Über Inhaltsdaten schreiben, ohne Inhaltsdaten zu nennen
Adrienne Fichter, die am 28. Januar 2020 den Artikel “Die Probleme mit der Schweizer E-Identität” im Online-Magazin Republik geschrieben hat, ist mit meiner Darstellung der Einordnung von Inhaltsdaten nicht einverstanden. Sie schreibt auf Twitter:
Frau Fichter bittet mich, nachzulesen. Die massgebliche Passage im Republik-Artikel ist in ihrem Tweet zitiert. Ich habe also nochmals gelesen:
Wir stellen fest, dass der Artikel den Begriff “Inhaltsdaten” nicht verwendet. Und doch hatte ich in meinem Artikel Folgendes geschrieben:
Das ist jedoch nicht das Ende der Diskussion. Hier fängt die Analyse erst an. Und sie ist wertvoll. Als Stimmbürger darf man Adrienne Fichter dankbar sein, dass sie dem Thema auf den Grund geht.
Zunächst Folgendes:
Die Frage, ob und warum der IdP Inhaltsdaten sieht, ist wichtig. Welche Bezeichnung man den Vorgängen zuordnet, ist jedoch nicht wichtig. |
Und jetzt – analysieren wir den fraglichen Textabschnitt genauer (es wird um die grün markierten Ausführungen gehen):
Als durchschnittlicher Leser muss man diese Ausführungen wie folgt verstehen, der Reihe nach:
- “wenn Lena Fischer sich etwa bei Digitec einloggt” beschreibt Folgendes: Lena Fischer benutzt die E-ID, um sich bei Digitec einzuloggen. Es geht darum, was ich hier als “Modell #3” beschrieben habe.
– Behauptung republik.ch: Der IdP erfährt das.1)
– Meine Einschätzung: Der IdP erfährt das.*
1) “das” bezieht sich jeweils auf den fett gesetzten Text, der den Spiegelstrich einleitet (in Anführungs- und Schlusszeichen).
- “wenn [Lena Fischer] den Kauf abbricht” beschreibt Folgendes: Lena Fischer hat also die E-ID benutzt, um sich bei Digitec einzuloggen. Digitec hat somit vom IdP die Bestätigung erhalten, dass Lena Fischer gegenüber dem IdP die erforderlichen Nachweise erfolgreich erbracht hat. Diese Bestätigung erfolgt mittels einer Datenübertragung vom IdP an Digitec (Punkt-zu-Punkt-Kommunikation zwischen IdP und Digitec): Digitec wird z.B. einen Token vom IdP erhalten. Nach Erhalt dieses Tokens wird Digitec die Session mit Lena Fischer weiterführen. Es gibt keine Verbindung des IdP in die Session zwischen Digitec und Lena Fischer hinein.
– Behauptung republik.ch: Der IdP erfährt das.
– Meine Einschätzung: Der IdP erfährt nicht, welche Aktivitäten zwischen der Relying Party (Digitec) und der Nutzerin (Lena Fischer) weiter ablaufen. Es gibt keine Verbindung des IdP in die Session zwischen Digitec und Lena Fischer. Damit weiss der IdP auch nicht, ob Lena Fischer einen Kaufvorgang beginnt, den Kaufvorgang bei Digitec abschliesst oder ihn abbricht. Die Aussage in republik.ch ist somit nicht zutreffend. Ob der Kaufvorgang zu Stande kommt, wäre aus der Perspektive des IdP ein Inhaltsdatum. Deswegen schliesse ich: Im republik.ch-Artikel wird unrichtig behauptet, dass der IdP Inhaltsdaten sieht.
- “[wenn Lena Fischer] später bei Galaxus weitersurft“, diese Aussage hat zwei Teilkomponenten. Hier zunächst Teilkomponente #1, die Folgendes beschreibt: Lena Fischer benutzt die E-ID, um sich bei Galaxus einzuloggen (siehe oben, analog zu Digitec).
– Behauptung republik.ch: Der IdP erfährt das.
