Nummer 16 Jutta Weber COVID creep

Mit dem Zoom-Boom schleichen sich Videoanbieter in unser Zuhause ein und verkaufen meistbietend unsere Daten an Marketingunternehmen, Geheimdienste, Militärs und Polizei – das alles mit unserer Zustimmung.

I. Warum Sie die Datenschutzrichtlinien von Videosoftware lesen sollten

“Während der Pandemie waren Sie auch entsetzt, als Sie erfuhren, dass jedes Wort, das während Ihrer Anrufe gesprochen wurde, und jedes geteilte Dokument Teil der Datensammlung von Zoom wurde. Sie haben eine vage Vorstellung davon, dass Zoom seine Datenschutz- und Sicherheitsrichtlinien jetzt verbessert hat, aber können Sie einem Unternehmen vertrauen, das behauptet, eine Ende-zu-Ende-Verschlüsselung zu implementieren, wenn es das nicht tut?” Carissa Véliz: PRIVACY IS POWER. Warum und wie Sie die Kontrolle über Ihre Daten zurückerlangen sollten. Bantam Press 2020, 11

“Einfach verlassen”?

Die meisten von uns sind – gewollt oder ungewollt – während der Pandemie Zoomer:innen geworden. Videokonferenzen wurden für viele das ‚New Normal‘. Drei oder vier Sitzungen am Tag sind nichts ungewöhnliches – ob im Home Office, für die Uni, die Schule, oder um mit Freund:innen oder Familie zu plaudern.

Dabei streamen wir mit Hilfe von Zoom (oder auch Microsoft Teams, Cisco Webex etc.) unendliche Bilderströme von uns, unseren Liebsten, unseren Wohnungen inkl. Lieblingsbildern, Fensteraussichten, Bücherwänden, Schreibtisch-Lieblingstassen etc pp. Und wir chatten. Viele melden sich mit dem Klarnamen an, denn man will auf Arbeitssitzungen keine Verwirrung erzeugen. Eventuell sogar mit unserer Arbeits-Emailadresse – wie sich das Zoom von uns auf seiner Homepage wünscht (https://zoom.us/ letzter Zugriff auf die und alle weiteren Zoom-links 25122020).

Als nicht-angemeldete Nutzer:in brauche ich ein Workaround um das Downloaden der App auf meinen Computer zu verhindern, um Zoom nur über den Browser nutzen zu können. Meine IP Adressen, die Fingerabdrücke des Rechners, Nutzungszeiten und -dauer und vieles andere mehr werden gespeichert. Als professionelle/r, zahlende/r Nutzer:in wird man auch noch nach Name, Adresse, Arbeits-Emailadresse, Telefonnummer, Berufsbezeichnung und Arbeitgeber:in gefragt. Als angemeldete User:in kann ich ‚meine‘ Zoom-Sitzungen aufzeichnen und transkribieren lassen:

“Aufzeichnungen.  … Der Gastgeber kann wählen, ob er Zoom-Meetings und Webinare aufzeichnen möchte. Indem Sie die Dienste nutzen, geben Sie Zoom die Erlaubnis, Aufzeichnungen für alle Zoom-Meetings oder Webinare, an denen Sie teilnehmen, zu speichern, sofern solche Aufzeichnungen in unseren Systemen gespeichert werden. Sie erhalten eine Benachrichtigung (visuell oder anderweitig), wenn die Aufzeichnung aktiviert ist. Wenn Sie nicht damit einverstanden sind, aufgezeichnet zu werden, können Sie das Meeting oder Webinar einfach verlassen.” (https://zoom.us/terms; kursiv von mir)

Wie schön – wenn Teilnehmer:innen nicht gefilmt werden möchten, können sie ja ‚einfach‘ die Arbeitssitzung verlassen, oder die Fortbildung oder das Seminar. Wie einfach. Diese angeblich freiwilligen Entscheidungen sind wie so oft eben keine. Wie erkläre ich das meinen Arbeitgeber:innen oder Dozent:innen?

Schon 2015 hatte Zoom angekündigt, mehr in KI zu investieren, um nicht nur Treffen zu transkribieren, sondern auch, um es zu ermöglichen, die jeweils Sprechenden zu identifzieren.

