@_tillwe_
@AtariFrosch War dann gestern später als gedacht. Unbefriedigenderweise kann ich auch noch nichts neues sagen. Derz. Positionierung siehe ..

9:27 12. Jan

@_tillwe_
@AtariFrosch … in diesem Plenarprotokoll (Sckerl, relativ am Anfang): landtag-bw.de/Wp15/Plp/15_00… – interne Debatte geht weiter

9:28 12. Jan

Das Protokoll ist natürlich ein PDF, Verlinken wäre ja sonst zu einfach. Dort kann man dann unter anderem aus der Rede von Hans-Ulrich Sckerl nachlesen:

Für mich, für uns ist wichtig: In dem einen Bereich gibt es einen Richtervorbehalt nach der Strafprozessordnung, und in dem anderen Bereich haben wir die Kontrolle durch die G-10-Kommission. Was darüber hinaus bekannt zu geben ist, muss der Innenminister entscheiden und verantworten.

Ah, der vielzitierte Richtervorbehalt. Kennt der Herr Sckerl wirklich nicht den Vortrag über das Grundrecht auf digitale Intimsphäre vom 25C3 — übrigens zufälligerweise von @vieuxrenard (und Constanze Kurz)? Da wird sehr eindrücklich erläutert, was der Richtervorbehalt heute noch wert ist. Also auf diesen Richtervorbehalt beruft sich der Herr Sckerl. Darf ich mal kurz lachen? Und glauben solche Politiker etwa auch noch an den Weihnachtsmann?

Wir sind auch der Meinung: Der Innenminister hat richtig gehandelt, indem er den Einsatz der Software unverzüglich gestoppt hat und so lange stoppt, bis alle aufgetauchten Fragen geklärt sind und eine rechtssichere Anwendung stattfinden kann.

Er hätte mal jemanden fragen sollen, der sich auskennt, auch wenn der in einem anderen Bundesland beheimatet ist. Zum Beispiel den Rechtsanwalt Thomas Stadler. Der hat nämlich gerade ausführlich dargelegt (und das hätte er dem Herrn Sckerl sicher auch schon im November sagen können), daß eine Zulässigkeit der heimlichen Installation von Überwachungssoftware juristisch zu verneinen ist. Aber vielleicht liest er das ja noch und ändert dann seine Meinung.

Das parteipolitische Geplänkel dazwischen hätte er sich übrigens gerne sparen dürfen. Es hilft nämlich in der Sache nicht weiter, und Wahlkampf hat IMHO in Parlamentsdebatten nichts zu suchen. So nebenbei würde es Parlamentsdebatten nicht nur effizienter, sondern auch weniger nervig machen, wenn man dieses Geplänkel einfach weglassen und sich auf Inhalte konzentrieren würde. (Das gilt natürlich für alle Abgeordneten in allen Parlamenten.)

Es sind technische und damit auch rechtliche Fragen aufgeworfen. Für uns ist es zwingend, eine Möglichkeit zu finden, dass eine technische Abschottung stattfindet, dass die Quellen-TKÜ, die Software, die eingesetzt wird, nicht zu weiteren Ausspähaktionen, wie ich es einmal nennen mag, eingesetzt werden kann. Da bestand nicht nur die technische Möglichkeit, sondern der Einsatz ist tatsächlich erfolgt.

Mit letzterem ist der Landshuter Fall gemeint, wo einem Geschäftsmann während einer Kontrolle am Flughafen ein Staatstrojaner aufs Notebook installiert wurde, der nicht nur Gespräche mithörte, sondern auch tausende von Screenshots an den Steuerserver schickte.

Auch hier wird übersehen, daß bereits die Installation in technischer Hinsicht eine Online-Durchsuchung ist oder zumindest die Möglichkeit dazu bietet. Denn man muß den Zielrechner ein Stück weit kennen; es muß mindestens klar sein, welches Betriebssystem in welcher Version und ggf. mit welchen Updates und Sicherheitspaketen installiert ist. Wenn man soweit ist, kann man auch problemlos in private Dateien reingucken. Das heißt: Bereits bei der Installation kann nicht sichergestellt werden, daß nur installiert und nicht noch zusätzlich Dateien geöffnet, angesehen, drauf- oder runterkopiert und/oder manipuliert werden! Man kann sich ja auch nicht unbedingt darauf berufen, daß das ja Polizisten sind, die ja die Guten[tm] sind. Was diesen Guten[tm] so alles einfällt, kann man ja regelmäßig bei Udo Vetter im lawblog nachlesen.

Und dann schießt er sich volle Kanne in den Fuß (und seiner Fraktion und Partei gleich mit):

Selbstverständlich ist es richtig zu sagen, dass wir ein Interesse daran haben, dass in Fällen von Schwerstkriminalität — es geht um Schwerstkriminalität; das zeigt auch die Fallstatistik für organisierte Kriminalität, Terrorismus und Mord — die Quellen-TKÜ grundsätzlich möglich sein muss — das sehen wir so —, aber sie muss rechtssicher, bürgerrechtssicher und im Bereich des Schutzes der Privatsphäre möglich sein. Wenn diese Voraussetzungen geschaffen werden, können wir darüber seriös und sachlich diskutieren.

Nach den bisherigen Erkenntnissen kann diese Diskussion dann also nie zustande kommen, weil diese Trennung nicht möglich ist. Es gibt keine technisch machbare und gleichzeitig rechtlich einwandfreie sogenannte Quellen-TKÜ im Internet. Es geht einfach nicht.

