Überwachung: Was passiert mit den gesammelten Informationen?

14.02.2018 · Wir werden überwacht, das ist klar. Aber: Was passiert eigentlich mit all den Informationen über uns, nachdem sie eingesammelt wurden? Wer überwacht uns – und wie? Eine Suche. 1983 wollte die deutsche Regierung eine Volkszählung organisieren: Wie viele Menschen leben in Deutschland? Was arbeiten sie? Fahren sie mit der Bahn oder mit dem Auto zur Arbeit? Aber die Deutschen wollten sich nicht zählen lassen. Es gab Proteste, Boykottaufrufe, „Meine Daten gehören mir“. Zwei Wochen vor der Zählung dann ein historisches Urteil des Bundesverfassungsgerichts, die Zählung wurde gestoppt, fand schließlich vier Jahre später statt. „Das Recht auf informationelle Selbstbestimmung“ stammt aus diesem Urteil. Es besagt, dass jeder Mensch das Recht habe, selbst entscheiden zu dürfen, wer Daten von ihm erhebt, speichert, verwendet und weitergibt. „Informationelle Selbstbestimmung“: Ein sperriger Begriff. Ich kann ihn mir nie merken; deswegen weiß jetzt auch Google, dass ich mich für „Urteil Bundesverfassungsgericht Volkszählung“ interessiere. Daten: Je nach Phrasenkiste das Gold oder Öl unserer Zeit. Unter den zehn wertvollsten Konzernen der Welt waren Ende 2017 drei, die ihr Geld fast ausschließlich mit dem Handel und der Verarbeitung von Daten machen: Alphabet – also Google –, Facebook und der chinesische Internetriese Tencent. Dass Konzerne Daten sammeln, dass Geheimdienste Daten sammeln, dass der Staat Daten sammelt: All das ist schon lange bekannt. Auch mir. Und trotzdem habe ich jedes Mal, wenn ich darüber nachdenke, das Gefühl, vor einem undurchdringlichen Netz zu stehen. Inhaltlich bin ich aus dem Thema schon lange ausgestiegen. Was bleibt, ist der Eindruck, dass mein Smartphone Berge von Informationen über mich einsaugt, sie verarbeitet und am Ende Online-Artikel zum Thema „Überwachungsstaat“ wieder ausspuckt. Aber: Was steht zwischen meinem Handy und der Überwachungsgesellschaft? Was passiert mit all dem Wissen, nachdem es eingesammelt wurde? Wer überwacht mich – und wie? Das frage ich Yvonne Hofstetter. Hofstetter ist Geschäftsführerin eines kleinen Technologie-Unternehmens. Früher haben sie und ihr Team für den Rüstungsbereich gearbeitet, heute entwickeln sie Überwachungsalgorithmen für die Bahninfrastruktur mit. In den letzten Jahren hat sie zwei Bücher über Big Data geschrieben: „Sie wissen alles“ und „Das Ende der Demokratie“. „Womit wir es zu tun haben“, sagt Hofstetter, „sind Ideen, die eigentlich aus dem Militär kommen.“ Inwiefern? Hofstetter sagt: „In Pakistan hat die NSA die halbe Bevölkerung überwacht und ihre Profile mit denen von Terroristen verglichen. Und das Programm, Skynet, hat dann ausgespuckt: Der, der und der ist Terrorist. Weil er sein Handy ähnlich verwendet hat wie vor ihm die Terroristen. Dann kam noch eine Unterschrift drunter und die Drohne wurde losgeschickt.“ Ähnlichkeiten: Letzten Endes sind sie das Prinzip, auf dem die Verarbeitung von Big Data basiert. Peter verhält sich ähnlich wie vor ihm die Terroristen A und B? Dann schlägt das System an – Peter könnte auch ein Terrorist sein. 2015 hat die amerikanische Zeitung „The Intercept“ eine Powerpoint-Präsentation der NSA veröffentlicht. Sie enthüllt: Dass es auch in der NSA Menschen gibt, die glauben, PowerPoint-Präsentationen würden schöner, wenn man möglichst viele Farben in ihnen unterbringt. Und: Die Existenz von „Skynet“. „Skynet“ funktioniert so: Die Metadaten der Telefone von identifizierten Terror-„Kurieren“ werden mit den Daten der überwachten Pakistaner verglichen. Reist jemand ähnliche Strecken? Nimmt ebenfalls fast nur Anrufe entgegen und wechselt häufig seine SIM-Karte? Ist permanent in Bewegung? Trifft sich mit bekannten Terrorgruppen-Mitgliedern? Zusammengefasst: „Wir suchen nach unterschiedlichen Menschen, die ihr Telefon auf ähnliche Art verwenden.