Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Putins Bären — eID-Hack — eIDAS und DPI — Chat-Interoperabilität — Politische Inhalte — Air Canada Chatbot — European Health Dataspace — Deepfakes — Correctiv — Pay or Okay — Frag den Staat — Informationsfreiheitsgesetz AT — Termine
Tim ist auf Reisen und so springt Thomas ein und herausgekommen ist eine Sendung in Sonderlänge mit einer Vielzahl an Schwerpunkten. Hört doch mal rein.
https://logbuch-netzpolitik.de/lnp485-raus-aus-dem-wohnzimmer
Veröffentlicht am: 28. Februar 2024
Dauer: 2:51:00
Guten Morgen Thomas. Logbuch Netzpolitik, die Folge 485. vom 26. Februar 2024 hier live, nicht aus der Meta-Ebene, dafür zwischen Wien und Berlin mit Thomas Lohninger aus dem Land, das von Jan Böhmermann jetzt auf einmal immer wieder Österreich als, als wurde das Land verunglimpft oder nur eure komplette politische Installation?
Als Österreicher ist man das alles gewohnt. Das Schlimmste ist eigentlich, dass er dieses Lied die ganze Zeit gespielt hat und dass ich das jetzt als Ohrwurm habe. Also das muss man als Warnung aussprechen. Die FPÖ hat da leider sehr bösartige, eingängige Hymnen, die immer wieder vorkommen. Aber ja, wir haben einen neuen Magazin-Royal-Böhmermann-Clip bekommen zu der Situation in Österreich mit einer FPÖ auf 30 Prozent in den Umfragen, Stimmenstärkste Partei und es wird ja noch ein paar Mal gewählt dieses Jahr. Also das ist nicht angenehm, aber umso wichtiger, dass man sich damit beschäftigt. Und gleichzeitig, ich weiß, für euch Deutsche ist das immer dann der totale Aufreger zu sehen, wie heftig Österreich ist. Wir sind das halt gewohnt seit 40 Jahren. Also das macht es nicht besser, aber es ist dann halt, man lernt mit allen zu leben.
Ja, hatten wir doch. Es gab doch Ibiza. Das Problem ist, das war keine langfristige Lösung. Die Pandemie hat das wieder aufgewogen, die FPÖ ist da leider wieder auf eigentlich ein Niveau gekommen, was sie vorher noch nie so hatte und ist da in ihrer Opposition zu jeder Vernunft und der Wissenschaft und ihrer Russlandliebe im Moment sehr stark im Aufwind in Österreich.
Aber, okay, gut, wir haben gesagt, wir machen es kurz als Intro. Warum? Ich verstehe immer nicht, warum. Weißt du, in irgendwelchen schwer frustrierten Bundesländern Deutschlands, wo auch irgendwie seit schon lange nicht viel Kluges mehr herkam, da kann ich mir teilweise irgendwie mit sehr viel Vorstellungskraft herbeireden, warum da irgendwie die Bauernfänger greifen. Aber Österreich ist ja jetzt kein Land, dem es besonders schlecht gehen würde. Oder habe ich da einen falschen Eindruck?
Nee, also das ist, wenn dann eine Wohlstandsverwahrlosung, aber Österreich ist halt sehr viel Land und wenig Stadt. Abseits von Wien gibt es da nicht viel. Und es ist halt auch ein Land mit einer über viele Jahrzehnte zumindest rechtskonservativen Mehrheit. Wir wurden nie richtig entnazifiziert, wir waren ja das Opfer. Und daraus hat sich einfach ein anderer Grundkonsens ergeben. Und sowas wie eine Brandmauer, die Deutschland gerade versucht zu erhalten, die gab es in Österreich nie. Also auch irgendwie so der sozialdemokratische Kanzler, der immer beschworen wird, Kreisky, der selber Jude war und im KZ hatte auch Nazis in seiner Regierung. Also die waren nie weg und deswegen ist es so gefährlich, dass die jetzt wieder da sind, wo sie sind. Und ja, wir haben die Europawahl jetzt im Juni, das wird ganz spannend. Aber was vielleicht auch nochmal…, Österreich kann ja immer als Operette ganz humoristisch sein, was vielleicht untergegangen ist, ist, dass Sebastian Kurz jetzt erstinstanzlich verurteilt wurde.
Und das macht auch so ein bisschen Hoffnung. Also dessen politische Karriere ist zumindest mal für absehbare Zeit weiter im Abklingbecken. Also ich glaube eher, dass der in die Richtung von Karl Theodor von und zu Guttenberg geht und nicht in die Richtung von Bibi Netanjahu, der nie aus der Politik hinaus zu wählen ist. Zweiterer war sein Vorbild, aber ich glaube, das hat er sich jetzt verbaut mit einer total dummen Falschersage, die er nicht hätte treffen müssen, aber es war sein Stolz und die PR über sich selber hat er geglaubt. An dem ist er verfallen, deswegen ist dieser Blödsinn jetzt passiert.
Also es ging um die Postenbestellung von Thomas Schmidt. Es ist ein sehr illustrer Charakter in der österreichischen Politik, der ganz maßgeblich an der Machtergreifung von Sebastian Kurz beteiligt war. War als Kabinettschef im Finanzministerium, hat der die Millionen zugeschanzt, mit der nachher, wie in einer anderen Anklage verhauptet wurde, eben die Umfragen gekauft wurden und die Medienberichterstattung, sodass Kurz an die Macht kam, auch innerparteilich. Und dessen Handy wurde beschlagnahmt, da hat sich ganz viel drin gefunden. Was eine eigene Sendung wert wäre. Aber in der Bestellung von dieser Person, von Thomas Schmidt, wurde Sebastian Kurz im Ibiza-Untersuchungsausschuss befragt und meinte dort auf die Frage der Postenbestellung, dass er nur informiert und nicht involviert gewesen wäre und hat da alles abgestritten, dass er da irgendwie beteiligt gewesen wäre. Was ja jeder versteht als Kanzler, dass man irgendwie sagt, das war ganz ein wichtiger Staatsposten, wo es um staatliche Beteiligungen geht, also im Milliardenumfang. Und wenn er da gesagt hätte, natürlich habe ich da ein Auge drauf gehabt, hätte es jeder verstanden, außer halt irgendwie seine politischen Mitbewerber, die vielleicht gesagt haben, kein neuer Stil. Aber das wollte er nicht, da hat er sich wirklich verbissen da drin, dass er da nichts damit zu tun hatte. Und das war jetzt laut erstinstanzlichen Urteil, was nicht rechtskräftig ist, und das gilt die Unschuldsvermutung, eben eine Falschaussage. Und für die wurde er jetzt für acht Monate Haft verurteilt, aber bedingt. Und er geht natürlich in Berufung und es gibt eben auch noch ein zweites Verfahren. Also ja, da bleibt Spannung. mit.
Genau, also Mari Waters schreibt, meine Intuition bezüglich Generative AI Watermarking läuft genau entgegengesetzt zu Linus. Beim Markieren des generierten Kontos handelt es sich technisch ja um einen, steganografischen Covert-Channel, der in der Tat kaum ausreichend robust gestaltet werden kann. Der praktische Nutzen liefert deshalb auf wenig mehr als das freiwillige Mitliefern eines entsprechenden Metatexts hinaus. Die Authentifizierung originalen Contents andererseits würde durch klassische Signaturverfahren realisiert, die bei entsprechend konsequentem Timestamping und Revocation geleagter Private Keys eine ungleich stärkere Garantie für die Vertrauenswürdigkeit einer Quelle und damit langfristiger Vertrauensbildung böten. Das finde ich ganz spannend, weil ich muss gestehen, als ich die letzte Folge gehört habe, habe ich mir das auch gedacht. Und deswegen diskutieren wir es nochmal. Also ich glaube auch, es ist auf jeden Fall ausgeschlossen, dass wir das Umgekehrte hinbekommen, dass wir die Fakes irgendwie durch die LLMs markieren lassen, sondern wenn, dann schaffen wir es irgendwie Autorinnenschaft von Bildern oder anderen Inhalten in Metadaten mitzuliefern, was natürlich ganz eigene Phenomous Speech und Datenschutzprobleme mit sich bringen könnte.
Okay, dann lese ich den mal vor. Von Franzl ist der. Vielen Dank wieder einmal für eure Sendung, bitte, bitte. Ich würde gerne nochmal zu den Quellensignaturen bei Bildern einhaken, weil ich mir nicht sicher bin, ob sie nicht doch dazu beitragen könnten, Deepfakes zu verhindern. Technisch könnte ich mir vorstellen, dass es bereits genügen könnte, wenn der Private Key auf dem Kamerachip erzeugt wird und diesen gar nicht verlässt, allenfalls resettet werden kann. Bei Bedarf kann man eine Signaturkette erzeugen, Verfahren mit entsprechender Spezialhardware gibt es und werden seit einiger Zeit auch erfolgreich eingesetzt. Apple nutzt solche Infrastruktur seit Jahren, um die Integrität von deren Systemen sicherzustellen und bislang lief das zumindest ohne große Probleme. Selbst für die Nachbearbeitung fänden sich Lösungen. Es würde ja schon mal reichen, wenn das Originalmaterial für alle oder für einen vertrauenswürdigen Kreis von Leuten zugänglich ist. Also, bei Bedarf kann man eine Signaturkette erzeugen, also entweder gibt es die oder nicht, ja, und die wird ja nicht bei Bedarf erzeugt, also eigentlich müsste der Private Key von dieser Kamera einmal signiert worden sein. Und ich glaube halt, dann ist er signiert und dann, also die, es ist die eine Sache so ein Entschlüsselungsschlüssel irgendwie sicher zu halten und nochmal eine andere, einen, den man die ganze Zeit zum Signieren anwendet, sicher zu halten. Und ich bin nicht so, also ich glaube halt, dass es immer wieder schief gehen wird und am Ende brauche ich, hättest du, würden reihenweise CA's, die dann eben dafür bürgen, dass irgendetwas echt ist oder von einer Nikon oder von einer Canon Kamera oder sonst was kommt. Ohne Ende revoken müssen, weil wieder einmal irgendwo ein Key rausgetragen wird. Was man natürlich machen könnte, wäre, dass man irgendwie den an Personen bindet und dann eben auch Personen das Vertrauen entzieht. Aber das Watermarking kriegt man ja auch wieder raus, weißt du? Du machst einfach so lange Rauschen in das Bild, bis der Cover Channel weg ist. Das siehst du ja.
Das ist ja noch nicht mal AI-generiert. Die malen einfach einen anderen Mond dahin, damit der geiler aussieht. Okay, aber ich kann dem Argument folgen, das hier von Muddy Waters vorgeführt wird, das er besagt. Wahrscheinlich ist es hilfreicher, die Fakes zu Watermarken als die Originale zu signieren. Und dem Argument kann ich deshalb Weil es ja schon unendlich viele Originale gibt, die nicht signiert sind und dem gegenüber verhältnismäßig wenige Fakes und verhältnismäßig wenige Leute gut Fakes erstellen können. Aber beide Verfahren haben in meinen Augen trotzdem das Problem, dass irgendwann einmal ein Fake ohne Watermark oder ein Fake mit Signatur erscheinen wird und dann das Vertrauen in das Verfahren verloren geht. Und das ist eigentlich unabhängig davon, welches von beiden ist. Trotzdem kann man wahrscheinlich mit Watermarks, da würde ich dann zustimmen, potenziell erstmal den größeren Teil des Problems erschlagen können also den, als mit Signaturen, einfach weil es Unmengen an Kameras gibt, die nicht signieren können und damit hat es sich dann auch und du bräuchtest ja einfach ein Verfahren, das von jetzt auf gleich bei allen, wirkt, insofern würde ich dann zustimmen dass es, der vielversprechenderer Ansatz ist.
Gleichzeitig kommt jetzt ja auch schon irgendwie OpenAI mit Sora und kann jetzt nicht mehr nur Bilder generieren, sondern ganze Videostrecken. Das heißt, das wird jetzt noch mal um einiges interessanter. Sascha Lobo hat schon die absolute Dystopie in seiner Spiegelkolumne verzeichnet. Er hat so ein bisschen gesagt, Wenn man jetzt so diese TikTok-Algorithmen mit KI lernen und KI generieren, wenn man das alles verbindet, dann kann man irgendwie die gesamte Welt, die gesamte Bevölkerung in unterschiedliche Parallelrealitäten schaffen. Also quasi aktuell ist TikTok ja wenigstens noch darauf angewiesen, dass andere Leute Content zufüttern. Wenn es auch das nicht mehr ist, dann hast du natürlich eine relativ unschöne Situation, die jetzt schon relativ greifbar nahe ist.
Ja, unsere Matrix-Simulation wird also vom TikTok-Algorithmus gebootstrapped, das ist schön. Ja, also das war wirklich scary, was die mit Sora da in die Welt gebracht haben und ich frag mich auch so, was wird das wieder für Auswirkungen haben, weil so alles, was so Stock-Videomaterial ist, ich hoffe, dass die jetzt noch irgendwie alles verkaufen können an Trainingsdaten, weil das wirkt nicht gut so effizient, wie die inzwischen schon sind. Also es ist ein bisschen scary, aber die Bilder schauen leider gut aus. Also die Qualität, weil das jetzt noch nicht ein Tool ist, womit man einfach so herumspielen kann. Kann auch sein, dass da noch mehr Marketing dabei ist als sonst was, aber die Qualität ist schon erschreckend.
Ja, ich würde schon davon ausgehen, dass sie da jetzt die guten Beispiele gezeigt haben und nicht unbedingt die schlechten, also die beeindruckendsten, die ihnen gelungen sind. So, wäre ja auch verrückt, so ein Produkt nicht mit seinen besten Beispielen zu bewerben, sondern nur so mit durchschnittlichen Leistungen. Aber ja, da geht einiges und das wird nochmal interessant.
Ja, die Aufzeichnung ist schon etwas her. Und zwar hat Simplicissimus eine Doku gemacht mit dem Titel Putins Bären, die sich mit den unterschiedlichen russischen Hacking-Gruppen, die staatlichen Stellen oder denen staatliche Nähe unterstellt wird, auseinandergesetzt. Also so Fancy-Bär, Voodoo-Bär und wie sie alle heißen. Also die Gruppierungen, die… Wieso.
Ja, aber wenn du auf TikTok oder Instagram guckst, sind ja auch immer irgendwelche Russen, die da Bären als Haustier halten. Ich weiß gar nicht genau, ist das das Nationaltier? Das ist ein weit verbreitetes Symbol für Russland, der russische Bär. Ja, ich glaube, dass das damit zu tun hat. Das war doch schon früher auf dem Super Nintendo bei Street Fighter, der russische Kämpfer aus der UdSSR, der hatte auch damit Bären. Ich weiß gar nicht, es gibt einen Artikel, widespread symbol generally... Ähm, woher kommt das denn?
Genau, das könnten sie auch machen. Also da wurde eine sehr schöne Doku gemacht mit den unter anderem den Hack der Bundesregierung, Hack des Bundestags, den Hack des Democratic National Council, diese ganzen politischen Aktionen. Auch übrigens den Hack des Viasat-Systemes, also alle so spektakulären, sehr höchstwahrscheinlich russisch-staatlich durchgeführten Hacks von den unterschiedlichen Gruppierungen, die Russland da so hat. Und da wurde insbesondere viel erklärt von Florian Flade und Hakan Tanriverde, die den Podcast auch gemacht hatten, der Mann in Merkels Rechner, diese gesamte Angriffe auf Bundesregierung, Bundestag auseinandergenommen haben. Claudia Haidt, Kerstin Schabert und Linus Neumann. Ich durfte auch ein paar Dinge einordnen. Ich muss sagen, dass ich diese Simplicissimus-Sachen wirklich sehr oft sehr gut finde. Das ist auch erstaunlich, wie viel... Zeit und Recherche, die sich nehmen. Ich habe in der einen oder anderen Simplicissimus Doku auch mal mitgewirkt. Also die veröffentlichen die ja üblicherweise auf YouTube. Diese ist jetzt auch im SWR gekommen und in der ARD Mediathek. Und ich kann zumindest sagen, dass ich mit denen immer am längsten telefoniere. Ja, was ein gutes Zeichen ist. Also entweder Die können halt schlecht auflegen, wenn ich den Knopf an die Backe labere oder die nehmen sich halt wirklich Zeit. Und das sieht man in dieser Doku. Ja, die ist einfach cool gemacht. Die ist unglaublich viel 3D animiert, sehr gut immer verbildlicht und auch ordentlich aufgearbeitet. Sowieso natürlich Florian Flade und Hakan Tanriverde in dem Bereich sowieso spätestens seit der Mann in Merkels Rechner und den Recherchen dazu unangefochten und die kann ich also wirklich, wirklich sehr empfehlen. Gab noch einen kleinen kleinen Scherz, weil Humor haben sie ja auch und das kann man sich sehr gut angucken. Kann ich also auf jeden Fall empfehlen diese Doku.
Was ich mitbekommen habe davon. Ja, da haben wir eine sehr schöne, wir haben da den ganzen Tag gedreht eigentlich, also dafür habe ich eigentlich relativ wenig zu sehen, aber zeigt eben auch wie viel Mühe die sich machen und wie ordentlich die recherchieren, das ist auch. Ich würde sagen, bestimmt ein Dreivierteljahr her, dass wir da gedreht haben oder so. Also ich dachte schon, das kommt gar nicht mehr so. Aber das heißt einfach nur, wie viel Arbeit und Recherche und Sorgfalt in dieser Doku steckt. Das muss man einfach mal sagen.