Die Grüne Fraktion im Landtag Baden-Württemberg versucht hier eine Grätsche, die nur daneben gehen kann. Viel besser wäre es, einzusehen, daß es sinnvoller wäre, sich an den Beschluß der eigenen Partei zu halten, der da sagt: „Onlinedurchsuchungen [...] lehnen wir ab.” Dementsprechend müssen sich Grüne Basismitglieder und Wähler an dieser Stelle sowohl von Herrn Sckerl als auch von @FraktionGruenBW doch ziemlich verarscht vorkommen.

Daß es im Landshuter Fall gerade nicht um Schwerstkriminalität ging, hat der Herr Sckerl so nebenbei auch unterschlagen. Organisierte Kriminalität ist nicht automatisch Schwerstkriminalität. Auch wenn sich mehrere in einer Bande organisieren, bringen sie noch lange keinen um. Sie müssen auch nicht unbedingt Terroranschläge planen oder sonstwie Leute ermorden (wollen). Wenn mehrere Leute über längere Zeit hinweg gemeinsam einen Server mit Phishing-Zeugs betreiben, ist das auch „organisierte Kriminalität” und nervig genug, aber keine Schwerstkriminalität. Bei Schwerstkriminalität wird dem Opfer nämlich nicht „nur” Geld geklaut, es muß um viel mehr gehen. Aber für diese Definition war wegen des ganzen parteipolitischen Geblubbers natürlich keine (Rede-)Zeit mehr übrig.

Immerhin sieht wenigstens Till Westermeyer ein, daß da grade was schiefläuft:

@_tillwe_
@AtariFrosch Siehe auch nochmal die grüne Positionierung hier: piratenpartei-bw.de/2011/10/12/off…

09:30 12. Jan

@AtariFrosch
@_tillwe_ Danke, ich werd mich da mal durchwühlen, kann aber schon absehen, daß es nicht wirklich befriedigend sein wird …

13:00 12. Jan

@_tillwe_
@AtariFrosch Ist leider so, ja.

13:04 12. Jan

Der Trialog begann eigentlich schon mit einem Tweet vom 16. Dezember und ging folgendermaßen:

mit Link auf Einsatz von sogenannten „Trojanern“ durch die baden-württembergischen Ermittlungsbehörden [PDF]

mit Link auf diesen Artikel in der Stuttgarter Zeitung vom 09.11.2011: Land plädiert für Trojaner: „Die Polizei braucht dieses Instrument”

mit Link auf Einsatzverbot für Staatstrojaner der Grünen Bundestagsfraktion.

Danach klinkte sich @vieuxrenard aus, dafür kam @AlexSchestag in die Diskussion — Grünes Basismitglied in Baden-Württemberg und am Wahlprogramm-Beschluß zum Thema nicht ganz unbeteiligt:

erneut mit Link zum Artikel in der Stuttgarter Zeitung.

mit Link zu Fragen Onlinedurchsuchung [PDF] bei Netzpolitik.org

Daraufhin antwortete der Account der Grünen Fraktion Baden-Württemberg nicht mehr (zumindest nicht bis 2011-12-22 19:27 Uhr). Ich hoffe ja, daß der genannte Sachverständige @_tillwe_ sich diesbezüglich noch äußert, ansonsten verspielt die Grüne Fraktion im Landtag Baden-Württemberg gerade wieder ein Stück Glaubwürdigkeit, indem sie ihr eigenes Wahlprogramm ignoriert.

Ganz einfach: Der tagte gerade und taugte als formales Beschlußgremium. Und man wollte das noch vor der WTO-Sitzung, die bis Morgen läuft, abgestimmt haben, um bei der WTO-Runde ACTA zu unterzeichnen.

Ah, der war also grad zufällig da, also nehmen wir mal den, auf Fachkenntnisse kommt es dabei ja nicht an. Zwar soll das ganze noch durch das EU-Parlament, aber dessen Meinung zum Thema Datenschutz und Grundrechte war schon in der Vergangenheit, sagen wir, umstritten.

Eigentlich liegen die Aufgaben des Fischereiausschusses, was der Name auch aussagt, ja in einem völlig anderen Bereich:

1. das Funktionieren und die Entwicklung der gemeinsamen Fischereipolitik und deren Verwaltung;
2. die Erhaltung der Fischbestände;
3. die Gemeinsame Marktorganisation für Fischereierzeugnisse;
4. die Strukturpolitik in den Bereichen Fischerei und Aquakultur, einschließlich der Finanzinstrumente für die Ausrichtung der Fischerei;
5. die internationalen Fischereiabkommen.

(Quelle: Website des Fischereiausschusses)

Die Beschlüsse des Ausschusses zu finden, ist gar nicht so einfach, obwohl sich der Ausschuß Offenheit auf die Website geschrieben hat. Man bekommt Dokumente grundsätzlich nur als PDF, und die Beschreibungen und Dateinamen sind absolut nicht aussagekräftig. Also muß man andere Wege gehen, um herauszufinden, worüber außer über Fischerei dieser Ausschuß noch so beschlossen hat.

