molily Navigation

Versuche zur Bestimmung von Google

In einem Blogeintrag beschreibt Stefan Münz sein Verhältnis zu Google als positiv und vertrauensvoll und geht dabei auf die verbreitete Kritik an Googles Übermacht ein. Ich sehe die jüngste Auseinandersetzung mit Google, zu der diese Stellungnahme beiträgt, als einen zwiespältigen Anfang. Ich befürworte die sokratische Ironie, mit der Stefan Münz nachhakt, um unbegründete Angst in eine begründete Meinung zu überführen und um Risiken und konkrete Gefahren auf den Punkt zu bringen. Auch wenn er gegen »Dateninfantilität« wettert, so kommt bei der Analyse der Daten- und Machtkonzentration offenbar heraus, dass kein ernsthafter Grund zur Beunruhigung besteht. Das halte ich für ein Herunterspielen der Lage.

Das Eintreten für Datenschutz, Privatsphäre und IT-Sicherheit wird hier, sobald es Google trifft, als größtenteils »pathologische« Hysterie abgetan. Vorurteile gibt es jedoch genauso wie legitime Ablehnung, ausgelöst durch sachliche Analysen von Sicherheitsexperten und Privatsphäre-Engagierten. Es gälte daher, das Bewusstsein für diese Themen zu schärfen sowie gesellschaftlich zu intervenieren. Man sollte die Auseinandersetzung mit »Datenkraken« wie Google nicht von dieser allgemeinen Aufklärung trennen.

Eine netzpolitische Betrachtung Googles wäre ein vielschichtiges Thema mit sozialen, medialen, technischen und politischen Aspekten. Ich bin für die wenigsten ein Experte, daher hier bloß ein paar Versuche – bei denen es nicht nur ausschließlich um Google gehen soll.

Googles Einfluss auf Technikentwicklung

Man kann Google nicht vorwerfen, das Web nicht als Web der Daten verstanden zu haben. »Google is a data company«, sagt Asa Dotzler. Daten, die sich verteilt im Netz und in der Google-Cloud befinden. Daten, die idealerweise nicht an eine Software und nicht an feste, proprietäre Formate gebunden sind, sondern jederzeit migrierbar sind. Daten, die über offene Schnittstellen abgefragt und wieder eingebunden werden können: Das Mashup. Daten verschiedener Herkunft, die aggregiert, verarbeitet, wiederverwendet und zueinander in Beziehung gesetzt werden: Die Semantik. Google ist maßgeblich dafür verantwortlich, das Wort »API« (Programmierschnittstelle) im Sprachwortschatz von Webprogrammierern etabliert zu haben. Daraus folgt: Wer von Google weg will, wird es dank der Schnittstellen einfach haben, die wichtigsten Daten mitzunehmen.

Google ist die Internet-Firma schlechthin, man kann die wichtigsten Dienste von Google beziehen. Google leistet in puncto Technologie sehr viel für das Web. Sie unterstützen die Arbeit an Webstandards, dokumentieren Best Practises, stellen massiv Infrastruktur bereit und entwickeln grundlegende Software – Google ist einer der größten Open-Source-Sponsoren. Google gestaltet das Web maßgeblich zu seinen Zwecken mit. Meistens profitieren die Nutzer davon. Ob das letztendlich gut oder schlecht ist, lässt sich nicht so recht sagen, denn ohne Google hätten wir schlicht ein anderes Web, das von anderen Akteuren mit anderen Zielen gestaltet werden würde.

Wenn es darum geht, neue Standards zu entwickeln, wirft sich Google mit seinem Gewicht ins Getümmel. Es ist maßgeblich Google zuzuschreiben, dass sich das Web zur Plattform für Anwendungen entwickelt. Genauer gesagt für die eigenen Webanwendungen oder solche mit Google-Technik und -Infrastruktur. Die Client-Software sowie der Großteil der Server-Software sind proprietär, die Daten liegen in der Google-eigenen Cloud. Open-Source-Verfechter sehen in der Abkehr vom Desktop als Anwendungsplattform zurecht einen Kontrollverlust des Endbenutzers. Allerdings stimmt das nur halb: Google trifft wenig unilaterale Entscheidungen und legt die Grundlagen seiner Webanwendungen wie den Google Web Toolkit sowie das Google-Wave-Protokoll offen. Die offenen Schnittstellen erlauben auch eigenen, Desktop-basierten Clients die Nutzung.