“ Diese Suche funktioniert, weil 55 Millionen Pakistaner überwacht wurden. Und nicht nur 150. „Man braucht den Heuhaufen, um die Nadel darin zu finden“, hat NSA-Chef Keith Alexander einmal gesagt. Jetzt verstehe ich, was er gemeint hat. Auf meinem Smartphone habe ich vier Apps, die meinen Standort abrufen dürfen: Google Maps, WhatsApp, Chrome und „Fotos“, meine Fotogalerie. Sechs Apps dürfen die Kontakte in meinem Telefonbuch einsehen. Zwei Apps können erkennen, ob ich gerade telefoniere und wenn ja, mit wem. Und fünf Apps können meine „Wlan-Verbindungen“ abrufen und damit immer, wenn mein Wlan eingeschaltet ist, erkennen, wo ich mich befinde – und mit wem. Man muss nicht die NSA sein, um die Bewegungs- und Telefonprofile vieler Menschen vergleichen zu können. Dass die Verdächtigen, die von Skynet identifiziert wurden, tatsächlich auch direkt auf der Drohnen-Abschussliste landen, ist übrigens nicht bewiesen. Als Hauptverdächtigen des Super-Programms nennt die Präsentation einen Mann namens Ahmed Zaidan, der der Folie zufolge das Kunststück verbracht haben soll, Mitglied in Al-Qaida und der Muslimbruderschaft gleichzeitig zu sein. Zaidan lebt immer noch. Ein Glück, denn er schreibt äußerst spannende Reportagen aus der Region – das Programm hatte die Recherchereisen des Journalisten offenbar mit Kuriertätigkeiten verwechselt. Yvonne Hofstetter sagt, das Problem mit der Verhaltens-Analyse durch Big Data sei, dass das System nie zu hundert Prozent richtig liegen könne. Weil es nur Wahrscheinlichkeiten berechnet. Wahrscheinlichkeiten: Die Wahrscheinlichkeit, dass ich einen Kredit zurückzahlen werde, ist höher, wenn ich auf meinen Facebook-Fotos einen Anzug trage und nicht betrunken bin. Wenn ich viele Freunde habe, die Geld haben. Und wenn ich häufig in die Oper gehe. „Social Scoring“ wird das genannt: Wenn die Frage, ob man einen Kredit bekommt, nicht mehr nur anhand des Wohnorts und früherer Zahlungsausfälle entschieden wird – so wie bei der Schufa – sondern anhand des eigenen Facebook-Profils und anderer Informationen aus dem Internet. In Deutschland gibt es noch keine Bank, die Social Scoring anbietet – aber das könnte sich bald ändern. Das erklärt mir Michael Maifarth von der Unternehmensberatung PwC. Maifarth berät Unternehmen, die die Kreditwürdigkeit von Menschen bewerten. Offline, bislang. Aber weil das so nicht bleiben muss, interessiert sich Maifarth auch für die Algorithmen hinter der Online-Bewertung. Er will wissen, was eher dafür und was eher dagegen spricht, dass Menschen das Geld auch zurückzahlen, das sie sich geliehen haben. Die Informationen dafür stammen aus „historischen Daten“, aus jahrelang angesammelten Informationen. Fünf Jahre lang, so sagt das Maifarth, müsse man für eine halbwegs präzise Analyse Daten sammeln. Aus diesen Daten filtern die Banken die Wahrscheinlichkeiten: Wenn in der Vergangenheit die Mehrheit der Personen, die häufig Katzenbilder teilen, ihren Kredit nicht zurückgezahlt haben, dann schließen sie daraus, dass Katzenbilder-Teiler eher nicht so kreditwürdig sind. Es ist ein ähnliches Prinzip wie bei Skynet. Nur, dass beim Social Scoring nicht nach Terrorkurieren gesucht wird. Sondern nach Kreditwürdigen. Yvonne Hofstetter sagt, man könne dieses Prinzip heute nahezu überall finden. In Kalifornien werden Menschen mit den Daten aus ihren Social-Media-Profilen danach gescort, wie wahrscheinlich sie in nächster Zeit ein Verbrechen begehen werden. Die Firma Aspire Health scort Kranke darauf, wie wahrscheinlich sie in den nächsten Monaten sterben werden, um ihnen im Zweifel günstige Sterbebegleitung statt teuren Behandlungen zukommen zu lassen. Und die Hotelzimmer, die ich mir im Internet ansehe, sind deswegen häufiger ermäßigt, als wenn mein Freund das macht, weil die Buchungs-Website meiner