So findet sich beispielsweise mit einem Google-Suchlauf der Hinweis (und das hatte ich noch im Hinterkopf gehabt), daß der Fischereiausschuß im Jahr 2005 dafür mißbraucht worden war, die umstrittenen Software-Patente durchzuwinken; ein Vorhaben, vor dem vorher ebenfalls ausführlich und nachdrücklich gewarnt worden war. Bereits kurz vorher war ein entsprechendes Vorhaben, nämlich das diskussionsfreie Durchwinken der Patentgesetze durch den Fischereiausschuß, am Widerspruch von Polen gescheitert. Das hinderte die EU aber nicht daran, es zwei Monate später nochmal zu versuchen, auf dem gleichen Wege.

Aber auch schon viel früher wurde der Fischereiausschuß mißbraucht. So findet sich in einem älteren Artikel bei KL-Medien, 2005: Geheimdienste überwachen unkontrolliert die digitale Kommunikation in Europa folgender Hinweis (Hervorhebung von mir):

Die Bemühungen der internationalen Geheimdienste, einen einheitlichen Überwachungsstandard zu kreieren, waren von Beginn an rechtlich nicht legitimiert und fanden nahezu unbemerkt von der Öffentlichkeit statt. Er geht auf ein Abkommen von 1993 zurück, das zwischen den Geheimdiensten der USA, Kanada und Australien sowie den wichtigsten europäischen Mitgliedsstaaten getroffen wurde. Ziel war es, Standards für eine möglichst in Echtzeit stattfindende Überwachung des weltweiten digitalen Datenverkehrs zu entwickeln. Die Medien haben diesen Hintergrund während der Diskussion um die Vorratsspeicherung im Jahre 2005 nicht berücksichtigt.

1993 hatten sich die USA, Kanada und Australien mit den wichtigsten EU-Staaten in den „International Requirements for Interception“ (Internationale Abhöranforderungen) darauf geeinigt, gemeinsam ein System zur Überwachung des Telekommunikationsverkehrs in Echtzeit zu entwickeln. Bei weiteren Treffen wurde das Vorgehen mit Vertretern aller EU-Staaten abgesprochen. Die „Abhöranforderungen“ wurden in „Benutzeranforderungen“ (International User Requirements, IUR) umbenannt.

1994 gingen die „Benutzeranforderungen“ nach heftigen Diskussionen durch den US-Kongress. Zum EU-Ratsbeschluss kam es 1995. Tony Bunyan von Statewatch [UK] deckte damals auf, dass die IUR in einer Nacht- und Nebelaktion fast unverändert und als beschlossene Sache am EU-Parlament vorbei – durch den Fischereiausschuß gingen. Als dies im Jahre 1997 bekannt wurde, kam es zum Eklat.

Dennoch wurde im Mai 2000 das EU-Rechtshilfe-Übereinkommen unterzeichnet, das den Informationsaustausch und die Vernetzung bei Ermittlungen vereinfachen soll und im Detail auch die Möglichkeit zum grenzenlosen Abhören digitaler Kommunikation in §18 regelt. Das EU-Parlament verlangte mehrheitlich die Streichung des §18. Dem wurde aber nicht Rechnung getragen. Die endgültige Fassung wurde dem EU-Parlament nicht einmal mehr vorgelegt.

Bei der Gelegenheit habe ich festgestellt, daß die Geschichte der Vorratsdatenspeicherung viel älter ist, als mir das bislang bewußt war. Schon damals war der EU-Fischereiausschuß das Mittel der Wahl, um antidemokratische Schweinereien am EU-Parlament und an der Öffentlichkeit vorbei zu beschließen.

Es stellt sich die Frage, warum sich die Mitglieder des Fischereiausschusses nicht gegen diesen Mißbrauch ihres Gremiums wehren. Haben sie etwa selbst ein Interesse daran, Demokratie, Meinungsfreiheit und Grundrechte in den EU-Staaten auszuhebeln? Oder haben sie den Mißbrauch ihres Gremiums noch gar nicht bemerkt? In jedem Fall sollten sie sich endlich mal Gedanken darüber machen, worüber sie zu entscheiden genötigt werden, obwohl sie sachlich gar nicht zuständig sein können, und dementsprechend handeln.

Ich frage: Was bringt das? Wer bezahlt mir das?

Sie: Das müssen Sie ja nicht beim Fotografen machen, das können Sie auch selbst mit einer Digitalkamera machen. Es muß auch nicht biometrisch sein oder so.

Ich frage: Wozu soll das gut sein?

Sie: Mehr Sicherheit und blah, blah, blah …

Ich sage: Es bringt mir also mehr Sicherheit, wenn mehr Daten auf der Karte gespeichert werden, die dann geklaut werden können?

Sie: Nein, dann kann sie nicht mißbraucht werden.

Ich: Das wurde sie bisher auch nicht, also muß ich wohl irgendwas richtig machen.

Sie wiederholt den Mißbrauchsspruch.

Ich: Was kann ich dafür, wenn andere nicht mit ihrer Karte umgehen können?

Ich hab sie dann noch ein wenig darüber aufgeklärt, daß ich bezüglich der Sicherheit und des Datenschutz ganz anderes gelesen habe und daher die eGK einfach nicht haben will. Sie verwies auf den Gesetzgeber, der das haben will. Ich machte ihr klar, daß ich nicht einsehe, Gesetze zu befolgen, die mir und anderen nur Nachteile bringen, aber keinen Nutzen haben. Da hat sie doch ein wenig gestutzt.