Googles Offenheit als Geschäftsmodell

Googles Image lebt von dieser Offenheit. Deshalb bringen ihnen Leute Vertrauen entgegen. Wäre Google genauso datenhungrig und nur halb so offen, würde Misstrauen vorherrschen. Es ist eine, neutral ausgedrückt, ausgefuchste Strategie, zum einflussreichsten Internet-Unternehmen der Welt anzuwachsen, welches am meisten Informationen erhebt, speichert und verteilt – ohne dabei nennenswert mit Widerstand konfrontiert zu sein. Wenn Privacy-Bedenken bestehen, wie etwa beim automatischen Google-Updater, veröffentlicht Google kurzerhand den Quellcode, sodass jeder Google auf die Finger schauen kann.

Das ist nun nicht das Gegenteil einer Monopolstrategie, wie man sie anderen, »geschlossenen« IT-Unternehmen wie Microsoft zuschreibt. Es ist nur die zeitgemäße Form, Kunden an sich zu binden und von all denen, die sich an den eigenen Erfolg hängen, auch noch zu profitieren: Es ist ein Geschäftsmodell des Web 2.0. Ebenso ist es kein philanthropisches Geschenk, dass Programme quelloffen sind und Dienste kostenlos angeboten werden. Tatsächlich ist es jeweils ein Tauschhandel, wie Daniel Leisegang festhält.

Verfolgt Google böse Absichten?

Gier ist ein Begriff, der zur Erklärung der besagten betriebswirtschaftlichen Entscheidungen nicht taugt. Es ist vielmehr das übliche Streben nach Expansion und Profit, das jedem Unternehmen zugrunde liegt. Mit jedem Dienst, den Google online stellt, wächst Googles Macht alleine dadurch, dass die Dienste erfolgreich sind. Die Nutzer tragen ihre Daten freiwillig zu Google.

Man braucht Google keine Weltherrschaftspläne oder ähnliche »bösen« Absichten unterstellen. Googles Absichten sind die offensichtlichen Absichten einer »Data Company« im größtmöglichen Stil, etwa durch das Anbieten einer breiten Produktpalette von Google-Suche über ChromeOS bis zum Google-Handy, dem Sammeln und Verarbeiten von öffentlichen und privaten Daten. Facebook ist auch so ein Mega-Datensammler.

Was Internet-Riesen über die Nutzer wissen

Der große Vorteil von Google ist, zahleiche Online-Aktivitäten an einer Stelle zusammenzuführen. Der Google-Login fungiert als Single-Sign-On für E-Mail, Online-Dokumente, Bookmarks, Chat-Konversationen, Terminkalender. Google ist die Festplatte in der Cloud, mit einer Menge vertraulicher privater und geschäftlicher Daten.

Darüber hinaus kennt Google das komplette Web-Profil eines Nutzers: Alle Suchanfragen werden geloggt, die IP-Adressen neun Monate aufbewahrt. Fast jede Website verwendet Google-Dienste wie Analytics (Nutzungsstatistik), AdSense (Werbeanzeigen), Doubleclick (Bannerwerbung) oder Youtube (Einbindung von Videos). Dadurch hinterlässt der Nutzer selbst beim Surfen auf Nicht-Google-Sites Spuren bei Google. Der Phishing- und Malware-Schutz in Firefox und Chrome sendet die Adressen der Seiten, die man besucht, zur Vorab-Kontrolle an Google. Mit dem Google-DNS-Server kennt Google gar alle Internet-Verbindungen und speichert die DNS-Anfragen samt IP-Adressen für bis zu 48 Stunden. Über HTML5 Geolocation in Google Maps kennt Google den gegenwärtigen Nutzerstandort. Beim Zugriff auf Maps über das Handy kennt Google ganze Bewegungsprofile.

