechten und bürgerlichen Freiheiten einhegen zu lassen. Ob man die Kritik in ihrer Schärfe teilt oder nicht – man wird beim Blick auf den Maßnahmenkatalog zugeben müssen, dass dieser in höchstem Maße invasiv ist – law enforcement will in den Fahrersitz, und zwar allein. Und wenn im Empfehlungspapier wiederholt darauf rekurriert wird, dass dies alles die Ende-zu-Ende-Verschlüsselung nicht schwächen werde und Datenschutz und Privacy gesichert seien, so wird das zu werten sein wie die „Technologieoffenheit“ in der Klimapolitik: ein dekoratives Wording, das zur Sache nichts beiträgt, sondern ablenken soll.

    Zu beachten ist auch, dass „Going Dark“ an sich schon wenig mit der Wirklichkeit zu tun hat, sondern vor allem ein sorgfältig gepflegter politischer Mythos ist. Immer wieder haben hochrangige Studien wie vom Berkman Center for Internet and Society an der Harvard University belegt, dass die Befürchtungen wenig fundiert sind. (Berkman Center 2016) Strafverfolgungsbehörden stehen heute ein Vielfaches an Informationen zur Verfügung als ehedem und sie erzielen entsprechende Ermittlungserfolge. Teils wird dabei auf durchaus „kreative“ Lösungen zurückgegriffen, wie bei der von Joseph Cox erzählten Geschichte der gesicherten Kommunikationsplattform Anom, die sich in der organisierten Kriminalität verbreitete mit dem kleinen Haken, dass sie verdeckt vom FBI betrieben wurde. International konnten Behörden ihre Kundschaft wie im Goldfischglas beobachten und zuschlagen. (Cox 2024) Aber auch dort zeigten sich bereits die Grenzen, da dieser honey pot so erfolgreich war, dass er aus dem Ruder zu laufen begann, ebenso wird die Verwertbarkeit der Beweise vor Gericht vielfach in Frage gestellt.

    Der Maßnahmenkatalog rollt letztlich auch alle Debatten wieder auf, die z.B. bei den Verhandlungen zum Data Act geführt wurden hinsichtlich des Schutzes von Geschäftsgeheimnissen. „Access by Design“ hieße Zugriff nach Bedarf auf Services, Konsumgüter, Industrieproduktion, Forschung & Entwicklung. Sind wir sicher, dass etwa die Automobilhersteller in Europa dies mit Begeisterung mittragen werden? Setzt sich dies dennoch durch, wäre damit auch die so aufwendig erarbeitete Europäische Datenstrategie diskreditiert, nachdem bislang schon den in den Maßnahmen als Anknüpfungspunkt genannten Digital Services Act wie ein Schatten die Vorwürfe verfolgten, hinter der rechtstaatlichen Fassade autoritären Entwicklungen Vorschub zu leisten. (z.B. European Digital Rights 2022)

    Entscheidender sind aber dennoch die Aussichten für die Bürgerinnen und Bürger in Europa, die im Gegensatz zu denen der Sicherheitsbehörden tatsächlich sehr düster sind. „A VPN won’t help either“, erklärt Jan Jonsson von Mullvad. „It would mean total surveillance and that Europe’s inhabitants carry state spyware in their pockets.“ (Jonsson 2024) Was hierbei noch wenig diskutiert wird, ist, dass im Ernstfall das reine Ausmaß der invasiven Eingriffe zu riesigen Datenmengen und entsprechendem Bearbeitungsbedarf führen wird und damit dazu, dass law enforcement neuerlichen Bedarf für vertraute Dienstleister schaffen wird: Palantir ist schon in die deutsche Sicherheitsinfrastruktur hineingewoben, obwohl die fortlaufenden Gerichtsverfahren zeigen, dass sich dort das Schaffen von Tatsachen mehr auf den Datenzugriff als von validen Rechtsgrundlagen bezieht. (Abbe 2023) LexisNexis hat bereits Zugang zur Europäischen Datenstrategie, indem es in den Bereich der Mobilitätsdaten eingedrungen ist. (LexisNexis Risk Solutions 2020) Während die großen Plattformen wie Google, Amazon und Microsoft sich in den letzten Jahren immer mehr zu military contractors entwickelt haben,3 haben die spezialisierten Plattformen – das dem Wissenschaftsbereich entsprungene „GAFAM der kuratierten Information“ – parallel sich mit ihren data fusion solutions immer weiter den Markt der inneren Sicherheit erobert. Dabei ist die fachliche Bilanz dieser Firmen überaus durchwachsen: hatte Sarah Lamdan bereits für den Wissenschaftsbereich analysiert, dass die von ihr so genannten „Datenkartelle“ mit dem starken Anwachsen der Datenmengen und der Einführung von KI-Anwendungen keineswegs bessere Leistungen erzielen (Lamdan 2022), so referiert McKenzie Funk Berichte des US-Senats, die unzählige Datenschutzverstöße feststellten, „but – despite an estimated billion dollars in taxpayer support – no evidence they had helped stop any terror attacks.“ (Funk 2023, 184) Stattdessen füllen sich Abschiebezentren durch data driven deportation vorzugsweise mit den einfach zu findenden Personen: Mütter, die vor ihren kleinen Kindern verhaftet werden, Schüler, Arbeitnehmer im Betrieb – und ebenso Gefängnisse mit denen, die einer falschen Evidenz zum Opfer fallen. Funk erzählt beispielsweise die Geschichte von John Newsome, den die schlampige Bedienung von LexisNexis um seine mühsam aufgebaute Existenz brachte. Er schaffte es, kein Schuldgeständnis zu unterschreiben und einen Anwalt zu bekommen, daher sieht er sich als begünstigt an, denn „there’s plenty of people that could tell you the story that I’m telling you right now. But they’re gonna tell it to you, and the ending of theirs is gonna be like, ‚and when I got out of jail fifteen years later…‘“ (Funk 2023, 189)

    Was man heute „AdInt“ nennt, die Verschmelzung von Werbetracking und Risk Solutions zu einer „Advertising Intelligence“, ist dabei besonders fehlerträchtig (Meineck/Dachwitz 2024) und zugleich die prominenteste Form einer unheimlichen Allianz von Tech-Industrie und Politik auf dem Weg zu immer mehr Überwachung. (Tau 2024) Die mit den Risk Solutions verknüpfte Data Broker-Branche gilt dabei mittlerweile selbst als „hidden security crisis“ (Cracked Labs 2023): Beschäftigte in kritischen Infrastrukturen, Militärangehörige, Mitarbeiter von Nachrichtendiensten lassen sich in den zügellos gehandelten Daten identifizieren, ihre Bewegungsmuster und Alltagshandlungen nachvollziehen. (Brunner et al. 2024, Meineck/Dachwitz 2024) Dies gilt auch für die Wissenschaft, denn im „Xandr“-Leak vergangenes Jahr zeigten sich auch Belege dafür, dass etwa LexisNexis Daten von geschützten Berufsgruppen wie Anwälte und Forschende an den Data Broker LiveRamp weitergab,4 ebenso sammeln die auf den Wissenschaftsplattformen verankerten Tracker, Fingerprinter und Audience Tools fortlaufend Daten. (Siems 2022) Das bedeutet nicht nur ein Risiko für die Personen, sondern da diese Daten sehr breit und niederschwellig zu bekommen sind, ist es auch ein Risiko für Forschungs- und Technologieabfluss. Während die G7 in Sachen Wissenschaftsspionage um ihre Position zu China ringen und dabei diplomatische Verärgerung riskieren, (Gabel 2024; Directorate-General for Research and Innovation 2024) stehen die virtuellen Scheunentore zu sensiblen Daten hochgezüchteter Forschungsteams die ganze Zeit sperrangelweit offen.

    Wenn Risk Solutions damit selbst so große Risiken beinhalten – was ist dann die Motivation von „Going Dark“? Warum dieser unbedingte Wille, demokratiefeindliche Maßnahmen durchzusetzen? Gibt es den vielberufenen Systemwettbewerb zwischen China und der westlichen Welt am Ende gar nicht, weil eigentlich alle chinesisch werden und Kapital und Kontrolle maximal glücklich verbinden wollen? Vielleicht muss man nochmal zum Beginn der Geschichte zurückkehren, wo Hank Asher der Polizistin McMorrow das erste Mal AutoTrack vorführte. Sie sorgte für eine Demo in ihrem Police Department und es geschah genau das, was sie sich gedacht hatte: „The chief, the deputy chief, all the detectives […] freaked out over it, absolutely freaked out over it.“ (Funk 2023, 73) Data Fusion hat eine starke Verführungskraft durch ihren Glanz der (scheinbaren) Evidenz und weil die Sicherheitsbehörde überdies damit alle rechtstaatlichen (und damit anstrengenden) Checks & Balances überspringen kann: man braucht keinen richterlichen Untersuchungsbeschluss mehr, man muss sich keinen Fragen mehr stellen, alles, was man will, kann man per data shopping on the fly bekommen – ein All you can eat für Personendaten. Als Behörde muss man auch sich selbst und die vielleicht nicht mehr so ganz zeitgemäßen Arbeitsformen und das behördliche Gestrüpp nicht in Frage stellen, denn Data Fusion legt einem ja trotzdem alles glänzend vor die Füße. Dass es voller Fehler ist, kann man ignorieren, trifft ja schließlich nicht die Anwender, sondern die Verzeichneten wie den Bibliothekar Shea Swauger, der im Selbstversuch sein Profil aus dem LexisNexis-Konkurrenten Thomson Reuters herausholte: 41 Seiten detailliertester Informationen – aber bis hin zum Geschlecht eben auch vielfach falsch.5

    Wenn wir im Kontext von „Going Dark“ von Verantwortung sprechen, reden wir damit nicht nur über die Freiräume von Wissenschaftlerinnen und Wissenschaftlern, sondern zugleich von den grundlegenden Rechten der Bürgerinnen und Bürger sowie auch von den grundlegenden Funktionen und Prozessen unserer Gesellschaft. Das kann die Wirtschaft sein, das kann unser Miteinander schlechthin sein – aber reden wir auch ausreichend darüber, was das alles für die Wissenschaftsfreiheit bedeuten soll, wenn künftig alle Geräte, die in Labor und Büro stehen, quasi eine Standleitung zum law enforcement haben sollen? Alle Services, die (auch) Forschende nutzen, eine Mitwirkungspflicht zur Verfolgung haben? Wie sollen sich Forschungsdateninfrastrukturen weiterentwickeln, an denen ein Großteil der künftigen Wertschöpfung hängt, aber auch von digitaler gesellschaftlicher Entwicklung insgesamt? Wie soll noch zu Datenaltruismus motiviert werden, wenn ehrlicherweise alle nur antworten könnten: „Vielen Dank – hab schon gespendet!“

    Es ist damit in verschiedener Hinsicht durchaus fraglich, wo hier etliches sowohl im Dunkeln wie auch im Argen liegt.

    1. Die Darstellung hier folgt Funk 2023 und meiner Rezension des Buches in der Bibliothekszeitschrift o-bib (Siems 2024a), aus der auch einige Sätze für diesen Beitrag übernommen wurden. ↩︎
    2. Vgl. die von ihm erstellte Themenseite unter Breyer 2024. ↩︎
    3. Vgl. z.B. Microsoft 2024 und Biddle 2024. ↩︎
    4. Vgl. Keegan/Eastwood 2023 und das dort verlinkte GitHub-Repository. ↩︎
    5. „To wrap it up, @Westlaw, through CLEAR, collects a shit ton of data about you. They share it with law enforcement, including @ICEgov, and anyone who has enough money to buy CLEAR. And for most people, there’s nothing you can do about it”. (Swauger 2019) ↩︎

    Abbe: Zum Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse und seinen Folgen [16.02.2023], https://police-it.net/folgen-des-bverfg-urteils-fuer-vera-und-andere-palantir-systeme?cn-reloaded=1 und https://www.golem.de/news/palantir-bayerns-polizei-erhaelt-umstrittene-analysesoftware-vera-2407-187185.html [22.07.2024].

    Altschaffel, Robert u.a. (2024): Datentracking und DEAL – Zu den Verhandlungen 2022/2023 und den Folgen für die wissenschaftlichen Bibliotheken. In: Recht und Zugang, 2024, Heft 1, S. 23-40. https://doi.org/10.5771/2699-1284-2024-1-23.

    Brunner, Katharina et al. (2024): Wohnort, Arbeit, ausspioniert. Wie Standortdaten die Sicherheit Deutschlands gefährden [16.07.2024], https://interaktiv.br.de/ausspioniert-mit-standortdaten/ [24.07.2024].

    Berkman Center [for Internet & Society] (2016): Don’t Panic. Making Progress on the “Going Dark” Debate [01.02.2016], https://cyber.harvard.edu/pubrelease/dont-panic/Dont_Panic_Making_Progress_on_Going_Dark_Debate.pdf [22.07.2024].

    Breyer, Patrick (2024): https://www.patrick-breyer.de/beitraege/draft-going-dark-uberwachungsschmiede/ [24.07.2024].

    Briddle, Sam (2024): Israeli Weapons Firms Required to Buy Cloud Services From Google and Amazon [01.05.2024], https://theintercept.com/2024/05/01/google-amazon-nimbus-israel-weapons-arms-gaza/ [22.07.2024].

    Chemical Industry Latest (2023): Data Fusion Market Insights Research Report (2023-2030) | 125 Pages [12.12.2023], https://www.linkedin.com/pulse/data-fusion-market-insights-research-report-2023-2030-fdslf [22.07.2024].