Ergebnis: Ich muß kein Bild hinschicken, versichert bin ich “natürlich” trotzdem weiterhin. Man werde sich mit mir wieder in Verbindung setzen, wenn meine jetzige Krankenkassenkarte abläuft. Das ist dann Anfang 2014, bis dahin kann sich noch viel ändern …

So ein bißchen erinnert mich das übrigens an die Sparkasse mit ihrem ChipTAN-Generator. Bringt den Kunden auch nichts, wird aber eingeführt, weil es so viel sicherer aussieht. Nur daß da nicht der Gesetzgeber dahintersteht, sondern eine Fehlplanung der Sparkassen.

Das Hauptinteresse liegt dabei auf den Äußerungen der Kunden über die Produkte oder den Service des Unternehmens. Anhand dieser gesammelten Daten kann das Unternehmen so jederzeit genau sagen, welches seiner Produkte bei der Kundschaft gut ankommt, und welches durchgefallen ist.

Da fühlte ich mich doch sehr daran erinnert, daß mir im Zusammenhang mit einem anderen Unternehmen immer wieder bestimmte Suchbegriffe aufgefallen waren. Zwar ging es da um die Telekom, aber die IP-Adressen, die mit diesen Suchbegriffen ankamen, sind interessanterweise in Hamburg ansässig — also genau da, wo auch der Otto-Versand Daten über Kritik sammeln läßt.

Mir stellt sich die Frage, ob das Zufall ist. Die Telekom hat ihren Hauptsitz in Düsseldorf, es wäre also naheliegend, hier auch die entsprechende Abteilung sitzen zu haben. Wurde da was an eine spezialisierte Firma „outgesourct”?

Telepolis schreibt:

Für die Nutzer des Internets stellt sich damit jedoch auf ein Neues die Frage, welche Informationen gebe ich öffentlich preis und welche behalte ich besser für mich.

Für sich behalten sollte man berechtigte Kritik meiner Ansicht nach nicht. Allerdings kann es zu unangenehmen Anwaltsschreiben kommen, wenn ein Unternehmen quasi nur drauf wartet, im Netz scharf kritisiert zu werden. Das hatten wir ja hier im Blog zum Thema Primacall/Advovox. Da wurden kritisierende Kunden offensichtlich an berichteten Details erkannt und bekamen dann zumindest teilweise Abmahnungen, in einem Fall weiß ich sogar von einem Gerichtsverfahren — wegen der Äußerungen in den Kommentaren hier im Blog.

Allerdings fällt es am Ende nur negativ auf ein Unternehmen zurück, wenn sich öffentlich kritisierende Kunden nicht namentlich äußern können, sich hinter Anonymisierungsdiensten verstecken müssen und auch nur sehr ungenau berichten können, um nicht erkannt zu werden. Letzteres nimmt dem Bericht dann wieder Glaubwürdigkeit, was zwar vielleicht dem Ruf des kritisierten Unternehmens nützt, aber nicht wirklich weiterhilft, weil sich so ja nichts ändern kann. Die Wahrheit muß man publizieren können, auch wenn das den verursachenden Unternehmen nicht paßt. Es liegt ja an ihnen selbst, negative Kritik gar nicht erst aufkommen zu lassen.

Auf der anderen Seite finde ich es auch nicht gerade optimal, wenn Kunden ihre negative Kritik erst in die Öffentlichkeit tragen müssen, damit sich ein Unternehmen endlich mal drum kümmert (oder, falls nicht, andere gewarnt werden). Und dann ist immer noch nicht gesagt, ob die verursachenden Mißstände beseitigt werden. Wenn ich lesen muß

Wenn ein Kunde im Netz einmal zu unzufrieden auftritt, nehmen sie persönlichen Kontakt mit ihm auf, fragen nach, was genau passiert ist und geloben Besserung.

dann frage ich mich, ob nach dem Gelöbnis über den Einzelfall hinaus auch noch mehr passiert. Meiner Erfahrung nach, gerade bei sehr großen Unternehmen, bleibt es bei dem Gelöbnis, und es ändert sich gar nichts.

Dann helfen aber auch ein paar Hundert „Social Media Agenten” nichts; allein, daß sie angeblich nötig sind, spricht nicht für ein Unternehmen.

Wir können sehen, dass auch die Anlage Ihres ersten Accounts mit dem Benutzernamen XXX2 erfolgreich war. Aus diesem Grund hat das System den Benutzernamen vermutlich als bereits vergeben gemeldet.

Warum sagt es mir aber nicht beim ersten Versuch, daß der Datensatz angelegt wurde? Nur weil ich JavaScript eingeschaltet und die Seite neu geladen habe? Nee, ne?

Ich antwortete:

Mein erster Benutzername, der als „schon vorhanden” abgelehnt worden war, war XXX1. XXX2 war der zweite. Der dritte, XXX3, könnte natürlich tatsächlich schon vergeben sein, ist ja kein seltener Name. Erst mit dem vierten wurde die Anmeldung bestätigt.

Und warum werden die Daten — und nicht nur der Benutzername, sondern offenbar auch die Mailadresse — eingespeichert, wenn dem Benutzer gleichzeitig ein Fehler im Anmeldeformular gemeldet wurde? DAS ist nämlich das eigentliche Problem. Ein Freund hat mir diesen Fehler mittlerweile bestätigt, er hatte ihn schon vor längerer Zeit festgestellt.

Daß die Mailadresse nun nicht mehr verwendet werden kann, dürfte viele Durchschnittsnutzer vor ein Problem stellen: Sie nutzen meiner Erfahrung nach häufig nur eine einzige Mailadresse und haben dann keine andere mehr, auf die sie mal eben ausweichen können.

