2. September 2018, 18:54 Uhr 100 Tage DSGVO Der Teufel steckt in den Standardeinstellungen

Milliarden Nutzer überlassen Großkonzernen bereitwillig ihre Daten - ohne zu wissen, welche.

Die Konzerne sammeln alles, was sie kriegen können. Dafür setzen sie oft ihre Standardeinstellungen manipulativ ein.

Doch Nutzer können leicht etwas dagegen tun.

Von Simon Hurtz

Das World Wide Web ist dieses Jahr 25 Jahre alt geworden. Es hat das Leben von Milliarden Menschen grundlegend verändert. Zwei Dinge sind dabei immer gleich geblieben: Niemand liest das Kleingedruckte, und niemand ändert die Standardeinstellungen von digitalen Diensten.

Die EU-Datenschutzgrundverordnung (DSGVO) ist nun 100 Tage alt geworden. Sie hat das Leben der Menschen in Europa höchstens marginal verändert. Die Abmahnwelle, die manche befürchtet hatten, ist bislang ausgeblieben. Die Konsequenzen für große Tech-Konzerne, die viele erhofft hatten, halten sich ebenfalls in Grenzen. Zumindest haben EU-Bürger mehr Mitspracherecht, was mit ihren persönlichen Daten passiert. Die beiden digitalen Grundkonstanten, das ungelesene Kleingedruckte und die unveränderten Standardeinstellungen, zeigen, wie überfällig das ist - und dass die DSGVO in dieser Hinsicht immer noch nicht weit genug geht.

Fast alle Menschen stimmen regelmäßig Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärungen zu. Fast niemand weiß, was er da wegklickt. Die Datenschutzbestimmungen von Facebooks Werbenetzwerk enthielten monatelang einen doppelten Absatz. Kein einziger der damals 1,3 Milliarden Nutzer hat es bemängelt. Im vergangenen Jahr willigten bei einem Festival 22 000 Menschen unbewusst ein, die Toiletten vor Ort zu putzen. Sie hatten Glück: Der Wlan-Betreiber, dessen Nutzungsbedingungen sie ungelesen akzeptiert hatten, wollte sie nur dafür sensibilisieren, digitale Verträge zu beachten.

Über naive Festivalbesucher kann man lachen. Über Milliarden Nutzer, die keine Ahnung haben, welche Daten sie Großkonzernen bereitwillig überlassen, kann man nur den Kopf schütteln. Daran hat die Verordnung wenig geändert. Durch die neuen Informationspflichten sind AGB zwar etwas verständlicher, aber noch länger geworden. Immerhin können Nutzer Unternehmen nun fragen, welche Informationen diese über sie gespeichert haben, und beantragen, dass die Daten gelöscht werden, oder damit zu einem Konkurrenten wechseln.

Menschen sind Gewohnheitstiere, Unternehmen nutzen das gnadenlos aus

Auch über die zweite digitale Grundkonstante kursieren kuriose Anekdoten. Vor sieben Jahren analysierten Microsoft-Forscher die Konfigurationsdateien von Word-Nutzern. Sie wollten herausfinden, welche Einstellungen am beliebtesten waren, um diese zum Standard zu machen. Mehr als 95 Prozent der Nutzer hatten keine einzige der rund 150 Einstellungen auch nur angetastet und nicht mal die Autosave-Funktion aktiviert. Die Forscher fragten intern nach, warum eine so nützliche Funktion standardmäßig abgeschaltet war. Ein Microsoft-Entwickler hatte die Konfigurationsdatei mit lauter Nullen gefüllt, um Zeit zu sparen. "0" bedeutet: inaktiv.

