Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Das Internet wird zur Daten-Blackbox. Eine „Inspectability API“ könnte es aufbrechen
Surya Mattu
In der heutigen digitalen Welt lauert Ungerechtigkeit im Schatten der Facebook-Posts, die an bestimmte Personengruppen unter Ausschluss anderer gesendet werden, des versteckten Algorithmus, der zur Profilierung von Kandidaten bei Vorstellungsgesprächen verwendet wird, und der Risikobewertungsalgorithmen, die für die Verurteilung von Straftaten und die Sozialhilfe eingesetzt werden Inhaftierung wegen Betrugs. Da algorithmische Systeme in jeden Aspekt der Gesellschaft integriert sind, fällt es den Regulierungsmechanismen schwer, Schritt zu halten.
Im letzten Jahrzehnt haben Forscher und Journalisten Wege gefunden, diese diskriminierenden Systeme aufzudecken und zu hinterfragen, indem sie ihre eigenen Datenerfassungstools entwickelt haben. Mit der Verlagerung des Internets von Browsern hin zu mobilen Apps verschwindet diese entscheidende Transparenz jedoch schnell.
Die Analyse digitaler Systeme durch Dritte wird weitgehend durch zwei scheinbar banale Tools ermöglicht, die üblicherweise zur Untersuchung der Vorgänge auf einer Webseite verwendet werden: Browser-Add-ons und Browser-Entwicklertools.
Browser-Add-ons sind kleine Programme, die direkt in einem Webbrowser installiert werden können und es Benutzern ermöglichen, die Interaktion mit einer bestimmten Website zu verbessern. Während Add-ons häufig zum Betreiben von Tools wie Passwort-Managern und Werbeblockern verwendet werden, sind sie auch äußerst nützlich, um es Menschen zu ermöglichen, ihre eigenen Daten innerhalb des ummauerten Gartens einer Technologieplattform zu sammeln.
Ebenso wurden Browser-Entwicklertools entwickelt, mit denen Webentwickler die Benutzeroberflächen ihrer Websites testen und debuggen können. Mit der Weiterentwicklung des Internets und der zunehmenden Komplexität von Websites haben sich auch diese Tools weiterentwickelt und Funktionen wie die Möglichkeit hinzugefügt, Quellcode zu überprüfen und zu ändern, Netzwerkaktivitäten zu überwachen und sogar zu erkennen, wenn eine Website auf Ihren Standort oder Ihr Mikrofon zugreift. Hierbei handelt es sich um leistungsstarke Mechanismen zur Untersuchung, wie Unternehmen ihre Benutzer verfolgen, profilieren und gezielt ansprechen.
Ich habe diese Tools als Datenjournalist eingesetzt, um zu zeigen, wie ein Marketingunternehmen die persönlichen Daten von Benutzern protokollierte, noch bevor sie in einem Formular auf „Senden“ klickten, und wie das Meta-Pixel-Tool (früher das Facebook-Pixel-Tool) dies in jüngerer Zeit verfolgt Benutzer ohne deren ausdrückliches Wissen an sensiblen Orten wie Krankenhauswebsites, Anträgen auf Bundesstudiendarlehen und den Websites von Steuererklärungstools.
Andy Greenberg
Ngofeen Mputubwele
Julian Chokkattu
Cathy Alter
Zusätzlich zur Aufdeckung von Überwachungsmaßnahmen bieten Browser-Inspektionstools eine leistungsstarke Möglichkeit, Daten zu sammeln, um Diskriminierung, die Verbreitung von Fehlinformationen und andere Arten von Schäden zu untersuchen, die Technologieunternehmen verursachen oder begünstigen. Doch trotz der leistungsstarken Fähigkeiten dieser Tools ist ihre Reichweite begrenzt. Im Jahr 2023 berichtete Kepios, dass 92 Prozent der Nutzer weltweit über ihr Smartphone auf das Internet zugegriffen haben, während dies nur 65 Prozent der Nutzer weltweit über einen Desktop- oder Laptop-Computer taten.