Wahl offenbar Ähnlichkeiten zwischen meinem Online-Verhalten und dem von „Schnäppchenjägern“ erkennt. Das also wollen all die Konzerne mit meinen Daten: Es geht ihnen nicht darum, zu erfahren, dass ich das letzte Wochenende bei meiner Oma verbracht habe. Sondern darum, herauszufinden, ob Menschen, die das Wochenende häufig bei ihrer Oma verbringen, tendenziell öfter auf Familienauto-Werbebanner klicken. Ihre Rechnungen zuverlässiger zahlen. Oder seltener nach Medikamenten gegen Grippe googlen. „Menschen, die ‚inspirierende‘ Zitate bei Facebook posten, sind laut einer neuen Studie tatsächlich dumm“. Das hat das Magazin Vice vor zwei Jahren geschrieben. Es gibt Dutzende solcher Studien. Wer häufig Status-Updates über seinen Partner postet, hat ein geringes Selbstwertgefühl. Wer Fotos aus dem Fitnessstudio oder persönliche Erfolge postet, ist narzisstisch veranlagt. Und wer ein Profilbild in schwarz-weiß hat, ist labil und sensibel. Sagen diese Studien. Als ich damals von der Studie mit den dummen Menschen und den inspirierenden Zitaten gelesen habe, habe ich gelacht. Jetzt denke ich: Auf der Liste irgendeines Konzerns haben meine Freunde mit den peinlichen Zitate-Bildern seither vermutlich den Vermerk: unterdurchschnittlich intelligent. Und ich? Kürzlich habe ich einen Preis gewonnen und das gleich bei Facebook geteilt. Bin ich nun irgendwo als Narzisstin gelistet? Den Menschen berechnen: Eine Fähigkeit, die jeder gerne hätte. Polizei, Geheimdienste, Konzerne. Und Versicherungen. In Deutschland bietet die Firma Generali Vitality eine Versicherung an, im Zuge derer man sein Sport- und Essverhalten überwachen lassen kann. Treibt man viel Sport oder kauft gesunde Lebensmittel, kriegt man Punkte. Je mehr Punkte man hat, desto günstiger wird die Versicherung. Zudem bekommt man „Prämien“, wenn man fleißig an sich arbeitet: Amazon-Gutscheine, beispielsweise. Die Vitality-Versicherung ist freiwillig. Aber sie ist auch günstiger. Genauso, wie man bei der Allianz und anderen Anbietern eine günstigere Autoversicherung bekommt, wenn man mittels „Telematik“ seinen Fahrstil überwachen lässt und sorgsam fährt. Genauso, wie die Kredite beim Social Scoring günstiger werden, wenn man viele Daten zur Verfügung stellt. Und genauso, wie die Rabattkarten, mit denen Supermärkte das Einkaufsverhalten ihrer Kunden scoren, den Einkauf günstiger machen. Die Sicherheit, sich den Scoring-Mechanismen auf Dauer entziehen zu können, muss man sich leisten können. Kontrolle: Sie funktioniert umso besser, je mehr Daten man zur Verfügung hat. In China soll ab 2020 für alle Bürger verpflichtend ein Social Credit-System eingeführt werden. Das heißt: Jeder Mensch wird gescort. Wer einen hohen Score hat, wird belohnt – wer zu wenig Punkte hat, bestraft. Aktuell gibt es bereits mehrere Dienste in China, die Social Scoring auf freiwilliger Basis anbieten. Das bekannteste davon ist „Sesame Credit“. „Sesame Credit“ gehört dem Konzern Alibaba, einem chinesischen Onlinehändler mit zahlreichen Tochterkonzernen. Aus den Daten, die Alibaba über die Nutzer von Sesame Credit hat, berechnet der Konzern einen Punktestand: Zwischen 350 und 950 Punkten kann man bekommen. In die Berechnung fließen unter anderem ein, welche Websites man besucht, welche Produkte man kauft, ob man seine Rechnungen zahlt, was für Freunde man hat – und wie man sich verhält. „Jemand, der zehn Stunden am Tag Computer spielt, würde von uns wohl als faul klassifiziert werden“, zitiert das Magazin Wired die Technologie-Direktorin von Sesame Credit, Li Yingyun. In dem System, das die chinesische Regierung ab 2020 einführen möchte, soll der eigene Punktestand jederzeit für jeden einsehbar sein. Wie genau er berechnet werden soll, ist nicht bekannt. Es wird gemutmaßt, dass regierungskritische Kommentare und Pornokonsum Punktabzug bringen könnten, sorgsames Autofahren und gesunde Einkäufe dagegen Pluspunkte. Sicher ist, dass der eigene Kontostand und die Steuererklärung eine Rolle spielen werden. „Die Steuerbehörde soll interne und Social-Credit-Belohnungs- und Bestrafungsmechanismen etablieren und verbessern, mit denen ehrliche Steuerzahler motiviert und belohnt werden können“, schreibt die zentrale chinesische Steuerbehörde auf ihrer Homepage. „Unehrliche Steuerzahler können gewarnt und bestraft werden.