– Meine Einschätzung: Der IdP erfährt das.*
- “[wenn Lena Fischer] später bei Galaxus weitersurft“, nun zu Teilkomponente #2, die Folgendes beschreibt: Lena Fischer hat sich eingeloggt und es entwickeln sich in der Session bei Galaxus weitere Aktivitäten. Da es keine Verbindung des IdP in die Session zwischen Galaxus und Lena Fischer hinein gibt, erfährt der IdP nicht, ob Lena Fischer weitersurft.
– Behauptung republik.ch: Der IdP erfährt das.
– Meine Einschätzung: Der IdP erfährt das nicht. “Weitersurfen oder nicht”, das ist hier die Frage. Und es geht hier aus der Perspektive des IdP um Inhaltsdaten. Auch deswegen schliesse ich: Im republik.ch-Artikel wird unrichtig behauptet, dass der IdP Inhaltsdaten sieht.
- “[wenn Lena Fischer] danach die Steuererklärung im Kanton St. Gallen ausfüllt“, hat ebenfalls zwei Teilkomponenten. Teilkomponente #1 beschreibt Folgendes: Lena Fischer hat sich beim Kanton St. Gallen eingeloggt.
– Behauptung republik.ch: Der IdP erfährt das.
– Meine Einschätzung: Der IdP erfährt das.*
- “[wenn Lena Fischer] danach die Steuererklärung im Kanton St. Gallen ausfüllt“, nun zu Teilkomponente #2: Es gibt keine Verbindung des IdP in die Session zwischen dem Server des Kantons St. Gallen und Lena Fischer hinein. Damit ist es dem IdP nicht möglich zu erfahren, ob Lena Fischer auf dem Server des Kantons St. Gallen die Steuererklärung ausfüllt.
– Behauptung republik.ch: Der IdP erfährt das.
– Meine Einschätzung: Der IdP erfährt das nicht. Steuererklärung ausfüllen oder nicht, das ist hier die Frage. Und es geht hier aus der Perspektive des IdP um Inhaltsdaten. Auch deswegen schliesse ich: Im republik.ch-Artikel wird unrichtig behauptet, dass der IdP Inhaltsdaten sieht.
*Was Kenntnis des IdP genau bedeutet, darauf gehe ich in einem separaten Blog-Beitrag genauer ein.
Natürlich erfährt es der IdP nicht direkt wenn Lena Fischer das Einkaufen bei Digitec abbricht. Er kann aber aus den verschiedenen Logins und Zeitstempel sehr wohl Annahmen darüber treffen, in welchem Shop Frau Fischer schlussendlich eingekauft hat (und wo eben nicht).
Analoges gilt bei der Steuererklärung: Aus dem einmaligen Einloggen alleine lässt sich das nicht ableiten, vielleicht ärgert sich Frau Fischer ja dann über schlechte Usability und greift zum Papierformular. Wenn sie dann aber über mehrere Tage immer wieder einloggt, dann kann der IdP daraus analytisch sehr wohl schliessen, dass Frau Fischer ihre Steuererklärung erfasst und vervollständigt.
Ich zitiere die Antworten von meinen Kollegen und mir aus unserem Dialog auf Twitter, damit diese auch hier abgebildet sind:
Alles hängt von der Implementierung ab und schlussendlich von der Verbreitung des IdP. Lena Fischer bricht den Einkauf bei Digitec ab. Der IdP kann aber aus den verschiedenen Logins und Zeitstempel sehr wohl Annahmen darüber treffen, in welchem Shop Frau Fischer schlussendlich eingekauft hat (und wo eben nicht). Das Trackingpotenzial durch Korrelation dieser Daten ist enorm. Je nach Implementierung durch den RP (Digitec) kann auch recht gut nachvollzogen werden ob der User noch aktiv ist… zum Beispiel mit einem Sessionscheck vom RP zum IDP. Ein Online-Shop kann vor dem Kauf nochmals eine Authentisierung verlangen (das gibts auch).
