Datenschutz (II) - Nimmersatte

Erster Teil: Datenschutz (I) - Missverständnisse

Ein wichtiger Bestandteil des eigenen Datenmanagements ist es immer zu hinterfragen "Warum wollen die meine Daten und wofür?" und dann die Antwort einem Plausibilitätstest zu unterziehen.

Der Staat

Dass die Ermittlungs- und Strafverfolgungsbehörden geradezu datensüchtig sind, liegt klarerweise in deren Natur. Die Rechtfertigung, die Münchens Polizeipräsident Prof. Wilhelm Schmidbauer (Honorarprofessor an der Juristischen Fakultät der Universität Regensburg) im tz-Interview "Internetbetrug: „Staat lässt die Bürger allein“" zum Besten gibt, ist aber schon geradezu haarsträubend (wie der gesamte Artikel):

Wir als Polizei haben es nicht geschafft, die Gesellschaft davon zu überzeugen, dass diese Überwachungsängste unbegründet sind. Das Tragische daran ist, dass eine Überwachung ja tatsächlich erfolgt – aber nicht durch den Staat. Seit 2004 haben wir in München nur dreimal eine Wanze in einer Wohnung angebracht. Man wird im Netz nicht vom Staat überwacht, sondern von Bekannten, Freunden, vor allem aber von Neugierigen und von Konzernen, die gezielte Werbekampagnen starten wollen. Und von einer neuartigen Kriminalität, die ganz gezielt das Internet ausnutzt, um sich auf Kosten der User zu bereichern.

Da hat er recht, man wird im Netz noch nicht total vom Staat überwacht, weil das Bundesverfassungsgericht bis zur endgültigen Entscheidung ein paar Auflagen gemacht hat. Was der nette Herr Schmidbauer aber komplett unter den Tisch fallen lässt ist, dass der Staat ohne meine Einwilligung Verkehrsdaten überwachen, aufzeichen und speichern will, also

• mit wem habe ich wie lange telefoniert
• mit wem habe ich wann eMails ausgetauscht
• wann und wie lange und mit welcher Adresse war mein Rechner (oder DSL-Router) mit dem Internet verbunden
• im Falle von Mobiltelefonen auch die Funkzelle, von der aus das Gespräch geführt wurde, also der "Ort"

Anders als bei der unterstellten Überwachung durch Bekannte, Freunde, Neugierige, Konzerne und Kriminelle hat man darauf keinen Einfluß und kann nicht selbst frei entscheiden, welche Daten man zur Verfügung stellen will und welche nicht

Zudem versucht der Staat in ganz andere Bereiche des Lebens einzugreifen, nämlich in solche, auf die die Bekannten, Freunde, Neugierigen, Konzerne und Kriminellen keinen Zugriff haben, die aber ein integraler Bestandteil der Privatsphäre sind, nämlich Telefonate, eMails und Bewegungsdaten.

Wenn die Polizei jemanden überzeugen will, sollte sie erst einmal derartige Vorkommnisse abschaffen (via isotopp), dann klappt es auch wieder mit dem Vertrauensvorschuss. Sorry, das konnte ich mir jetzt nicht verkneifen.

Online-Vermarkter

Sogenannte Web Bugs findet man heute fast auf jeder Webseite. Teils wirklich noch als 1 Pixel grosse, transparente Bilder, teils in Javascript realisiert. Bei jedem Abruf einer Seite im Web kontaktiert man dadurch einen Statistikserver, der den Zugriff speichert. Oftmals kommen diese Bilder oder Code-Schnipsel in Begleitung von Web-Cookies. Der Statistikdienstleister bietet damit dem Sitebetreiber ausführliche Statistiken. Da die Cookies der Web Bugs jedoch auf die Server des Statistikdienstleisters zeigen, hat dieser die Möglichkeit Benutzer auch über Websitegrenzen hinweg zu verfolgen, auf allen Websites, mit deren Betreibern er zusammenarbeitet. Da die Cookies im Browser gespeichert werden, ist diese Nachverfolgung über verschiedene IP-Adressen (also auch noch nach dem Ausschalten des Rechners/DSL-Routers) und beinahe beliebige Zeiträume hinweg möglich.

Ebenfalls verwendet werden die Web Bugs in HTML-eMails. Damit lässt sich ermitteln, ob, wann und wie oft der Adressat die eMail geöffnet hat. Ist der Web Bug mit einem Identifikator versehen, lässt sich über einen Abgleich mit dem Cookie auch ermitteln, ob die eMail an andere Benutzer weitergegleitet wurde.

Besonderes Interesse an diesen Daten haben Online-Vermarkter. Die Erstellung möglichst genauer Profile ermöglicht ihnen zielgerichtet Werbung einzublenden.

Für den Firefox Webbrowser gibt es die Erweiterung Ghostery, mit deren Hilfe sich dieses Ungeziefer aufspüren und blockieren lässt.

Weitere Datenkraken

Diese Datensammelwut ist aber nicht auf das Internet oder Medien im weiteren Sinne beschränkt, sondern zeigt sich u.a. in Gestalt:

• der unzähligen Überwachungskameras (CCTV), die zum "Schutz" installiert werden. Untersuchungen (PDF) im Rahmen des SCAN-Projekts haben ergeben, dass - außer in Ausnahmefällen - keine Veränderung und schon gar keine Verbesserung der bestehenden Situation, nach Aufstellen der Kameras erfolgte.
  Brandon C. Welsh und David P. Farrington zeigen in ihrem Buch "Making Public Places Safer" sogar, dass man mit besserer Straßenbeleuchtung oft und ganz generell (z.B. in puncto Verkehrssicherheit) mehr erreicht.
  Wie sich George Orwell heute wohl fühlen würde, mit einer Vielzahl von Kameras um sein Haus herum und ob der Tatsache, dass es in Großbritannien eine Überwachungskamera pro 14 Bürger gibt?