So stellt sich die Frage: Was passiert mit den Aufnahmen der Bilder, Stimmen, Videos, die Zoom von und mit uns produziert? Mit den Chatverläufen, die alternativ genutzt werden, wenn die Bilder oder Stimmen mal wieder wackeln? Werden diese Daten analysiert? Landen sie in Datenbanken, um sie für Gesichtserkennung, Stimm-, Sprech- oder Wordcloud-Analysen zu nutzen? Lebt Zoom von den Einnahmen durch abonnierte Videocall-Abos – oder gibt es da noch mehr? Angesichts wachsender kommerzieller Anwendungen von Stimm-, Verhaltens- und Emotionsanalysen wäre es erstaunlich, man ließe diese Daten ungenutzt …

Die Plattform: kein philanthropisches Unternehmen

Mich erinnert der Zoom-Boom unangenehm an den Facebook-Hype vor über zehn Jahren. Damals fingen Millionen von Menschen an, ihre Portraits und privaten Fotos, ihre Kontakte, CVs etc. auf diese Plattform hochzuladen – auf der Suche nach alten und neuen Freund:innen, nach Likes, Anerkennung, Gossip & Events. Erst Jahre später realisierten viele User:innen, dass die Plattform kein philanthropisches Unternehmen für die globale Menschheitsfamilie war, sondern dass die geschickt herausgekitzelten Informationen in Big-Data-Dimension ein globalgalaktisches, monopolistisches Geschäftsmodell darstellte.

Und dass sich für den freiwillig angesammelten Berg von Daten nicht nur Freund:innen und Bekannte, sondern auch Marketingfirmen, Arbeitgeber:innen, sowie Geheimdienste, Polizeien und Militärs interessieren.

Facebook wurde auf der Grundlage seiner proprietären, hermetisch organisierter Daten, die sich auf keine andere Plattform übertragen ließen, einer der größten (Marketing-)Konzerne weltweit, der zwar Nacktbilder zensierte, aber wenig Skrupel hatte, hate speech zu verbreiten oder konservative Organisationen bei der Manipulation von Wahlen zu unterstützen – wie es der Cambridge Analytica-Skandal dann für alle öffentlich machte (siehe auch: https://www.on-data-driven-armament.net/). Dass Facebook seine Daten auch an die NSA und weitere Geheimdienste weitergab und dass sie von Militär und Geheimdiensten z.B. bei der Erstellung von Tötungslisten (Weber, Jutta: Keep adding. On kill lists, drone warfare and the politics of databases) genutzt werden, wurde bei der Aufarbeitung der Enthüllungen von Edward Snowden schon zuvor klar – auch wenn dies leider öffentlich auch nicht so breit diskutiert wurde. Doch zumindest setzte bei vielen Menschen allmählich ein vorsichtigerer Umgang mit den eigenen Daten auf Facebook und Co. ein.

Seit Beginn der Pandemie hat sich Zooms Profit um 169% gesteigert.

Und obwohl es die Möglichkeit gibt, z.B. Opensource-Alternativen wie BigBlueButton, Jitsi oder senfcall.de zu nutzen und über eigene Server zu hosten, so dass der Datenschutz nachvollziehbar bzw. überprüfbar wird, scheint sich die Mehrheit der User:innen für die proprietären Varianten von Zoom (WebEx, Teams etc.) zu erwärmen, auch wenn z.B. die Server von Zoom nicht nur in den USA (was datenschutztechnisch schon fragwürdig genug ist), sondern auch in China stehen.

II. Marketing und automatisierte Gesichtserkennung

Wie Findface, Recognition, PimEyes und andere Gesichtserkennungssoftware uns nutzbar machen

Kamera abkleben – oder “Wir geben Ihre Daten weiter!”