Google verfügt somit über lückenlose Profile von Netzmenschen. Google weiß, was du letzten Sommer getan hast. Wo du dich aufgehalten hast, was du gelesen hast, woran du höchstwahrscheinlich gedacht hast. Zumindest wenn du an diesem Tag personalisierte Google-Dienste genutzt hast. Google hat also mehr Daten über eine Person gespeichert, als diese selbst über sich in Erinnerung hat.

Diese Auflistung alleine dient der Bewusstwerdung, nicht der Panikmache. Nicht alle dieser Daten werden personenbezogen zusammengeführt, ausgewertet oder sind für Google-Mitarbeiter zentral abrufbar, glaubt man Googles Datenschutz-Erklärungen. Rein technisch wäre es aber kein Problem, mit Zugriff auf die technische Infrastruktur der Google-Dienste ein nahezu lückenloses Profil eines Netzmenschen zu erstellen. Dafür sorgen der Cookie von Google Analytics, die Aufzeichnungen des Google-DNS sowie hauptsächlich der Google-Account, mit dem z.B. jegliche Suchanfragen verknüpft werden.

»Aber sie verwenden diese Daten nicht gegen die Nutzer!«

Der kollektive Upload privater Daten zu einer großen Firma sei kein Problem, solange man der Firma vertrauen kann, so die Argumentation. Und das könne man, solange sie einem öffentlichen Druck ausgesetzt ist und keine Interessen gegen mich hegt. Dagegen wird üblicherweise eingewendet:

  1. Man weiß nicht sicher, was mit den Daten passiert. Eine unabhängige Überprüfung ist hier nicht möglich. Unternehmen wie Google sind eine Black Box und unterstehen keiner Kontrolle von außen, schon gar keiner demokratischen. Die Annahme, Google und Facebook kümmerten sich ausreichend um Datenschutz alleine deshalb, weil sie ihren Ruf wahren möchten, hat sich als falsch erwiesen. Datenschutz-Verbesserungen in den AGB dieser Anbieter mussten bisher immer gegen sie durchgesetzt werden: Es waren Nutzerproteste, massiver öffentlicher Druck, breite mediale Berichterstattung, die z.B. die Facebook-AGB-Änderungen zu Fall gebracht haben. Man braucht niemandem »böse Absichten« unterstellen, um nüchtern festzustellen, dass die Ausschlachtung der Daten diesen Firmen am meisten nützen würde – eingedämmt wird sie nur durch kritische und bewusste Öffentlichkeit, die es erst einmal herzustellen gilt.
  2. Selbst wenn ein Missbrauch (noch) nicht stattfindet, ist ein solcher jederzeit möglich, denn die Umstände können sich ändern. Wie »evil« ein Konzern ist, hängt von einer Unternehmenspolitik ab, die sich mit wirtschaftlichen und politischen Verhältnissen ändert.
  3. Wo ein komplexes technisches System existiert, das Unmengen an Daten speichert, gibt es unvermeidbar Sicherheitslecks. Die Geschichte aller bisherigen Social Networks ist eine Geschichte von Sicherheitslecks. Wer Kontrolle über einen Google-Account erlangt, kann weitesgehend die Existenz als Netzbürger hijacken, manipulieren, auslöschen und kann sich darüber Zugriff auf weitere vertrauliche Daten verschaffen, um andere Computersysteme auszusperren, lahmzulegen usw. Wer den Single-Sign-On einer Person knackt, kann die Person besser ausspionieren als jeder herkömmliche Schlapphut oder Lauschangriff. Die notwendige Konsequenz daraus ist Datensparsamkeit und Datenvermeidung.
  4. Alleine dass Google mehr Daten über die Bürger besitzt als ein durchschnittlicher Überwachungsstaat, sämtliche »Kundenkarten«-Betreiber, Markt- und Sozialforschungsinstitute, gibt dem Unternehmen eine soziale und ökonomische Macht. Ein Herrschaftswissen, mit dem sie ihre Monopolposition festigen können. Es ist ein unbegründetes Vertrauen, dass es dabei bleiben wird, dass eine Firma diese Daten bloß für die »Personalisierung« von Werbeanzeigen und Empfehlung von Inhalten nutzen wird.

