CFP: Lässt sich Code mit Werten wie Datenschutz aufladen?

Techniker und Programmierer sehen ihre Arbeit in der Regel als politisch neutral an. Doch ihre Designentscheidungen haben meist weitgehende Folgen. Über Strategien, wie sich Datenschutz und andere Werte in Code und Standards von Anfang an einbetten lassen, debattierten daher Experten auf der Konferenz Computers, Freedom & Privacy (CFP) () in Seattle. Alan Borning, Informatikprofessor an der University of Washington in der Westküstenstadt, betonte zunächst, dass grundsätzliche Entscheidungen etwa über die Implementierung offener Standards oder über einen proprietären gegenüber einem Open-Source-Ansatz enorme Auswirkungen auf ein IT-Projekt haben. Man denke nur an die Transparenz oder die Undurchsichtigkeit eines Programms, die an dieser Stelle schon angelegt werde. Er warf aber auch die Frage auf, ob die Arbeit am Code selbst der beste Hebel für derlei Weichenstellungen sei oder ob gesetzliche Regelungen die Vorgaben liefern müssten.

Direkt aus dem Nähkästchen der Kreation datenschutzfreundlicher Techniken plauderte Lorrie Faith Cranor. Die Softwareforscherin an der Carnegie Mellon University war maßgeblich an der Entwicklung des Standards P3P (Platform for Privacy Preference) beteiligt, den das World Wide Web Consortium (W3C) 2002 als Empfehlung veröffentlichte. Das Ganze sei zwar eigentlich nur ein "kleines in XML programmiertes Protokoll", erläuterte sie, habe aber dennoch fünf Jahre für seine Fertigstellung benötigt. Davon seien drei allein für "politische Debatten" draufgegangen. So hätte zunächst festgelegt werden müssen, dass P3P mit deskriptiven Beschreibungen arbeite und nicht etwa nur mit undifferenzierten Punktelabel. In einem zweiten Schritt mussten sich die Entwickler dann etwa auf die unterschiedliche Ausformung einzelner Parameter wie die Weitergabe persönlicher Daten einigen. Berücksichtigt wurde unter anderem, ob die Informationen an andere Firmen mit vergleichbaren Datenschutzbestimmungen oder an sämtliche Unternehmen gehen oder gar öffentlich verbreitet werden.

Obwohl der Standard während der Designzeit bereits wiederholt totgesagt wurde, hat sich die Arbeit laut Cranor letztlich aber doch gelohnt. So sei P3P zwischenzeitlich in Browsern wie dem Internet Explorer 6 oder Netscape 7 implementiert. 15 Prozent der Top-2000-Websites würden damit arbeiten. "Der Code hat einen großen Einfluss gewonnen", sagt die Professorin. Hilfreich sei gewesen, dass gemäß den Standardeinstellungen des Explorers Cookies von Drittparteien automatisch blockiert werden, wenn diese keine P3P-kompatible Privacy Policy aufweisen. Beim Browser-Plug-in "Privacy Bird", das Cranor während ihrer Zeit an den AT&T-Labs mit entwickelt hat, habe es dagegen länger gedauert, bis sich wirklich für viele Nutzer überzeugende Einsatzmöglichkeiten abgezeichnet hätten. Während die Applikation ursprünglich hauptsächlich auf Sites mit bedenklichen Datenschutzbestimmungen aufmerksam machte, stehe jetzt ein Frontend für Google zur Verfügung. Damit lasse sich die Datenschutzpolitik etwa einer Shopping-Site schon in der Suchmaschine erkennen und dementsprechend das Einkaufsverhalten ausrichten.

Über die Mühen, Datenschutz in den Ergebnissen einer wichtigen Standard-Organisation berücksichtigt zu wissen, berichtete auch John Morris vom Center for Democracy and Technology (CDT) am Beispiel der Internet Engineering Task Force (IETF). Schon in den späten 1990ern sei dort eine Arbeitsgruppe zum Thema Schutz geographischer Daten (GeoPriv) an den Start gegangen. Die Interessenlage unter den Mitgliedern sei dort sehr unterschiedlich gewesen, erinnerte sich Morris. Vor allem einige Mobilfunkanbieter wären darauf erpicht gewesen, möglichst rasch und ohne Beschränkungen Standortdaten auch für kommerzielle Zwecke Kunden zur Verfügung zu stellen. In der IETF-Führung waren jedoch viele gegen eine solche weit gehende Nutzung der Ortungsangaben.

In einem "harten und langsamen Prozess" hat sich die Arbeitsgruppe, wie Morris betonte, nun endlich dazu durchgerungen, die Standortdaten in einen kryptographischen Umschlag zu stecken. Dieser soll normalerweise geschlossen sein und nur von autorisierten Nutzern geöffnet werden können. Insgesamt sei das Ziel damit erfüllt worden, zeigt sich Morris letztlich doch optimistisch über die technologischen Gestaltungsmöglichkeiten, auch wenn die Datenschützer nicht alle ihre Ziele hätten durchsetzen können und GeoPriv nun "mindestens zwei Jahre später als geplant kommt".

Zur Konferenz Computers, Freedom & Privacy siehe auch:

• Vom kafkaesken Schwinden der Anonymität
• Bürgerrechtler erwarten "digitales Tschernobyl" bei Biometriepässen
• Unterwachung statt Überwachung
• Zivilgesellschaft startet Projekt gegen "Politikwäsche"
• Lotus-Gründer Mitch Kapor im Clinch mit Hollywood

(Stefan Krempl) / (jk)