Ich weiß jetzt auch nicht, wie viel Selbstausbeutung da dann wieder dahinter steckt. Also der öffentlich-rechtliche Rundfunk in Deutschland ist jetzt auch nicht ohne Kritik, vor allem was die Bildvergabe angeht und wer da wie viel Geld hat und wer nicht. Aber sagen wir einfach mal, das Simplicissimus-Team macht auf jeden Fall eine äußerst gewissenhafte Arbeit. Ob die da jetzt angemessen für entlohnt werden oder nicht, weiß ich tatsächlich nicht. Kann ich nicht sagen, aber ich gehe da, man kann einfach mal sagen, dieses Produkt, dieses Ergebnis ist auf jeden Fall sehr, sehr gelungen.
Also da spricht das mir absolut kein Neid. Ich bin absolut der Meinung, dass wir wir einen starken Öffentlich-Rechtlichen brauchen, und dass das auch denen hilft, die den nicht schauen, weil das ist einfach gut und notwendig für die Demokratie, aber es ist halt einfach auch vom Handwerklichen her ein Wahnsinn, wenn man sieht, wie viel Aufwand getrieben wird. Ich erinnere mich, vor ein paar Jahren vor der Pandemie war mal Arte bei mir, ich weiß gar nicht mehr, welche Geschichte das war, aber die sind wirklich aus Frankreich angerückt mit sechs Leuten, also ein Moderator, ein Mensch, der das Licht gemacht hat, zwei Kameraleute und zwei Übersetzerinnen.
Jetzt verstehst du, was das Problem ist. Nee, also ich kann jetzt auch gar nicht genau sagen, wie, ich glaube Simplicissimus hat auch mal, also die sind, wenn ich das nicht, ich hoffe, ich sage da jetzt nichts Falsches, aber sie sind glaube ich Teil von Funk und auch Funk ist ja nun wirklich nicht ohne Kritik und also da habe ich auch ganz andere Erfahrungen gemacht mit, Funk-Journalistinnen, Deswegen, lass uns da keine ÖRR-Debatte sonst machen.
Naja, also pass auf, Situation war irgendwie so, schreibt jemand mich an, ein Journalist, der kann ja, kann man auch sagen, der hat mich ja zitiert, also es waren, Marcel Rosenbach und Max Hoppenstedt vom Spiegel und sagen hier, wir haben einen, der sagt, der hat die E-ID gehackt, kannst du mal bitte gucken. Und demonstriert also folgenden Angriff. Und zunächst installiert er, also es funktioniert auf einem iPhone, diese Demo wird vorgeführt auf einem iPhone, zunächst installiert er eine bösartige App. Diese bösartige App, könnte man sich jetzt in einem theoretischen Szenario so vorstellen, das ist jetzt vielleicht irgendeine Gaming-App oder so oder irgendeine Taschenlampen-App, die vordergründig keine EID-Funktion hat, aber hintergründig einen Klon der EID-Funktion, also die gleiche Code-Basis, sagen wir mal, wie die Ausweis-App. Und allerdings ergänzt um so eine, alles was du hier eingibst, spreche ich mit einem anderen Server. Also eine gebäckdorte E-ID-App, eine gebäckdorte Ausweis-App, die unter irgendeinem Vorwand auf deinem Telefon installiert wurde. Schwer genug, aber gehen wir mal davon aus, dass es gelingen würde. Dem liegt jetzt irgendwie entgegen, dass potenziell der Apple App Store natürlich auf so etwas achten sollte, aber da wissen wir auch, dass er es nicht immer macht, dass da auch immer mal wieder eine bösartige App es reinschafft. Also nehmen wir mal an, diese App ist jetzt installiert. Und dann geht er auf eine Webseite, die eine E-ID-Aktion auslöst. Du bist also auf dieser Webseite und dann sagt er, du kannst jetzt weitermachen. Was möchtest du jetzt zum Beispiel mit der Ausweis-App auf deinem Handy weitermachen? Dann sagst du, genau das möchte ich machen. Dann sagt der, installier die mal. Jetzt geht der in dieser Demo sogar hin, installiert die offizielle Ausweis-App aus dem App-Store und drückt dann auf, jetzt möchte ich hier diese E-ID-Aktion ausführen. Das kann jetzt eine Authentifizierung sein, dass du einfach sagst, wer du bist oder auch irgendeine Autorisierung von etwas, völlig egal, also eine E-ID-Aktion wird ausgelöst. Und in dem Moment meldet sich seine Fake-App, übernimmt diesen E-ID-Vorgang und sagt, ah, alles klar, du möchtest jetzt hier eine E-ID-Aktion machen, dann gib mal bitte deinen PIN ein, ach so, gib den mal bitte nochmal ein und hier, jetzt geht's zurück und dann hat er ein Konto eröffnet in deinem Namen bei einer Bank. Und deine tatsächliche E-ID-Transaktion, wo könnte man theoretisch sogar auch noch durchführen oder die bricht dann halt mit einem Fehler ab. So, erstmal ziemlich beeindruckend, weil in dieser Demo siehst du erstmal nur, wie die ganze Zeit genau das gemacht wird, was da steht, nämlich Ausweis-App installieren, Link drücken und auf einmal hat der eben quasi parallel dir in Wirklichkeit andere Dinge zur Authentisierung gegeben. Also nicht das, was weiß ich, die Punktestandabfragen aus Flensburg oder was auch immer du da vielleicht machen wolltest, sondern eben die Eröffnung eines Kontos. So, und jetzt denken natürlich alle, oh mein Gott, krasse Schwachstelle in der E-ID. Und dann hat er auch noch so ein Paper dazu geschrieben, worin jetzt die Probleme bestünden und sagt aber dann irgendwie so, das Problem bestünde also jetzt daran, dass das alles Open Source ist. Und hat dann relativ komische Argumentationen, worin jetzt der Fehler angeblich bestehen würde und was davon zu halten ist und was nicht. Und da wurde ich so ein bisschen hellhörig, weil der einzige wirkliche Fehler oder das einzige wirkliche Problem, was der oder die anonyme Person, pseudonyme Person da entdeckt hat, ist, du hast im Prinzip, wenn du von so einer Webseite kommst und an eine andere App übergeben möchtest, gibt es grundsätzlich zwei Möglichkeiten. Das eine ist, du machst das über das Protokoll. Ich habe zum Beispiel festgestellt. Dass ich irgendwann zufällig so im Internet auf so einen Magnet-Link geklickt, also so einen Torrent-Link und dachte so, naja, ich habe ja gar keine Torrenting-App auf dem iPhone. Phone und da ging aber trotzdem eine auf, nämlich die Management App für meinen, NAS Server, die hatte sich registriert für den Protokoll Identifier, Magnet Doppelpunkt Slash Slash und, dann kann, dafür können sich Apps registrieren, du bist irgendwie eine App, sagst du so, pass auf, ich kann, ich bin eine FTP App und wenn ihr jemand FTP öffnen möchte, FTP, sorry, müssen wir mal klarer File Transfer Protocol. Ich bin dafür registriert, ich möchte gerne angeboten werden. Ich kann dat. Genauso hatte sich diese NAS-App eben registriert für Magnet Links. Das habe ich denn nicht erlaubt, das wusste ich noch nicht mal. Und das können auch mehrere Apps machen. Und wenn es mehrere Apps machen, Dann sagt die Apple-Dokumentation dazu, welche der Apps dann aufgeht oder ich dir anbiete, wenn es mehrere sind, in welcher Reihenfolge oder was auch immer, das ist undefiniert. Da gibt es keine Möglichkeit, sich da vorzudrängeln. Das ist einfach nicht definiert. Ich habe mit dem Klaus Rodewick von ModZero, einem Kollegen, mit dem ich ein oder andere Mal zusammengearbeitet habe, den ich im Apple-Security-Bereich sehr schätze, mit dem haben wir irgendwie auch versucht herauszufinden, liegt das am Alphabet, liegt das an der Installationsreihenfolge, aber nein, Apple-Dokumentation ist da genau richtig, es ist undefiniert. Und dieses Verfahren nutzen die. Es gibt noch ein zweites Verfahren und das nennt sich von der Benennung etwas irreführend Universal Link. Und zwar haben die iPhone-Nutzerinnen unter euch sicherlich schon mal zum Beispiel youtube.com oder spiegel.de besucht oder der Süddeutsche macht das auch. Und dann die sagen, möchtest du diese Seite in der Spiegel-Online-App öffnen? Ja, oder möchtest du diese Seite in der YouTube-App öffnen? Und das ist dann eine Anweisung, die nicht quasi sagt, ich bin hier ein Link vom Typ E-ID, sondern ich bin ein Link vom Typ, ich möchte mit exakt dieser spezifischen Bundle-ID, was weiß ich, com.spiegel.de oder wie auch immer diese App dann heißt. Und du kannst dann quasi über diese Art des Universal Linkings spezifisch in eine, und zwar eindeutig in genau eine App linken. Also youtube.com linkt immer nur in die YouTube App. Und wenn du die nicht hast, steht da, du kannst sie installieren. Und Apple sagt auch, dass sie das empfehlen. Und der Fehler ist also, dass in diesem E-ID-Verfahren gesagt wurde, wir möchten. Also in der Designentscheidung festgelegt wurde, wir machen das mit dem Protocol Identifier, also mit dem Custom URL Scheme, das eben EID Doppelpunkt Slash Slash heißt. Und offenbar gab es in dieser EID-Situation auch den Wunsch, dass sich dafür unterschiedliche Apps registrieren können. Also es war eine bewusste Designentscheidung, dass man mehrere Apps dafür registrieren kann. So zumindest die Hintergrundinformationen. Das wurde offenbar getrieben so von Krankenkassen, die nämlich sagen, ey pass mal auf, wenn wir hier unsere Krankenkassen-App haben und die Leute sollen sich in dieser App anmelden mit ihrem Personalausweis, Dann wollen wir nicht auch noch sagen, installiere dir jetzt mal bitte die Ausweis-App, sondern wir wollen diese E-ID-Funktion in unserer App direkt auch selber mit drin haben. Und jetzt muss man natürlich sagen, das kann man ja auch wieder gut verstehen. Weil natürlich dieser Medienbruch wieder Nutzerinnen und Nutzer kosten wird, die dann sagen, ey komm, jetzt habe ich gerade diese scheiß Krankenkassen-App installiert oder die Bank-App, jetzt soll ich noch eine App installieren. Wie viele Apps soll ich denn jetzt hier noch installieren? Da kann ich schon verstehen, dass die die Anforderungen oder den Wunsch haben zu sagen, können wir nicht bitte auch diese E-ID-Geschichte auch direkt bei uns abbilden. Ja, nur schließt, also ergibt sich daraus bei mir immer noch nicht zwingend, dass die dann auch auf eid colon slash slash reagieren muss, um den kompletten Funktionsumfang der Ausweis-App abzubilden. Ja, deswegen ist meine Einschätzung zu diesem Thema, dass man das also über das Custom-URL-Skip macht, war ein Fehler, sollte man nicht machen, also wird auch von Apple seit Jahren von abgeraten. Dazu gehört, sollte es einen Universal Link geben, also spezifisch auf die Ausweis-App und nur die eine Ausweis-App gelinkt werden. Und das sollte in meiner Lesart trotzdem nicht verhindern, dass jetzt vertrauenswürdige Anbieter eine E-ID-Prüfung auch direkt in ihre App einbauen. Und es ist auch kein Problem, dass die Ausweis-App Open Source ist, ganz im Gegenteil. Interessanterweise, dieser Control-Alt, der da jetzt irgendwie sich rühmt oder die sich rühmt, eine schwere Schwachstelle in E-ID gefunden zu haben, gibt diese Empfehlung irgendwie an Stelle 9. Also hat acht wichtigere Kritikpunkte und als neunte Empfehlung irgendwie ja hier mal auf das von Apple empfohlene aktuelle Verfahren umzusteigen. Und dafür, dass da aber sehr viel Energie reingeflossen ist, diesen Angriff durchzuführen und zu demonstrieren und auch zu implementieren, infunktionierend, glaube ich der Person irgendwie nicht so ganz, dass die so ein geringes Verständnis davon hat, was sie da gefunden hat und was nicht.
Ja, zwei Überlegungen dazu. Das erste ist mal, ich hoffe gerade, dass im Online-Banking die stabile Art der Verlinkung auf Apps verwendet wird und nicht auf Protokolle. Und die zweite Anmerkung, ich befürchte, dass dieses Problem in Europa uns noch um die Ohren fliegen wird. Denn in dem tollen neuen europäischen ERD-System wird es nämlich mindestens 27 solcher ERD-Apps geben, für jeden Mitgliedstaat eine und theoretisch kann ein Staat auch mehrere herausgeben. Und wenn du dann aber auf die Linken willst, weil du vielleicht, weiß nicht, ein schwedischer Anbieter bist, der halt die, wie auch immer geartete, eher die App aus einem anderen Staat auch unterstützen will, verwendest du genau eher die Doppelpunkt Slash Slash.
Okay. Das heißt, wir haben jetzt auch noch ein europaweites Problem. Juhu! Also warum, also dieses Szenario, also ganz offensichtlich hat er es ja geschafft, oder sie hat, Control Alt ist geschafft, das zumindest einmal funktionierend hinzubekommen. Wenn das Verfahren, wenn die Zuweisung, welche App dann am Ende dran geht, undefiniert ist. Übrigens muss man Kontrollaltern auch noch zugute halten, dass ja überhaupt noch die Installation durchgeführt wurde. Das viel spannendere Szenario ist ja, du hast ja die Ausweis-App gar nicht installiert, drückst auf diesen Link, irgendetwas geht dran. Also du brauchst gar nicht diese Race-Condition oder diese undefinierte Situation zwischen den beiden Apps, sondern sobald sich irgendeine App für E-ID-Doppelpunkt-schrägstrich-schrägstrich registriert hat, geht die ja dran. Also er war immerhin fair genug zu sagen, ich installiere noch die richtige, aber dafür müsste er wahrscheinlich mindestens drei Testläufe gemacht haben, weil welche von beiden sich meldet, ist eben undefiniert.
Ja, das ist genau der Punkt. Also die erfolgreich durch den Apple App Store zu kriegen, da ist, sagen wir mal, die Wahrscheinlichkeit geringer als 50 Prozent. Ja, ich höre von den mir bekannten Entwicklern im E-ID-Umfeld, dass sie mitunter Schwierigkeiten haben, einfach weil schon auch Google und Apple darauf achten, wenn da so E-ID-Symbole in dem App-Bundle mit drin sind, dass sie da schon irgendwie ein bisschen aufpassen. Also es ist nicht so wahrscheinlich, dass es dir gelingt, eine solche App überhaupt in den App-Store zu bekommen. Du wirst damit im Zweifelsfall Probleme haben. Aber solange das nicht ausgeschlossen ist. Nehme ich das jetzt erstmal so zur Kenntnis, also nehme ich das an, also solange ich nicht weiß, die Wahrscheinlichkeit ist null, dass es dir gelingt, muss ich jetzt erstmal sagen, okay, wird schon klappen. Es gäbe eine, sagen wir mal, eine Möglichkeit wäre zum Beispiel, dass jetzt die Europäische Union, die verfügt ja eh eine ganze Menge, was Apple machen muss, die könnte jetzt zum Beispiel sagen, pass auf, der Protokoll, das URL-Scheme-E-ID, das dürfen nur von der Europäischen Union genehmigte Apps registrieren. Und eine eurer Prüfroutinen im App Store muss sein, dass ihr guckt, ob sich die App für E-ID registriert und wenn sie das tut, dann muss die irgendwie mitliefern, dass wir dem zugestimmt haben. Das wäre so eine prozedurale Methode. Aber warum überhaupt so ein unsicheres Verfahren nutzen? Mir ist auch, also ich meine, mir ist schon klar, dass es irgendwie mehrere E-ID-Apps geben muss, aber dann kann ich ja immer noch sagen, okay, hier sind, sag mal die E-ID, welche E-ID-App du verwenden möchtest oder so. Aber ganz grundsätzlich, also es gibt kein zwingendes technisches Argument zu sagen, es soll nur eine geben. Es gibt aber natürlich ein zwingendes technisches Argument, dass es nur Vertrauenswürdige geben darf. Weil es natürlich ein trivialer Angriff ist zu sagen, aha, da gibt jemand seine PIN ein, die schneide ich jetzt mit und schicke die woanders hin. Oder hier, ich spiele mit dem im Vordergrund den Authentifizierungsprozess durch, von dem er glaubt, dass er den gerade gelauncht hat und im Hintergrund einen weiteren, und zwar den, den ich gerade haben möchte. Wie gesagt, dieser Angriff, der da demonstriert wurde, das war richtig viel Arbeit. Aber wenn du den einmal hast, dann hättest du eben in diesem Fall ein Konto auf fremden Namen umgesetzt. Eröffnet. Natürlich kriegt die Person fünf Tage später Post. Also es ist wieder so eine, ja, also so wirklich, wirklich, also es ist ein technisch realistisches Angriffsszenario, das in der realen Welt so nicht funktionieren wird, weil du die App unwahrscheinlich in den App-Store kriegst, weil deine Zielperson am Ende doch irgendwie Post von dieser Bank bekommt, in der sie darüber in Kenntnis gesetzt wird, dass sie jetzt ein Konto hat und sich dann im Zweifelsfall meldet und außerdem keine Sau-E-ID benutzt. Ja, also es gibt viele Gründe, warum dieser Angriff jetzt nicht der Untergang der Welt ist, was natürlich auch ein bisschen darüber spekulieren lässt, warum jemand einen solchen Angriff demonstriert in der Öffentlichkeit viele Jahre, nachdem er möglich wurde und dann, sagen wir mal, die Prioritäten der Behebung ein bisschen falsch sind. Darstellt, also was ist hier das größte Problem, was ist das kleinste, da gab es auf jeden Fall inhaltliche Fehler in diesem Papier und dann eben auch nicht mit seinem Namen dazu stehen möchte. Die Person sagt ja auch von sich selber, dass sie in diesem Bereich tätig ist und dann kann man sich eben fragen, für wen wohl? Es gibt ja auch unterschiedliche andere digitale Identitätsanbieter, zum Beispiel welche, die in letzter Zeit viel auf die Fresse bekommen haben. Ja, die Person selber sagt, sie hat halt Angst wegen des Hackerparagrafen. Das könnte man gelten lassen. Ja, aber insgesamt ein Szenario, wo ich jetzt nicht unbedingt davon ausgehe, dass wir das in der freien Wildbahn sehen.