Wie ist das nun mit den persönlichen Daten auf Zoom? Im Abschnitt zum Datenschutz heißt es: „Wir geben personenbezogene Daten an Anbieter und Dienstleister weiter, die uns bei der Bereitstellung der Dienste unterstützen, und für die Geschäftszwecke von Zoom.“ (https://www.zoom.us/privacy#_Toc44414843; kursiv von mir). Anschließend wird ausgeführt, dass Dritte die Daten nicht für andere Zwecke nutzen dürfen. Aber es wird nirgends erklärt, was genau die ‚Geschäftszwecke‘ von Zoom sind (vgl. auch https://protonmail.com/blog/zoom-privacy-issues/). Zoom hat z.B. lange Daten mit Facebook geteilt, selbst wenn die Nutzer:innen gar kein Facebook-Konto hatten. Erst nach einem kritischen Bericht in Vice und dann in weiteren Medien wurde das Feature entfernt. Auf dem Wirrwarr von Datenschutzseiten bei Zoom wird auch erklärt, dass auf den sogenannten Marketing-Seiten (also bei der kostenfreien Nutzung von Zoom) Marketing-Daten gesammelt, für Data Enrichment Services – also für das Profiling von Nutzer:innen weiterverarbeitet werden und zur Erstellung von “E-Mail-Marketing-Listen (wo dies nach geltendem Recht zulässig ist)” (https://www.zoom.us/privacy#_Toc44414843). Über Google Analytics und weitere Cookies werden Daten mit Drittanbieter:innen geteilt. Und offensichtlich werden die gewonnenen Marketing-Daten auch mit Informationen von Drittanbietern angereichert, um sie wiederum für das Marketing zu verwenden. Wo und wie das geschieht bleibt unklar (https://www.zoom.us/privacy#_Toc44414843).

Zudem hatte Zoom bis zum Sommer 2020 keine end-to-end-Verschlüsselung, die sicherstellt, dass der Provider nicht auf die gesendeten Daten zugreifen kann. Dann kündigte Zoom im Juni an, dass es diese für die zahlenden User:innen zur Verfügung stellen würde – was leider nicht der Wahrheit entsprach. Wirklich eingesetzt wird die Verschlüsselung erst seit Oktober 2020 – und die nicht-zahlenden Nutzer:innen können sie jetzt zwar auch nutzen – müssen sie aber explizit einschalten.

Alles in allem bleibt also unklar, was mit den Bergen unverschlüsselter Daten passiert. Interessant ist das nicht zuletzt, weil gerade auch biometrische Daten für viele Akteur:innen von zunehmenden Interesse sind. Man denke an den Skandal um die Software Optic Nerve des britischen Geheimdiensts GCHQ im Jahre 2014. Damals hatte der GCHQ zwischen 2008 und 2010 mit Hilfe des Überwachungsprogramms ‚Optic Nerve‘ wahllos – teils auch sexuell explizite – Bilder von Millionen Yahoo Nutzer:innen während ihrer Webchats gespeichert. Diese Bilder sollten als Material für die Entwicklung von automatisierter Gesichtserkennung dienen – u.a. zum Abgleich mit polizeilichen Datenbanken. Spätestens nach dieser Offenlegung gingen die meisten technopolitisch aufgeklärten Menschen dazu über, die Kamera am Rechner abzukleben (wenn auch interessanterweise meist nicht auf ihren Smartphones …).

Kamera freigeben oder wir können nicht weiter machen!

Heute ziehen wir die Folie gezwungenermaßen mehrmals am Tag wieder ab. Dabei sind unterdessen die Möglichkeiten von biometrischem Tracking ganz andere geworden – und nicht nur für Geheimdienste. Man denke an Softwareanwendungen des US-amerikanischen Startups Clearview AI, dessen App von Hunderten von Polizeien in den USA, aber auch vom FBI und dem Heimatschutzministerium genutzt wird. Das Startup hat ohne Genehmigung mehr als drei Milliarden Bilder von Social Media-Seiten (Facebook, Instagram, etc.) eingesammelt und die Behörden nutzen sie unter teilweise zweifelhaften Bedingungen für die Verbrecherfahndung. Angesichts der problematischen politischen Konsequenzen haben sich mehrere amerikanische Konzerne wie etwa IBM gegen Clearview AI ausgesprochen und die Arbeit an diesen oder ähnlichen Anwendungen eingestellt. Amazon hat unterdessen ein einjähriges Moratorium für seine Gescihtserkennungsapp Recognition angekündigt, nachdem nicht zuletzt deren rassistischer Bias massiv kritisiert worden war.

In Russland nutzt man bereits eine Gesichtserkennungsanwendung namens Findface auf allen öffentlichen Überwachungskameras und gleicht die Bilder mit Fahndungsdateien der Polizei ab, aber auch um Regimekritiker:innen auf Demonstrationen zu erkennen und zu verhaften. Auch die Hamburgische Polizei nutzt Gesichtserkennungssoftware, um Demonstrant:innen des G-20-Gipfels ex post zu identifizieren und zu verfolgen.