Die Daten dürfen einfach noch nicht in die Datenbank geschrieben werden, wenn ein Eingabefehler festgestellt und dem Nutzer gemeldet wird. Hierum sollten sich Ihre Programmierer mal kümmern. Das ist so ein primitiver Programmierfehler, der einem kommerziellen Anbieter wie Ihnen einfach nicht passieren darf!

So nebenbei: JavaScript auf dem PC des Benutzers ausführen zu dürfen, ist zwar in diesem Fall sicher angenehm, um die eingegebenen Daten vorab teilweise schonmal formal überprüfen zu können. Selbstverständlich müssen jedoch trotzdem alle Eingaben auf dem Server nochmals sorgfältig überprüft werden, schon um SQL-Injections zu vermeiden.

Es muß aber für den Benutzer auch ohne gehen, denn mindestens bei sicherheitsbewußten Surfern ist JavaScript standardmäßig abgeschaltet. Und wenn Sie bzw. Ihre Programmierer schon meinen, daß es unbedingt mit JavaScript sein müsse, dann weisen Sie den Benutzer VOR der ersten Eingabe bitte darauf hin. Der notwendige Reload nach dem Aktivieren von JavaScript war einer der Gründe, warum ich nochmal einen neuen Benutzernamen wählen mußte.

> Wir bedauern die Unannehmlichkeiten bei der Anmeldung und wünschen
> Ihnen viel Spaß bei der Veranstaltung!
Programmierfehler sind keine Unannehmlichkeiten, die einfach passieren, sondern Programmierfehler, die beseitigt gehören.

[1 kB Werbefooter gelöscht -- so macht man sich auch keine Freunde]

MfG

Daraufhin erhielt ich gestern noch eine kurze Antwort:

Ein Account mit dem Benutzernamen XXX1 und der E-Mail-Adresse XXX1@… wurde bereits am 15.04.2011 online angelegt.

Bitte seien Sie versichert, dass die Daten bei einem fehlgeschlagenen Registrierungsversuch nicht gespeichert werden.

Damit teilte mir Eventim genau die beiden Angaben mit, die nötig sind, um bei einem Account das Paßwort zu resetten. Muß man also nur noch die Mailadressen hacken oder so.

Auf das Thema JavaScript sind sie mit keinem Wort eingegangen, stattdessen wiesen sie nochmals auf ihre kostenpflichtige Telefonnummer hin. Die datenschutzrechtlich durchaus relevante Frage, wozu meine Telefonnummer gebraucht wird, war ihnen auch keine Antwort wert.

Die Behauptung, daß die Daten bei einem Fehlversuch nicht gespeichert würden, ist auch gelogen. Mir war mit der ersten Antwort ein Benutzername (XXX2) als gespeichert bestätigt worden, der eben nicht mein endgültiger Benutzername ist. Er war als „ist schon in der Datenbank” abgelehnt worden, nachdem ich JavaScript eingeschaltet und F5 gedrückt hatte. Davor war für mich nicht klar, daß da schon etwas gespeichert worden war, denn ich konnte das Einspeichern ja scheinbar gar nicht anklicken!

Damit ist die Sache mit JavaScript oder nicht JavaScript noch viel komplizierter. Ohne JavaScript ist es offenbar nicht unmöglich, die Daten einzuspeichern, aber es ist unmöglich, die Einspeicherung festzustellen, denn man kommt von der ersten Eingabeseite aus nicht weiter.

Den Footer (übrigens 1150 Bytes lang) haben sie natürlich auch wieder mit angehängt. Darunter klebte meine Mail im Vollzitat. Mit E-Mail können sie also auch nicht umgehen.

Heute versuchte ich nun, das Paßwort für den Account XXX1 zu resetten, den ich mir offenbar im April angelegt hatte, ich weiß nicht mehr, zu welchem Zweck. Jedenfalls hatte ich mir die Account-Daten nicht notiert, was eigentlich nicht meine Art ist, aber halt mal passieren kann. Ich dachte, das beste, was ich tun kann, ist, diesen Account zu löschen, aber dazu muß ich mich ja erst nochmal damit einloggen.

Abgefragt wurde nicht nur der Username, sondern auch die Mailadresse, mit der man sich angemeldet hatte. Wenn man die also auch vergessen hat, muß man entweder alle durchprobieren oder der Account bleibt eine Karteileiche. Praktischerweise hatte man mir aber ja die passende Mailadresse offenbart.

Ich gab also die Mailadresse so an, wie sie mir mitgeteilt worden war, und bekam kurz darauf eine E-Mail mit einem neuen Paßwort an diese Adresse (es war übrigens keine der beiden, die ich bei der neuen Anmeldung verbraten hatte; ich hab da ja eine gewisse Auswahl). Das Ergebnis des Versuchs, mich damit einzuloggen, sieht man hier rechts nebendran.

Oder, im Klartext: Das mitgeteilte neue Paßwort funktioniert nicht. Damit kann ich den Account nicht löschen.

Eventim kann das alles aber noch viel besser. Oben hatte ich ja festgestellt, daß es möglicherweise neben dem jetzt aktiven und dem Account XXX1 noch einen dritten Account XXX2 gibt. Also mal testen: Login, Paßwort — schau an, den gibt’s. Also will ich den löschen. Ich finde das Menü zum Ändern der Kundendaten, aber eine Löschfunktion ist nicht erkennbar.