“ „Je mehr Möglichkeiten zur Überwachung es gibt, desto mehr wird auch überwacht werden”, sagt Yvonne Hofstetter. „Der Staat wird repressiver werden – überall.” In Deutschland gibt es beim Datensammeln zwei Unterschiede zwischen Konzernen und dem Staat. Der erste Unterschied ist, dass der Staat nicht so viele Daten sammeln darf wie die Konzerne. Er kann nicht einfach Datenbanken anlegen und alles, was seine Behörden an Informationen zusammengesucht haben, darin auflisten und durchsuchbar machen. Das würde gegen das Gesetz verstoßen. Zumindest in den meisten Fällen. In den letzten drei Jahren sind in Deutschland verschiedene Gesetze verabschiedet worden, die das Anlegen von Datenbanken und den Zugriff auf sie für die Behörden erleichtern. Das „Datenaustauschverbesserungsgesetz“ vom Februar 2016 ermöglicht es dem BKA, automatisiert auf die Daten aller in Deutschland lebenden Ausländer zuzugreifen. Das „Fluggastdatengesetz“, das im Juni 2017 verabschiedet wurde, sieht vor, dass fortan alle erhebbaren Daten von Fluggästen – inklusive Reiseverlauf, Namen von Mitreisenden und Gepäckangaben – in einer zentralen Datei gespeichert und durchsuchbar gemacht werden. Damit soll, so steht es in dem Gesetz, die Suche nach „Mustern“ in den Daten ermöglicht werden. Und mit dem „Gesetz zur Förderung des elektronischen Identitätsnachweises“ dürfen Geheimdienste und Polizeibehörden seit dem Juli 2017 automatisiert die Passbilder aller Bundesbürger durchsuchen und abrufen. Der zweite Unterschied zwischen den Konzernen und dem Staat ist, dass der Staat die Informationen, die die Konzerne gesammelt haben, einsehen kann, wenn seine Behörden gegen eine Person ermitteln. Viele Konzerne veröffentlichen seit einigen Jahren „Transparenzberichte“. Darin legen sie offen, wie oft sie ihre gesammelten Daten zu einer Person an die Polizei, den Verfassungsschutz oder andere Behörden weitergegeben haben. In Bayern hat die Landesregierung Ende Januar einen Gesetzesentwurf vorgelegt, nach dem „öffentliche und nichtöffentliche Stellen“ – also auch Konzerne wie Google und Facebook – verpflichtet werden können, der Polizei ihre Informationen über ganze Gruppen von Personen zur Rasterfahndung bereitzustellen. Zudem soll die Polizei mit dem Entwurf die Erlaubnis bekommen, auch friedliche Demonstrationen zu filmen und dabei „Systeme zur automatischen Erkennung und Auswertung von Mustern, bezogen auf Gegenstände und das Verhalten von Personen“ einzusetzen. Und: Die Polizei soll die Daten von Menschen online einsehen – und eigenständig verändern dürfen. Anfang Februar wurde der Gesetzesentwurf das erste Mal im Landtag diskutiert. Dass er abgelehnt wird, ist unwahrscheinlich. Transparenz: Wenn es um Daten geht, ein schwieriges Thema. Auf einer Skala von eins bis neun: Wie risikofreudig bin ich? Sieben, findet mein Freund. Sieben, findet Precire. Und wie verträglich, also höflich und meinungskonform? Drei, sagt mein Freund. Drei, sagt Precire. Mein Freund kennt mich seit acht Jahren. Precire kennt nur meine Stimme. Precire ist ein Programm zur Stimmanalyse. Eine künstliche Intelligenz. Fünfzehn Minuten haben wir miteinander telefoniert, Precire und ich. Precire hat mir Fragen gestellt, nach meinem letzten Wochenende, nach meinem typischen Sonntag und ich habe geantwortet. Dann hat Precire meine Stimme genommen, sie in ihre Bestandteile zerlegt und eine halbe Million Parameter identifiziert: meine Sprechgeschwindigkeit, meine Quote an positiv konnotierten Wörtern, die Länge meiner Sprechpausen. Aus diesen Parametern hat Precire meine Persönlichkeit berechnet. Wie neugierig ich bin (9), wie organisiert (4) und wie stark ich zur Überarbeitung neige (8). Zur Überprüfung bitte ich meinen Freund, mir in den gleichen Kategorien Punkte zu geben. Mehr als zwei Punkte Unterschied zwischen seiner und Precires Einschätzung gibt es kein einziges Mal. In der Wirtschaft kommt Precire bei Personalgesprächen zum Einsatz. Statt mit dem zukünftigen Chef sprechen Bewerber bei den Firmen, die das Programm nutzen, mit der künstlichen Intelligenz. Und die entscheidet: Passt die Persönlichkeit des Bewerbers zu der ausgeschriebenen Stelle? Was hat meine Sprechgeschwindigkeit mit meiner Risikobereitschaft zu tun? Dr. Dirk Gratzel, Gründer und Geschäftsführer von Precire Technologies, kann mir das so genau auch nicht sagen. Aber er kann mir erklären, wie Precire zu seiner Einschätzung über meinen Charakter gekommen ist: Er und seine Kollegen haben das System mit Tausenden Stimmen von Menschen gefüttert, deren Persönlichkeit sie zuvor untersucht hatten. In diesen Angaben hat Precire nach Mustern gesucht: Gibt es einen Zusammenhang zwischen einer Risikobereitschaft von 9 und einer bestimmten Art zu sprechen? „Wenn man über Hunderttausende von Merkmalen betrachtet, unterscheidet sich die Sprache von Menschen, die risikobereit sind, fast gar nicht von der jener, die es nicht sind“, sagt Gratzel. „Aber eben nur fast.“ Nach diesen kleinen Unterschieden, den „Clustern“, die nur risikobereite Menschen in ihrer Stimme haben, sucht Precire. Eigenständig. „Unüberwachtes Lernen“ wird das genannt: Wenn eine künstliche Intelligenz selbstständig Muster in Datenmengen findet und neue Informationen – wie meine Stimme – dann anhand dieser selbst gefundenen Muster einsortiert. Das heißt: Nur Precire weiß, welcher Teil meiner Stimme dazu geführt hat, dass ich für das System als risikobereit gelte. Yvonne Hofstetter sagt, das Problem sei, dass man sich gegen Kategorisierungen, über die eine künstliche Intelligenz entschieden habe, nicht wehren könne. Wie soll man beweisen, dass das System falsch liegt, wenn man nicht einmal weiß, wie es zu seinen Ideen kommt? „Komplett falsch liegt Precire nie“, sagt Dirk Gratzel. „Wenn das System sagt, Sie seien sehr risikobereit, dann sind Sie es vielleicht situativ ein bisschen weniger oder ein bisschen mehr – aber nicht gar nicht.“ Sprachanalyse wird nicht nur für Bewerbungsgespräche genutzt. In der Medizin, erzählt Gratzel, wird aktuell daran geforscht, Demenz, Alzheimer und Parkinson anhand der Stimme von Patienten zu erkennen. Durch medizinisch fundierte Stimm- und Sprachanalyse, sagt Gratzel, könne Parkinson bereits erkannt werden, noch bevor sich erste Veränderungen im Gehirn gebildet haben. Unter Umständen Jahre, bevor ein Arzt die Krankheit mittels MRT diagnostizieren könnte. Und weil die Stimme eines Menschen unverwechselbar ist, zumindest für ein System wie Precire, interessieren sich auch Geheimdienste für Sprachanalyseprogramme. Ich wüsste gerne, was Precire seit unserem Gespräch noch alles über mich weiß. Ich glaube nicht, dass ich es jemals herausfinden werde. „Informationelle Selbstbestimmung“: Ein juristischer Begriff. Zwei Monate habe ich versucht herauszufinden, wer welche Daten über mich verwendet, speichert und weitergibt. Genau weiß ich es immer noch nicht. Daten versprechen Kontrolle. Für den, der mehr weiß, als alle anderen. Gewissermaßen ist der Kampf um die Informationen ein Wettrüsten. Am Ende meiner Recherche sieht mein Computer anders aus als früher. Ich habe startpage.com statt Google als Startseite eingestellt, Cookies von Drittanbietern blockiert, Tor heruntergeladen. Ich habe aufgerüstet. Ob das reicht?