# taz.de -- Kommentar Schutz von Kundendaten: Das große Sammeln | |
> Für die meisten Unternehmen sind Daten erst dann persönlich, wenn es | |
> einen zugehörigen Namen gibt. Das ist falsch. Und gefährlich für Nutzer. | |
Bild: Der Fingerabdruck ist weniger eindeutig als digitale Metadaten | |
So ein Fingerabdruck ist einzigartig. Wie sich die Linien formen, wo Wirbel | |
entstehen, das gibt es kein zweites Mal, nicht einmal bei eineiigen | |
Zwillingen. Und trotzdem ist kein ganzer Fingerabdruck notwendig, um den | |
zugehörigen Menschen zu identifizieren. Zwölf Punkte des Mustergeflechts | |
reichen gemeinhin aus. | |
Diese Information sollte man im Hinterkopf behalten, wenn es um die Frage | |
geht, wann Daten so individuell sind, dass sie Rückschlüsse auf eine Person | |
zulassen. Unternehmen machen es sich bei dieser Frage meistens leicht: | |
Persönlich wird es erst, wenn ein Name dabeisteht. Umgekehrt heißt das: die | |
Kaufhistorie samt Schuhgröße, Brillenstärke und | |
Lebensmittelunverträglichkeit gespeichert, aber Name gelöscht? Ist doch | |
anonymisiert, also alles super! | |
Nein, ist es nicht. Denn Daten sind persönlich, lange bevor es um Namen, | |
Adressen oder Kombinationen von Geburtsdaten und Postleitzahlen geht. Und | |
das wird zunehmend zum Problem. Zu sehen ist das aktuell in der | |
Autobranche. Dort geht das große Sammeln gerade los. Das vernetzte Auto | |
macht es möglich, dass Hersteller gigabyteweise Daten speichern, von der | |
Motordrehzahl bis zur GPS-Position, von der Zahl der eingelegten CDs bis | |
zur Tankfüllung. Einfach nur, weil es geht. | |
Auch BMW sammelt fleißig mit und weil das Unternehmen nicht nur Autos | |
verkauft, sondern über die Beteiligung an dem Carsharing-Dienst DriveNow | |
auch Autos vermietet, hat das kürzlich für größeren Aufruhr gesorgt. Dabei | |
unterliegt auch BMW der bequemen Annahme, dass nicht persönlich ist, was | |
keinen Namen dabeistehen hat. Zwar speichert ein in den | |
Carsharing-Fahrzeugen verbautes Modul diverse Fahrzeugdaten, unter anderem | |
den Standort. Aber Bewegungsprofile zu erheben oder zu speichern bestreitet | |
das Unternehmen. Schließlich habe man keine Namen, die hat nur DriveNow, | |
das wiederum keinen Zugriff auf die Standortdaten habe, abgesehen vom | |
Start- und Endpunkt der Fahrt. | |
## Individuelle Bewegungsmuster | |
Doch so einfach ist es nicht. Zur Erinnerung: Beim Fingerabdruck sind zwölf | |
Punkte notwendig, um seinen Träger zu identifizieren. Forscher der | |
Harvard-Universität und des Massachusetts Institute of Technology (MIT) | |
haben sich vor drei Jahren angeschaut, wie eindeutig eigentlich | |
Standortdaten sind, also die Kombination von Zeitpunkt und Ort. Sie nahmen | |
sich dafür die Daten von Handynutzern vor, das ist praktisch, weil hier | |
viele Ort-Zeit-Kombinationen vorliegen. Das Ergebnis: Mit vier zufällig | |
ausgewählten Punkten konnten sie 95 Prozent der Nutzer identifizieren. Mit | |
elf Punkten erreichten sie hundert Prozent. Das Muster, in dem wir uns | |
bewegen, ist also noch individueller als unser Fingerabdruck. | |
Durch die gemeinschaftliche Nutzung des Fahrzeugs könnte eine | |
Identifizierung beim Carsharing etwas schwieriger sein als bei | |
Handynutzern. Andererseits werden vermutlich die gleichen Nutzer häufig die | |
gleichen Strecken zurücklegen, nur eben mit verschiedenen Autos. Und wie | |
lange die Daten gespeichert werden, verrät BMW nicht. Doch je länger die | |
Daten aufgehoben werden, desto mehr Information lassen sich herauslesen, | |
auch ohne Namen. | |
Bewegungsdaten haben längst nicht nur Mobilfunkanbieter und Autohersteller. | |
Sondern zum Beispiel auch Fitnesstracker. Sie sammeln Vitaldaten von | |
Herzfrequenz bis Kalorienverbrauch und kombinieren sie mit | |
Geschwindigkeiten und zurückgelegten Strecken, um dadurch das Absolvieren | |
oder Nichtabsolvieren eines Sportpensums zu ermitteln. Die Daten? In der | |
Cloud. Also beim Anbieter. Was der Anbieter damit macht, welche | |
Auswertungen er erstellt, an wen er sie in welcher Form weitergibt und | |
welches Niveau eigentlich der Schutz vor unbefugten Zugriffen auf die | |
Server hat – all das weiß der Jogger mit dem Fitnessarmband nicht. Wenn er | |
Glück hat, hält sich der Anbieter daran, was er in die Allgemeinen | |
Geschäftsbedingungen geschrieben hat. Wenn der Nutzer viel Glück hat, sind | |