Nochmal: Es gibt keine erkennbare Funktion, um einen Account zu löschen.

In den Datenschutzbestimmungen läßt sich Eventim auch nicht darüber aus, wie sie es mit dem Löschen halten. In der Hilfe findet sich allerdings folgende Ansage:

Eine Löschung Ihres Accounts können Sie derzeit nicht über unseren Webshop vornehmen. Dies nehmen wir natürlich gerne für Sie vor. Schreiben Sie uns dazu bitte eine E-Mail.

Geben Sie dabei bitte Ihre letzte Bestellnummer oder alternativ Ihren Benutzernamen an.

Na suuuper, Ihr Helden! Ist man nicht mal in der Lage, so eine Funktion zu programmieren? Aua, aua, aua.

Und die Fails gehen weiter: Ich hatte beim Anlegen des neuen (endgültigen) Accounts die Möglichkeit angezeigt bekommen, einen Haken für einen Newsletter zu setzen. Den habe ich nicht gesetzt. Nun ratet mal, was heute auf der Mailadresse des neuen Accounts eintraf …

… zwar mit der Möglichkeit, sich wieder auszutragen, aber verdammt nochmal, wenn ich den Haken nicht setze, dann will ich den auch mit Austrage-Möglichkeit nicht!

Der Newsletter ist übrigens locker-flockige 144.927 Bytes groß und wollte auch noch einen ganzen Schwung Bilder von der Eventim-Website nachladen; zum Glück macht Thunderbird das nur, wenn ich das für eine Mailadresse explizit zulasse. Handy-Nutzer mit UMTS sind über solche unerwarteten und fetten Newsletter sicher, ähm, „hoch begeistert”.

In ihrer Datenschutzerklärung stellen sie dann indirekt klar, daß dieser Haken nur ein Feigenblatt ist:

Die im Zusammenhang mit dem Ticketerwerb erhaltenen Informationen werden außerdem genutzt, um dem Nutzer den EVENTIM-Newsletter zuzusenden und um diesen zukünftig darüber zu informieren, wenn gleiche oder ähnliche Veranstaltungen wie die, für der Nutzer ein Ticket erworben hat, stattfinden, sofern der Nutzer dem nicht widersprochen hat.

Ich habe mich umgehend ausgetragen und bin mal gespannt, ob sie es schaffen, sich das auch zu merken.

Liebe Künstler, liebe Hallenbetreiber, bitte organisiert Euren Kartenverkauf über eine Firma, die ihre Website und ihre Software im Griff hat und die sich an den Datenschutz hält, oder erzieht Eventim dazu, ihren Kram in Ordnung zu bringen! So geht das einfach nicht.

Ich bin mehr als der Name in meinem Paß oder Personalausweis. Ich bin ein mündiges menschliches Wesen mit dem Recht, den Namen für meine Online-Identität frei zu wählen.

Ich bin namensautonom.

Am 8. August 2011 ist der globale Tag der Namenssouveränität. Um Deine Unterstützung zu zeigen, benutze einfach einen Avatar in einer einzelnen Farbe Deiner individuellen Wahl.

Das Bild stammt von der @forschungstorte und darf und soll frei verbreitet werden.

• Arbeitslose sollen Fragebögen ausfüllen und ihre Talente und Schwächen auf einer Skala von eins bis fünf bewerten. Abgefragt werden auch sogenannte soft skills wie Kommunikations- und Konfliktverhalten oder Teamfähigkeit.
• Die Ergebnisse werden mit einem Arbeitsvermittler besprochen.
• Möglich ist auch ein Interview mit einem Psychologen der BA.
• Wer will, kann obendrein ein Assessment-Center besuchen.

Der Test als solcher, durchgeführt von Fachleuten, klingt ja erstmal nicht schlecht, vorausgesetzt, er ist wissenschaftlich abgesichert. Er könnte den Leuten helfen, sich selbst besser einzuschätzen. Aber man kennt ja unsere ARGEn, und es wird ja auch gleich genannt: Der Fachmensch, der die Untersuchung durchführt, darf das Ergebnis nicht einfach nur dem Arbeitslosen mitteilen. Die Daten kommen auf den Tisch, und der Arbeitsvermittler bekommt damit eine gute Chance, dem Arbeitslosen zu erklären, wo er denn überall falsche, sprich unerwünschte Angaben gemacht haben könnte. Sollte der Arbeitslose dann immer noch glauben, daß er bestimmte Dinge nicht könne, findet sich sicher eine Möglichkeit, den bösen Arbeitslosen zu sanktionieren. So von wegen mangelnde Bemühungen oder sowas.

Aber auch an den „Fachleuten” ist zu zweifeln. In den letzten zwei Jahren haben zwei „Fachleute” (Psychiater), die mich beide nur einmal gesehen haben, in ausführlichen Gutachten behauptet, ich sei mindestens für 6 Stunden am Tag arbeitsfähig. Das haben sie zwar nicht überprüft, denn sie testeten nur mein Wissen und meine Intelligenz, aber nicht meine Leistungsfähigkeit, aber das störte niemanden weiter, denn die beiden Herren sind ja „Fachleute”. Die Rentenversicherung fand das jedenfalls toll und warf mich dann erstmal raus. Und wenn meine Klage beim Sozialgericht genug Schimmel angesetzt hat, ist zu befürchten, daß ich mir von dort auch sagen lassen muß, daß die „Fachleute” natürlich recht haben und ich mir nur zu wenig zutraue.

