Anderenfalls würde jeder die Apps sofort deinstallieren und auf OpenSource-Alternativen ausweichen.
Ich wünschte, ich hätte deine Zuversicht. Bis heute schaffe ich es nicht, die Leute in meinem Bekanntenkreis, die keine Nerds und/oder Datenschutzaktivisten sind, auch nur davon zu überzeugen, ihre E-Mails mit PGP zu verschlüsseln (ihr Hauptargument: „ist zu kompliziert“); geschweige denn, auf einen freien und Open-Source-Chatclient zu migrieren, am besten Matrix-basiert, wo man notfalls sogar den Server selbst betreiben kann. Einerseits ist es die Mühe, sich an eine neue Software zu gewöhnen und auf liebgewonnene Funktionen zu verzichten (tatsächlich existiert meines Wissens nach leider noch kein Matrix-Client, welcher den Funktionsumfang von Discord hat, was vor allem Rollen und Benutzerrechteverwaltung auf Servern bzw. in Kanälen angeht, wie sie für größere Communitys echt nützlich sind); andererseits greift der bekannte Netzwerkeffekt: Selbst wenn du es schaffst, mit Argumenten all deine Kontakte vom Wechsel zu überzeugen, bleibt es an ihnen hängen, all ihre eigenen Kontakte zu überzeugen, womit sie die gleiche Tortur durchmachen müssen wie du, und an denen bleibt wiederum hängen, deren Kontakte zu überzeugen etc... Mark Zuckerberg hat schon richtig erkannt, dass man die Leute zu Beginn mit Features locken muss, und ab einem gewissen Punkt kommen sie von allein zu der Plattform bzw. bleiben dort, weil all ihre anderen Kontakte ebenfalls dort sind.
Nicht einmal bei E-Mails, wo man dank des offenen Protokolls keinen Netzwerkeffekt hat, setzen sich die besten und datenschutzfreundlichsten Anbieter in der Masse durch. Nimmt man eigene Domains oder berufliche E-Mail-Adressen, die über den Arbeitgeber laufen, hinaus; wo sind da die meisten Leute unterwegs? Bei Google, Yahoo oder irgendwelchen Freemailern à GMX & Co.. Google liest alles mit, bei Freemailern wird über Spam & Co. gejammert, aber wenn man den Leuten zeigt, dass es Anbieter wie Posteo oder ProtonMail gibt, werden viele davon abgeschreckt, dass der Service dort Geld kostet, so nach dem Motto: „Warum dafür bezahlen? E-Mail gibt es doch kostenlos.“ Dass man als User nicht der Kunde, sondern das Produkt ist, mag ja wehtun, aber nicht so weh wie einen Euro im Monat für das E-Mail-Konto abdrücken zu müssen (Basispreis bei Posteo, gezahlt wird per Prepaid-Aufladung für mindestens ein Jahr im Voraus, also 12 Euro Minimum).
(Nachtrag 2: An der Stelle ist auch bei uns etwas Selbstkritik angebracht. Wir kaufen und spielen Videospiele, die mit Anti-Cheat-Tools und Denuvo verseucht sind, welche ebenfalls weitläufige Rechnerscans vornehmen können und das auch tun, weil für uns ein Verzicht auf diese Spiele wegen solcher „Lappalien“ nicht in Frage kommt, wo sie doch so „gut“ sind und alle darüber reden.)
Und diese Leute sind auch die Zielgruppe, welche die EU ansprechen will: Datenschutz ist ihnen ohnehin nicht wichtig genug, aber wenn sie „Kindesmissbrauch“ hören, verfallen sie in blinden Aktionismus, für Gegenargumente ist dann kein Platz mehr und sie würden alles abnicken.
(Nachtrag: In China, dem Musterbeispiel für totale Überwachung, spielt sich das weitgehend tatsächlich genauso ab: Die allermeisten, die man fragt, werden einem, sofern sie überhaupt wissen, dass es diese Maßnahmen gibt und es nicht abstreiten, sagen, dass das nun einmal notwendig sei, um die ganze Kriminalität zu bekämpfen und für Ordnung zu sorgen. Und wenn man auf Bildern vergleicht, wie manche chinesische Städte früher aussahen und wie sie heute aussehen, ist diese Haltung gar nicht so unverständlich. Erst, wenn sie selbst zu Unrecht mit der Staatsmacht Probleme bekommen und diese sich dabei auf die gesammelten und ausgewerteten Daten beruft, überdenken sie diese Position.)
Das Problem ist, dass für die meisten Menschen, die nicht auf einem gewissen Mindestniveau technisch und gesellschaftspolitisch versiert sind, Datenschutz und die Gefahren, die beim Abhören digitaler Medien drohen, abstrakt und nicht greifbar genug sind. Bei der Stasi sind sich alle einig, dass sie und ihre Methoden ganz böse und schlimm waren, selbst wenn man zu jung ist, um sie überhaupt erlebt zu haben, aber auf die Idee, dass auch unser Staat und seine Organe „böse“ werden können, wenn man ihnen die Mittel dazu gibt, kommen schon deutlich weniger. Niemand ließe es sich gefallen, wenn anlasslos seine gesamte Post kontrolliert und jeden Tag seine Wohnung von der Polizei durchsucht würde, aber die wenigsten denken so weit, das Prinzip auf ihre digitalen Endgeräte und ihre Online-Kommunikation zu übertragen. Wenn die Polizei „vorsorglich“ deine Wohnung durchsucht, ist das für dich sichtbar; wenn sie „vorsorglich“ dein Smartphone oder deinen PC scannt, ist es das nicht, wenn der Trojaner so funktioniert, wie sie sich das wünschen.