Ja, aber es zeigt zumindest für mich noch eine Sache, nämlich dass die Sensitivität von der ganzen Erde, die Bereich sehr hoch ist. Also den Leuten ist bewusst, dass wenn es da Probleme gibt, dann haben wir alle den Arsch offen. Und wenn diese Systeme Schwachstellen zeitigen, dann gehen die Alarmglocken los und das ist glaube ich zu Recht. Ob das jetzt in dem einen Fall hier wirklich berechtigt war oder nicht, kann man auf jeden Fall diskutieren. Aber ja, also ich hoffe die Akteure, die in der Erstellung und Absicherung von solchen Systemen tätig sind, schauen da genau hin und ziehen die richtigen Lehren.
Und dieses mit diesem Protokoll-Identifier war auf jeden Fall keine gute Idee. Ja, also das halte ich für nicht so gut. Und den Punkt muss man Kontroll alt dann auch wirklich geben. Das ist ein Designfehler, der gehört behoben, auf jeden Fall. Und wenn er jetzt europaweit ist, bin ich umso, umso, umso gespannter.
Ich muss noch ganz kurz zwei Sachen dazu sagen. Vor dem Hintergrund, wenn jetzt Apple unterschiedliche App-Stores zulassen soll und Google das ja schon tut, Gut, dann fällt natürlich, also steigt zumindest erstmal theoretisch die Wahrscheinlichkeit, dass irgendeiner dieser App-Stores nicht richtig hinschaut. Und diese quasi ein prozeduraler Zwang, dass nur vertrauenswürdige Apps dieses E-ID-Link-Ding öffnen dürfen, geht dann eben verloren. Ja, der ohnehin schon irgendwie komisch gewesen wäre. Und deswegen denke ich, die einzig richtige Entscheidung wäre, das nicht zu machen. Und einen eben direkt in das Bundle zu linken und spezifisch zu sagen, wir bieten nur Authentifizierung mit dieser App an. Und dann sind es von mir aus 27 Apps, die es gibt, aber irgendwie eine nicht definierte, offene Schnittstelle, das erscheint mir zu riskant. Wenn gleich, dass dann den Markt nicht so offen gestaltet, wie man ihn sich vorstellt. Aber du wolltest gerade was zu EIDAS sagen, wir sind ja bei EID.
Ja, ich will einfach nur irgendwie mein Leid beenden lassen, weil am Donnerstag in dieser Woche, wo wir aufnehmen, am 29. Februar, ist endlich die finale Abstimmung zur EIDAS-Verordnung auf der Agenda des Plenums des Europaparlaments. Und es war ja eine schwere Geburt. Ich glaube, ich habe hier auch schon mehrmals darüber berichtet, was da jetzt so drinnen steht. Da wollte ich nur einmal kurz darauf hinweisen, dass wir jetzt mit dieser Abstimmung wird das Gesetz auch im Journal der EU veröffentlicht und dann ungefähr bis August gibt es noch Zeit für die technische Implementierung. Das wird auch nochmal ein Spaß zu schauen, dass all diese Safeguards, die wir da erstritten haben, auch wirklich technisch umgesetzt werden. Und an zwei, drei Stellen muss man da sicher noch kämpfen, weil der Text nicht so klar ist, wie er sein sollte. Aber da werden wir bald auch immer mehr wissen und prüfen. 2025 bis spätestens 2026 kann man auch damit rechnen, dass dieses neue EU-System bei der Bevölkerung ankommt, weil bis dahin müssen die EU-Mitgliedstaaten so eine Wallet, die eine Smartphone-App sein wird, ihren Leuten anbieten. Und ganz wichtig ist aber auch, welche anderen Regeln damit in Kraft treten, zum Beispiel auch die Nichtdiskriminierungsregel. Also in Österreich gibt es gerade so Hauffälle, dass die ID Austria, was unsere eID-Lösung ist, verpflichtend gemacht wird, zum Beispiel für Bedienstete von Landeskliniken, also Krankenschwestern oder Krankenpfleger oder auch Lehrern, Lehrerinnen. Wenn die in ihre Lohnzettel, ihre Gehaltsabrechnung kommen wollen, brauchen sie die ID Austria. Und da gibt es einige Fälle inzwischen, wo halt so ein Zwang ausgeübt wird und da haben wir dann eine klare rechtliche Handhabe dagegen mit dem neuen System. Das ist gut und es wird auch einige Regeln geben für die Wirtschaft, die weit über die DSGVO hinausgehen, was sie überhaupt erfragen dürfen von Usern oder Kunden oder Besuchern, wo auch immer das eingesetzt wird. Es gibt ein Recht auf Pseudonymität überall da, wo es kein Gesetz gibt, das zur Identifikation verpflichtet. Also bei der Bank oder beim Telekom-Provider wird man sich ausweisen müssen. Muss man ja heute schon in den Ländern mit SIM-Kartenregistrierung. Aber überall sonst hat man das Recht auf Pseudonymität. Ja, es gibt auch einen Artikel von uns, den verlinken wir, wo im Detail noch alles drinnen steht. Und das ist mal so der große Abschluss von einem Bereich. Und wir haben in einem Talk am 37C3 gesehen habt, gemeinsam mit Utopov-Diwadi, da haben wir schon so ein bisschen die Brücke gelegt zu dem, was als nächstes kommt. Weil es uns wieder nicht langweilig, auch wenn jetzt gerade in Europa die große Reform zu Ende ist, geht es auf UN-Ebene gerade weiter. Es gibt nämlich eine Initiative von den Vereinten Nationen, genauer dem Tech Envoy. Das ist jemand im Stab von Guterres, vom Chef der UN sozusagen. Und der will Safeguards, also Schutzschranken für Digital Public Infrastructure erstellen lassen. Digital Public Infrastructure ist so ein Begriff, der bezeichnet eigentlich alles an staatlicher Infrastruktur im Digitalen, die geschaffen wird für die Bevölkerung und auch für die Wirtschaft. Digital Public Infrastructure, oder kurz DPI, sind nicht die physischen Telekommunikationsnetze, also nicht die Glasfaser oder das Unterseekabel, sondern explizit eben diese öffentlichen Infrastrukturen wie E-Government, wie eine ERD, wie auch ein digitaler Euro, der fällt da auch hinunter. Und auch andere Systeme zum Datenaustausch oder zum Management von Zustimmungserklärungen. Das Ganze ist etwas, das getrieben wird durch Indien. Indien hat ja das System, was hier am ausgereiftesten ist oder zumindest von den meisten Menschen verwendet wird. Fast die gesamte Bevölkerung von 1,4 Milliarden Menschen in Indien ist im dortigen Atara-System umgebordet und existiert sozusagen in dieser biometrischen Vollerfassung, die nicht nur Gesicht, Fingerabdrücke, sondern auch Iris scannt, auch von Kindern. Und ja, Indien hat dieses Thema wirklich als ihre Hauptpriorität auf UN-Ebene, auch während ihrer Präsidentschaft letztes Jahr von den G20 war das ein großes Ding. Man kann sich da wirklich Sorgen machen über die Richtung, in die das geht, weil diese Systeme sind global gedacht, sind per se interoperabel, was die große Frage aufwirft, ob diese Safeguards nach oben oder unten hochgeschraubt werden. Es ist auch ein System, das von internationalen Organisationen ganz stark gepusht wird. Also wenn man von der Weltbank an Kredit will oder vom UN-Entwicklungshilfeprogramm, dann wird da ganz oft auf dieartige Systeme verwiesen und die auch teils dann ausfinanziert. Sozusagen, hey, installier dir dieses System in deinem Staat, ist doch dann viel einfacher die Hilfe zu verwalten, die wir dir geben wollen, hinti, natsch, natsch. Und da gibt es auch aus dem globalen Süden massive Kritik, also wir haben in Kenia gesehen, dass da auch die Zivilgesellschaft erfolgreich geklagt hat und diese Systeme verhindern konnte für einige Jahre. Jetzt vor kurzem hat sich das in Kenia gedreht, jetzt hat das Gericht gesagt, ihr dürft doch damit an den Start gehen, jetzt machen die da biometrische Vollerfassung der Bevölkerung inklusive DNA. Ja, alles sehr scary und deswegen, als diese Initiative dpi-safeguards.org irgendwie auf dem Radar aufpoppte, war das natürlich was, das wir uns angeschaut haben und von dem, was draufsteht, könnte man Hoffnung haben. Weil da geht es schon auch darum, wie kann man sowas sicher machen, was sind denn Voraussetzungen dafür, dass es überhaupt in einer Gesellschaft sozialverträglich, inklusiv und datenschutzfreundlich an den Start gehen kann. Und derartige Safeguards sollen dort entwickelt werden. Und gemeinsam mit sieben anderen Leuten von der Zivilgesellschaft aus der ganzen Welt habe ich mich da beworben für diese Working Group und bin jetzt einer von 50 Leuten in diesen Arbeitsgruppen, die über dieses Jahr dieses Safeguards erstellen sollen. Das erste Treffen war jetzt, diese Woche geht es weiter, ich kann noch gar nicht sagen, ob das Ding was taugt, ob es überhaupt den Erwartungen und Versprechungen gerecht wird. Das Gute bei solchen Dingen ist ja immer auch, wenn das in die schlechte Richtung geht und einfach nur Window Dressing ist, also wir tun so als ob, aber in Wirklichkeit geht es uns nicht darum, das sicher oder datenschutzkonform zu machen. Kann man ja immer noch austreten. Also ich bin da jetzt mal drinnen und versuche das Beste, weil diese Systeme werden ausgerollt auf der ganzen Welt. Wir haben jetzt mit EIDAS aus Europa heraus mit Abstand das höchste Sicherheitsniveau aus Datenschutzsicht und auch was die Freiwilligkeit betrifft etabliert und in Gesetz verankert. Und ich hoffe da ein bisschen jetzt mal auf so einen Brussels-Effekt, dass man das als Messlatte verwenden kann und dafür kämpft, dass woanders diese Systeme auch ein bisschen menschengerechter werden. Man wird nicht danach messen können, ob uns das gelingt. Aber ja, deswegen wollte ich das mal hier so verlautbaren und wir verlinken auch alles weitere und der Congress Talk ist auf jeden Fall auch ein guter Einstieg dazu.
Den habe ich auch gerade in die Shownotes aufgenommen. Congress Talks sollte man ja eh jetzt mal langsam gucken. Und damit sei noch einer aufgenommen. Ja, Thomas, ein Thema, was lange, lange, lange hier die Hörerinnen und Hörer, aber auch Brüssel beschäftigt hat, war ja so der Digital Services Act und der Digital Markets Act. Ein Thema, was hier auch im Logbuch steht. Ausführlich diskutiert wurde, war die Interoperabilität der Messenger, um endlich die Vorherrschaft von WhatsApp brechen zu können. Da wurde also gesagt, die müssen, die dürfen nicht mehr geschlossen sein, sie müssen es jetzt den Konkurrentinnen und Konkurrenten ermöglichen, mit ihnen, mit ihren Nutzerinnen zu kommunizieren, um diesen Login-Effekt aufzulösen. Eine wunderschöne Idee, weil die Leute haben WhatsApp, weil ihre Freundinnen und Freunde bei WhatsApp sind. Und wenn du nicht bei WhatsApp bist, dann kriegst du halt nicht deren Storys, dann laden sie dich nicht zum Geburtstag ein und so weiter und so fort. Alles Dinge, die ich übrigens kenne. Und es ist sehr, weil ich nicht bei WhatsApp bin, und es ist relativ schwierig, deinen Freundeskreis in die beispielsweise Signal oder Threema zu überführen. Und natürlich wäre es eine tolle Sache, wenn ich Signal nutze und trotzdem mit meinen Freundinnen und Freunden auf WhatsApp kommunizieren kann. Ja, möglicherweise sogar noch mit einer, nicht irgendwie diese E-Mail wurde von der Web.de iPhone-App gesendet, sondern diese Message wurde von Signal gesendet, noch so ein bisschen mit Werbung unter jeder Nachricht oder so. Tolle Idee, um diese marktbeherrschende Stellung von WhatsApp zu brechen. Und jetzt haben sie es ermöglicht und alle singen, yeah, yeah, yeah, geil. Und Signal und Threema sagen so, ja, voll toll, dass WhatsApp jetzt eine universelle Schnittstelle anbieten muss. Wir verzichten darauf, die zu nutzen.
Ja, also wir haben es ja hier öfter gesagt, Tim war glaube ich einer der stärksten Verfechter. Ich habe auch gesagt, ich sehe, also ich kann das Ansinnen durchaus verstehen. Und ich glaube auch, dass das jetzt so für Juristinnen und Juristen oder Wirtschaftswissenschaftlerinnen total toll ist, was sie da geschafft haben, aber natürlich sagen Signal und Threema ungefähr, also mit unterschiedlich viel auf die Brust klopfen, Aber sagen halt erstens Datenschutz. Es gibt andere Regeln bei WhatsApp als die, die bei uns gelten und die wir unseren Nutzerinnen versprochen haben. Wir haben eine andere Verschlüsselung, die sich auch nicht ohne weiteres auf die übersetzen lässt. Ja, und Signal ist eh bekannt, dass Signal nicht föderieren will, ja, und natürlich potenziell sogar das Risiko der De-Anonymisierung, wenn jetzt nämlich die WhatsApp-Leute, was weiß ich, weißt du, deine schöne anonyme Threema-ID in ihrem WhatsApp-Kontakt-Adressbuch speichern mit deinem Namen und dann weiß irgendwie Facebook, was deine Threema-ID ist. Also es ist völlig klar, dass sie das nicht in Anspruch nehmen möchten. Das haben sie auch übrigens schon vorher gesagt. Also WhatsApp muss das jetzt einbauen. WhatsApp als der marktbeherrschende Akteur muss jetzt eine Schnittstelle, eine spezifizierte Schnittstelle bereitstellen. Die nutzen dann übrigens sogar die Signalverschlüsselung. Ja, warum nutzt WhatsApp wohl die Signalverschlüsselung? Weil sie die eh nutzen. Das haben sie sich ja vor, ah, das ist auch schon wieder fünf oder zehn Jahre her. dass sie die übernommen haben. Und Signal sagte, es ist supergeil, dass ihr das machen musstet, aber wir möchten das nicht. Und Threema sagte, nee, wollen wir auch nicht. Ich glaube, es wird am Ende keiner machen. Ich glaube auch nicht, dass ...
Ja, aber die sind ja komplett dezentral. Und das war auch der einzige Dienst, der in der Debatte rund um den DME laut geschrien hat, ja, ja, doch, wir wollen das. Alle anderen kleidern sicher geltenden Messenger haben da von Anfang an das gesagt. Ich habe da keinen Bock drauf. Und diese wunderschöne Idee will man unbedingt in der Welt sehen. Und dass es einfach gute technische Gründe gibt, wieso das nicht sicher und datenschutzfreundlich oder grundrechtstauglich machbar ist, hat man einfach ignoriert. Und so ist das ins Gesetz gekommen und wieso hat das WhatsApp gemacht? Weil es halt auch eine Bright Line Rule ist, also Messenger sind hier die Ersten, die drankommen. Bei sozialen Netzwerken hätte ich diese Überlegung viel sinnvoller gefunden. Bei Dingen, die eh auf einem Newsfeed von Facebook öffentlich sind, die als RSS rauszugeben. Wäre wunderbar gewesen und technisch sehr einfach. Aber hier ist die Debatte irgendwo komisch abgebogen und wir haben jetzt was, das im besten Fall totes Recht ist, im schlimmsten Fall mal zu massiven Datenleaks führen wird. Und wenn man sich dann überlegt, dass hier natürlich auch immer Fragen der konkreten Implementierung von Verschlüsselung auf einmal regulatorisch ausgehandelt werden müssen, gibt es sogar Angriffsvektoren, die man eigentlich nicht haben will.
Ja, also wirklich eine, das war wahrscheinlich nicht unbedingt sinnvoll, investierte Energie. Ich kann mir vorstellen, dass jetzt noch so eine, naja, also Signal und Threema lassen ja auch keine Third-Party-Clients zu, müssen sie auch nicht. Das heißt jetzt irgendwie so ein, ja allenfalls Matrix profitiert da noch von, aber also es ist wirklich, also das war jetzt keine, ich glaube diese Zeit war, ja diese Zeit war nicht im Sinne einer Lösung investiert. Ja, interessanterweise, aufgrund der unterschiedlichen Marktanteile, iMessage muss nicht geöffnet werden, ja, das wäre jetzt zum Beispiel irgendwie, das hätte ich ja sogar noch interessant gefunden, weil ich ja, Also ich benutze Signal, Threema und iMessage. Und es ist natürlich teilweise etwas schade, wenn man Leute mit Android-Telefonen dann nicht mit iMessage erreichen kann und da so ein paar nette Funktionalitäten nicht hat. Es wäre natürlich toll gefunden, wenn beispielsweise iMessage und was auch immer Android-Leute machen, wenn die gezwungen wurden.