Insbesondere direkt bei der Arbeitsagentur angestellten Psychiatern und Psychologen unterstelle ich außerdem, daß sie ein bevorzugtes Interesse daran haben, ihrem Arbeitgeber zu Gefallen zu sein. Dazu fällt mir ein: Letztens wurde mir aus Bayern zugetragen, daß Ärzte — auch niedergelassene — generell darauf hinarbeiten, Menschen als arbeitsfähig zu deklarieren, auch wenn die Realität dem widerspricht.

Da könnte man meinen, die Bundesagentur habe Sorge, überflüssig zu werden. Die Rentenversicherungen wiederum freuen sich doch über jeden eigentlich Erwerbsunfähigen, den sie nicht alimentieren müssen. Ärzte und Psychologen beeinflussen kann sicher nicht nur die Pharmaindustrie. (Ich weiß, ich bin paranoid. Steht zumindest in den beiden Gutachten. Aber selbständig zu denken und eigene Schlüsse zu ziehen schadet nicht.)

Der letzte Punkt der Liste, ein Assessment-Center, ist natürlich witzlos, wenn es gar keine Stellen gibt. Das ist rausgeworfenes Geld. Ich hatte schonmal das zweifelhafte Vergnügen, an einem solchen teilnehmen zu „dürfen” — die einfache Frage, wie ich denn erstmal soweit kommen soll, wenn ich mal länger arbeitslos bin und mein Lebenslauf bereits Brüche hat, kann und will da auch keiner beantworten. Oder doch: Gelegentlich wurde mir dann schon mal empfohlen, den Lebenslauf zu schönen. Wie ich das machen sollte, ohne ihn zu fälschen, konnte man mir allerdings auch nicht verraten.

Nur mal zur Erinnerung: Es war der Bundesrat selbst, der diesen Pseudo-Verbraucherschutz vor gut zwei Jahren durchgewunken hat, genauso wie vorher schon der Bundestag, damals noch mit Justizministerin „was ist nochmal ein Browser” Zypries. Und bereits damals hatte nicht nur ich gesagt, daß das nichts bringen wird.

Aber auf Leute, die sich auskennen, muß man ja nicht hören. Lieber läßt man der Wirtschaft die „Freiheit”, weiter die Bürger zu belästigen, um ihnen Telefon-, Internet-, Handy- oder Stromverträge, Lottospiele, Weinflaschen und was weiß ich sonst noch alles anzudrehen.

Aus dem gleichen Grund wird ja auch nichts gegen das Listenprivileg unternommen. Lieber läßt man die Belästigung zu, indem man den Datenschutz aufweicht, als den Gewinnmachern irgendwie ins Handwerk zu pfuschen.

Nun hoffen wir mal, daß die späte Erkenntnis auch zu einem Gesetz führt, das wirklich eine Eindämmung bewirkt. Natürlich kann kein Gesetz jemanden daran hindern, massenweise andere Leute anzurufen. Aber wenn die dadurch angeblich zustande kommenden Verträge schriftlich bestätigt werden müssen, dürfte das Geschäft für viele Telefonspammer sinnlos werden. Zusätzlich nötig zu einem solchen Gesetz wäre dann eine breite Aufklärungskampagne, damit Verbraucher nicht trotzdem noch übers Ohr gehauen werden.

Schließlich fehlt dann noch eine europaweite gesetzliche Abstimmung, damit die Spam-Kampagnen dann nicht aus anderen Ländern nach Deutschland schwappen (und umgekehrt natürlich). Ich sehe zwar die Nummer im Display immer noch nicht, aber bei mir rufen regelmäßig Callcenter an, deren Mitarbeiter mit französischem Akzent be’aupten, direkt aus „Fronkraisch” anzurufen, um mir Weine zu verkaufen. Deutsches Recht könnte französischen Telefonspammern natürlich egal sein. Und ein entsprechender Vertrag der EU mit der Schweiz wäre dann vermutlich auch noch sinnvoll.

[Update 2011-07-22 15:15] Jens Ferner hat da auch mal noch was dazu geschrieben: Gesetzentwurf: Kein Vertragsschluss mehr am Telefon ohne Bestätigung [/Update]

Eigentlich wollte mich Holger Koepke einladen. Ich hatte ihm nämlich in einem Kommentar geschrieben, er möge mich von Google+ überzeugen. Gut, das kann man natürlich nur, wenn ich da auch mal reingucken kann. Ich folgte also gestern Nachmittag diesem Einladungslink. Daraufhin wollte Google erst einmal, daß ich einen Google-Account anlege — etwas, worauf ich bisher bewußt verzichtet hatte. Na gut.

Ich klickte da also rein und gab als Kontaktadresse <frosch@bilkinfo.de> an, also die Adresse, die hier im Impressum steht und die ich auch sonst öffentlich sowie im Usenet nutze, weil der Mailprovider ein Greylisting laufen hat, das mir den meisten Werbemüll vom Hals hält. Sagt mir Google doch tatsächlich: Dafür gibt es bereits einen Account. — Wie bitte?

Ich hatte bis vor zwei Jahren oder so einen AdSense-Account, allerdings nicht auf diese, sondern auf meine T-Online-Adresse. Diesen Account habe ich gelöscht, nachdem Google sich herausnehmen wollte, die Besucher meiner Seiten darüber zu tracken, und mich aufforderte, das in meine Datenschutzbestimmungen zu schreiben. Wenn ich mich tracken lasse, ist das meine Sache, aber für andere werde ich das nicht entscheiden.