Unabhängigkeit von Google und mögliche Konkurrenz

Stefan Münz führt gegen den letztgenannten Punkt an, dass die Konzentration bei Google den freien Wettbewerb nicht gefährde: Die Benutzer seien nicht an Google gebunden (siehe oben).

Das stimmt im Prinzip. Wenn allerdings fast jeder Docs und Wave verwendet, um Informationen zu teilen und zu bearbeiten, und bestehende Groupware-Lösungen auf Google Wave aufspringen, dann bleibt dem Einzelnen nichts übrig, als auch Nutzer zu werden. Dieser soziale Zwang gilt noch viel mehr selbigen Netwerken. StudiVZ hat nach eigenen Angaben sechs Millionen registrierte Mitglieder, das ist ein Vielfaches der Studierendenzahl von Deutschland, Österreich und Schweiz. Somit wird vermutlich so ziemlich jeder Studierende ein StudiVZ-Konto besitzen. 60% der Schüler der besagten deutschsprachigen Länder sind bei SchülerVZ registriert.

Das Verhältnis von Google zur Konkurrenz konnte Google bisher fast immer für sich entscheiden: Vor Google Docs gab es eine nützliche Webanwendung namens Writely, bis Google das Unternehmen schluckte. Schon einige Zeit vor Google Wave gab es einen tollen Konkurrenten, der hieß EtherPad, bis Google das Unternehmen schluckte und Google Wave die Technik assimilierte. Immerhin wurde der Quellcode von EtherPad offengelegt.

Ein weiteres Beispiel ist Google Chrome: Der knapp ein Jahr alte Browser hat weltweit schon mehr als 4,3% Marktanteil erreicht (zum Vergleich Safari: ca. 4,6%, Opera: ca. 1,4%). Das ist nicht allein der Innovation zuzuschreiben, die die Nutzer überzeugt hat. Es liegt daran, dass eine Firma ihre Produkte mit den ihr zur Verfügung stehenden Möglichkeiten auf dem Markt platziert. – Alleine die kostenlosen Werbeplätze für Chrome auf der Google-Startseite sowie bei Youtube erreichen mehr Nutzer als je eine »Spread Firefox«-Marketingkampagne. – Und es liegt daran, dass Medien auf den Hype einspringen, sodass Googles Produkte die Schlagzeilen dominieren.

Philipp Lenssen von Blogoscoped weist darauf hin, dass Google in neue Geschäftsbereiche vordringt und die einzelnen Dienste miteinander verknüpft:

»Google in late 2009 is now covering or aiming to cover web apps, the browser that runs the web apps, the OS that runs the browser, and, according to rumors, even the computer that runs the OS. (...) Also, Google gets more and more ways to cross-connect their products; they can push their search in their browser, they can push Docs in Gmail, they can push their browser in their OS, they can push Google Health in web search, and so on.«

Eine Veranschaulichung davon ist Android 2.0, mit dessen Navigationssoftware Google jüngst die Aktien der Navigationsgeräte-Hersteller TomTom und Garmin purzeln ließ.

Diese Beispiele zeigen, dass Google auf seinem Durchmarsch derzeit wenig entgegen steht. Das ist als neutrale Einschätzung gemeint. Sie steht der Einschätzung entgegen, das die Unabhängigkeit von Google trotz allem gewahrt bleibe. Googles Macht weitet sich aus, ist aber sicher nicht unangreifbar. Zumindest wenn andere Internetkonzerne wie Microsoft und Yahoo – nach endlosen Machtkämpfen – ihre Kräfte bündeln wie im Falle von Bing. Die runderneuerte Suchmaschine erreichte in vergleichsweise kurzer Zeit 10 Prozent Marktanteil und platzierte sich damit als echter Google-Konkurrent.