Was aber auch sehr schön ist, und jetzt weiß ich gar nicht genau, ob es Digital Markets App, äh, äh, äh, äh, Digital Markets App, äh, Digital Markets Act oder Digital Services Act ist, ähm, ich glaube DMA, ähm, Apple tötet jetzt die schönen Progressive Web Apps in Europa. So, warum tun sie das? Also eine Progressive Web App ist im Prinzip eine sehr einfache App, die in HTML und so weiter geschrieben wurde. Das war, wenn ich mich nicht täusche, die erste Möglichkeit überhaupt Apps aufs iPhone zu machen. Ein Sweet Deal hatte, glaube ich, Steve Jobs das bezeichnet, wenn ich mich jetzt richtig erinnere. Also letztendlich eine in sich geschlossene Webseite, die potenziell vielleicht sogar noch mit irgendeiner API da draußen redet, aber halt, du schreibst deine App in HTML, nicht irgendwie in SwiftUI oder Objective-C oder sonst was, sondern halt eigentlich ist es eine Webseite. Ja, eigentlich auch das, was hier so mit Elektron und so weiter in letzter Zeit nur noch gemacht wird und was sowieso den Untergang der Usability herbeigeführt hat. Jetzt muss aber Apple ja auch andere Browser Rendering Engines zulassen als ihren Safari. Das haben wir in den letzten Sendungen besprochen. Also Apple sagt eigentlich so, wer hier HTML rendern möchte, der kriegt unser Webkit. Und wenn du sagst, du möchtest jetzt irgendwie einen Chrome-Browser machen, kannst du machen, aber solange du HTML renderst, nimmst du genau das gleiche Ding wie unser Safari. Und dann wurde gesagt, das dürft ihr nicht mehr machen. Es soll auch auf der HTML-Renderer-Ebene Konkurrenz geben. Und jetzt müssten sie für die progressiven Web-Apps auch andere HTML-Renderer erlauben und dann sagen sie, na gut, dann killen wir das gesamte Feature. Das heißt, für Europa, für dieser DMA jetzt sogar noch für diese ganzen Entwickler, ich weiß nicht wie lebhaft der Markt für Progressive Web-Apps ist, aber dazu, dass das einfach komplett abgeschnitten wird. Apple tötet das einfach, ja, auch verständlicherweise, weil sie sagen, für diese Web-Apps und das Web-Kit, was wir da rumgeknultet haben und die gesamte Sicherheitsagentur, das kriegen wir jetzt, die Sicherheitsarchitektur, das kriegen wir jetzt nicht hin, das auch noch für ganz andere DOM-Renderer hinzubasteln und das wäre uns einfach zu viel Arbeit, ja. Ja, und dann hätten theoretisch, könnten hier eventuell diese Web-Apps irgendwo ausbrechen, weil sie Schwachstellen in anderen Rendering-Engines benutzen. Das können wir uns nicht erlauben, also... Machen wir das alles weg.
Ja, also für mich wird das noch sehr spannend, muss ich ehrlich sagen, weil das ist ein weiteres Beispiel für die malicious compliance von Apple, also wirklich die böswillige Umsetzung dieses Gesetzes, weil sowas eindeutig nicht gedacht, das hat jetzt ihre Funktion als Gatekeeper nochmal verstärkt. Weil diese Web-Apps waren ein Weg, wie man am App-Store vorbei einfache Dinge und Funktionalitäten auf das Telefon bekommen kann. Ja. Milliarden bei Apple, das tut auch denen weh und das ist auf jeden Fall für die Kommission, die ja hier zuständig ist, für das Enforcement ein klarer Auftrag, wenn sie sich noch irgendwie ernst nehmen wollen, weil ansonsten könnte ja jedes Unternehmen mit einer böswilligen Umsetzung des Gesetzes das ewig lang hinauszögern. Ich meine, ganz ehrlich, sind wir in vielen Bereichen von Großkonzernen gewohnt, aber an der Stelle gibt es halt auch wirklich Leidtragende. Also ich will nicht wissen, wie viele Apps jetzt einfach nicht mehr funktionieren auf den geupdateten Geräten und das ist etwas, wo innerhalb von Apple hoffentlich auch irgendwann mal eine kleine Revolte an den Start geht. Weil ich meine, die haben ja auch Nerds und Hacker in ihren Unternehmen. Und auch wenn die gut zahlen, ist das vielleicht auch noch so eines der Korrektive, die dazu kommen könnte. Also da aktiv etwas kaputt zu machen, fühlt sich glaube ich auch für die Leute, die dort viel verdienen, nicht unbedingt gut an. Da habe ich zumindest ein bisschen Hoffnung auf die Menschen.
Ja, also schon klar, aber ich finde, also ich glaube auch nicht, dass Apple das gerne jetzt macht und sagt, ja geil, jetzt machen wir die Web-Apps noch kaputt. Aber ich finde es schon auch nachvollziehbar, wenn ich das mal so sagen darf, dass das hier auch eigentlich ein Sicherheitsthema ist, da jetzt auf einmal eine andere Browser-Engine in irgendeiner App und so weiter zuzulassen. Also mal gucken. Potenziell, sag ich mal, das Argument ist für mich erstmal... Das ist nachvollziehbar. Allerdings muss ich auch sagen, dass das jetzt nicht mein absolutes Spezialgebiet ist. Und die kriegen auch alles andere gesandboxt. Könnte man also auf jeden Fall auch argumentieren, dass sie da potenziell sich eine Argumentation herbeiführen, die ihnen angenehm ist. Ich bin mal gespannt, wie jetzt die Leute, die sich besser damit auskennen, das einschätzen.
Ja, das muss man sich anschauen. Es gibt da auch wirkliche Expertinnen, die sich mit dem DSA und DMA beschäftigt haben. Ich gehöre nicht dazu, aber ich habe jetzt mal geschaut, Artikel 13 Antisarconvention vom DMA hört sich schon so an, als dass man da was tun könnte, wenn die Obligations of Gatekeepers dann nicht eingehalten werden. Also vielleicht ist da noch nicht das letzte Wort gesprochen. Und ich würde auch erwarten, dass jetzt einfach mal ein paar Klagen von betroffenen Unternehmen kommen. Also es ist ja auch so, dass dann der EuGH nochmal Dinge klarstellen kann. Also wir werden das auf jeden Fall weiter beobachten.
Okay. So, was wir zum Glück noch beobachten können in vereinzelten sozialen Netzwerken und auf einzelnen Mastodon-Instanzen sind politische Diskussionen. Ich habe ja, also ich nutze das Internet hauptsächlich, um mich politisch zu äußern. Insbesondere nutze ich soziale Medien hauptsächlich, um mich politisch zu äußern. Und die politische Äußerung als solche ist ja inzwischen ein Problem. Und auch tatsächlich eines, wenn wir uns mal anschauen, ich glaube eingangs hatten wir schon, die AfD ist im Gegensatz zu ungefähr allen anderen Parteien sehr stark auf TikTok präsent. In den letzten Wochen durchaus ausführlich diskutiert worden, weil es da irgendeinen Kryptospinner-Podcast gibt, die AfD-Thesen vertreten und dann irgendwie für ihre Hörerinnen und Hörer irgendwie so eine, was haben die da gehabt, quasi so eine Art. So eine Challenge, wenn du das irgendwie auf TikTok postest, Ausschnitte aus ihrem Podcast und so und so viele Likes kriegst oder so, so, dann kriegst du Geld, ja, was natürlich dazu geführt hat, dass alle möglichen TikToker gerne dieses Geld haben wollten und TikTok quasi geflutet wurde mit irgendwelchen provokanten Ausschnitten aus deren Podcast, so. Und die kloppen da halt irgendwie, so habe ich es verstanden, eher, ähm, eher dümmere Thesen aus dem, aus dem AfD-Kontext. Und keine andere Partei hat dieses TikTok-Game irgendwie für sich entdeckt, sodass TikTok hauptsächlich bei Kindern und Jugendlichen verwendet wird, kloppen jetzt die Kinder und Jugendlichen irgendwelche AfD-Sprüche. Problem. Insbesondere mit diesem Empfehlungsalgorithmus und so weiter. Das Thema ist bekannt. Jetzt gehen Instagram und Threads hin, die ja beide Facebook gehören und sagen, ja wir limitieren jetzt einfach mal so politische Inhalte und zwar, wenn ich das richtig erinnere, geben sie dir dann nur noch Leuten, denen du folgst, äh Leuten, die dir folgen. Also du machst eine politische Äußerung, lieber Thomas, die kriegen dann nur die Leute, die dir folgen, die wird aber jetzt nicht zum Beispiel anderen empfohlen. Also deine Reichweite, wenn du dich politisch äußerst oder wenn deine Inhalte als politisch erkannt werden, wird deine Reichweite eingeschränkt. Eine derartige Regel gab es übrigens auch, oder eine Verhaltensregel dieser Art gab es auch auf meiner früheren Mastodon-Instanz, wo es eine Regel gab, dass man politische Äußerungen nur tätigen darf, wenn man sie mit einer Contentwarnung früher oder im Volksmund Triggerwarnung versehen hat. Das ist also ein von mir als relativ zweifelhaft eingeschätztes Konzept, dass es ja sein kann, dass es bestimmte belastete Inhalte gibt. Sagen wir mal, was wäre ein Beispiel für einen belasteten Inhalt? Transphobie. Das ist ein Inhalt, der einfach nervt und wo man sich zum Beispiel auch vorstellen kann, dass von Transphobie betroffene Personen nicht zu jedem Zeitpunkt des Tages, der Woche, des Monats oder des Jahres Bock haben, sich damit auseinanderzusetzen. Und dann gibt es das Konzept, dass man da zum Beispiel hinschreibt, Transphobie. Und das verdeckt dann den Post. Und dann kann jede Person sich entscheiden, ob sie sich gerade mit diesem Thema auseinandersetzen möchte oder nicht. Was auch sehr häufig als Content-Warnung gesetzt wird, ist zum Beispiel das Wort Rape oder dessen deutsche Übersetzung. Wo ich mich auch frage, wenn ich jetzt eine davon betroffene Person bin, ob jetzt das Wort Rape oder Vergewaltigung mich nicht triggert. Aber quasi die Beschreibung einer solchen oder also mein Verständnis, wie ich als Psychologe Denken und Assoziationen gelernt habe und auch an mir selber feststelle, wenn ich das Wort Rape höre, muss ich an Rape denken. Ja, wenn jetzt dieses Wort für mich belastet wäre oder vielleicht sogar durch eine traumatische Erfahrung belastet wäre, halte ich es jetzt für unwahrscheinlich, dass das nicht diese Assoziation bei mir auslöst. Also ich persönlich glaube nicht, dass diese Triggerwarnungen ein funktionierendes Konzept sind, um andere vor diesen Inhalten zu schützen. Und zwar kann es sehr gut sein, dass es Menschen gibt, die, wenn sie Rape hören, nicht an Rape denken oder zumindest nicht an ihre traumatisierende Erfahrung in diesem Kontext. Aber das wäre potenziell nur ein Teil der Menschen. Ich weiß ja nicht, was deren Triggerwort ist. Vielleicht ist deren Triggerwort Rape, vielleicht ist deren Triggerwort ein anderes. Vielleicht ist deren Trigger auch dunkles Zimmer, weil das ein Teil ihres Traumas ist. Aber okay, also ich glaube nicht, dass das ein Zuende durchdacht, oder ich glaube nicht, dass es die Lösung des Problems ist. Was aber sicherlich die Lösung des Problems der politischen Debatten ist, ist, wenn man sagt, jeder Tröt oder Tut oder Tweet oder was, der einen politischen Inhalt hat, muss eine Triggerwarnung haben, die dann zum Beispiel lautet, Depol. Also das wäre dann Depolstern in dem Fall für deutsche Politik. Und wenn jemand sich von deutscher Politik getriggert fühlt, wie ich, also ist für mich traumatisch, dann kann die Person sich eben entscheiden, ob sie diesen Inhalt konsumieren möchte oder nicht. So lautete die Regel auf der Mastodon-Instanz, auf der ich war. So, da ich aber eigentlich nichts anderes wirklich mitteilenswert finde, außer irgendwie politische Ansichten und mein privates Leben eigentlich für ausreichend uninteressant halte. Führte das dazu, dass ich mich eigentlich nicht sinnvoll da äußern kann. Dann habe ich mich beklagt und habe gesagt, das finde ich eine unsinnige Regel. Und dann wurde gesagt, ja, das gilt aber nur für die lokale Timeline. Also nur, wenn du in die lokale Timeline, also in den Bereich postest, wo es alle Leute auf diesem Server sehen, wenn sie in der lokalen Timeline suchen. Nur dann musst du das machen. Mit anderen Worten, du kannst auch einfach nicht öffentlich posten. Also du postest nicht in die lokale Timeline, sondern nur an deine Followerinnen und Follower. Und das hat aber auch zur Folge, dass du auch nicht in die föderierte Timeline, also Leute auf anderen Servern sehen dich auch nicht, es sei denn, sie folgen dir. Die Konsequenz davon ist, also die Konsequenz dieser Regel ist, entweder du postest auf der lokalen und damit auch auf der föderierten Timeline, also den föderierten Timelines der anderen Mastodon-Instanzen, wo Leute dir auch folgen, mit einer Warnung. Und fällst natürlich überall sonst auf jeder anderen Mastodon-Instanz auf als derjenige, der seine Inhalte hinter einer kryptischen Content-Warnung versteckt. Oder du postest nur an deine Followerinnen und Follower. So oder so, in dem föderierten System des Fediverse bist du mit deinen politischen Inhalten nicht mehr sichtbar. Weil auf deiner Instanz eine Regel herrscht, die damit begründet wird, dass dort der Frieden gewahrt werden soll und dass halt irgendwie Leute sich nicht schlecht fühlen sollen, die durch Politik getriggert werden. Ich halte das für absolut falsch. Also die Depolitisierung des Internets ist so ungefähr das Letzte, was wir brauchen. Auch wenn gerade irgendwie die Nazis TikTok übernehmen und auch wenn die kommerziellen sozialen Netzwerke, in denen wir unsere politischen Debatten abgebildet haben, sicherlich der falsche Ort dafür waren. Glaube ich trotzdem nicht, dass so die Depolitisierung des Internets irgendwie der sinnvolle Weg ist, aus dem Faschismus oder der Dummheit wieder rauszukommen, in die wir uns da gerade reingraben. Deswegen habe ich meine Mastodon-Instanz gewechselt. Ich kann mir auch wirklich nicht vorstellen, dass das eine, also so sehr ich es in diesen föderierten Systemen wirklich schwierig finde, wenn da irgendwie einzelne lokale Stammesfürsten derartige Regeln aufsetzen, die dann eben auch für andere Kommunikation gelten. Genauso sehe ich es trotzdem als ein Problem an, wenn diese Netzwerke, die kommerziell gesteuert sind, sagen wir mal politische Inhalte, weil sie Aufregefaktoren haben, verbreiten. Also ich finde fast potenzielles Positiv, wenn Instagram und Threads sagen, okay, sobald wir das als politisch erkennen, schalten wir unsere Amplification-Algorithmen aus und ich finde es trotzdem falsch, wenn so etwas im Rest des Internets, das nicht kommerziell getrieben ist, gemacht wird. Und was ich übrigens auch sehr interessant finde und das sind eigentlich nur so Mastodon-Phänomene, das ist so dieses Geh-doch-nach-drüben-Geschrei. Kennst du das, Thomas?
Also da entwickelt sich etwas, das ich nicht viel besser finde. Also natürlich sind diese kommerziellen sozialen Netzwerke die absolute Kretze und sie haben sicherlich unsere Gesellschaft nicht weitergebracht, insbesondere im politischen. Aber wenn man doch sagt, wir machen jetzt hier etwas anders und wir machen das jetzt hier besser dann finde ich es schon sehr. Und überraschend dann zu sagen, das erste, was wir jetzt hier wegstreichen, sind politische Diskussionen. Und dann fangen wir auch noch an, massenhaft irgendwelche anderen Instanzen zu blocken und allen unseren Nutzerinnen zu verbieten, deren Inhalte zu konsumieren oder unmöglich zu machen, deren Inhalte zu konsumieren. Und wenn irgendjemand bei uns die Regeln diskutieren will, dann sagen wir, verpiss dich. Also da habe ich irgendwie den Eindruck, dass der Lerneffekt nicht stattgefunden hat. Denn du und ich wissen das aus, ja was ist das jetzt, sicherlich über ein Jahrzehnt der Auseinandersetzung mit den großen sozialen Netzwerken, dass natürlich die Regeln dort zur Diskussion gestellt werden müssen. Und das war das große Problem, dass Facebook einfach Regeln aufstellt oder Twitter einfach Regeln aufstellt, die dann nicht sinnvoll diskutiert werden können. Das ist der Grund, warum wir alle bei Twitter abgehauen sind. Dass irgendjemand die Bude kauft und sagt, ab jetzt sind hier andere Regeln und wir damit unzufrieden sind. Und da bin ich von Teilen dieser Fediverse-Community dann doch sehr enttäuscht, welche Art von Mentalität da jetzt vorherrscht. Mit diesem verpiss dich hier und der Admin macht die Regeln und so. Das erscheint mir nicht unbedingt der Weg nach vorne zu sein. Dazu hat unser gemeinsamer Freund Markus Reuter einen ausführlichen Kommentar geschrieben, der sich dafür einsetzt, dass nämlich jetzt genau dieser Fediversum-Gedanke, Und gelebt wird beispielsweise dadurch, dass Mastodon sich mit Threads, können sie glaube ich, wie war das denn? Mit Threads könnte man direkt föderieren, weil die auch Activity Pub sprechen, dieses Protokoll. und Blue Sky hat ein eigenes Protokoll, für das man aber Bridges bauen kann. Und jetzt zankt sich das Fediversum darüber, ob man mit diesen kommerziellen Playern föderiert oder nicht.
Es ist so eine vergebene Chance. Also ich meine, wie du gesagt hast, ja natürlich haben wir negative Phänomene gesehen, dadurch, dass jetzt alle Leute eine Stimme haben Und diese Social Media Big Tech Konzerne da wirklich sehr viel falsch gemacht haben und sich ihrer Verantwortung nicht gestellt haben. Klar, aber dann geht es doch darum, es besser zu machen. Und dieser Artikel von Markus Reuter ist wirklich exzellent, weil er halt auch diese Wohnzimmer-Analogie bringt. Es ist so ein Biedermeier-Gedankentum, dieses aber ich will hier unter meinigen sein und es ist ein benevolent dictator, wir haben hier uns die Regeln gemacht, die sind in Stein gemeißelt und da soll sich ja niemand auf den Schlips getreten fühlen für diese eine Zielgruppe, für die das Ganze gemacht ist, die am Anfang da war, als die Regeln geschrieben wurden. Und die Chance, jetzt hier eine Gegenöffentlichkeit zu schaffen, etwas, das wirklich frei und dezentral ist und einfach auch zeigt, wie es besser geht, dass... Überhaupt nicht genutzt. Da müsste man jetzt in eine radikale Offenheit reingehen und da wäre eigentlich auch genau der Moment, wie man mal aus einer Tech-Admin-Karriere heraus, wirklich Revolution starten könnte, im positivsten Sinne. Und ich weiß nicht, ob du die Mastodon-Server, über die du gerade gesprochen hast, bewusst nicht erwähnt hast.
Aber so als jemand, der eine NGO leitet, die die ganze Zeit nichts anderes tut, als politisch zu kommunizieren, frage ich mich auch, wie uns das betrifft. Da ist es jetzt wurscht, ob das Netzpolitik oder Antirassismuspolitik ist. Es ist ja alles dasselbe. Und vor allem diese statische Grundhaltung. Argumentiere die Regeln nicht. Der wunderbare Nilay Patei, der Chefredakteur von The Verge, der hat immer diesen schönen Satz, das eigentliche Produkt von sozialen Netzwerken ist Content Moderation. Also die Art, wie du mit Inhalten umgehst, ist die Essenz eines sozialen Netzwerkes. Und natürlich ist ein Produkt nie statisch, weil das sind soziale Netzwerke. Menschheit verändert sich, Sprache verändert sich, politischer Konsens verändert sich. Und da musst du mit der Zeit gehen, da gibt es kein festgeschriebenes falsch und richtig und darfst du sagen, darfst du nicht sagen. Das muss ausverhandelt werden. Und gerade jetzt, wo es diese Möglichkeit gibt, sich zu eröffnen, natürlich kannst du auch wieder zum Absaugen von Daten kommen durch Meta, mittels Threads. Aber das tun die doch sowieso. Also ganz ehrlich, bei sozialen Netzwerken, natürlich du kannst dann deine Dinge auf protected schalten und es gibt auch immer den Case für komplett geschlossene Systeme. Die haben wir ja eh. Es geht doch eigentlich um die große Öffentlichkeit. Es geht um die politischen Diskurse. Über solche sozialen Netzwerke und die Debatten, die dort passieren, werden Wahlen gewonnen oder verloren. Und bei Gott, wir haben dieses Jahr genügend Wahlen, wo es mal wichtig ist, dass wir uns ehrlich auseinandersetzen. Miteinander. Auch da, wo es weh tut. Sonst gibt es keine Mehrheit.
Ja, das ist übrigens auch natürlich dann der auslösende Punkt gewesen, warum ich die Mastodon-Instanz gewechselt habe, weil dann da Leute kritisiert wurden, weil sie, also ich auch, weil ich auf die Korrektivrecherche zu dem Deportationstreffen verlinkt habe. Und da wurde ich darauf hingewiesen, dass ich das bitte nur mit einer Content-Warnung machen soll. Dann musste ich diese Person darauf hinweisen, dass ich unlisted poste und deswegen keine Content-Warnung haben muss. Und andere Leute, die nicht anlistet gepostet haben, sondern die das schwere Vergehen begangen haben, auf diese belastenden Inhalte ohne eine Triggerwarnung hinzuweisen, in einem Wohnzimmer, die wurden dann zurechtgewiesen. Also ich denke, dieser Wohnzimmer-Gedanke für ein soziales Netzwerk ist völlig falsch. Das Wohnzimmer ist deine, wenn du ein Wohnzimmer haben willst, mach eine Signal-Gruppe, mach eine Threema-Gruppe, kauf ein Eigenheim, also Miete eins, mach was du möchtest, also Wohnzimmer gibt es genug. Wohnzimmer zeichnen sich dadurch aus, dass sie... Dass sie nicht frei zugänglich sind. Und soziale Medien oder soziale Orte zeichnen sich dadurch aus, dass sie öffentlich zugänglich sind. Natürlich kannst du in einer Kneipe zum Beispiel sagen, in unserer Kneipe keine rechtsradikalen Äußerungen. Das ist völlig in Ordnung, finde ich auch völlig richtig. Und ich finde es auch völlig in Ordnung, das im Rahmen des Hausrechts durchzusetzen. Aber du kannst ja nicht sagen, in meiner Kneipe, darf man nicht über Politik reden. Oder in meiner Kneipe, natürlich kann man sagen, man darf hier folgende politische Ansicht nicht vertreten, weil das meiner Kneipe und der Stimmung darin nicht gut tut. Aber zu sagen, meine Kneipe ist unpolitisch und du darfst hier nur irgendwie hinter verschlossener Tür reden. Und wenn du aus der anderen Kneipe kommst, dann darf man nicht mit dir reden. Weil die andere Kneipe, die blockieren wir hier. Und die Gäste, die da, die trinken das falsche Bier, mit denen möchten wir unter keinen Umständen sprechen. Ich glaube, das ist sicherlich nicht die Lösung für die Online-Probleme, die wir haben. haben. Und wir hatten diese Online-Probleme übrigens die ganze Zeit nicht, und du hast es glaube ich auch gerade schon gesagt, die verstärkenden Algorithmen, das ist das Problem. Nicht, dass irgendein Thema kommt und irgendjemand keinen Bock auf das Thema hat oder so. Also ich finde das sehr. Also was ich mir einbilde, was wir da gerade beobachten ist, ja, wir haben die, schwierigen und auch wirklich dramatischen Konsequenzen kommerzieller sozialer Netzwerke gesehen und wir möchten Alternativen dazu schaffen, aber wir müssen genauso vorsichtig sein, dass wir jetzt nicht das Pendeln in die andere Richtung schlagen lassen. Wir müssen doch, wir können ja nicht sagen, die kommerziellen sozialen Medien waren nur schlecht und wir wollen das alles gar nicht mehr.
Vor allem, es funktioniert ja auch nicht. Ich will nur mal kurz darauf hinweisen, dass diese Policy von manchen Mastodon-Servern, keine Politik mehr einen Raum zu geben oder zumindest nicht mehr zu amplifizieren oder eine neue Reichweite über das Netzwerk generisch gewinnen zu lassen. Diese Policy der dezentralen, nicht kommerziellen Mastodon-Servern ist eins zu eins dieselbe Policy, die Meta gerade mit Threads fährt. Dass sie einfach meint, für unsere Werbekunden ist das eigentlich nicht so klug, wenn wir da noch Politik haben. Lass lieber nur Mode-Content machen oder Sport oder irgendwas, wo sich die Leute nicht so sehr in die Haare bekommen. Und ich habe da sogar mehr Verständnis für Meta, die halt ein kapitalistischer Schweinekonzern sind und denen es nur ums Geld geht. Aber dadurch, dass man diese politische Gegenrede und den Raum fürs Organisieren von Alternativen nicht mehr auf den dezentralen Netzwerken hat, du hast eingeleitet mit dem Erfolg der AfD auf TikTok. Und ich glaube, rechtspopulistische Parteien überall auf der Welt sind sehr erfolgreich auf sozialen Netzwerken. Das kann man so konstatieren, auch auf Facebook. Die Zahlen gibt es. Und mit Musk hat man auch gesehen, notfalls kaufen die sich sowas. Trump hat auch seinen Truthpunkt Social. Also, sich einfach die Stimme für die Gegenöffentlichkeit zu rauben, da ist es dann kein Wunder, wenn die Wahlen schlecht ausgehen.
Ja, das ist absoluter Wahnsinn. Ich kann da nichts Gutes dran sehen und ich muss auch feststellen, noch dazu, aber das ist eine Nebendebatte, werden diese Regeln dann nicht konsequent umgesetzt. Dann wird dann irgendwie sowas wie Netzpolitik-Org-Standard-Posting, das ist dann schon in Ordnung. Also alles, was so ein Mark Zuckerberg oder so ein Elon Musk oder so ein Google oder wer auch immer die sozialen Netzwerke hatte, falsch machen, machen die dann im Kleinen nochmal falsch. Also ja, ich denke, also was sagt Markus Reuter? Markus Reuter sagt so, wollen wir eine globale Öffentlichkeit oder ein Wohnzimmer? Und wichtig ist, die globale Öffentlichkeit ist nicht wichtig. An der globalen Öffentlichkeit gescheitert, sondern an den kommerziellen Interessen, die dahinter standen. Wir hatten jahrelang globale Öffentlichkeit in IRC-Kanälen. Wir haben schon geflame-word, da hat Mark Zuckerberg noch irgendwie, es ist ja wirklich so, dass alle diese Phänomene waren vorher da. Soziale Netzwerke gab es Jahrzehnte vor Facebook. Die ganzen unschönen Phänomene kamen, Als das unterwandert wurde von kommerziellen Interessen. Und wir haben nicht nur schlechte Phänomene, aktuelle Informationen aus erster Hand zu Ukraine, zu Faschismus in Italien, Wahlen in den USA, alle möglichen Nischen. Wir haben diese wunderschönen Phänomene und wir haben die Filtersouveränität bei den Usern. Ja, bei Twitter habe ich meine Mute-Listen, meine Blog-Listen, meine Follower gehabt, ja, bis das Ding irgendwie gekippt wurde und konnte mir da ein einzigartiges Fenster auf die Welt schaffen, dem ich heute noch hinterher traue, ja, und jetzt hast du da irgendwie so eine Balkanisierung, wo auf jedem Server irgendeiner sagt, das darfst du hier, das darfst du nicht, aber ein komplettes Thema auszuschließen geht in meinen Augen absolut daneben. Und was Markus auch sagt, ist, dieser Mastodon hat keine Entschittification-Gefahr. Entschittification, ein Begriff von Cory Doctorow geprägt, der also sagt, in dem Moment, wo die Nutzerinnen bei dir verhaftet sind und es keine Alternativen mehr gibt, kannst du den Service immer schlechter machen, weil sie keine Alternativen mehr haben. Ja, kurz und fast, das wäre also das, was man bei zu lange existierenden Services dann erkennt, dass sie nicht mehr im gleichen Maße besser werden, sondern eigentlich sogar schlechter, aber du hängst trotzdem dran. Ich glaube, Facebook ist ein schönes Beispiel. WhatsApp kann ich nicht so beurteilen. Google ist seit vielen Jahren nicht mehr besser geworden, auch wenn Tim einen anderen Eindruck hat. Aber wenn du dann sagst, so, und jetzt schneiden wir, wir brechen alle Brücken zu denen ab und die können noch nicht mal mehr sehen, dass es uns gibt oder so. Ich weiß nicht. Man muss natürlich dazu sagen, also deren die Sorge ist, da müssen wir zumindest den Schluss ziehen zu den Messengern, weil das ja ein ähnliches Thema ist, die Sorge der Mastodon-Geflüchteten ist, dass jetzt Meta ihre Inhalte scrapt. Also, dass jetzt der Kapitalismus ihre Inhalte auch noch zum Training seiner KI benutzt oder was auch immer, die sie ja extra denen nicht gegeben haben. Das ist, glaube ich, eine berechtigte Sorge. Ich weiß nur nicht, ob die dadurch weggeht, dass man jetzt seine Inhalte und jegliche Kommunikationsebenen zu deren Nutzerinnen und Nutzern abschneidet. Da bin ich mir nicht so sicher.
Ja, vielleicht eine letzte Analogie noch zu bemühen. Also ich meine, wenn du für eine politische Sache wirbst oder wenn du, ich weiß nicht, für eine NGO, Klimaproteste oder was auch immer, natürlich musst du dahin gehen, wo die Leute sind. Natürlich musst du aus deinem eigenen Soziotop heraus. raus. Und der Verfassungsschutz kann dich trotzdem unterwandern, auch wenn du nur unter den Deinigen bleibst und solange das offene Protokolle sind, kann man die sowieso scrapen. Technisch geht das, egal ob du föderierst oder nicht, ob es rechtlich erlaubt ist, steht auf einem anderen Blatt. Also ich verstehe die Verhältnismäßigkeit dieser Entscheidungen nicht, weil es gibt da einfach ein, also solange man noch den Glauben verloren hat, dass ein besseres Netz möglich ist und dass eine bessere Gesellschaft dadurch auch erzielt werden kann, da muss man einfach mehr tun. Und natürlich wird es dann vielleicht ein bisschen unangenehmer und wir beide sind zwei exponierte Menschen, aber auch privilegierte Menschen. Ich glaube, dass es da viele Seiten auch nochmal gibt, aber eine politische Auseinandersetzung muss immer da geführt werden, wo man was lernt voneinander und wo man aus der Komfortzone hinausgeht. Ansonsten ist es nur preaching to the converted. Ach.
Ja, und ich glaube nicht, dass dieser Balkanisierung, Preaching to the Converted, die anderen dürfen hier nicht rein, dass das jetzt die Lösung ist. Genauso ist es nicht die Lösung, dass wir uns alle auf Facebook und TikTok zuballern lassen mit dem Fascho-Content. Und deswegen habe ich wirklich Sorge, dass hier gerade ein Übertreiben in die falsche Richtung wieder stattfindet. Naja, deswegen bin ich zu einer anderen Mastodon-Instanz gegangen, nachdem ich mir jahrelang habe anhören müssen, ich soll doch nach drüben gehen, bin ich halt nach drüben gegangen übrigens wohlgemerkt, diese Regeln waren neu, also als ich dieser Mastodon-Instanz beigetragen bin, gab es die nicht und das war eine bei weitem krassere Änderung der Regeln als die Elon Musk Elon Musk Mask explizit gemacht hat bei Twitter. Also der hatte, das ist schon faszinierend, wie dann plötzlich, also diese Argumentation, die großen Plattformen, die sind alle böse, aber hier auf meiner, auf meinem Server ist irgendjemand, der keinerlei, was weiß ich. Der keinerlei Verantwortungsbewusstsein oder keinerlei Qualifikationen vorweisen kann, außer hat halt einen Server aufgesetzt, das ist jetzt hier die Gottkönigin oder der Gottkönig und kann machen, was er will. Und das ist aber völlig in Ordnung. Aber was Elon Musk macht, wenn Elon Musk irgendwie auf einmal sagt, pass auf, die Inhalte gibt es bei uns nicht mehr, dann ist das böse. Aber wenn der Mastodon-Instanzenbetreiber oder die Mastodon-Instanzenbetreiberin von heute auf morgen sagt, die neue Regel lautet folgendermaßen, dann ist das voll geil und geht auch nach drüben. Und da verstehe ich auch nicht, ob die alle nicht gelernt haben, aus der Macht die Kommunikationsverbote ermöglichen. Aber immerhin konnte man wirklich gehen und es war auch wirklich einfach und ich kann es sehr empfehlen, die Mastodon-Instanz zu wechseln. Ist tatsächlich enorm einfach, muss man sagen, und macht man besser früher als später.
Ja, kannst du dir deinen Diktator wechseln. Übrigens, achso, das wollte ich noch erzählen. Dann habe ich das gemacht. Das ist so ein paar Schritte. Machst einen neuen Account, dann lenkst du den alten dahin um. Und dann habe ich gesagt, okay, gut, jetzt muss ich ja nicht mehr unlisted posten. Sondern ich konnte also jetzt auch von dieser neuen Instanz ohne Content-Warnungen posten und bin damit in den föderierten Timelines der Instanzen meiner Followerinnen und Follower aufgetaucht. Das ist der einzige Unterschied, den es gab. Ich war jetzt auf einer anderen lokalen Timeline, die weiß ich aber gar nicht, ob die überhaupt jemand verfolgt, aber wie dem auch sei. Das Entscheidende war, ich war jetzt auf den föderierten Timelines und zwar ohne Content-Warnung. Und weißt du, was der erste Effekt war? Unmengen an Interaktionen. Ich kriege auf jedes, alles was ich da schreibe, tausende Antworten. Ah, okay. Auf den föderierten Timelines dieser anderen Instanzen plötzlich wieder auftauchte und nicht mehr aufgrund meiner Inhalte und der Regeln, die eine Instanz mir vorgeschrieben hat, auf allen anderen Instanzen auch nicht mehr sichtbar war, hat sich die Summe der Interaktionen ja massiv, massiv erhöht. Das ist richtig, richtig krass.
Ja, ich glaube, ich komme auch rüber. Markus Reuter ist auch rübergekommen, der hatte übrigens den gleichen Effekt beobachtet und ja, also immerhin kann man sagen, die Content-Warnungen wirken, es liest keiner mehr die Inhalte und man ist massiv in der Reichweite beschnitten und wenn das das Ziel ist, dann wird das eben auch erhoben.
So und jetzt gab es ein wunderschönes Urteil. Eine wunderschöne Story, berichtet von Ars Technica und es handelt von Air Canada. Air Canada ist eine Fluggesellschaft aus Kanada und die haben sich entschieden, auf ihrer Webseite einen Chatbot anzubieten. Und ich weiß gar nicht, ob der jetzt von ChatGPT betrieben war oder was auch immer, aber da gab es also einen Nutzer, der hatte einen Todesfall in der Familie und interessierte sich für die Buchungskonditionen bei Air Canada. da. Insbesondere für die Konditionen. Bei Trauerfällen, wenn man also jetzt einen Flug bucht und den potenziell doch nicht in Anspruch nimmt und so weiter. Auf jeden Fall hat der Chatbot gesagt, pass auf, buch einfach mal irgendeinen Flug und du kannst innerhalb von 90 Tagen den eh erstatten lassen. Aufgrund Und des Trauerfalls. Und in den AGB von Air Canada steht aber, dass sie keine Erstattung machen bei Trauerfällen, nachdem der Flug gebucht wurde. Und jetzt hat er aber gesagt, na gut, der Chatbot hat mir das gesagt, hat den Flug gebucht und dann wurde seine Bittumerstattung abgelehnt. Und Air Canada hat dann vor Gericht gesagt, naja, der Chatbot hat ja gesagt, der hat ja noch einen Link geschickt, auf welcher Seite das steht und auf der Seite stand ja was anderes und da ist die offizielle Information und der Chatbot ist ja hier eine. Eine eigene legale Entität und der ist nicht von uns und der ist für seine eigenen Handlungen verantwortlich. Aber ja, das Gericht hat da gesagt, wenn euer Chatbot sich eine andere Regel ausdenkt und die eurem Kunden mitteilt, dann müsst ihr die auch so umsetzen. Streitwert waren in dem Fall glaube ich irgendwie 200 Euro oder sowas nee, sie wollten ihm, sie haben gesagt du kriegst einen 200 Euro, Coupon, also so einen Gutschein ja, mit dem kannst du zu einer anderen Zeit fliegen und da hat sich dieser gute Mensch nicht mit zufrieden gegeben, ich finde das ja.
Das Gericht hat auch gesagt, wenn ich bei euch an der Hotline anrufe und einen falschen Rat kriege, dann ist das genauso verbindlich, weil das ja eine von euch Angestellte und unter eurem Label agierende Person ist. Ich finde das aber sehr, sehr amüsant, weil tatsächlich ja viele Unternehmen jetzt so losgerannt sind und irgendwie GPTs auf ihre Webseite gesetzt haben. Was finde ich auch sehr geil. Also einer der Internet-Sports war ja dann, diese GPTs dazu zu bringen, dass sie Bezahlfunktionalitäten von GPT-4 ermöglichen. Also ein lustiges Beispiel war irgendwie. Ich glaube, das war irgendwie so ein Autohändler oder GM oder sowas, eigentlich auch unerheblich. Hallo, ich bin der Chatbot von GM, welches Auto interessiert dich denn? Dann kannst du sagen, ja, keine Ahnung, ich brauche ein rotes oder so und ich möchte mit acht Leuten drin sitzen und dann sagt er dir, welche Autos es gibt. Und dann geht aber einer hin und sagt so, okay, pass auf, ich brauche ein Python-Skript, was folgende Aufgaben für mich erledigt. Dieser GM-Chatbot wirft halt dann ein Python-Skript raus, was ich sehr schön fand. Und der unterteilt dann halt sehr, warum sollte ich denn hier für GPT-4 bezahlen, wenn es das irgendwie frei im Internet gibt.
Haben sie aber auch alle verdient, also ganz ehrlich, ich habe da null Mitleid dafür. In Österreich, auch in der ersten Jännerwoche so im Medienloch große Pressekonferenz gemacht. Sie haben jetzt auch einen Chatbot, der den Leuten hilft bei der Berufsauswahl und oh Wunder, natürlich dieselben Halluzinationen wie GPT-3 hat, weil nichts anderes war das Ding. Auch super Hardcore-Gender-Stereotypen, so Frauen sollen Gender Studies studieren und Männer können gerne in die Technik gehen. Nein. Und das Arbeitsmarktservice in Österreich ist berühmt für ihre schlechten Algorithmen und diskriminierenden Menschenbilder. Aber das zeigt halt auch die Verantwortung, die du da eigentlich haben solltest. Ich meine sowohl als Firma, aber erst recht natürlich als staatliche Einrichtung. Und da auf die Idee zu kommen, ja klatsch halt mal irgendwie JGPT davor und dann wird es schon gut gehen, ist halt lächerlich. Also vor allem auch, weil das halt so absehbare negative Konsequenzen sind und wenn du die nicht ausschließen kannst, dann mach es halt nicht.
Und ich denke, dieses Urteil wird noch, also jetzt ist es gerade so ein Lacher und hier ein Flug und Streitwert maximal ein paar hundert Euro, aber ich glaube, das wird schon noch, also das ist jetzt immerhin das erste in meiner Wahrnehmung dokumentierte Mal, gab es sicherlich schon frühere, wo ein Unternehmen sich darauf verlassen hat, so ein Ding eine verhältnismäßig einfache Aufgabe zu ähm, über zu helfen und dann, dass dieses GPT nicht ordentlich diese Aufgabe erfüllt hat und das Unternehmen dann gesagt hat, ah scheiße, dafür wollen wir aber jetzt lieber nicht haften. Und das kann natürlich in sehr viel größeren Haftungsfragen nochmal sehr viel interessanter werden. Ob das jetzt ist, ich kläre dich über die Policy meines Unternehmens falsch auf, ja das ist ja noch ein relativ trivialer Fall, aber in diesem Fall wären sie wahrscheinlich besser gefahren, wenn sie gesagt hätten, okay komm, hier ist dein Geld.
Ja, ich meine Air Canada steht in dem Artikel, hat jetzt den Chatbot abgeschalten, aber wir sind halt ganz am Anfang dieser Entwicklung. Also in ein paar Jahren hast du da keine menschliche Supportabteilung mehr und dann ist die Pfadabhängigkeit umso größer. Aber kann dann, also die kurioseste Zukunft wäre, dass dann die Unternehmen irgendwelche halluzinierten Rechtsauffassungen verteidigen müssen, die der Chatbot sich ausgedacht hat, weil das so dermaßen on scale passiert ist, dass sie jetzt halt irgendwie an diese Wahrheit glauben müssen. Also es wird sicherlich noch lustig sein.
Ja, also das ist auch so ein Thema, das wir in unserer Chronistenpflicht ansprechen sollten. Und zwar handelt es sich bei dem EHTS oder European Health Data Space um einen von mehreren solcher Data Spaces, die die EU sich gerade ausgedacht hat. Was ist das Ding? Es besteht aus…, Aus zwei Teilen eigentlich, ja. Und es ist eine sogenannte Lex Spezialis zur DSGVO. Es ist eine Ausnahme von unserem Grundrecht auf Datenschutz, in dem mit diesem European Health Data Space nämlich unsere personebezogenen Gesundheitsdaten, die anfallen, wenn wir zum Arzt gehen, ins Krankenhaus oder zu der Apotheke, jetzt in einem europäischen Datenraum gesammelt werden sollen. Und zwar für eine primäre und eine sekundäre Nutzung. Die primäre Nutzung ist das, was in Deutschland die elektronische Gesundheitsakte ist oder in Österreich ELGA, sprich jene Daten, die anfallen, wenn du die normale medizinische Versorgung in Anspruch nimmst. Und das, was dein Arzt über dich als Befund abspeichert, was er dir vielleicht verschreibt, das sozusagen alles hier elektronisch auch abgelegt sein soll. Da kann man unterschiedliche Meinungen dazu haben. Für manche ist das sicherlich schon etwas, das für sie zu weit geht. Weil dann sind Gesundheitsdaten digitalisiert mit irgendeiner Form von zentralisierten Zugriff oder sogar einer zentralen Speicherung. Und andere meinen vielleicht, na, ich will das aber haben, weil meine ganzen Befunde irgendwie hin und her zu schleppen, ich will lieber, dass das irgendwo zentral gespeichert ist. ist. Unabhängig davon ist aber auf jeden Fall die Sekundärnutzung nochmal zu betrachten, weil da geht es explizit darum, dass auch für Wissenschaft und andere Forschungsinteressen, die auch von der Privatwirtschaft sein können, Stichwort Pharmaindustrie, diese Daten zur Verfügung stehen sollen. Zwar in pseudonymisierter Form, aber trotzdem. Soll hier im Sinne von Registerdaten jeder einzelne Vorgang, alle Datensätze, die zu einer Person gespeichert sind, verfügbar gemacht werden für Dritte. Und hier gibt es erwartungsgemäß einen großen Aufschrei, wie das immer in diesem Thema ist, das haben wir auch in der Pandemie gemerkt, so innerhalb dieser Gesundheitsbubble gibt es den Ansatz, mehr Daten ist immer gut und Datenschutz stört sowieso nur. Dass wir aber auch in der Pandemie gesehen haben, dass es für Menschen einen großen Unterschied macht, wenn sie in zentralen staatlichen Registern drinnen sind. Und dass es halt da auch Menschen gibt, die nicht zum Arzt gehen, obwohl sie das vielleicht sollten, weil sie Angst vor diesen Dingen haben. In Österreich gibt es ein Impfregister seit der Pandemie und es gab da wirklich Fälle von Leuten, die gesagt haben, ich verstehe Wissenschaft, ich will mich impfen lassen, aber ich will nicht in diesem Register sein. Und da musste man irgendwie Sonderlösungen finden mit Ärzten, die impfen, ohne das einzutragen. Und es gibt in Österreich die elektronische Gesundheitsakte seit über zehn Jahren. Die hat eine Opt-out-Möglichkeit, für die damals sehr viel gestritten wurde. Und die wird auch von grob 300.000 Menschen, drei Prozent der Versicherten in Österreich, in Anspruch genommen. Also es ist wichtig, die Leute nicht zwangs zu verpflichten und ihnen Agency zu geben. Und gerade eben bei dieser Sekundärnutzung glaube ich auch, dass ein Opt-out.
Die ELGA in Österreich ist Opt-out, weil die hat auch nur Primärnutzung. Bei einer Sekundärnutzung glaube ich, dass man in Wirklichkeit ein Opt-in machen sollte. Wieso? Es ist unheimlich einfach, solche Daten zu reidentifizieren. Wenn ich den kompletten Dataset von einem Menschen habe über sein ganzes Leben, dann brauche ich nur wenige bekannte Datenpunkte, um diesen Menschen in dem Dataset rauszufiltern. Wenn ich weiß, wo der wohnt, wo der arbeitet, wann der sich den Fuß gebrochen hat, was vielleicht auf Social Media gepostet wurde oder was ein potenzieller Arbeitgeber vielleicht weiß, kann ich sehr leicht in diesen Daten jemanden wiederfinden. Es gibt dann zusätzliche Schranken der Protokollierung von Daten, es gibt auch gute Techniken wie Differential Privacy, die man hier anwenden kann, um dieses Problem zu lösen. Davon findet sich aber nichts im European Health Data Space. Das ist eher so die Holzhammer-Methode. Und generell, es gibt so Pseudonymisierung, so als das Snack-Oil, diese Scheinlösung für Datenschutzprobleme. Und da wird einfach nicht hingeschaut, was für Gefahren immer noch in diesen Datasets drinnen sind. Und meine Prophezeiung ist, das wird uns allen nochmal auf den Kopf fallen. In Österreich gab es letztens ein schönes Beispiel, wo Daten auch pseudonymisiert dann weitergeleitet wurden und sie wurden pseudonymisiert mit der Sozialversicherungsnummer, was natürlich super einfach wieder zu reidentifizieren ist. Es gab jetzt eine Reihe von offenen Briefen, wir verlinken ein paar, morgen kommt ein neuer raus, weil dieser European Health Data Space gerade in den finalen Verhandlungen ist. Im Dezember letzten Jahres gab es die Abstimmung im Europaparlament in erster Lesung und auch im Rat und da haben wir es wirklich auf den letzten Metern mit einer Blutgrätsche geschafft, dass dieser Opt-out zumindest als Möglichkeit im Text verankert ist. Sowohl Parlament wie Rat haben die Möglichkeit geschaffen, dass Mitgliedstaaten weiterhin einen Opt-out vorsehen für die Bevölkerung. Verpflichtet ist das noch nicht, aber darüber wird gerade gestritten. Genau darum drehen sich diese Briefe. Und ich glaube Österreich und Deutschland haben damals noch im Dezember, da sind da eingeschritten. Ich fand das irgendwie ein schönes Beispiel, wo auch wenn man nur aus dem Augenwinkel auf das Gesetz schaut, man dann trotzdem nochmal mit koordinierter Aktion was verändern kann und gerade im Europaparlament so wirklich im Plenum noch Änderungen durchzubekommen, ist nicht einfach, aber das haben wir da geschafft und im Rat ist es auch drinnen. Also ich hoffe, dass wir zumindest die Möglichkeit eines Opt-outs bekommen. Aber ich sehe trotzdem, was diese Datasets betrifft, dann die reale Gefahr der Reidentifikation und da wird es sicherlich noch in der Zukunft ein paar Datenskandale geben. Noch so ein Fun-Fact, weil es Deutschland gefordert hat und auch bekommen hat. In der Position des Rates für diesen European Health Data Space, und man kennt das ja so, EU-Gesetze, die werden verabschiedet und dann gibt es eine Phase, bis sie in Kraft treten. Und normalerweise sind das so ein Jahr oder vielleicht drei Jahre. Aber aufgrund der deutschen Struktur von Telematik und Gesundheits-IT hat sich der Deutschland durchgesetzt mit einer Umsetzungsfrist von zehn Jahren. Also auch wenn das jetzt kommt, es bleibt noch sehr viel Zeit, Bis es dann wirklich auch überall aktiv ist. Natürlich kann ein Staat das vorher umsetzen, aber ich fand das humoristisch wertvoll, dass Deutschland gemeint hat, was, wir müssen hier Dinge digitalisieren, gebt uns noch eine Dekade.
So, das heißt, da können wir auch nochmal irgendwie warten, wie es läuft. Ich würde mich jetzt nochmal ganz kurz interessieren zu, wenn ich jetzt jemanden online schlecht bewerte. Zum Beispiel meine frühere Mastodon-Instanz wegen Unterdrückung von politischen Diskussionen. Kann ich das anonym machen?
Wie immer bei jeder Frage nach rechtlichen Sachen, it's complicated. Wir haben ein interessantes Urteil vom OLG Hamburg bezüglich des Bewertungsdienstes Conuno, wo, Arbeitgeber bewertet werden von ihren Angestellten oder auch Vertragspartnern oder auch Praktis, wer auch immer mit diesen Firmen so Geschäftsverhältnisse hat, kann auf Konuno gehen und dann sagen, der Chef ist ein Nazi oder das Unternehmen zahlt schlecht und was auch immer man vielleicht über einen ehemaligen Arbeitgeber aber nicht so an Meinungen haben könnte, die für zukünftige Arbeitgeberinnen vielleicht ganz wichtig sind für die Wahl des eigenen Jobs. Und in Zeiten von Fachkräftemangel hat man da ja zum Glück auch im Moment eine Wahlfreiheit. Das OLG Hamburg hat sich jetzt aber auf eine ganz interessante Rechtsauffassung gestellt, gestellt, weil dieser Rechtsstreit geht schon eine Zeit lang und ursprünglich war es so, dass der Arbeitgeber, der hier eben negativ bewertet wurde, gemeint hat, das stimmt alles nicht und das sind gar nicht meine Angestellten oder Ex-Angestellten, die mich hier diffamieren. Und dann hat Konono gemeint, nee, wir haben das, okay gut, schauen wir uns an und die haben dann wirklich mit dem betroffenen User gesprochen, der hat Dokumente eingereicht, war aus deren Sicht eine legitime Bewertung von jemandem, der wirklich dort gearbeitet hat und das auch belegen konnte. Aber das OLG Hamburg ist dem nicht gefolgt und man ist schon da beim Landgericht Hamburg irgendwie der Auffassung gewesen, dass die Plattform prüfen muss und dann ist es gut. Aber das OLG Hamburg, soweit ich das verstanden habe, ist jetzt nochmal einen Schritt weiter gegangen und hat gesagt, Auch das bewertete Unternehmen, was sich hier gegen eine schlechte Bewertung vielleicht wehren will und die einfach löschen will, dem müssen die Informationen ausgehändigt werden, wer das war. Also sozusagen die Person, die Kritik geübt hat, wahrscheinlich anonym oder unter einem Pseudonym, muss dann dem ehemaligen oder vielleicht sogar aktiven Arbeitgeber genannt werden. Was natürlich die große Gefahr hat, dass sich dann niemand mehr trauen wird. Die Meinung zu sagen über einen ehemaligen Arbeitgeber. Also was so Anonymität im Internet angeht, ist das ein ganz gefährliches Urteil, das hier gefällt wurde. Das OLG Hamburg hat auch klar gesagt, dass eine Berufung auf den Datenschutz hier nicht zulässig ist, was ich überhaupt nicht nachvollziehen kann. Zu der negativen Auswirkung die das auf die Meinungsfreiheit haben wird schweigt sich das Gericht ebenso aus also. Ja kann man nur hoffen, dass das in den Instanzen anders gesehen wird es ist für mich in so einem Gesamtzusammenhang den wir im Moment sehen. Dass Bewertungsplattformen insgesamt so in Italien, in Österreich ich habe jetzt mehrere Fälle gehört immer wieder in der Kritik stehen ähm, Ich glaube, dass da ein Teil sicherlich jetzt aufgrund von der weiten Verbreitung von Large Language Models begründbar ist. Es ist einfach sehr leicht geworden jetzt auch mit Masse solche Bewertungen einzusetzen, vielleicht auch als Konkurrent einer Firma. Aber ich glaube auch, dass es vielleicht nur so in der Möglichkeit, dass das der Fall sein könnte, jetzt so eine Überreaktion passiert und überall Klarnamenspflicht oder digitaler Ausweiszwang gefordert wird. Das war zumindest der Fall von Digitalisierungsstaatssekretär Turski in Österreich vor kurzem, der eben auch eine Ausweispflicht im Internet für Bewertungsplattformen gefordert hat. Da ist ganz wichtig klarzumachen, wenn ich mich jetzt bei einer Plattform zuerst ausweisen muss, bevor ich dort posten kann, egal ob ich das noch unter Pseudonym oder unter Klarnamen tun kann, das hat ebenso negative Konsequenzen auf die Meinungsfreiheit und auf den Datenschutz. Weil damit werden statisch zertifizierte Identitätsdaten an dieser Plattform gegeben und viele Leute werden sich zweimal überlegen, ob sie dann noch ihre Meinung sagen. Also gefährliches Urteil, das leider in den Trend passt.
Also ich finde, vielleicht kurz eine Überlegung dazu. Wenn der Arbeitgeber sagt, das ist eine Fake-Bewertung und das Unternehmen sagt, nee, ist es nicht, dann ist ja klar, dass hier Aussage gegen Aussage steht und das Unternehmen potenziell das beweisen muss, was es da behauptet. Nämlich, dass es sich hierbei um eine legitime Bewertung einer Mitarbeiterin handelt. Ich kenne dieses Kununu nicht, ich habe aber schon mal eine andere Plattform genutzt. Und bei der war es so, dass die quasi mich als Angestellter des Unternehmens identifiziert hat, dadurch, dass ich eine E-Mail-Adresse von dem Unternehmen hatte. Also, da habe ich dann gesagt hier sowieso at so und so und dann habe ich gesagt, alles klar, das ist die Domain, die diesem Unternehmen gehört, du bist, wir schicken dir da jetzt was hin, du empfängst das, beweist den Empfang der Nachricht, die wir dir geschickt haben und dadurch ist klar, dass du offensichtlich zumindest soweit bist, dass du eine E-Mail-Adresse von diesem Unternehmen unter deine Kontrolle gebracht hast. Und jetzt wäre meine naive Vorstellung, dass das quasi sagen, dass man irgendwie an Eidestadt versichern könnte und sagt, ja, wir haben hier, was weiß ich, wir haben eine E-Mail, das können wir auch hier einem dritten, was weiß ich, einem Notar zeigen, dass wir diese E-Mail gesendet haben und dass es hier eine Anmeldung gibt, ohne dass wir jetzt die Person, von der diese E-Mail empfangen hat oder so, verraten und ans Messer liefern. Diese anonymen Bewertungen sind natürlich immer ein bisschen schwierig, weil sie eben potenziell geschäftsschädigend sein können und sagen wir mal so. Es ja jetzt auch wirklich nicht ausgeschlossen ist, dass so eine Mitarbeiterin, die irgendwie zufrieden oder unzufrieden gegangen ist, potenziell auch mal in so ein Bewertungsportal oder sagen wir mal freiwillig oder unfreiwillig gegangen ist, vielleicht ein bisschen übertreibt. Das sollte natürlich jede Person, die so ein Bewertungsportal liest, auch mit einpreisen, dass man alles da nochmal denkt, okay, die haben eh eine Tendenz zum Negativen, weil, selten sagt die glückliche Mitarbeiterin, denn ach ey, heute bin ich so glücklich bei der Arbeit, ich schreibe mir wieder eine schöne Bewertung. Also unproblematisch finde ich die jetzt nicht so, aber ich denke hier mit dieser Lösung beweise, dass du eine E-Mail-Adresse unter deren Domain hast und wir achten da noch darauf, dass du jeweils nur eine Bewertung schreiben kannst unter dieser E-Mail-Adresse. Das erscheinen mir eigentlich überzeugende Schutzmaßnahmen zu sein gegen Missbrauch einer solchen Plattform.
Ja, vor allem, wenn du dir denkst, dass ja die aggregierte Bewertung über einen Arbeitgeber ist ja das Produkt von Grununo oder solchen Bewertungsplattformen. Und da sind wir wieder bei dem Punkt, das eigentliche Produkt von sozialen Medien ist Inhaltsmoderation. Dann wäre es ja auch wirklich das Interesse von solchen Anbietern, dass sie die Balance halten und dass sie Fake oder jetzt zum Beispiel verzerrenden Bewertungen selber auch vorbeugen würden. Und da gibt es verschiedene Wege, das kann man natürlich mit Lohnzetteln nachweisen oder irgendeinem Geschäftsverhältnis oder wie du sagst E-Mail-Adresse und wenn man das gegenüber der Plattform tut, die vielleicht dann auch den Track Record hat mit den Daten sauber umzugehen, das könnte ein Geschäftsmodell sein. Das war auch die Rechtsauffassung des Landgericht Hamburg, aber das Oberlandesgericht hat ihm eben widersprochen und geht auf den Standpunkt, dass der Arbeitgeber, weil das eben kreditschädigend oder wirtschaftsschädigend ist, geschäftsschädigend ist, den Einzelfall auch prüfen muss. Und deswegen auch die Informationen, welche konkrete Mitarbeiterin das war, an den Arbeitgeber ausgehändigt werden müssen. Spannender Fall.
Ja, tatsächlich ein bisschen, also halte ich für eine sehr problematische Auffassung, weil man natürlich auch, also sagen wir mal, man könnte ja sagen, okay, eine solche Plattform, da musst du dann schon ehrlich sein. Das heißt, da musst du, du bist ja dann von mir aus gegangen oder du bist beim Unternehmen oder du bist gegangen, da musst du da eine Bewertung hinterlassen. Wer ist denn so doof und stellt jemanden ein, der dafür bekannt ist, in irgendwelchen Jobportalen schlechte Bewertungen bei seinen ehemaligen Arbeitgeber zu hinterlassen? Also ich meine, so bitter das klingt, aber natürlich gehst du davon aus, dass eine erwachsene Person in der Lage ist, über die Konflikte bei der Arbeit potenziell hinwegzusehen und sich zumindest souverän damit umzugehen. Und nicht irgendwie, also sagen wir mal jemanden, von dem du siehst, dass er seine letzten drei Arbeitgeber irgendwie im Internet verunglimpft hat, da überlegst du dir schon zweimal, ob du die Person nochmal einstellst, weil du natürlich davon ausgehst, okay, die hat jetzt hier mit drei Arbeitgebern vor mir Ärger gehabt, im Zweifelsfall sind die alle mit friedfertigen Absichten diese Arbeitsverhältnisse eingegangen, vielleicht stimmt was mit der Person nicht. Oder vielleicht hat die Person wirklich sehr viel Pech bei der Auswahl ihrer Arbeitgeber und hat jetzt bei mir auch Pech. Also ich kann schon verstehen, warum solche Portale regelmäßig, ja. Thema von Auseinandersetzungen sind, aber üblicherweise klärt sich das ja, dass das Bild klärt sich ja durch die Menge der Bewertungen. Also wenn du jetzt zum Beispiel feststellst, ah okay, da gibt es jetzt einen, der war da total unglücklich und der lässt irgendwie voll vom Leder, aber da gibt es irgendwie auch ein paar andere, die sind, sehr positiv, dann ist dir ja die eine verrückte Bewertung vielleicht egal. Während wenn du jetzt jetzt irgendwie acht Negative hast, dann sollte auch der Arbeitgeber, der sich jetzt irgendwie versucht, juristisch gegen alle diese Bewertungen zu wehren, auch keine Chance mehr haben. Also irgendwo liegt die Wahrheit ja dann wahrscheinlich in der großen Zahl.
Ja, das ZPS hat ja, also Stefans Auftritt in der Sendung, erinnern ja sicherlich die meisten Hörerinnen und Hörer. Unter anderem hat er hier sehr viel darüber berichtet, wie sie das Scholz-Deepfake angefertigt haben. Wir haben uns da viel über die Tools unterhalten, wir haben uns auch über die Argumente, die das Zentrum für politische Schönheit für ein AfD-Verbot anbringt, unterhalten. Und das ZPS hat ja auch gesagt, sie haben die schönste Rede veröffentlicht, die Olaf Scholz nie gehalten hat. Und sie waren auch auf dem CCC-Kongress damit zu Gast und haben dort im Eröffnungsvortrag auch nochmal über ihre Aktionen und Aktionen berichtet. So, und sie haben jetzt eine einstweilige Verfügung des Landgerichts Berlin kassiert. Und zwar waren natürlich die Bundesregierung, wie wir wissen, unglücklich über diese Verwendung des Scholz-Videos und hat das ja zunächst einmal... Die mit Urheberrechtsbeschwerden versucht, aus dem Internet herauszubekommen. Der Thilo Jung, der ja dann regelmäßig die Bundespressekonferenz besucht und dort auch filmt, hat dann gefragt, es gibt ja gar kein Urheberrecht da dran. Dann haben sie gesagt, ja, nee, wir haben ja ganz viele Rechte. Und irgendwie war das alles sehr, sehr unsauber, was die Bundesregierung da versucht hat. Zumindest nach den Regeln, die die sozialen Netzwerke da so zur Verfügung stellen. Und was das ZPS dann irgendwann gemacht hat, ist offenbar, sie haben das Video erneut hochgeladen, nachdem es teilweise gelöscht worden war, mit einem eigenen Logo vom ZPS. Sie haben also nicht mehr das Logo der Bundesregierung verwendet. Sie haben auch eine schlechtere Lippensynchronisation offenbar vorgenommen und dafür gesorgt, dass das Video also wirklich auch für Laien erkennbar ist. Da stand dann irgendwie, war nicht mehr das Bundesregierungslogo, sondern da stand dann irgendwie hier Zentrum für politische Schönheit Originals und so. Und der Anwalt des ZPS, Till Kreuzer, sagt, sogar der aufgrund seines angeblich maschinenhaften und emotionslosen Auftretens unrichtig als Scholz-Format verunglimpfte Bundeskanzler ist in der Lage, seine Lippen synchron zum Gesprochenen zu bewegen. Deswegen, daran krankt das streitgegenständliche Video. Kein vernünftig denkender Mensch kommt auf die Idee, dass es sich bei dem streitgegenständlichen Video um einen echten Scholz handelt. Das Gericht setzt dem entgegen, ja, die Erkennbarkeit ist aber zu subtil, daher führt das zu einer Zuordnungsverwirrung und weil das Video bei YouTube ein potenziell sehr großes Publikum hat und das Video keine künstlerische Anmutung oder satirische Überspitzung beinhaltet. Besteht also die Möglichkeit, dass von diesem großen Publikum Leute verwirrt werden. Und es sei also allgemein nicht zulässig, gefälschte Nachrichten, die als solche nicht ohne weiteres erkennbar sind, zu verbreiten. Und hierdurch gezielt den falschen Eindruck offiziellen Behördenhandelns zu erwecken und das Vertrauen in eine seriöse und verlässliche Öffentlichkeitsarbeit der Bundesregierung und generell in eine verlässliche Berichterstattung zu schwächen. Spannendes Urteil, ja.
Ja, sehr spannend, vor allem auch, weil damit wird ja eigentlich auch ein sehr hoher Standard für künftige Deepfakes gesetzt, also wer nicht wirklich ganz tief noch im Uncanny Valley steckt und ganz klar als Fake erkannt wird, sollte dann eigentlich sofort vom Netz genommen werden. Das ist spannend. Ich meine gut, jetzt hier Kanzler ist hochgezielt natürlich, aber sollte das jetzt wirklich die Messlatte sein, ab wann Deepfakes nicht mehr zulässig sind, dann wäre das ja, sofern man diese Deepfakes wirklich auch noch erkennt und ich meine nicht so wie hier beim ZBS, jemand sich hinstellt und genau erklärt, wie es gemacht wurde, dann wäre das ja eigentlich gut, finde ich.
Also das ZPS hat ja schon seinen Kongressvortrag unter den Titel gesetzt, die AfD wird verboten, Diebfakes auch. Wollen wir mal schauen, wie erfolgreich sie damit noch werden. Auf jeden Fall, sagt das Zentrum für politische Schönheit, sie werden gegen die Entscheidung Rechtsmittel einlegen, potenziell bis zum Bundesverfassungsgericht, weil sie das als Angriff auf die Kunstfreiheit werten. Und ein Sprecher des ZBS sagte gegenüber Netzpolitik.org, Bundeskanzler Scholz scheint mittlerweile alles zu verwechseln. Millionen Menschen fordern, dass er ein Verbot der AfD in Karlsruhe beantragen soll. Stattdessen hat er nun das Verbot eines Videos zum AfD-Verbot vor dem Gericht beantragt. Ähm Scholz will, dass vor jedem Kunstwerk Kunst steht, damit kein Seppel die Kunst mit der Realität verwechselt ja, ich bin mal gespannt ich bin da auch, ich meine natürlich die Sympathie zum Zentrum, die Sympathie auch zu dieser Aktion und so, die, verschiebt da natürlich potenziell leicht die ähm, die Wahrnehmung das will ich gar nicht ähm. Gar nicht in Abrede stellen. Dass jetzt, sag ich mal, wenn da jetzt Scholz irgendwelche anderen Sachen gesagt hätte, dass ich potenziell den Sachverhalt vielleicht anders bewerten würde. Deswegen bin ich mal gespannt, wie das so weitergeht und was man doch so an Deepfakes in Zukunft sehen wird.
Ja, aber es ist auf jeden Fall Popcorn-tauglich und ich finde es gut, dass wir überhaupt jetzt mal solche Gerichtsentscheidungen haben, weil dieser Also ein neuer Bereich muss einfach mal erschlossen werden. Und da finde ich es eigentlich fast gut, dass es von einer Künstlergruppe kommt, die das so offen spielt. Da wird noch viel mehr, viel grauslicheres Zeug auf uns zukommen, befürchte ich. Und dann hat man zumindest mal ein paar Pflöcke schon eingeschlagen. Aber reden wir weiter über das, was in Deutschland passiert. Weil das ist ja für jemanden, der aus Österreich kommt, Balsam für die Seele. Wir hatten auch so eine Demo gegen rechts mit 80.000 Leuten vor dem Parlament vor ein paar Wochen. Das ist für Österreich viel, aber korrektiv hat da ja eine wirklich große Welle losgetreten. Ich fand es wirklich toll, als ihr Jean in der Sendung hattet, aber da ist ja jetzt auch wieder was Neues passiert, was ich zumindest in Österreich gar nicht so mitbekommen habe.
Ja, also, Korrektiv hatte ja, wie einige bemerkt haben, relativ lange Zeit gebraucht zwischen diesem tatsächlichen Geheimtreffen im September und der Berichterstattung darüber. Und das lag natürlich vor allem daran, dass sie sich absolut unangreifbar machen mussten, was die Inhalte angeht, die sie da berichten und gleichzeitig den Quellenschutz zu wahren. Es gibt ja nach wie vor keine wirkliche Auskunft von Korrektiv darüber, wie sie überhaupt an diese Gesprächsinhalte gekommen sind. Sie sagen, wir haben Quellen und wir schützen diese Quellen. Punkt. Und es ist natürlich auch verständlich, dass jemand, also wenn man jetzt davon ausgehen würde, dass die Quelle vielleicht jemand ist, die oder der bei diesem Treffen war, dann ist auch verständlich, dass diese Quelle wirklich unter keinen Umständen bekannt werden möchte. Und es muss ja eine geben, weil sie haben ja sogar den Einladungstext. Also es muss ja irgendwo eine undichte Stelle geben. Aber natürlich möchte diese undichte Stelle nicht bekannt werden. Und es ist völlig klar, dass Korrektiv die schützen muss. Gleichzeitig haben sie ja dann diese Sachen, diese Inhalte und die Texte veröffentlicht. Und sie haben ja quasi vorher konfrontiert und haben gesagt, hier alle Leute, über die sie da berichten, was die gesagt haben, was es da für Inhalte gab und so weiter, die haben sie ja vorher damit konfrontiert. Und die Leute haben nicht darauf reagiert und sie haben auch nicht quasi gegen die Inhalte, die dort in dem Artikel stehen, geklagt oder irgendwelche einstweiligen Verfügungen oder sonstiges erwirkt. Es gab aber jetzt irgendwie eidestattliche Versicherungen der Anwesenden, zum Beispiel will Ulrich Vosgerau nicht bemerkt haben, dass er an einer rechtsextremen und rassistischen Veranstaltung teilgenommen hat, auf der über die Vertreibung von Millionen Menschen gesprochen wurde. Das hat er nicht bemerkt.
Das ist natürlich äußerst erstaunlich, weil gleichzeitig natürlich Martin Sellner überhaupt gar kein Geheimnis daraus macht, dass Remigration sein großes Thema ist und die AfD sich ja sogar damit gebrüstet hat. Das ist kein Geheimplan, sondern es ist ein Versprechen und so weiter, was es da alles gab. Auf jeden Fall wurden da jetzt einstweilige Verfügungen eingereicht, die irgendwelche Nebenschauplätze anzweifeln. Ja, und nicht notwendigerweise wirklich was, also nicht wirklich was, also quasi die zweifeln nicht an, dass es das Treffen gab, die zweifeln nicht an, was die Inhalte angeht, aber nehmen irgendwelche Nebenschauplätze. Der Korrektivanwalt Thorsten Feldmann sagt, es geht hier um die Herrschaft über den Diskurs, es geht nicht um den engen Streitgegenstand, sondern es geht einfach nur, dass mittels des Instruments der Haarspaltung bloße Nebensächlichkeiten der Recherche angegriffen werden, einfach nur um Korrektiv in Misskredit zu bringen. Und so die ganze Recherche in Misskredit zu bringen. Deswegen hat dann Korrektiv jetzt mit acht eidesstaatlichen Versicherungen der gesamten Redaktion, die also sagen, dieses Treffen hat so stattgefunden und wir haben die alle konfrontiert und die haben die alle dem nicht widersprochen, sich dem quasi entgegengestellt. Und jetzt hast du halt irgendwie eidesstaatliche Versicherungen auf der einen Seite, eidesstaatliche Versicherungen auf der anderen. Die sich aber natürlich wiederum auf unterschiedliche Aspekte beziehen und korrektiv muss also jetzt hier mit einer natürlich strafbewehrten eidesstattlichen Versicherung, sollte die sich als falsch herausstellen, dann würden die halt wirklich richtige Probleme bekommen. Und ich denke, da legen die natürlich einiges mehr in die Waagschale als die Teilnehmerinnen dieses Treffens. Aber es ist natürlich jetzt auch dieser Kampf um, was war da jetzt eigentlich los? Es ist auch sehr interessant, wie gehen jetzt eigentlich diese Rechten damit um? Ja, weil die einerseits natürlich sagen müssen, das ist ja alles böse, das ist ja alles gestaged und weiß der Geier was und korrektiv und dann kurz darauf gab es das Theaterstück und so schnell kann man ja gar kein Theaterstück machen und was die sich nicht alles da ausdenken, um die irgendwie in Misskredit zu bringen, während sie gleichzeitig aber sagen, naja klar gibt es Remigrationspläne. Also die wissen auch gerade nicht, was sie angreifen sollen und was nicht, aber entscheidend ist natürlich irgendeine Headline, die die Korrektivredaktion in Misskredit bringt und natürlich muss die Korrektivredaktion sich gegen so etwas zuwehr setzen.