In der EU gibt es unterdessen eine private App, die ähnliches leistet: PimEyes, eine öffentliche Bilder-Suchmaschine, die 900 Millionen Gesichter per Webcrawler gesammelt hat, die in Polen gehostet wird und gegen Bezahlung allen offen steht. Bis zum Sommer 2020 konnte man ohne Probleme einfach ein Foto mit seinem Handy machen und dann die Datenbank von PimEyes durchsuchen. So lassen sich Menschen in Echtzeit im öffentlichen Raum identifizieren. Das ideale Gadget für Spanner, Stalker etc.. Allerdings offeriert nun nach mehreren kritischen Nachfragen von Medien PimEyes nicht mehr die Suche nach fremden Gesichtern, sondern v.a. die Suche nach dem eigenen Gesicht im Internet, um damit angeblich die eigene Privatheit zu schützen – allerdings führen die Aufforderungen zum Löschen des eigenen Gesichts aus der Datenbank kaum zum Erfolg; Gleichzeitig haben die Gründer von PimEyes in den USA vermutlich einen Ableger unter dem Namen Faceware Inc. gegründet, um dadurch möglicherweise europäischen Datenschutzstandards auszuweichen.

In Rußland wurde wiederum Findface u.a. auch von Moralaposteln dazu benutzt, Sexarbeiter:innen zu outen. Und laut Ankündigung ihrer Entwicklerfirma NtechLab wird FindFace auch dazu verwendet, das Shoppingverhalten von Menschen in einem bekannten Einkaufszentrum in St Petersburg langfristig – über verschiedenste Geschäfte hinweg – nachzuvollziehen.

Verschleudere deine Daten!

Das unerkannte Bewegen durch die Öffentlichkeit ist damit an sein Ende gekommen – und es stellt sich nicht nur die Frage, ob und wie Zoom der biometrischen Erkennung unserer Gesichter und vielleicht auch unserer Stimmen, unserem Sprachverhalten und linguistischen Vorlieben zuarbeitet, sondern was aus der massenhaften Sammlung dieser Daten – darunter auch die öffentliche, ubiquitäre Gesichtserkennung – resultiert (siehe auch https://reclaimyourface.eu/). Portland und San Francisco haben aus guten Gründen die biometrische Gesichtserkennung in ihren Städten verboten.

Man könnte hier noch viel zu Stimm- und Sprachanalyse ausführen. Unlängst fiel mir auf, dass WebEx z.B. eng mit der Firma Eleveo kooperiert, die für ‚compliance solutions‘ – also Kooperation von Kund:innen und Partner:innen sorgt – auf der Basis vom Sprach, Sprech- und Emotionsanalysen („Anrufaufzeichnung, Qualitätsmanagement, Workforce Management, Analytik, …, Stimme des Kunden“, aber auch über Bildschirmkontrolle. Aber das wäre nochmal ein ganz eigenes Thema, wie hier Menschen durchleuchtet und ‚kooperativ‘ gemacht werden (sollen). Die Kooperation von WebEx mit Firmen für Stimm- und Sprachanalyse lässt jedenfalls nichts Gutes erwarten …

Während wir vorsichtiger geworden sind, soziale Medien zu ‚füttern‘, scheint sich das Verschleudern der eigenen Daten und des Datenschutzes, sowie das Versagen der Politik gegenüber den Datenkraken im Zuge des Covid Creep, des ‚Tele-Everything (Eric Schmidt) zu wiederholen (siehe hierzu auch: Naomi Klein in The Intercept).

Dass es bis heute keine tragfähige europäische digitale Infrastruktur jenseits von Facebook, Google, Zoom und Co gibt, ist ein unverzeihliches Versäumnis der Politik. Da hilft die DSGVO nicht weiter, wenn die Daten nicht verschlüsselt und/oder über US-amerikanische oder chinesische Server geschoben werden.

Dubiose Datenkraken füttern

Der letzte Skandal um Zoom macht noch ganz andere Abhängigkeiten bzw. Abgründe deutlich: Offensichtlich hat sich der Konzern – wie soviele andere Datenkraken – den Zensuranforderungen der chinesischen Regierung mehrfach gebeugt. Sie haben nicht nur ein Zoom-Meeting zur Erinnerung an das Massaker von Tian‘anmen auf Geheiß unterbrochen, sondern auch der chinesischen Regierung Tausende von IP-Adressen unliebsamer Chines:innen in den USA und anderswo herausgegeben, so dass nun sogar das FBI den Fall untersucht.