    Council of the European Union (2024): Draft agendas for Council meetings during the second semester of 2024 (Hungarian Presidency) [24.06.2024], https://data.consilium.europa.eu/doc/document/ST-11222-2024-INIT/en/pdf [22.07.2024].

    Cox, Joseph: Dark Wire. The Incredible True Story of the Largest Sting Operation Ever. New York: ‎PublicAffairs 2024.

    Cracked Labs. Institute for Critical Digital Culture (2024): Europe’s and America’s hidden security crisis [11.2023], https://crackedlabs.org/en/rtb-security-crisis [24.07.2024].

    Directorate-General for Research and Innovation (2024): G7 agree to strengthen open and safe international science cooperation [11.07.2024], https://research-and-innovation.ec.europa.eu/news/all-research-and-innovation-news/g7-agree-strengthen-open-and-safe-international-science-cooperation-2024-07-11_en?prefLang=de [22.07.2024].

    DFG [= Deutsche Forschungsgemeinschaft] (2021): Datentracking in der Wissenschaft: Aggregation und Verwendung bzw. Verkauf von Nutzungsdaten durch Wissenschaftsverlage. Bonn 2021; https://www.dfg.de/resource/blob/174922/5b903b1d487991f2d978e3a308794b4c/datentracking-papier-de-data.pdf [22.07.2024].

    DiResta, Renée: Invisible Rulers. The People who turn Lies into Reality. New York: PublicAffairs 2024.

    European Commission (2024): Recommendations of the High-Level Group on Access to Data for Effective Law Enforcement [21.05.2024], https://home-affairs.ec.europa.eu/document/download/1105a0ef-535c-44a7-a6d4-a8478fce1d29_en?filename=Recommendations%20of%20the%20HLG%20on%20Access%20to%20Data%20for%20Effective%20Law%20Enforcement_en.pdf [22.07.2024].

    European Commission (2023): COMMISSION DECISION of 6.6.2023 setting up a high-level group on access to data for effective law enforcement, https://home-affairs.ec.europa.eu/document/download/ffbbf855-c62e-4b71-a249-126316124e91_en?filename=Commission%20Decision%20setting%20up%20a%20high-level%20group%20on%20access%20to%20data%20for%20effective%20law%20enforcement_en.pdf [22.07.2024].

    European Digital Rights (2022): Public Statement on New Crisis Response Mechanism and other Last Minute Additions to the DSA [12.04.2022], https://edri.org/wp-content/uploads/2022/04/EDRi-statement-on-CRM.pdf [22.07.2024].

    European Parliament (2024): Transparency of High-Level Expert Group on access to data for effective law enforcement, Question for written answer E-001335/2024 to the Commission, Rule 138, Patrick Breyer (Verts/ALE) [25.04.2024], https://www.europarl.europa.eu/doceo/document/E-9-2024-001335_EN.html [22.07.2024].

    FragDenStaat (2023): June and November Meetings of the HLEG on access to data for effective law enforcement, https://fragdenstaat.de/anfrage/june-and-november-meetings-of-the-hleg-on-access-to-data-for-effective-law-enforcement/ [22.07.2024].

    Funk McKenzie: The Hank Show: how a house-painting, drug running DEA informant built the machine that rules our lives. New York: Macmillan 2023.

    Gabel, Tim (2024): G7: Wissenschaftsminister wollen Forschungsergebnisse vor „feindseligen“ Nationen beschützen [15.07.2024], https://table.media/research/analyse/g7-wissenschaftsminister-wollen-forschungsergebnisse-vor-feindseligen-nationen-beschuetzen/ [29.07.2024].

    Hungarian Presidency (2024): Programme of the Hungarian Presidency of the Council of the European Union in the Second Half of 2024, https://hungarian-presidency.consilium.europa.eu/media/32nhoe0p/programme-and-priorities-of-the-hungarian-presidency.pdf [22.07.2024].

    Jonsson, Jan (2024): https://thefifthskill.com/eu-anti-encryption-crusaders-seek-to-turn-your-digital-devices-into-spyware/ [22.07.2024].

    Keegan, Jon & Joel Eastwood (2023): From „Heavy Purchasers“ of Pregnancy Tests to the Depression-Prone: We Found 650,000 Ways Advertisers Label You [08.06.2023], https://themarkup.org/privacy/2023/06/08/from-heavy-purchasers-of-pregnancy-tests-to-the-depression-prone-we-found-650000-ways-advertisers-label-you [22.07.2024].

    Lamdan, Sarah: Data Cartels. The Companies That Control and Monopolize Our Information. Stanford: Stanford University Press 2022.