Ja und gut, dass sie es tut und man kann nur hoffen, dass sie die Ressourcen haben, diesen Kampf jetzt auch zu führen, weil ich glaube, der wird stellvertretend für zuerst mal irgendwie journalistische Grundfreiheiten und das Redaktionsgeheimnis geführt, aber dann natürlich auch Deutungshoheit und Integrität. Es ist ein bisschen schwer erkennbar, worum es denen jetzt geht, außer halt, wie du sagst, die eine Schlagzeile. Ich meine, das Ganze ist jetzt ja auch in so vielen Medien schon wiedergegeben worden und wird ja gar nicht abgestritten, dass es eigentlich nur so die Arbeitsweise sein kann. Und ich glaube, dass man da halt aus guten Gründen wahrscheinlich in der Redaktion gewisse Grenzen zieht. Also das ist natürlich auch unter einem hohen persönlichen Risiko passiert. Also ich kann mir nicht vorstellen, dass die ruhig geschlafen haben, bevor sie da auf den Knopf gedrückt haben, ganz einfach, weil das harte Gegner sind. Da hat man ja auch in Ibiza gesehen, also da war ja auch die ganze Erstellung von dem Video etwas, wo am meisten drüber geredet wurde, viel mehr als über die eigentlichen Inhalte von dem, was da gesagt wurde. Das war ein gönnerisches Framing irgendwie da, das sind ein Eck zu rücken, waren es jetzt Geheimdienste, ein politischer Mitbewerber, anstatt sich mit dem auseinanderzusetzen, was dort gesagt wurde. Und der Protest dazu ist glaube ich die wichtigste Selbstheilungskraft. Und kann man nur sagen, die FPÖ hat Remigration im Wahlprogramm stehen. Also das ist überhaupt nichts, wovor die sich noch schämen. Aber ja.
Genau. Also, wer von euch in den letzten Jahren auf einer Webseite war, kennt diese Cookie-Banner. Diese nervigen, ätzenden Dinger, die einem von eigentlichen Content abhalten. Und die sind ja verhasst bei allen und haben uns antrainiert, immer nur auf ja, okay, okay, okay zu klicken. Und das ist ja bei Design. Diese Dinger sind eine Pervertierung des Datenschutzes und der E-Privacy-Richtlinie. Eigentlich müsste uns da eine Wahl gestellt werden mit Ja oder Nein. Aber das wollen viele Firmen nicht, weil die Daten sind ja was wert, die wollen uns überwachen, so machen sie Geld, deswegen ist der Nein-Knopf ewig weit versteckt irgendwo. Das ist bei fast jeder Nachrichtenseite so. So, Max Schrems hat mit Neub angefangen gegen diese pervertierten Cookie-Banner vorzugehen, auch da ist automatisiert und da eben wirklich versucht, viele Firmen dazu zu bringen, mal endlich wieder auf den Boden des Rechts zurückzukommen und den Leuten eine wirkliche Wahl zu geben, damit die informierte Zustimmung auch eine ist, die diesen Namen verdient. Damit war er relativ erfolgreich und dann ist noch der Digital Services Sektor dazugekommen, der Dark Patterns verbietet. Also eigentlich war das schon vorher so, wenn man die DSGVO ordentlich liest, aber da wurde es nochmal explizit gemacht, dass Dark Patterns verboten sind. Dark Patterns sind so UI-Hacks, die es Menschen schwierig machen. Dem zu kommen, was sie wollen. Das sind dann eben so Spiele mit Farben, mit Kontrast. Es gibt einen OK-Button, der ist schön weiß, klar sichtbar und dann einen kaum erkennbaren zweiten Button, wo ein Menü aufgeht, in dem ich was einstellen kann mit viel zu vielen Optionen und dann irgendwo gibt es vielleicht einen Reject-Button. Diese Dark-Patterns wurden eben an die Kantare genommen, die konnte es nicht mehr geben und dann haben sie sich was Neues einfallen lassen. Nämlich Pay or Okay. Und was diese Idee bedeutet, ist, dass ich immer noch ein Okay-Schild habe, ich stimme zu, aber das Nein-Schild, so, na, ich will nicht gecheckt werden, da ist auf einmal ein Preisschild dran. Und du musst sozusagen dann zum Beispiel ein Abo abschließen, damit du diesen Nachrichten-Content noch lesen kannst. Gerade auf Zeitungsseiten begegnet das einem sehr häufig. Die Zeitung, die es erfunden hat, ist die größte Online-Zeitung in Österreich, der Standard.at. Die haben es sich ausgedacht. Max hat gleich, als das kam, ich glaube es war 2018, unter 19 dagegen geklagt oder bei der Datenschutzbehörde ein Verfahren eingeleitet, was er leider verloren hat. Und daraufhin ist dieses Pay-or-Okay-Modell eben in ganz vielen Medien in Europa verbreitet worden und wir haben uns alle schon gedacht, oh mein Gott, das wird gefährlich, und dann vor einigen Monaten ist auch Meta umgestiegen auf dieses Modell. Ihr habt es auch bei Logbuch Netzpolitik berichtet, bei Facebook und bei Instagram, kann man jetzt ein Abo abschließen, wenn man sich nicht tracken lassen will, Und natürlich ist das so der Tropfen, der das Fass zum Überlaufen bringt, obwohl das Prinzip vorher schon verletzt wurde. Und es gibt jetzt sowohl eine Entscheidung vom EDPB, vom Europäischen Datenschutz Board, wo alle Datenschutzbehörden zusammenkommen, um rechtsverbindliche Auffassungen zu erlassen, wie die DSGVO auszulegen ist. Die beschäftigen sich jetzt in den nächsten Wochen dazu. Da gab es auch einen offenen Brief, den wir gemeinsam insgesamt 28 NGOs unterschrieben haben. Und es gibt auch EuGH-Verfahren in dieser Sache. Und da geht es leider auch darum, ein bisschen was umzudrehen, weil in einem vorherigen Urteil gab es ja diesen Halbsatz, Consent or a reasonable fee. Und dieses reasonable fee, an dem hängt sich jetzt gerade alles auf, dass der EuGH da halt als Möglichkeit in einem Urteil leider mit drinnen hatte. Und Neub ist da an der Speerspitze des Kampfes gegen diese Aushöhlung der DSGVO. Wenn da Schule macht, dann können wir uns dieses Grundrecht auf Datenschutz in die Haare schmieren, weil es wird einfach ganz viele Fälle geben, wo sich Menschen ihr Grundrecht dann nicht mehr leisten können. Und wenn man sich ausrechnet, im Schnitt hat jede Europäerin 35 Apps auf dem Smartphone installiert. Bei der Gebühr, die Meta da so verlangt, wären das ungefähr 35.000 Euro im Jahr, die man zahlen müsste, um noch ein Grundrecht auf Datenschutz zu haben. Und es wird hier einfach wirklich etwas zum Verkauf angeboten, das eben ein Grundrecht ist und wo man sehr wohl gerne über die Finanzierung von Journalismus reden kann. Ich glaube, dass es da eine dringende Debatte braucht, aber was die Medien jetzt gerade gemacht haben, waren eigentlich die Tür zu öffnen für Google und Facebook, weil den klassischen Medien bleiben ja nur noch Brotkrümel von den Werbeerlösen übrig, weil der Großteil bleibt bei Big Tech hängen. Deswegen haben wir ja das Finanzierungsproblem im Journalismus heute. Und gleichzeitig haben jetzt die klassischen Medien die Lesart der DSGVO in die Welt gesetzt, die das Geschäftsmodell von Google und Facebook und anderen Datenhändlern potenziell entgegen der DSGVO zementieren könnten. Also das ist ein wirklich wichtiges Thema. Neub, none of your business, die NGO von Max Schrems macht sich da am meisten verdient und weil das jetzt gerade so eine der wichtigen Debatten ist, die leider nicht die Aufmerksamkeit bekommt, die sie verdient, wollte ich das nochmal kurz erwähnen.
Also es gibt zuerst mal diese EDPB, das Europäische Datenschutzbord, das sich jetzt mit dieser Sache entscheidet. Das ist sicherlich maßgeblich für alles, was weiter passiert. Weil wenn der EDPB jetzt sagt, doch, doch, ja ist okay, darf Meta machen, zahlen es halt, dann haben wir sehr schlechte Karten für alles, was danach kommt.
Hoffentlich. Deswegen haben wir diesen Brief geschickt. Also da gibt es jetzt eine wichtige Entscheidung für alle Datenschutzbehörden in Europa. Dieser große DSGVO, wo sich ganz viele Leute auf die Schulter geklopft haben, wirklich das Papier wert ist, auf der sie steht. Wenn wir das gewinnen, dann rechne ich uns schon gute Karten aus, dass in einem der EuGH-Verfahren, die so anstehen, und da gibt es wirklich viele, also Max, wenn man mit ihm redet, ja, da bin ich noch wieder in Luxemburg, da haben wir wieder Verfahren und das kommt jetzt die ganze Zeit dort auf, an den Verfahren, an denen er beteiligt ist mit Neub, aber auch in anderen. Und die Rechtsprechung wird sich jetzt zusehends mit dieser Frage beschäftigen. Und ich rechne, dass die nächsten Wochen bis maximal ein, zwei Jahre noch diese finale Entscheidung ausständig ist. Das kann wie immer schnell gehen.
Bis diese Entscheidung getroffen wird und es ist leider auch so, dass da eben die klassischen Medien sehr gut lobbyiert haben und auch die deutschsprachigen Datenschutzbehörden, die ja sonst immer auf der guten Seite stehen oder oft hier nicht auf der richtigen Seite stehen. Also das bleibt spannend.
Unser großes Vorbild und Freund. Ja, Arne macht ja nur coole Sachen. Und der geht wirklich... In die Vollen. Er lässt sich auch verklagen für die gute Sache. Nämlich hat er mit Frag den Staat Dokumente veröffentlicht aus einem aktiven Gerichtsverfahren bezüglich der letzten Generation und dem Sender Radio Dreikland. Diese Dokumente sind, und das hört sich für jemanden aus Österreich wirklich obskur an, Gerichtsdokumente in Deutschland zu veröffentlichen oder aus denen zu zitieren, ist ja bei euch illegal. In Österreich will man das auch, was auch nicht wundert, dass die ÖVP das will, weil die haben ganz viel Dreck in Gerichtsakten drinnen stehen, aus dem jetzt berichtet wird. Aber in Deutschland gibt es schon so ein Gesetz, das das Zitieren aus Gerichtsakten unter Strafe stellt und das auch pauschal tut, ohne eine Verhältnismäßigkeitsprüfung, wie es die Rechtsprechung des EGMR vorsehen würde. Dass man hier eine Verhältnismäßigkeitsprüfung anwendet, so wie das Medien einfach machen. Gibt es hier ein überwiegendes öffentliches Interesse? Gibt es auf der anderen Seite Datenschutzinteressen oder andere Geheimhaltungsgründe? Dann wägt man das ab und dann macht man seine Veröffentlichung. Soweit mir das jetzt als Laie aus Österreich bekannt ist, gibt es eine Abwägung im deutschen Recht nicht, sondern es gibt einfach nur diesen Straftatbestand, der es verbietet, aus Gerichtsakten zu zitieren und der ist nach der Meinung von der Literatur eben etwas, das eh schon länger weg müsste. Und damit das jetzt auch wirklich passiert, hat Arne wahrscheinlich sehr wohlwissentlich diese Dokumente veröffentlicht und wie zu erwarten war, gibt es jetzt ein Verfahren gegen ihn als Chefredakteur und …. Wir haben ja auch am Kongress gelernt, das fragt den Staat DE. Das DE steht für Druckerzeugnis. Die haben ja auch eine Zeitung verteilt am Kongress.
Ja, ich beneide dich drum. Ich will die auch. Auf jeden Fall ist das ein Fall, den wir vermelden wollten in vollster Solidarität mit Arne und ich hoffe, dass er hier gewinnen wird, weil dass es so ein Gesetz in Deutschland gibt, ist glaube ich nicht wirklich vereinbar mit einer liberalen Demokratie, wo man natürlich auch über die Arbeit der Justiz demokratisch diskutieren und berichten können muss. Und ich glaube, genau das ist das Ziel der Sache.
Wir hatten ja, genau, das glaubst du nicht nur, sondern es ist auch so, er hat das ja absichtlich gemacht, er hat das ja quasi mit Anlauf gemacht und im Hintergrund wetzt die GFF schon die Messer, weil um gegen ein solches Gesetz vorzugehen, brauchst du erstmal die Anklage, um dann dieses Gesetz wegen übertriebener Einschränkung der Pressefreiheit zu Fall bringen zu können. Das heißt, was Arne hier gemacht hat, ist quasi sehenden Auge, es hätte auch gesagt, übrigens, das darf ich nicht, guckt mal, was ich gerade mache, das darf man nicht, um genau diese Auseinandersetzung herbeizuführen, die GFF sitzt da schon und sagt, alles klar, das ziehen wir jetzt durch und hofft, dass eben auf diese Anklage potenziell die entsprechenden, zwangsläufigen Rechturteile in den niedrigeren Instanzen entstehen, um dann potenziell eben auch in den höheren Instanzen dieses nach Auffassung der GFF verfassungswidrige Gesetz zu Fall zu bringen. Das ist die Idee dahinter. Also er hat das jetzt quasi kalkulierter Rechtsbruch, um dann am Ende dieses Gesetz abzusehen.
Das soll noch mal jemand sagen, dass das Recht über allem steht. In Wirklichkeit ist es die Moral. Aber ja, also wirklich tolle Sache und da muss ich jetzt ganz noch mal diese ewig lange Sendung noch ein bisschen verlängern, weil etwas, das ich vergessen habe, das aber wirklich noch erwähnenswert ist. Österreich hat ein Informationsfreiheitsgesetz. Jetzt seit letzter Woche ist es beschlossen worden, auch in der zweiten Kammer, Und damit ist Österreich das letzte Land Europas, nicht der EU, neben Belarus, das ein Grundrecht auf Informationsfreiheit hat. Das wollte ich nur erwähnt haben. Und wir haben nämlich auch in Österreich ein FragDenStaat.at. Das neue Grundrecht gilt erst ab 2025, aber man kann jetzt schon Anfragen stellen und man kann auch den Kolleginnen von FragDenStaat.at spenden. Die sind noch rein ehrenamtlich, aber machen super Arbeit jetzt seit zehn Jahren. Also vielleicht kriegen wir dort auch einen Arne Semmsroth her, der so tolle Sachen macht.
Ja, der Finn von Forum Informationsfreiheit war mit mir gemeinsam im Verfassungsausschuss als Experte geladen. War ein sehr lustiges Hearing, das verlinken wir auch nochmal. Und jetzt ist es endlich passiert und schauen wir mal. Licht ist ja angeblich gar nicht so schlecht als Desinfektionsmittel. Also als rhetorische Figur ist dieser Satz gut. Licht ist eigentlich kein so gutes Desinfektionsmittel. Aber wir nehmen alles, was hilft in Österreich. Also in dem Zustand, wo dieses Land ist, desinfiziere ich auch mit Licht.
Und zwar, der erste ist, dass von 28. Februar bis zum 3. März in Graz das Elevate Festival stattfindet. Und dort gibt es auch am Freitag um 16.30 Uhr den Netzpolitischen Abend. Ein Format, das aus Berlin ja wohl bekannt ist, gibt es auch in Österreich. Und dort wird es einige sehr spannende Vorträge geben. Es gibt auch insgesamt ein Diskursprogramm, das sich sehen lässt und das ist gratis. Für das Musikprogramm braucht man ein Ticket, aber Ticket gibt es noch. Deswegen elevate.at. Und das nächste ist gleich am 13. März um 16.30 Uhr wiederum. In Wien gibt es eine Veranstaltung Access Denied – Challenges on the Quest to Understand AI on Platforms. Und das ist eine Diskussionsveranstaltung von Women in AI, einer neuen NGO, wo die Crom Austria, die Medienregulierungsbehörde, die den DSE in Österreich umsetzt, gemeinsam mit Leivand AI. Wir haben coole Wörter in Österreich. Und mir und noch ein paar anderen Leuten wird da diskutiert rund um den Digital Services Act und das, was der so bringt und insbesondere den Artikel 40, der uns nämlich Zugriff auf die Daten von den großen Plattformen geben soll. Und da gibt es spannende Fragen, die man dann hoffentlich wissenschaftlich beantworten kann. Darum soll es da gehen.
Und in Winterthur im Casino Theater gibt es am Freitagabend, also diesen Freitag, den Abend des 1. März und am Samstag, dem 2. März, den Winterkongress der digitalen Gesellschaft. Den haben wir ja schon vor einiger Zeit hier beworben. 27 Vorträge gibt es dort, unter anderem zum Thema künstliche Intelligenz von der Theorie zur Praxis, aber auch ein Podiumsgespräch über automatische Gesichtserkennung und ob man die nicht lieber national verbieten sollte. Also in Winterthur dieses Wochenende, Freitagabend und Samstag der Winterkongress 2024. 24.
Ja, Thomas, hat mich sehr gefreut, dass wir uns mal wieder gehört haben. Und sicherlich wird man dich hier bald wiederhören. Und ich glaube, damit können wir uns einfach jetzt auch ganz schmerzlos verabschieden. Es sei denn, es muss noch irgendwas loswerden. Nee, überhaupt nicht. Nee, wir haben jetzt auch wirklich einmal alles durch.