Obwohl sich der Großteil des Internetverkehrs auf Smartphones verlagert hat, verfügen wir nicht über Tools für das Smartphone-Ökosystem, die das gleiche Maß an „Überprüfbarkeit“ bieten wie Browser-Add-ons und Entwicklertools. Dies liegt daran, dass Webbrowser implizit transparent sind, Betriebssysteme von Mobiltelefonen hingegen nicht.
Wenn Sie eine Website in Ihrem Webbrowser anzeigen möchten, muss Ihnen der Server den Quellcode senden. Mobile Apps hingegen sind kompilierte, ausführbare Dateien, die Sie normalerweise von Orten wie Apples iOS App Store oder Google Play herunterladen. App-Entwickler müssen den Quellcode nicht veröffentlichen, damit Benutzer ihn verwenden können.
Ebenso ist die Überwachung des Netzwerkverkehrs in Webbrowsern trivial. Diese Technik ist oft nützlicher als die Überprüfung des Quellcodes, um zu sehen, welche Daten ein Unternehmen über Benutzer sammelt. Möchten Sie wissen, mit welchen Unternehmen eine Website Ihre Daten teilt? Sie möchten den Netzwerkverkehr überwachen und nicht den Quellcode überprüfen. Auf Smartphones ist eine Netzwerküberwachung zwar möglich, erfordert jedoch in der Regel die Installation von Root-Zertifikaten, die die Geräte der Benutzer weniger sicher und anfälliger für Man-in-the-Middle-Angriffe von böswilligen Akteuren machen. Und das sind nur einige der Unterschiede, die das sichere Sammeln von Daten über Smartphones deutlich schwieriger machen als über Browser.
Der Bedarf an einer unabhängigen Sammlung ist dringender denn je. Zuvor waren vom Unternehmen bereitgestellte Tools wie die Twitter-API und Facebooks CrowdTangle, ein Tool zur Überwachung der Trends auf Facebook, die Infrastruktur, die einen großen Teil der Recherche und Berichterstattung in sozialen Medien ermöglichte. Da diese Tools jedoch immer weniger nützlich und zugänglich werden, sind neue Methoden der unabhängigen Datenerfassung erforderlich, um zu verstehen, was diese Unternehmen tun und wie Menschen ihre Plattformen nutzen.
Um sinnvoll über die Auswirkungen digitaler Systeme auf die Gesellschaft berichten zu können, müssen wir beobachten können, was auf unseren Geräten geschieht, ohne ein Unternehmen um Erlaubnis zu bitten. Als jemand, der das letzte Jahrzehnt damit verbracht hat, Tools zu entwickeln, die Crowdsourcing-Daten nutzen, um algorithmische Schäden aufzudecken, glaube ich, dass die Öffentlichkeit die Möglichkeit haben sollte, einen Blick unter die Haube ihrer mobilen Apps und Smart-Geräte zu werfen, genau wie sie es über ihren Browser tun kann. Und das betrifft nicht nur mich: Das Integrity Institute, eine gemeinnützige Organisation, die sich für den Schutz des sozialen Internets einsetzt, hat kürzlich einen Bericht veröffentlicht, der die Bedeutung von Transparenz als Hebel zur Erreichung öffentlicher Ziele wie Rechenschaftspflicht, Zusammenarbeit, Verständnis und Vertrauen verdeutlicht.
Um Transparenz von Technologieplattformen zu fordern, benötigen wir ein plattformunabhängiges Transparenz-Framework, etwas, das ich gerne als Inspectability API bezeichne. Ein solcher Rahmen würde es selbst den am stärksten gefährdeten Bevölkerungsgruppen ermöglichen, Beweise für Schäden durch ihre Geräte zu erfassen und gleichzeitig das Risiko zu minimieren, dass ihre Daten ohne ihre Zustimmung für Forschung oder Berichterstattung verwendet werden.