    LexisNexis Risk Solutions (2020): LexisNexis Risk Solutions wurde für das EU-Konsortium Horizon 2020 ausgewählt [04.11.2020], https://www.prnewswire.com/news-releases/lexisnexis-risk-solutions-wurde-fur-das-eu-konsortium-horizon-2020-ausgewahlt-817539385.html [22.07.2024].

    Meineck, Sebastian & Ingo Dachwitz (2024): Databroker Files: ADINT – gefährliche Spionage per Online-Werbung [19.07.2024], https://netzpolitik.org/2024/databroker-files-adint-gefaehrliche-spionage-per-online-werbung/ [22.07.2024].

    Microsoft (2024): Microsoft for defense and intelligence https://www.microsoft.com/en-us/industry/defense-intelligence [24.07.2024].

    RELX (2021): RELX 2020 Results [11.02.2021], https://www.relx.com/~/media/Files/R/RELX-Group/documents/investors/transcripts/results-2020-transcript.pdf

    Rudl, Tomas (2023): Digital Services Act: EU-Kommissar hält an Lizenz zum Abklemmen sozialer Netze fest [20.09.2023], https://netzpolitik.org/2023/digital-services-act-eu-kommissar-haelt-an-lizenz-zum-abklemmen-sozialer-netze-fest/ [22.07.2024].

    Siems, Renke (2024a): Rezension zu: Mckenzie Funk: The Hank Show: how a house-paintig, drug running DEA informant built the machine that rules our lives. In: o-bib. Das offene Bibliotheksjournal 11 (2024) Nr. 1. https://doi.org/10.5282/o-bib/6021

    Siems, Renke (2024b): Subprime Impact Crisis. Bibliotheken, Politik und digitale Souveränität. In: Bibliothek Forschung und Praxis 2024. https://doi.org/10.1515/bfp-2024-0008.

    Siems, Renke (2022): Das Lesen der Anderen. Die Auswirkungen von User Tracking auf Bibliotheken. In: o-bib. Das offene Bibliotheksjournal, Bd. 9 (2022), Nr. 1; https://doi.org/10.5282/o-bib/5797.

    Stöcker, Christian (2024): Information und Desinformation – wie steht es um die Netzöffentlichkeit? Digitalgespräch Folge 53 mit Christian Stöcker, https://zevedi.de/digitalgespraech-053-christian-stoecker/ [22.07.2024].

    Swauger, Shea (2019): [13.12.2019], https://twitter.com/SheaSwauger/status/1205587676172144641 [22.07.2024].

    Tau, Byron (2024): Means of Control. How the Hidden Alliance of Tech and Government is Creating a New American Surveillance State. New York: Crown.

    Verified Market Research (2024): https://www.verifiedmarketresearch.com/product/data-fusion-market/ [22.07.2024].

    Wang, Nina/Allison McDonald/Daniel Bateyko/Emily Tucker (2022): American Dragnet: Data-Driven Deportation in the 21st Century, Center on Privacy & Technology at Georgetown Law [10.05.2022], https://americandragnet.org/ [22.07.2024].

    Siems, Renke (2024): „Going Dark“. Datentracking und Datenzugriff auf europäischer Ebene. In: Verantwortungsblog. https://zevedi.de/going-dark-datentracking-und-datenzugriff-auf-europaischer-ebene/ [13.08.2024].
    https://doi.org/10.60805/p7w9-d268


    Renke Siems
    ist Referent im Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg, Referat für Digitalisierung, Informationsinfrastrukturen und Forschung im Informations- und Kommunikationstechnik-Bereich. Zuvor war er Fachreferent und Abteilungsleiter an der Universitätsbibliothek Tübingen.

  • Über den Blog
    Der ZEVEDI-Verantwortungsblog hat die Frage zum Gegenstand, wie gut es uns im Zusammenleben mit Digitaltechnologien geht. Er kommentiert die Ambivalenzen, die Steuerungsprobleme und die Vertretbarkeit des digitalen Wandels. Was an möglicherweise kritischen Technikfolgen (und Markteffekten) sollte man in den Blick nehmen und diskutieren? Wo sind Sorgen angebracht? Wie passt Digitalisierung zu Freiheit und Demokratie? Welche Regeln braucht eine digitale Gesellschaft? Wovon sollte – weil es kritisch werden könnte – die Rede sein?

    Es schreiben Autor:innen aus dem ZEVEDI-Netzwerk sowie Gäste darüber, was sie lernen und erforschen, was sie beunruhigt und was sie fasziniert.

    DOI: 10.60805/5c9w-7n74
    ISSN:  2943-9124