diese auch noch verständlich formuliert und eindeutig. Obwohl, das wäre | |
eigentlich schon extrem viel Glück und mithin unwahrscheinlich. | |
Wie eindeutig individuell selbst Vitaldaten sein können, zeigt ein Produkt | |
aus den USA: Ein Start-up hat dort eine Art Armband entwickelt, das als | |
universeller Türöffner im Alltag – von der digitalen Geldbörse über das | |
Einloggen in einen E-Mail-Account bis zum realen Öffnen von Türen – dienen | |
soll. Der Mechanismus zum Authentifizieren: das Elektrokardiogramm, quasi | |
die Summe der Herzaktivitäten. Die sind bei jedem Menschen unterschiedlich, | |
abhängig unter anderem von der Größe des Herzens und der Physiologie des | |
Körpers. Und wie es aussieht, sind die biometrischen Muster verschiedener | |
Personen ausreichend unterschiedlich, um Nutzer voneinander zu | |
unterscheiden beziehungsweise denselben Nutzer wiederzuerkennen. | |
## Die IP-Adresse verrät alles | |
Wann Daten persönlich sind, wird in den kommenden Wochen auch der | |
Europäische Gerichtshof beantworten müssen, und zwar für Menschen, die im | |
Internet unterwegs sind. Dabei hinterlassen sie vielfältige Spuren, aber | |
eine, die sie nur unter Aufwand und Komforteinbußen verfälschen können: die | |
IP-Adresse. Die hinterlässt jeder Besucher einer Seite bei deren Betreiber, | |
ähnlich einer Visitenkarte. Ohne den Zugangsprovider – also Telekom, Kabel | |
Deutschland oder Ähnliche – weiß der Seitenbetreiber zwar nicht, wer | |
dahintersteht. Aber es ist eben möglich herauszufinden, wer sich bei den | |
Anonymen Alkoholikern informiert hat, wer über die Fälschungssicherheit von | |
Ausweisdokumenten und wer die Anschaffung eines Halogenstrahlers mit | |
ungewöhnlich hoher Wattzahl plant. | |
Internetnutzer, Verwender von Fitnesstrackern und -apps, Autofahrer – ihnen | |
allen ist gemein, dass die gesammelten Daten sensibel bis kompromittierend | |
sein können; spezifische Werbung ist dabei noch das Harmloseste. Wenn die | |
Daten erst mal beim Hersteller sind, bei der Versicherung oder bei | |
Unbefugten, die sich in den Server gehackt haben und sämtliche | |
Bewegungsprofile veröffentlichen, dann fragt niemand mehr, ob es stimmt, | |
was das Auto da aufgezeichnet oder die Fitnessapp gemessen hat. Im Zweifel | |
gegen den Nutzer. | |
5 Aug 2016 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Biometrie | |
Datenschutz | |
Schwerpunkt Überwachung | |
Lesestück Meinung und Analyse | |
Schwerpunkt Überwachung | |
Datenschutz | |
Hacker | |
Internet | |
o2 | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
Privacy Shield | |
Edward Snowden | |
## ARTIKEL ZUM THEMA | |
Kommentar Tracking und IP-Adressen: Verfolgung im Dunkeln | |
Auch wenn das Urteil zu IP-Adressen positiv zu bewerten ist, gibt es viele | |
Arten des Trackens. Die User erfahren davon nichts – das muss sich ändern. | |
Telefónica und Kundendaten: Big Data mit Rabatten | |
Kunden sollen belohnt werden, wenn sie der Nutzung ihrer Bewegungsprofile | |
zustimmen. Datenschützer sind einverstanden. | |
Nerd hilft: „Man kann jede Seite hacken“ | |
Unbekannte haben vergangene Woche die Homepage von Hamburg Wasser gehackt. | |
Ein Mitglied des Chaos Computer Clubs erklärt, warum Menschen so was tun | |
http://: Happy Birthday, WWW! | |
Auch ein riesiges Netz beginnt irgendwann mal mit einem einzigen Knoten. | |
Vor 25 Jahren ging die erste Website ans Netz. | |
O2 wird eine Bank: Konto mit Mobilfunkanschluss | |
Der Telekommunikationsanbieter O2 steigt in den Bankensektor ein. Der | |
Schritt ist Teil eines Branchenwandels. | |
Dokumentarfilm über das Dark Web: Was seit 1984 im Netz geschah | |
Drogen, Waffen, Kinderpornos, aber auch Schutz vor totalitärer Repression. | |
„Down the Deep, Dark Web“ erkundet virtuelle Anonymität. | |
Gutachten zur Vorratsdatenspeicherung: Die katalogisierte Bevölkerung | |
Der Generalanwalt des Europäischen Gerichtshofs fordert eine strenge | |
Prüfung der Verhältnismäßigkeit. Diese sollen nationale Gerichte vornehmen. | |
Kommentar Privacy Shield: Ein Schild aus Luft | |
Das EU-US-Datenschutzabkommen Privacy Shield taugt nicht viel. Ein Blick | |
auf die Ombudsstelle zeigt, warum das so ist. | |
Sicherheitsexperte über Kybernetik: „Über Gott hinwegsetzen“ | |
In seinem Buch „Maschinendämmerung“ beschäftigt sich der Sicherheitsexper… | |
Thomas Rid mit der Ideengeschichte der Kybernetik. Ein Gespräch. |