• der massenhaften, automatischen Erfassung von Autokennzeichen und dem Abgleich der Daten mit Fahndungsdateien. Zwar muss sichergestellt werden (lt. BVerfG, 1 BvR 2074/05 vom 11.3.2008), dass die Daten "technisch wieder spurenlos, anonym und ohne die Möglichkeit, einen Personenbezug herzustellen, ausgesondert werden", aber wie das mit der Umwidmung funktioniert hatte ich ja früher schon erläutert. Man muss auch nicht verstehen, wieso das Verwaltungsgericht München in einem Urteil (Az.: M 7 K 08.3052) hierzu zur Auffassung kommt

  Zweck der automatisierten Kennzeichenerfassung ist die präventive Datenerhebung ohne konkreten Anlass als Vorsorge zur Verfolgung von bzw. Verhütung von Straftaten

  wenn sie doch gar nichts speichern. Wahrscheinlich lassen sich Fahrzeuge, die demnächst zu Straftaten verwendet werden sollen, ab Zulassungsstelle am Kennzeichen erkennen. "Einmal mit Profis ..."

• der Speicherung genetischer Fingerabdrücke. Großbritannien hat die größte DNA-Datenbank der Welt. Sie enthält über 5 Millionen Einträge (alleine 1 Million neue Einträge seit 2007), kostet über £ 4 Millionen pro Jahr und trotzdem sank die Aufklärungsrate der Polizei in den letzten 2 Jahren um 20%, wie metro.co.uk berichtet: "5m DNA records but less success in fighting crime".
  Sehr bedenklich ist in diesem Zusammenhang, dass, in einigen Staaten der USA, einmal aufgenommene DNA-Proben nicht wieder gelöscht werden, auch wenn die Person unschuldig ist. In Großbritannien hat sich das Home Office entschieden derartige Daten wieder zu löschen, aber erst nach grossem Widerstand in der Bevölkerung und einem Urteil [BBC] des EuGHMR. DNA-Untersuchungen mögen hilfreich sein, um die Unschuld zu beweisen, mehrere Vorfälle mit verseuchten Proben zeigen, dass sie zur Schuldfindung völlig ungeeignet sind. Zudem liegt die Fehlerquote bei ca. 0.01%, was bedeutet, dass alleine in Deutschland (82 Mio. Einwohner 2008/12) 8200 Menschen leben, die bei einem DNA-Abgleich positiv getestet würden.

• von Kundenkarten und Rabattkarten. Während normalerweise ein Einkauf, etwa in einem Supermarkt, recht anonym abläuft (noch mehr, wenn man mit Bargeld bezahlt) ändert sich das mit dem Einsatz von Kundenkarten oder Rabattkarten (wie z.B. payback) schlagartig. Diese Karten ermöglichen es, über einen unbestimmten Zeitraum hinweg, sämtliche Einzelposten eines Einkaufs einer Karte und damit einer Person zuzuordnen. Damit weiss das Unternehmen u.a. wieviele Packungen Kondome, wieviele Flaschen Alkohol, wieviel Toilettenpapier, welche und wieviele Produkte zur Körperpflege man gekauft hat.

  Daraus lassen sich dann hübsche Rückschlüsse ziehen:

  • drei Packungen Kondome mal 5 Stück alle 14 Tage ergibt täglichen Sex.
  • 10 Schachteln Zigaretten jede Woche, das wird ein kurzes Leben.
  • nie Gemüse oder Obst, immer nur Tiefkühlpizza zeugt von ungesunder Ernährung.
  • nur eine Packung Duschgel alle acht Wochen zeugt von arg wenig Körperpflege.
  • 10 Flaschen Rotwein pro Woche, das dankt die Leber.

  Je mehr Firmen an firmenübergreifenden Rabattsystemen teilnehmen, desto umfassender wird das Profil. In gewisser Weise ermöglicht dies sogar (Hinweis: Tankstellen) einfache Bewegungsprofile zu erstellen).

  Richtig kritisch wird es, wenn diese Daten "abhanden kommen". Dann wird man vielleicht eines morgens vom Personalchef mit einer Kündigung in der Hand begrüsst und als Grund findet sich: "Aufgrund Ihres Alkoholkonsums und Ihrer Sexsucht stellen Sie ein übermässiges Risiko für die Firma dar."

Wer sich bis jetzt immer noch nicht gruselt, dem werfe ich noch ein INDECT [ZEIT online][beck-blog][winfuture] hinterher. Jetzt aber, oder?

Aber nein, das Ziel meines Artikels ist es keinesfalls Panik oder auch nur Furcht zu erzeugen.
Wie eingangs geschrieben, soll eine Sensibilisierung erfolgen, die die Menschen dazu anhält, etwas sorgsamer und bewusster mit ihren Daten umzugehen, gerade auch im täglichen Leben. Bei fast allen Daten, die man von jemandem abruft, hinterlässt man auch eine eigene Datenspur. Dies sollte man sich immer vor Augen halten.