Auch daran wird die DSGVO nichts ändern. Der Mensch ist ein Gewohnheitstier, und Unternehmen nutzen das gnadenlos aus. Google verdient fast drei Milliarden Dollar pro Monat, Facebook knapp zwei Milliarden. Ein Großteil davon entfällt aufs Anzeigengeschäft. Um Werbekunden zu ermöglichen, personalisierte Anzeigen zu schalten, müssen die Unternehmen viel über ihre Nutzer wissen. Sie verkaufen nicht deren Daten, sondern deren Aufmerksamkeit. Je größer der Datenschatz, desto passgenauer die Anzeigen, desto mehr zahlen die Werbetreibenden. Also sammeln die Konzerne alles, was sie kriegen können, und Nutzer machen bereitwillig mit. Denn im Internet steckt der Teufel in den Standardeinstellungen.

"Voreinstellungen, die weit in die Privatsphäre der Nutzer eingreifen"

"Du hast die volle Kontrolle, deine Daten gehören dir", lautet das Mantra des Silicon Valley. In der Theorie stimmt das. Doch nur ein Bruchteil der Nutzer, meist Programmierer, Designer oder andere Menschen, die sich gut auskennen, ändert die Voreinstellungen. Der Rest ist zu unwissend, zu bequem oder geht davon aus, dass die Unternehmen schon wüssten, welche Konfiguration die beste sei.

Das wissen diese tatsächlich, nur denken sie dabei in erster Linie an sich selbst: Die beste Konfiguration aus Sicht der Tech-Konzerne sendet den Standortverlauf an Google, erkennt Gesichter in Facebook-Fotos, erstellt öffentliche Amazon-Wunschzettel, nutzt eine Werbe-ID für Windows und erlaubt interessenbezogene Werbung auf Apples iPhones. Im Rahmen der DSGVO mussten sich die Unternehmen einige dieser Einstellungen erneut absegnen lassen, doch vor allem Google und Facebook tun alles dafür, damit Nutzer weiter fleißig Daten teilen.

"Facebook und Google haben Voreinstellungen, die weit in die Privatsphäre der Nutzer eingreifen", schrieben norwegische Verbraucherschützer kürzlich in einer Studie, in der sie die Umsetzung der DSGVO untersuchten. Nutzer, die ihre Privatsphäre schützen wollen, müssten einen "signifikant längeren Prozess" durchklicken. Zustimmung sei einfach, Ablehnung sei kompliziert. Die Forscher kritisieren sogenannte "Dark Patterns", also ein manipulatives Design, das Nutzer gezielt in eine Richtung lenken soll. Dazu zählen etwa unklare Formulierungen, Warnungen vor vermeintlichen Sicherheitsrisiken und Dialoge, bei denen "Okay" blau und offensichtlich, "Nein, danke" dagegen grau und versteckt ist.

Manipulatives Design ist Standard

Ein Beispiel: Facebook nutzte die Zustimmung zur DSGVO, um gleich auch noch die Gesichtserkennung für alle europäischen Nutzer einzuführen, die in der EU zuvor wegen Datenschutzbedenken nicht verfügbar war. Wer das nicht wollte, musste mehrfach klicken und wurde gewarnt, dass Gesichtserkennung vor Identitätsdiebstahl schütze. "Dieser Dialog strotzt vor irreführenden Formulierungen und manipulativer Dialogführung", sagte der Wiener Privacy-Forscher Wolfie Christl damals dazu.

Da bleibt nur die digitale Notwehr: Jeder Nutzer sollte sich mit den Einstellungen der Dienste beschäftigen, die er täglich nutzt. Während man bei Apple nur unter "Einstellungen >Datenschutz >Werbung" das Ad-Tracking deaktivieren muss, ist es bei Google, Facebook und Windows etwas aufwendiger. Microsoft bündelt alle Optionen bei Windows 10 unter "Einstellungen >Datenschutz". Bei Facebook sind die Menüpunkte "Privatsphäre", "Gesichtserkennung" und "Werbeanzeigen" relevant. Google-Nutzer sollten den "Privatsphärecheck" durchführen und die "Einstellungen für Werbung" ändern, die sie beide unter "Mein Konto" finden. Das dauert insgesamt eine Viertelstunde. Die Mühe lohnt sich.