Privatsphäre der Bürger gegenüber Regierungen

Der zweite Gefahrenpunkt, den Stefan Münz zusammenfasst, ist der Zugriff von Behörden und Regierungen auf die bei Google angesammelten privaten Daten:

»Staaten, Regierungen und ihre Ermittlungsbehörden könnten die Herausgabe der Daten erzwingen und für Indizienverfahren nutzen (...). Allerdings wird das im rechtsstaatlichen Umfeld nicht ohne richterlichen Beschluss möglich sein, und mit einem richterlichen Beschluss können auch Wohnungen durchsucht werden. Kein Vorteil also für unter der Matratze versteckte Holzmedien. "Schurkenstaaten" müssten sich Mittel wie der gewaltsamen Erpressung von Google oder schlicht Hacker-Methoden bedienen.«

Diese Sichtweise übersieht den Umbau des Rechtsstaates zum Präventivstaat im Zuge der »Terrorismusbekämpfung«. Dadurch sind die Überwachung Unschuldiger sowie die »verdachtsunabhängige« Vorratsdatenspeicherung zur Normalität geworden. Die Kompetenzen von Polizei und Geheimdiensten weiten sich zunehmend aus, deren Datenbanken werden verknüpft.

Wenn jede E-Mail, Suchanfrage und der Facebook-Status bekannt sind, dann wird die Wohnungsdurchsuchung unnötig. Das »Holzmedium unter der Matratze« wurde sowieso über das Web bestellt, selbst Notizen werden heutzutage ins Netbook eingetippt und lassen sich damit per heimlicher Online-Durchsuchung mitlesen.

Des weiteren vergisst obige Argumentation den zum Teil vorauseilenden Gehorsam, den Internet-Anbieter gegenüber Stafverfolgungsbehörden zeigen. Eine »gewaltsame Erpressung« ist überhaupt nicht nötig, alle großen IT-Diensteanbieter kooperieren freiwillig mit dem chinesischen Staat, was Internetzensur und die Verfolgung von Dissidenten angeht. Wo Google aktiv ist, hält sich das Unternehmen an die gegenwärtigen Gesetze. Es muss sich daran halten, um auf dem jeweiligen Markt aktiv sein zu dürfen. Und dass Unternehmen das tun, steht für sie nicht in Frage, denn sie wollen möglichst große Profite erwirtschaften. Daraus macht selbst Google-CEO Eric E. Schmidt keinen Hehl:

»It’s important, for example, that we are all subject in the United States to the Patriot Act and it is possible that all that information could be made available to the authorities.«

Es ist nicht nur möglich, dass Google Informationen weitergibt, sie tun es selbstverständlich. Um auf das Ausgangszitat zurückzukommen: Der Patriot Act hat »die Erfordernis, Richter bei Telefon- oder Internetüberwachung als Kontrollinstanz einzusetzen, [...] weitgehend aufgehoben« (ebd.). Das ist kein rein US-amerikanisches Phänomen, auch die EU geht mit dem Stockholm-Programm ähnliche Wege. Dass damit im Vergleich zum Offline-Zeitalter neue Einschränkungen der Bürgerfreiheit hinzukommen, dürfte offensichtlich sein.

Sicherheit von Daten in der Cloud und Alternativen

Die zweifelhafte Aussage, es sei für Ermittlungsbehörden genauso schwierig, Daten aus der Cloud abzugreifen wie Manuskripte aus der Matratze, verschweigt zudem, dass wirksame Datensicherheit praktisch möglich ist: Wer seine Daten lokal verschlüsselt speichert und möglichst verschlüsselt kommuniziert, kann sich ziemlich sicher sein, dass niemand die Daten nach derzeitigem technischen Stand entschlüsseln kann.

Insofern sind folgende praktische Konsequenzen festzuhalten: Eine bessere Sicherheit und Privatsphäre ist möglich und ratsam. Eine Zurückhaltung beim Verteilen von privaten Daten an Internetdienste ist geboten. Intransparente Unternehmen mit Rechnersystemen, über die man keine technische und exekutive Kontrolle hat, sind nicht vertrauenswürdig. Gegenüber Webanbietern sollte die Nutzergemeinde für anonyme und pseudonyme Webnutzung eintreten. Sie sollte bessere Datenschutzrichtlinien bis hin zur »Zero Data Retention« (vgl. »Wir speichern nicht) einfordern.