Und ich habe einen Account bei YouTube, aber der läuft wieder auf eine andere Adresse, und zwar unter meiner eigenen Domain. Diese Adresse setze ich vor allem in Blogs beim Kommentieren ein. Sie ging nur ein einziges Mal in falsche Hände, als ich einem Spammer eine Mail wegen eines Kommentars in meinem Blog senden wollte und dabei versehentlich unter der privaten Adresse statt unter webmaster@ abschickte. Seitdem kommt auf diese private Adresse auch Spam, wenn auch relativ wenig, aber trotzdem war sie nie wirklich öffentlich.

Nun sollte ich also unter der bilkinfo-Adresse einen Google-Account haben, von dem ich nichts wußte. Ich setzte erst einmal das Paßwort zurück und bekam auch prompt Antwort. Dann konnte ich mich einloggen, aber von Google+ war nichts mehr zu sehen. Auch der Link in der Einladung von Holger funktionierte natürlich nicht mehr.

Gestern Abend traf ich @itnomad im IRC, und ich erzählte ihm von der verlorenen Einladung. Er meinte, er könne auch einladen, und schickte mir eine Einladungsmail. Als diese nach 30 Minuten noch nicht da war, schickte er nochmal eine. Beide kamen nie an, und itnomad bekam auch keine Fehlermeldung. Bei der ersten Mail könnte man noch vermuten, daß sie vielleicht im Greylisting hängengeblieben ist, bei der zweiten aber eher nicht mehr.

@itnomad wollte mir währenddessen ein Urlaubsfoto zeigen, das er bei Picasa (das ja auch zu Google gehört) hochgeladen hatte. Und siehe da, unter dem Foto gab es einen Link zu Google+, der versprach, man könne dort teilnehmen. Also quasi eine allgemeine Einladung. Ich klickte da drauf, wurde willkommen geheißen und landete in einem leeren Profil. Nur ein Feld war nicht leer: Die Mailadresse. Es war die private, die ich für YouTube verwendet hatte. Und ja, ich war parallel bei YouTube eingeloggt gewesen. Google hatte also das YouTube-Cookie abgegriffen und konnte sich damit aus dem YouTube-Profil meine (nicht öffentliche!) Mailadresse ziehen. Eine Einladung war nun auf einmal nicht mehr nötig: Ich war drin. Heißt das, es genügt ein Account bei einem Google-Dienst, um solche Einladungslinks innerhalb von Google-Diensten zu bekommen?

Allerdings weiß ich jetzt nicht, ob der Google-Account unter der bilkinfo-Adresse damit jetzt erledigt ist bzw. was mit meinem Google+-Zugang passiert, wenn ich den lösche.

Bevor ich mich dann gestern Abend ausloggte, fiel mir ein, daß ich jetzt eigentlich gar kein Paßwort für den Google+-Account gesetzt hatte. Es war auch nirgendwo ein passendes Feld zu sehen. Ich war dann aber zu müde, um da noch groß zu suchen, also loggte ich mich aus und verließ mich dann heute auf die Möglichkeit, das Paßwort dann eben wieder zurückzusetzen. Damit kam ich dann auch zu meinem Paßwort.

Das Paßwort, das ich bei YouTube verwende, kann es übrigens nicht sein, denn das funktioniert bei Google/Google+ selbst nicht, trotz derselben Mailadresse. Nach der Paßwortänderung bei Google/Google+ wiederum kann ich mich weiterhin mit dem alten Paßwort bei YouTube einloggen. Es sind also irgendwie zwei Accounts und doch nicht zwei Accounts; sie sind eigentlich getrennt, aber nicht sauber. Datenschutztechnisch ist das echt gruselig.

Noch ein paar erste Eindrücke von Google+:

Positiv fällt mir auf, daß es zumindest auf den ersten Blick nicht so eine massive CPU-Last produziert wie teilweise das Webinterface von Twitter. Damit kann ich beide Dienste nebeneinander laufen lassen, ohne daß mir der PC in die Knie geht. Zwar steigt auch bei Google+ die CPU-Last, wenn ich zurückblättere (wobei mir der Grund dafür bei beiden Diensten nicht klar ist, denn eigentlich belegen sie dann doch nur mehr RAM), aber nicht so extrem, wie Twitter das meiner Maschine zumutet.

Es gibt auch keine Darstellungsprobleme im Opera, was ja leider nicht selbstverständlich ist. Und die Sache mit den Kreisen gefällt mir ausgesprochen gut.

Negativ trat schnell zutage, daß Copy & Paste in und aus Google+ irgendwie nicht so richtig funktionieren wollen. Entweder wird der kopierte Text gar nicht gepastet, und das Feld bleibt leer, oder es wird ein älterer Text gepastet, den ich da gar nicht haben wollte. Da ich Twitter und identi.ca getrennt beschicke und das auch bei Google+ so halten wollte (zumal ich dort die Texte ja noch „verlängern” kann), stört das sehr. Umgekehrt kann ich damit Links aus Google+ nicht einfach so in andere Fenster pasten, auch nicht über die Browser-Funktion „Copy link address”, die sonst überall einwandfrei funktioniert.

Des weiteren fehlt mir die Anzeige, ob neue Nachrichten eingetroffen sind und wie viele. Ich kann das nur mit einem Reload nachsehen. Aber das kann ja sicher noch eingebaut werden. Schau’n wir mal.