Da ich mein Beispiel auch basierend auf den Aussagen der Privacy Webinars mache, zitiere ich gerne aus dem genannten Video: https://www.youtube.com/watch?v=fNyOEeB7sVs&feature=youtu.be
Aus dem Transkript: “wenn jemand auf Digitec ist, er surft da 20 Minuten, er macht dann einen Absprung zu Microspot, dann seh ich (IdP) das und kann daraus schlussfolgern. dass er beim 1. Shop nicht fündig geworden ist. Wenn ich (Shop) sage vor dem Kauf brauchts dann eine neue Authentisierung. Dann weiss ich: noch vor dem Kauf kommt nochmal eine neue Anmeldung. Dann kann ich (IDP) anhand der ausserplanmässigen Anmeldung sagen ob er etwas gekauft hat”
Und – wie es ein anderer Kollege schon sagt- ob man die Steuererklärung ausfüllt oder ein Baugesuch einreicht, dürfte für den IdP auch erkennbar sein, da es sich je nach Ausgestaltung um unterschiedliche Departemente mit unterschiedlichem Login handeln könnte. Auch das ist Realität, siehe Kanton Solothurn.
Nochmals: ich rede von Nutzungsdaten und Metadaten. NICHT Inhaltsdaten.
Was der IdP erfährt über eine eID-Userin, ist dennoch viel und aussagekräftig: Location, Time, Language, welche Computermarke, Browser, in welchem RP.
Fest steht: Es gibt keine systembedingt auf den Systemen des IdP entstehenden Daten, die das abspeichern, was Sie in Ihrem Beitrag in der Republik.ch vom 28.01.2021 beschrieben haben. Siehe: https://e-idblog.ch/2021/02/09/idp-sehen-keine-inhaltsdaten/
Ihr obiger Kommentar basiert auf der Annahme, dass es Mitarbeitende beim IdP gibt, die sich hinsetzen und bewusst und aktiv Vermutungen darüber anstellen, was die Nutzerin gewollt haben könnte. Das wäre ein Verstoss gegen Art. 9 Abs. 1 BGEID.
Jetzt könnte man sagen, dass genau dieses Risiko bestehe. Also müsste sich über dieses Risiko unterhalten. Und zwar als Risiko, nicht als Automatismus oder Fakt.
Was man aber bereits festhalten kann und muss: Dass der IdP über keine eigenen Daten verfügt, um solche Aussagen zu machen, sondern solche erst mittels zusätzlicher Datenanalyse beschaffen muss. Das muss man sagen, sonst ist die Darstellung falsch. Mehr dazu in: https://e-idblog.ch/2021/02/23/behauptung-der-idp-wird-dich-im-internet-ueberwachen/
Das Beispiel Digitec / Microspot ist in Ihrem Artikel falsch umgesetzt, selbst auf Basis des Transkripts ergibt sich nicht, was Sie schreiben. Dort steht: “macht dann einen Absprung zu Microspot”. Absprung heisst bestenfalls “nicht mehr auf Seite von digitec, sondern neu auf Seite von Microspot surfen”. Aus dem Transkript des Privacy Webinars ergibt sich “Kauf abbricht” nicht. Dies kann also kein Beleg sein für die Aussage, die sie in Bezug auf “Lena” auf der Seite von “digitec” machen (“Kauf abbricht”). Es bleibt falsch, was Sie schreiben.
Selbst wenn es so wäre, dass unterschiedliche Departement beim Kanton St. Gallen unterschiedliche Anschlussverträge mit einerm IdP haben. Der IdP hat keine Anhaltspunkte dafür, ob die Nutzerin eine Steuererklärung ausfüllt (dies wurde aber in der Republik.ch falsch behauptet), ob sie eine Fristerstreckung beantragt oder Einsicht in Steuerunterlagen eines Dritten verlangt. Es würde sich bei all diesen Punkten um Inhaltsdaten handeln.
Metadaten entstehen auf dem Server dessen, der ein System kontrolliert. Der IdP hat keinen Zugriff auf den Server z.B. des Kantons St. Gallen als Relying Party (oder eines seiner Departemente). Damit sinde Metadaten für den IdP fremd und nicht ersichtlich. Erhielte der IdP Kenntnis von Daten auf dem Server eines Dritten, lägen aus der Perspektive des IdP Inhaltsdaten vor.