Andy Greenberg
Ngofeen Mputubwele
Julian Chokkattu
Cathy Alter
Eine Anwendungsprogrammierschnittstelle (API) ist eine Möglichkeit für Unternehmen, ihre Dienste oder Daten anderen Entwicklern zur Verfügung zu stellen. Wenn Sie beispielsweise eine mobile App erstellen und die Kamera des Telefons für eine bestimmte Funktion verwenden möchten, verwenden Sie die iOS- oder Android-Kamera-API. Ein weiteres gängiges Beispiel ist eine Barrierefreiheits-API, die es Entwicklern ermöglicht, ihre Anwendungen für Menschen mit Behinderungen zugänglich zu machen, indem sie die Benutzeroberfläche für Bildschirmlesegeräte und andere Barrierefreiheitstools, die üblicherweise auf modernen Smartphones und Computern zu finden sind, lesbar macht. Eine Inspectability-API würde es Einzelpersonen ermöglichen, Daten aus den Apps, die sie täglich nutzen, zu exportieren und sie mit Forschern, Journalisten und Fürsprechern in ihren Communities zu teilen. Unternehmen könnten verpflichtet werden, diese API zu implementieren, um Best Practices für Transparenz einzuhalten, ebenso wie sie verpflichtet sind, Barrierefreiheitsfunktionen zu implementieren, um ihre Apps und Websites für Menschen mit Behinderungen nutzbar zu machen.
In den USA können Einwohner einiger Bundesstaaten aufgrund der Datenschutzgesetze auf Bundesstaatsebene verlangen, dass die Unternehmen über sie die von ihnen erfassten Daten einsehen. Obwohl diese Gesetze gut gemeint sind, sind die Daten, die Unternehmen zur Einhaltung dieser Gesetze weitergeben, in der Regel so strukturiert, dass entscheidende Details verschleiert werden, die Schaden aufdecken könnten. Facebook verfügt beispielsweise über einen ziemlich detaillierten Datenexportdienst, der es Einzelpersonen ermöglicht, unter anderem ihre „Off-Facebook-Aktivitäten“ zu sehen. Allerdings stellte das Markup bei einer Reihe von Untersuchungen zur Verwendung von Pixel fest, dass Facebook den Nutzern zwar mitteilte, welche Websites Daten weitergaben, jedoch nicht verriet, wie invasiv die weitergegebenen Informationen waren. Arzttermine, Informationen zur Steuererklärung und Informationen zum Studienkredit waren nur einige der Dinge, die an Facebook gesendet wurden. Eine Inspektions-API würde es Benutzern erleichtern, ihre Geräte zu überwachen und in Echtzeit zu sehen, wie die von ihnen verwendeten Apps sie verfolgen.
Einige vielversprechende Arbeiten werden bereits geleistet: Mit der Einführung des App-Datenschutzberichts durch Apple in iOS 15 konnten iPhone-Benutzer erstmals detaillierte Datenschutzinformationen anzeigen, um die Datenerfassungspraktiken jeder App zu verstehen und sogar Fragen zu beantworten wie: „Hört Instagram auf mein Mikrofon?“ ?“
Aber wir können uns nicht darauf verlassen, dass Unternehmen dies nach eigenem Ermessen tun – wir brauchen einen klaren Rahmen, um zu definieren, welche Art von Daten von Benutzern einsehbar und exportierbar sein sollen, und wir brauchen eine Regulierung, die Unternehmen bestraft, wenn sie diese nicht umsetzen. Ein solcher Rahmen würde Benutzern nicht nur die Möglichkeit geben, Schäden aufzudecken, sondern auch sicherstellen, dass ihre Privatsphäre nicht verletzt wird. Einzelpersonen könnten wählen, welche Daten sie wann und mit wem teilen möchten.
Eine Inspektions-API wird es Einzelpersonen ermöglichen, für ihre Rechte zu kämpfen, indem sie die Beweise für Schäden, denen sie ausgesetzt waren, mit Menschen teilen, die das öffentliche Bewusstsein schärfen und sich für Veränderungen einsetzen können. Es würde Organisationen wie dem von mir mitbegründeten und geleiteten Digital Witness Lab in Princeton ermöglichen, datengesteuerte Untersuchungen durchzuführen, indem sie eng mit gefährdeten Gemeinschaften zusammenarbeiten, anstatt sich für den Zugang auf Technologieunternehmen zu verlassen. Dieser Rahmen würde es Forschern und anderen ermöglichen, diese Arbeit auf sichere und präzise Weise durchzuführen und, was am wichtigsten ist, die Einwilligung der geschädigten Menschen in den Vordergrund zu stellen.