Es gibt also viele gute Gründe, alternative Open-Source- und nutzerfreundliche Technologie wie Senfcall oder BigBlueButton zu nutzen (siehe hierzu auch: https://www.boell.de/en/2020/08/31/the-zoom-boom-it-matters-which-tech-tools-you-choose-to-work-from-home), auch wenn damit sicherlich nicht alle Probleme behoben sind. Aber sicherlich sollten wir nicht – auch während einer Pandemie – aufhören, uns zu fragen, welche Geschäftsmodelle den jeweils von uns genutzten Apps zugrundeliegen, damit wir nicht weiter dubiose Datenkraken füttern.

Ich bin gespannt, wieweit sich der Hype um das Tele-Everything nach Monaten erzwungener und auch nötiger Isolation relativiert. Ob danach soziale Beziehungen und körperliche Nähe offline ganz andere Wertschätzung erfahren? Es bleibt interessant zu schauen, ob unsere aktuelle schmerzliche Erfahrung nachhaltige Spuren hinterlässt.

3 Antworten auf „Nummer 16 Jutta Weber COVID creep“

  1. Dem Artikel ist wenig hinzuzufügen – in der Tat sollte man sehr genau darauf achten, welche Anbieter man nutzt. Aber Menschen sind halt bequem und wollen Lösungen, die einfach zu nutzen sind. So wurde auch WhatsApp trotz aller Bedenken extrem erfolgreich.

    Da ich aus meiner beruflichen Tätigkeit und meiner Aktivität bei vielen Open Source Projekten auch die “andere Seite” etwas kenne, aber dennoch ein Hinweis:

    BigBlueButton ist zwar OpenSource, aber sicherheitstechnisch problematisch. Siehe auch https://www.golem.de/news/big-blue-button-das-grosse-blaue-sicherheitsrisiko-2010-151610.html. Auch wenn man BigBlueButton auf eigenen Servern betreiben kann und man benötigt zwingend Ubuntu 18.04 auf dem Server, weil die Software viele Abhängigkeiten hat, die nur unter Ubuntu 18.04 erfüllt sind. Die Videoaufzeichnung geht auch dann nur über Server von BigBlueButton.

    Persönlich nutze ich daher lieber Nextcloud Talk mit dem “High Performance Backend” (was mittlerweile auch Open Soruce ist) auf einem eigenen Server (bisher erfolgreich mit bis zu 9 Teilnehmenden, mehr hatte ich noch nicht in einem Meeting, aber technisch sollten auch 20 oder 30 Leute gleichzeitig machbar sein). Auch Jitsi Meet ist relativ problemlos in einem Docker-Container nutzbar, wenn auch mit eigenem Server nur für ca. 5-6 Leute sinnvoll auseicht, da Jitsi Meet nicht WebRTC mit MCU sondern nur SFU nutzt und daher nicht so gut skaliert.

    1. Die im Link genannten Bugs sind mittlerweile alle behoben und das Entwicklerteam mittlerweile im viel stärkerem Austausch mit der Community. Was Ubuntu angeht wird die Version 16.04 benötigt. inwiefern das eine Problem ist wird aus dem Text leider nicht klar. 16.04 ist ein weiterhin supportetes Betriebssystem für das es aktuelle Updates gibt (im Gegensatz bspw zum viel genutzten Windows 7).
      Der Support für 16.04. läuft allerdings aus, weshalb mit dem Release von BBB 2.3 der Umstieg auf 18.04 ansteht

      Wer ein eigenes System betreiben will sollte aber tatsächlich zu Nextcloud oder Jitsi greifen, da BBB durchaus anspruchsvoller zu konfigurieren ist.

  2. Der Messenger Signal kann seit kurzem (Ende Dezember) auch Ende-zu-Ende-Verschlüsselte Videokonferenzen – bisher allerdings beschränkt auf fünf Teilnehmer_innen. Da Signal nicht nur Wert auf Sicherheit/Verschlüsselung, sondern auch auf möglichst wenig Metadaten legt, ist das derzeit aus Datenschutz-Sicht die beste Lösung (funktioniert auch auf dem Desktop).

    https://www.golem.de/news/messenger-signal-fuehrt-gruppenanrufe-ein-2012-152848.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert