Alle Artikel von Stephan Noller

Wie ein no-spy Siegel funktionieren könnte

Als D64 kürzlich mit der Forderung eines no-spy Siegels für Netzwerk-Hardware an die Öffentlichkeit ging, gab es viel Zustimmung – aber natürlich auch Fragen und Kritik. Auf die alles-quatsch-kann-nie-funktionieren-alles-scheisse Kritik will ich hier nicht eingehen – nur vielleicht dies: Die NSA-Krise ist jetzt fast 2 Jahre alt, und der Schock und die Desillusionierung sitzen tief. Aber ich bin zutiefst davon überzeugt, dass wir etwas tun können – tun müssen – um so langsam wieder in den Aktionsmodus zurückzukehren und unser Netz zurückzuerobern, zumindest soweit es geht und so, dass man wieder leben kann. Und ich glaube, dass es dafür aller Ebenen bedarf – Politik, Technik, Industrie, Zivilgesellschaft, Individuum. Aber einfach nur lamentieren und alles für naiv und blödsinnig halten, was wenigstens versucht gegen den Irrsinn anzugehen, ist keine Option.

Also – es gab ja auch konstruktive Kritik. Die ging vor allem in die Richtung, dass so ein Siegel nicht funktionieren kann. Deshalb möchte ich im Folgenden unsere Überlegungen dazu darlegen, wie es doch gehen könnte. Das ganze ist ein Zwischenstand, aber ausreichend geprüft, um jetzt in die Diskussion gegeben werden zu können.

Vorweg – natürlich glauben wir nicht, die NSA-Spione mit einem Siegel aufhalten zu können. Das wird genausowenig gelingen, wie es mit Verschlüsselung, bilateralen Abkommen und Absichtbekundungen usw. möglich sein wird. Aber wir können ihnen die Arbeit schwer, und den anderen Beteiligten eine Zusammenarbeit so schmerzhaft wie möglich machen. Ausserdem die Aufmerksamkeit für das Thema dauerhaft hoch halten. Schönes Beispiel ist die aktuelle Aufregung um den Netzbetreiber des deutschen Bundestages. Wenn in Ausschreibungen eine no-spy Unbedenklichkeitserklärung (ähnlich wie die Fragebögen zu Scientology z.B.) Standard wäre, hätte Verizon vielleicht trotzdem den Zuschlag erhalten, klar. Aber sowohl der Anbieter als auch die mit der Ausschreibung betrauten Personen hätten ein zusätzliches rechtliches und moralisches Risiko eingegangen, ggf. sogar mit Schadenersatz-Forderungen bewehrt. Und wenn es jetzt zusätzlich noch ein von Thilo Weichert vergebenes Unbedenklichkeits-Siegel gegeben hätte, wäre die Sache noch deutlicher verlaufen – denn ziemlich sicher hätte Verizon Schwierigkeiten gehabt dieses Siegel zu erhalten und andere Netzbetreiber vielleicht nicht.

Also – wie könnte ein no-spy Siegel funktionieren?

Tatsächlich gibt es an verschiedenen Stellen in unserem Wirtschaftsraum ähnliche Mechanismen um die Konformität eines Gutes oder einer Dienstleistung mit bestimmten Standards sicherzustellen – zum Beispiel wenn man ein Auto in die EU einführen und dort absetzen möchte (EWG-Übereinstimmungserklärung). Viele dieser Siegel/Bescheinigungen sind schwach, und manche ihren Namen nicht wert – aber das gilt längst nicht für alle. Zusätzlich gibt es sog. Selbstregulierungsverfahren mit denen ein Industriezweig sich bestimmten Regularien unterwerfen kann um z.B. einer (härteren) gesetzlichen Regelung zu entgehen (deshalb werden diese Verfahren häufig mit dem Gesetzgeber abgestimmt, und von diesem geprüft). Sowohl die EU als auch Deutschland sind in anderen Bereichen sehr wohl in der Lage, Ihre Standards durchzusetzen und bei Nicht-Einhaltung scharf zu reagieren – warum sollte das im Bereich der Netzwerk-Technik nicht möglich sein?

Und so könnte das no-spy Siegel für (Netzwerk-)Hardware funktionieren. Als mit dem Gesetzgeber abgestimmtes Prüfverfahren nach veröffentlichten Kriterien, überwacht und vergeben von unabhängigen, zeritifizierten Dienstleistern und Gutachtern. Beaufsichtigt durch Aufsichtsbehörden, Datenschützer und den Gesetzgeber (der sich z.B. in regelmässigen Anhörungen den Stand von Vertretern der Industrie und der Verbraucherverbände, Bürgerrechtsgruppen etc. vortragen lassen kann). Zusätzlich könnte das Siegel mit den einschlägigen Branchenverbänden abgestimmt und umgesetzt werden, so daß diese ihre Mitglieder auf Konformität einschwören könnten. Das ist übrigens eine der typischen Aufgaben solcher Verbände.

Ein schönes Beispiel für solch ein Verfahren ist die kürzlich europaweit gestartete Selbstregulierung der Online-Werbeindustrie. Im Rahmen dieser Initiative gab es zahlreiche Anhörungen mit den zuständigen Vertretern der EU-Kommission in Brüssel (z.B. hier). Es gab Diskussionen mit Datenschützern (wie z.B. der Artikel29-Gruppe), mit Verbraucherverbänden und mit Technik-Experten. Am Ende einigte sich die gesamte europäische Werbe-Industrie auf verbindliche Regeln für den Einsatz datengesteuerter Werbung, es gibt eine zentrale Opt-Out Seite deren Funktionsfähigkeit regelmässig geprüft wird, ein europaweit standardisiertes Info-Icon mit verbindlichen Inhalten. Und es gibt ein zentrales Beschwerdeverfahren. Die Einhaltung der damit verbundenen Regeln wird regelmässig von zertifizierten Dienstleistern überprüft, und es gibt ein mehrstufiges Mahnverfahren incl. Public-Shaming/Siegel-Entzug um den Forderungen Nachdruck zu verleihen (man kann hier z.B. sehen wie das Public Shaming beim deutschen Werberat funktioniert).

Natürlich ist so ein Verfahren nicht wasserdicht, und Betrug gibt es immer. Aber der Druck sich konform zu verhalten ist enorm (das weiß ich persönlich sehr genau) – zusätzlich gibt es durch den engen Dialog mit den Aufsichtsbehörden und dem Gesetzgeber stets die Drohkulisse einer schärferen gesetzlichen Regelung im Falle eines Scheiterns des Programms.

Ein ähnliches Verfahren könnte für ein no-spy Siegel eingeführt werden – Anbieter solcher Hardware müssten dann in einem Zertifizierungsprozess nachweisen (oder ggf. auch nur deklarieren), dass Ihre Hardware frei von Backdoors oder anderen Spy-Komponenten ist. Dieses würde zusätzlich von unabhängigen Prüfern regelmässig überprüft, die Prüfberichte könnten öffentlich zugänglich sein (ein schönes Beispiel dafür ist das EuroPrise-Datenschutz-Gütesiegel, das u.a. von Thilo Weichert und seinem Team vergeben wird/wurde, Prüfberichte kann man hier einsehen).

Neben der direkten Kontrollfunktion hätte so ein Siegel noch eine weitere Funktion, deren Bedeutung man nicht unterschätzen sollte: Es ginge plötzlich ums Geld, denn schon das Risiko eine Ausschreibung evtl. nicht zu gewinnen, weil man das f**k Siegel nicht hat, kann einiges bewegen. Zusätzlich gäbe es legal-risks, z.B. wenn man die Konformität erklären würde und dabei Falschangaben machte. Wer schonmal in einem grösseren Unternehmen Kontakt mit der Legal-Abteilung hatte, oder gar mit einer Risk-Abteilung und die Konsequenzen von Bedenken solcher Abteilungen in Bilanzen von Unternehmen kennt (Stichwort: Rückstellungen), ahnt, welche Power so ein Siegel im Idealfall entfalten kann.

Also – wir glauben so könnte es funktionieren und werden das Thema entsprechend weitertreiben und mit den entsprechenden Stakeholdern besprechen – auf nationaler aber auch auf EU-Ebene.

Kann E-Mail Ausbeutung sein?

Von Stephan Noller

Als vor einigen Wochen die Meldung durch die Nachrichten ging, dass der Volkswagen-Betriebsrat ein Abschalten der E-Mail-Dienste für die Mitarbeiter nach 18 Uhr durchsetzt, haben wir alle erstmal gelacht: „Verstehen das Internet nicht!“ „Wollen mit alter Klassenkampfrhetorik gegen die großartige Vernetzung ankämpfen!“ „Die armen Volkswagen-Mitarbeiter müssten mal nach Berlin kommen und mit Sascha im Cafe abhängen!“ Das war der Tenor, bei uns im Unternehmen.

Nach ein paar Denkminuten kam dann allerdings das Grübeln. Grundsätzlich halte ich nämlich viel von den Errungenschaften der Arbeiterbewegung und den etablierten Schutzmechanismen, die häufig von denselben Betriebsräten aufgestellt wurden. Natürlich vor allem in Fabriken — in der alten Welt, wo Stechuhren eingesetzt werden. Andererseits: in der ersten New-Economy-Blase um das Jahr 2000 habe ich eine Insolvenz selbst hautnah miterlebt. Der Schutz von Arbeitnehmern kann auch in digitalen Unternehmen ganz schlagartig sehr relevant werden.

Und so stellte sich die Frage, warum eigentlich die Ausbeutungssorgen der VW-Betriebsräte in unserer Branche nicht gerechtfertigt sein sollen? Weil wir alle viel lässiger und selbstbestimmter als die VW-Werker sind? Weil wir private E-mails schreiben oder bei der Arbeit facebooken dürfen, solange wir wollen? Weil die meisten von uns „Alles mit Internet“ einfach so geil finden, dass Schlechtes nur beim Abschalten und offline entstehen kann? Und dann die zahlreichen Studien — über Stress-Effekte durch Einführung von Blackberries und Co, oder über eine Burn-Out-Epidemie, die offenbar nicht nur Kohlebergleute trifft? Mein Fazit: selbst für mich als Durch-und-Durch-Onliner ist die Sache offenbar nicht so einfach zu fassen.

Auf unserem nächsten Firmen-Meeting habe ich dann das Thema einfach mal angesprochen — und zunächst (natürlich?) verwunderte Blicke geerntet. Nach und nach kamen dann interessante Aspekte ans Licht. Eine Kollegin erzählte, dass sie häufig einfach nicht widerstehen könne (man sei ja eh online) und die geschäftlichen E-mails am Wochenende anschauen müsse. Und wenn man sie gelesen habe, sei es halt auch kein langer Weg, eben eine Antwort zu schreiben. Auch wenn die Zeit nicht drängt und die Antwort bis Montag warten kann. Dadurch entsteht jedoch häufig eine Kettenreaktion — drei Leute stehen auf dem Verteiler, fünf weitere auf cc, der nächste schickt seinen Kommentar, weitere fühlen sich genötigt mitzumachen – eigentlich ohne Druck, aber letztlich schon, weil man nicht als „Wochenend-Blocker“ dastehen oder am Montag als einziger mit einer späten Antwort auffallen will.

Häufig werden am Wochenende oder nach Feierabend Themen in die Runde geworfen, die objektiv bis zum nächsten Tag Zeit hätten oder bis zum Wochenenanfang. Und klar ist natürlich auch, dass der Sog umso stärker ist, je „chefiger“ der Absender einer E-mail ist. Außerdem gehen die Mails vom Chef wiederum oft an größere Verteiler, die dadurch mehr Leute beeinflussen. Im Ergebnis beschäftigen sich viele Leute in Ihrer freien Zeit „ganz automatisch“ unnötig mit Arbeit.

Natürlich meldeten sich auch Kollegen zu Wort, die diese Art permanenter Erreichbarkeit und Diskussionsbereitschaft für absolut wünschenswert halten und nicht missen möchten – was die Sache natürlich noch komplizierter macht.

Was also tun? Unsere E-Mail-Server am Wochenende abzuschalten, geht nicht, sie stehen bei Google, und da wir für unsere Kunden 24 Stunden am Tag und 7 Tage die Woche erreichbar sein müssen, brauchen wir ein Not-Kommunikations-System, das immer bereit steht. Mit bestimmten E-Mail-Betreffzeilen oder technischen Filtern („Dringend!“) zu arbeiten, um unwichtige E-mails zu erkennen, haben wir auch verworfen. Wenn man sich die Subtilität der Aufmerksamkeitsmechanismen oben ansieht, wird klar, warum – die meisten würden einfach nicht widerstehen können die email eben doch zu lesen – und sei es aus Sorge, dass alle anderen dies tun. Und ein formelles Regelwerk oder eine personelle E-mail-Kontrollstelle kam ebensowenig in Frage.

Als einzig sinnvoller Ansatz blieb der Versuch, die Email-Kultur über eine Verhaltensänderung bei denen zu ändern, die E-mails versenden: Kurz zu überlegen, ob die Kollegen im Feierabend oder im Wochenende sind, und ob die Sache jetzt wirklich dringend ist? Ein Bewusstsein dafür zu entwickeln, dass eben nicht jeder souverän entscheidet ob er/sie jetzt freihaben will, sondern dass die Mechanismen subtiler sind.

Mir persönlich fällt das schwer. Denn gerade in „Nebenzeiten“ entstehen viele Gedanken, und ich neige dazu, E-mails mit „Müssen wir unbedingt machen!“ direkt und sofort an die Kollegen zu schicken. Aber ich gebe zu, dass ich das tue, um mich selbst zu erleichtern — bei mir ist die Aufgabe damit weg aus dem Wochenende. Dass sie andere unnötigerweise aus dem selbigen zu reißen droht, war mir bisher einfach kaum bewusst.

Darum haben wir vereinbart, aufmerksamer zu sein und unwichtige E-mails am Wochenende eben in den Entwürfen zu speichern, oder die Idee an anderer Stelle zu notieren. Das ist nicht leicht und man muss sich immer wieder disziplinieren — aber das E-mail-Aufkommen am Wochenende ist dadurch definitiv gesunken in letzter Zeit. Es gibt außerdem einen angenehmen Nebeneffekt: das Thema bekommt mehr Aufmerksamkeit, weil wir uns plötzlich eingestehen, dass es auch in Ordnung sein sollte, offline zu sein. Und dass die Mechanismen, die uns davon abhalten, häufig viel impliziter und damit auch bedrückender sein können.

Ob unsere selbstauferlegte Disziplinierung dauerhaft funktioniert, kann ich noch nicht sagen — Selbstkontrolle und Aufrufe zu gutem Verhalten ringen altgedienten Betriebsräten sicherlich oft nur ein müdes Lächeln ab. Aber wir müssen das Problem irgendwie lösen -– und solange es keine Arbeitszeitmodelle dafür gibt (die Ausgleich schaffen oder disziplinieren) oder aber technische Mechanismen, bleibt erstmal nichts anderes übrig, als das Problem so zu minimieren.

Bei uns im Unternehmen würde in dem Zusammenhang übrigens nie jemand offen von Ausbeutung reden. Aber vielleicht kommt die digitale Variante der Ausbeutung nur freundlicher und auf leiseren Pfoten daher — sitzt den Leuten dann aber umso fieser im Nacken und klaut ihnen ihre Zeit. Und natürlich ist es „unfassbar uncool“, solche Regeln auch nur zu diskutieren. Aber wie cool eine Sache klingt, sollte bei ernsthaftem Umgang mit dem Thema irgendwann egal werden. Ich habe bei der Diskussion mittlerweile den Eindruck, dass man sich alte Arbeiterdiskussionen in diesem Kontext durchaus noch einmal ganz genau ansehen könnte — auch wenn man sich in der Debatte dann urplötzlich an der Seite von Betriebsräten und VW wiederfinden könnte. Für mich als Unternehmer eine durchaus ungewohnte Position.

Ach und eines noch — wir sind zufällig eine Firma, die sich offenbar den „Luxus“ leistet, über solche Dinge nachzudenken. Und unsere Lösung ist mehr als brüchig. In vielen Unternehmen können sich die Leute vermutlich nicht darauf verlassen, dass ganz zufällig auch eine derartige Aufmerksamkeits-Diskussion geführt wird. Manche Firmen sind schlicht zu groß für unsere Lösung, oder arbeiten über zu viele Zeitzonen, als dass sie das Problem über Sender-Aufmerksamkeit lösen könnten. In diesen Fällen brauchen wir wohl härtere Lösungen — also vertragliche Mechanismen und Vergütungsmodelle, oder eben E-mail-Server, die Arbeitszeitregelungen kennen und die Mails nur zu büroüblichen Zeiten zustellen. Wir Digital-Heinis sollten jedenfalls aufhören, den Mythos zu nähren, wir hätten all das, wofür Gewerkschaften Jahrhunderte gekämpft haben, mit nur einem Klick überwunden — und sind nun allzeit glücklich mit unserer Arbeit für immer verwoben.

Es stimmt einfach nicht.

========

Stephan Noller ist Mit-Gründer und Geschäftsführer von nugg.ad, einem auf Online-Werbung spezialisierten Unternehmen aus Berlin. Er hat die New Economy mitgemacht und im Dezember 2011 den Think Tank D64 mitgegründet.