In letzter Zeit habe ich viel über Datenschutzeinstellungen nachgedacht und darüber, ob sie wirklich Garantien darstellen oder nur als Kontrolle verkleidete Präferenzen sind.
Systeme wie @SignOfficial vermitteln auf dem Papier den Eindruck, dass Datenschutz konfigurierbar ist. Man erhält selektive Offenlegung, berechtigungsbasierten Zugriff und kontrollierte Weitergabe. Man entscheidet, was, wann und wem man etwas mitteilt. Es fühlt sich fast so an, als ob der Nutzer die Kontrolle über seine eigenen Daten hätte.
Je tiefer ich jedoch in die Materie eindringe, desto mehr wird mir klar, dass der Datenschutz innerhalb eines politischen Rahmens verankert ist und nicht außerhalb davon existiert.
Sicher, das System lässt dich selektiv offenlegen, aber es definiert auch die Grenzen. Welche Felder existieren, was kann verborgen werden, was muss für eine Transaktion geteilt werden. Wenn ein Dienst bestimmte Informationen verlangt, ist deine „Wahl“ nicht absolut. Du kannst ablehnen, aber dann wird der Zugang verweigert. Privatsphäre beginnt sich weniger wie volle Kontrolle und mehr wie verhandelte Teilnahme anzufühlen.
Und es wird noch trickreicher, wenn sich Richtlinien ändern. Ein Aussteller kann Anforderungen aktualisieren. Ein Verifizierer kann Regeln verschärfen. Eine Regierung kann neu definieren, was für die Einhaltung offengelegt werden muss. Die Kryptographie bleibt solide, aber die Regeln darum herum verschieben sich. Was gestern optional war, kann morgen verpflichtend werden und das System bricht nicht.
Von außen sieht alles weiterhin datenschutzbewahrend aus. Die Beweise bestätigen dies. Daten werden weiterhin selektiv offengelegt. Aber der Raum, um Dinge privat zu halten, kann leise mit jedem Richtlinienupdate schrumpfen.
$SIGN macht Privatsphäre technisch möglich, und die Werkzeuge sind vorhanden. Die Kontrollen sind vorhanden. Aber ob diese Kontrollen in den Händen der Nutzer bleiben oder langsam zu Ausstellern und Regulierungsbehörden verschieben, fühlt sich wie eine ganz andere Frage an.
Jetzt frage ich mich: In Identitätssystemen, besitzen wir wirklich unsere Privatsphäre oder dürfen wir sie nur innerhalb von Regeln konfigurieren, die sich ohne Vorwarnung ändern können?