Anderes Beispiel, wo man diesen Effekt gut messen kann: Ich kenne Leute, die bestellen ihre Kondome und andere Dinge, die ihnen „peinlich“ sind, grundsätzlich bei Amazon oder anderswo im Netz, statt sie im Einzelhandel zu kaufen. Bei Amazon musst du deine persönlichen Daten hinterlassen und die Transaktion lässt sich prinzipiell auf ewig speichern; in der Drogerie kannst du mit Bargeld zahlen, es gibt keine Ausweiskontrolle und in ein paar Tagen weiß kaum noch jemand, was du an Tag X gekauft hast. Warum gehen diese Leute zu Amazon? Der Umstand, dass man in der Drogerie ihr Gesicht sehen kann, dass man sie dabei beobachten kann, wie sie Kondome kaufen, wiegt für sie schwerer als der Gedanke, online beim Kauf ihre persönlichen Daten zu hinterlassen. Aus Datenschutzperspektive ist völlig offensichtlich, welche Option die schlechtere Wahl ist, aus sozialer Sicht nicht so unbedingt. Im Laden könnten sie von jemandem gesehen werden, der sie kennt, und da ist die Gefahr, dass im Umfeld Gerüchte aufkochen, durchaus höher als im Internet, wo die Amazon-Typen, welche die Bestellung bearbeiten, überhaupt keinen Bezug zu den Personen haben, die da bestellen; und die Gefahr, dass mit den hinterlassenen und gespeicherten Daten wesentlich größere Schäden verursacht werden könnten, ist für die Leute entweder nicht greifbar oder sie schätzen ihre Wahrscheinlichkeit als zu gering ein. Da fällt es leichter, seine Daten und sein Verhalten irgendeinem Unbekannten anzuvertrauen, wo nicht überprüfbar ist, dass die Daten dort sicher sind, und wo man einfach ohne Grundlage darauf vertrauen muss, dass dieser Unbekannte damit nichts Schlechtes anstellt.
Wir Nerds kennen das Prinzip auch, bei uns spiegelt es sich z.B. im Gebrauch von VPNs à NordVPN & Co. wider: Wir können unseren Standort und unsere Identität gegenüber den Webseiten, die wir aufrufen, verschleiern, ja; aber unsere gesamte Internetaktivität wird mit VPN nicht anonym. Der Punkt, wo unser Internetverkehr z.B. durch den Staat oder andere Kriminelle erfassbar und auszuwerten ist, verschwindet nicht, er verschiebt sich bloß vom ISP zum VPN; und so sehr viele Anbieter auch versprechen, nicht zu loggen, können wir es nicht überprüfen. Wir können es ihnen nur glauben, es aber nicht sicher wissen. Möglicherweise loggt der VPN-Anbieter tatsächlich nicht, möglicherweise zahlen wir aber auch einen Haufen Geld für leere Versprechen bis hin zu dreisten Lügen. Warum gehen wir dieses Risiko überhaupt ein? Erstens ist ein anderer Hauptvorteil von VPNs, die Möglichkeit, Geoblocking zu umgehen, für uns beim Surfen direkt sichtbar; und zweitens rechnen wir uns aus, dass beim VPN-Anbieter zumindest die
Chance besteht, dass er tatsächlich nicht loggt und dass er, wenn er irgendwo sitzt, wo der Pfeffer wächst, auch nicht mit freidrehenden Strafverfolgungsbehörden in Deutschland, EU. etc. kooperiert, während wir sicher wissen, dass unser ISP da weniger Spielraum hat. Ebenso gehen wir instinktiv davon aus, dass das Risiko, über unverschlüsselte öffentliche WLAN-Netzwerke abgehört zu werden, wesentlich größer sei, als beim VPN-Anbieter angegriffen zu werden. Also gehen viele von uns lieber das Risiko ein, für ein VPN zu bezahlen, das nicht hält, was es verspricht; als uns mit an Sicherheit grenzender Wahrscheinlichkeit den Gefahren auszusetzen, die drohen, wenn der ISP alles sehen kann, was man macht und/oder wenn man in unverschlüsselten WLANs unterwegs ist.
Und bei einem VPN besteht wie gesagt grundsätzlich wenigstens noch die Chance, dass es die Kommunikation tatsächlich sicherer vor den Blicken von Staat und anderen Verbrechern macht. Viele setzen allerdings auch Mittel ein, die nachweislich nicht helfen und sogar neue Angriffspunkte schaffen, weil sie meinen, dass das sicherer sei als ohne diese Mittel unterwegs zu sein; da landen wir dann beim Schlangenöl, das sich die Leute auf die Rechner knallen, weil sie sich einreden (und eingeredet bekommen), dass sie das vor Malware schütze.