»Öffentliche Daten nützen, private Daten schützen«, hieß einmal ein Grundsatz der Hackerethik. Der Unterschied zwischen öffentlich und privat ist obsolet in einer Welt, in der alle Daten in der Cloud liegen und sich der Unterschied nur durch Freigaberechte konstituiert: Damit ein Social Network funktioniert, laden die Nutzer tagtäglich private Daten hoch, um sie dann mittels »Privatsphäre-Einstellungen« kontrolliert nur einigen »Freunden« bzw. »Kontakten« zugänglich zu machen. Diese Einstellungen, sei sie noch so ausgereift, ändern nichts daran, dass der Anbieter alles zentral speichert und die Daten damit leichter an- und abgreifbar sind. So funktioniert das Teilen von Informationen derzeit – optimal ist dieser Ansatz nicht.

Nachtrag: Rin Räuber über Privatsphäre, Social Networks und dezentrale Alternativen.

Google-Skepsis: Ein deutsches Phänomen?

Über die Haltung der deutschen Blogosphäre gegenüber Chrome meint Stefan Münz festzustellen:

»Besonders krass wehte dieser selbstherrliche Kritiker-Wind ..., als Google für viele ziemlich überraschend seinen Browser Chrome heraus brachte. Gefühlte 98% der deutschen Blogosphäre gefiel sich, angeheizt von einer Bundesbehörde, die vor Jahren auch JavaScript erst einmal als böse Gefahr anprangerte, in warnend erhobenen Zeigefingern bezüglich des neuen Browsers, wegen dessen Eigenschaft, pro Installation eine eindeutige ID an Google zu übermitteln. Während Chrome international mit Neugier und Experimentierlust begrüßt wurde, schien sich in Deutschland eine Art Kollektiv-Paranoia über das Land zu verbreiten«

Dagegen ist auf drei Ebenen einzuwenden:

  1. Der Einsatz für Privatsphäre und entsprechende Datenschutzkritik an Google ist mitnichten ein deutsches Phänomen. In englischsprachigen Medien findet man neben der Anerkennung der technischen Fortschritte genauso Skepsis gegenüber Googles neuesten Streichen. Als Beispiel sei der Jahresrückblick 2009 von Google Blogoscoped genannt. Eine solche differenzierte Haltung wurde auch gegenüber dem Chrome-Browser eingenommen. Ich habe Kritik an Chrome zuerst in US-Medien wahrgenommen, deutsche Medien übersetzten entsprechende Untersuchungen.
  2. Die Kritik des Bundesamtes für Sicherheit in der Informationstechnik wird im Zitat verkürzt wiedergegeben. Die Hauptaussage war, dass sich Chrome noch in der Beta-Phase befand und von einem Produktiveinsatz abgeraten wurde. In der Tat wurden bis zur Veröffentlichung der ersten stabilen Version noch kritische Sicherheitslücken gefunden. Der zweite kursierende BSI-Ratschlag lautete, Daten möglichst nicht bei einem Anbieter anzuhäufen. Auch das halte ich für eine zutreffende Sicherheitsempfehlung.
  3. Davon zu reden, es gäbe in Deutschland eine übertriebene »Paranoia« hinsichtlich Datenschutz und Privatsphäre, kehrt die tatsächlichen Verhältnisse um: Schön, wenn es ein Bewusstsein für diese Themen bereits gäbe! Organisationen für digitale Bürgerrechte wie die Electronic Frontier Foundation (EFF) sind in Deutschland nicht existent. Eine solche Rolle nehmen ab und zu der Chaos Computer Club und der Foebud ein. Beide besitzen nur schwachen gesellschaftlichen Einfluss und ihre Forderungen haben eher wenig Rückhalt in der Bevölkerung. Darüber hinaus gibt es aufstrebende Blogs wie netzpolitik.org, themenbezogene Zusammenschlüsse wie den AK Zensur und einige engagierte Datenschutzbeauftragte. Wenn es denn politische Aktionen wie etwa die »Freiheit statt Angst«-Demonstration im September 2009 gibt, so werden sie von äußerst heterogenen Gruppen mit zum Teil entgegengesetzten Sichtweisen getragen.