 |
# taz.de -- Kommentar Schutz von Kundendaten: Das große Sammeln |
|
|
|
> Für die meisten Unternehmen sind Daten erst dann persönlich, wenn es |
|
> einen zugehörigen Namen gibt. Das ist falsch. Und gefährlich für Nutzer. |
|
|
 |
Bild: Der Fingerabdruck ist weniger eindeutig als digitale Metadaten |
|
|
|
So ein Fingerabdruck ist einzigartig. Wie sich die Linien formen, wo Wirbel |
|
entstehen, das gibt es kein zweites Mal, nicht einmal bei eineiigen |
|
Zwillingen. Und trotzdem ist kein ganzer Fingerabdruck notwendig, um den |
|
zugehörigen Menschen zu identifizieren. Zwölf Punkte des Mustergeflechts |
|
reichen gemeinhin aus. |
|
|
|
Diese Information sollte man im Hinterkopf behalten, wenn es um die Frage |
|
geht, wann Daten so individuell sind, dass sie Rückschlüsse auf eine Person |
|
zulassen. Unternehmen machen es sich bei dieser Frage meistens leicht: |
|
Persönlich wird es erst, wenn ein Name dabeisteht. Umgekehrt heißt das: die |
|
Kaufhistorie samt Schuhgröße, Brillenstärke und |
|
Lebensmittelunverträglichkeit gespeichert, aber Name gelöscht? Ist doch |
|
anonymisiert, also alles super! |
|
|
|
Nein, ist es nicht. Denn Daten sind persönlich, lange bevor es um Namen, |
|
Adressen oder Kombinationen von Geburtsdaten und Postleitzahlen geht. Und |
|
das wird zunehmend zum Problem. Zu sehen ist das aktuell in der |
|
Autobranche. Dort geht das große Sammeln gerade los. Das vernetzte Auto |
|
macht es möglich, dass Hersteller gigabyteweise Daten speichern, von der |
|
Motordrehzahl bis zur GPS-Position, von der Zahl der eingelegten CDs bis |
|
zur Tankfüllung. Einfach nur, weil es geht. |
|
|
|
Auch BMW sammelt fleißig mit und weil das Unternehmen nicht nur Autos |
|
verkauft, sondern über die Beteiligung an dem Carsharing-Dienst DriveNow |
|
auch Autos vermietet, hat das kürzlich für größeren Aufruhr gesorgt. Dabei |
|
unterliegt auch BMW der bequemen Annahme, dass nicht persönlich ist, was |
|
keinen Namen dabeistehen hat. Zwar speichert ein in den |
|
Carsharing-Fahrzeugen verbautes Modul diverse Fahrzeugdaten, unter anderem |
|
den Standort. Aber Bewegungsprofile zu erheben oder zu speichern bestreitet |
|
das Unternehmen. Schließlich habe man keine Namen, die hat nur DriveNow, |
|
das wiederum keinen Zugriff auf die Standortdaten habe, abgesehen vom |
|
Start- und Endpunkt der Fahrt. |
|
|
|
## Individuelle Bewegungsmuster |
|
|
|
Doch so einfach ist es nicht. Zur Erinnerung: Beim Fingerabdruck sind zwölf |
|
Punkte notwendig, um seinen Träger zu identifizieren. Forscher der |
|
Harvard-Universität und des Massachusetts Institute of Technology (MIT) |
|
haben sich vor drei Jahren angeschaut, wie eindeutig eigentlich |
|
Standortdaten sind, also die Kombination von Zeitpunkt und Ort. Sie nahmen |
|
sich dafür die Daten von Handynutzern vor, das ist praktisch, weil hier |
|
viele Ort-Zeit-Kombinationen vorliegen. Das Ergebnis: Mit vier zufällig |
|
ausgewählten Punkten konnten sie 95 Prozent der Nutzer identifizieren. Mit |
|
elf Punkten erreichten sie hundert Prozent. Das Muster, in dem wir uns |
|
bewegen, ist also noch individueller als unser Fingerabdruck. |
|
|
|
Durch die gemeinschaftliche Nutzung des Fahrzeugs könnte eine |
|
Identifizierung beim Carsharing etwas schwieriger sein als bei |
|
Handynutzern. Andererseits werden vermutlich die gleichen Nutzer häufig die |
|
gleichen Strecken zurücklegen, nur eben mit verschiedenen Autos. Und wie |
|
lange die Daten gespeichert werden, verrät BMW nicht. Doch je länger die |
|
Daten aufgehoben werden, desto mehr Information lassen sich herauslesen, |
|
auch ohne Namen. |
|
|
|
Bewegungsdaten haben längst nicht nur Mobilfunkanbieter und Autohersteller. |
|
Sondern zum Beispiel auch Fitnesstracker. Sie sammeln Vitaldaten von |
|
Herzfrequenz bis Kalorienverbrauch und kombinieren sie mit |
|
Geschwindigkeiten und zurückgelegten Strecken, um dadurch das Absolvieren |
|
oder Nichtabsolvieren eines Sportpensums zu ermitteln. Die Daten? In der |
|
Cloud. Also beim Anbieter. Was der Anbieter damit macht, welche |
|
Auswertungen er erstellt, an wen er sie in welcher Form weitergibt und |
|
welches Niveau eigentlich der Schutz vor unbefugten Zugriffen auf die |
|
Server hat – all das weiß der Jogger mit dem Fitnessarmband nicht. Wenn er |
|
Glück hat, hält sich der Anbieter daran, was er in die Allgemeinen |
|
Geschäftsbedingungen geschrieben hat. Wenn der Nutzer viel Glück hat, sind |
|
diese auch noch verständlich formuliert und eindeutig. Obwohl, das wäre |
|
eigentlich schon extrem viel Glück und mithin unwahrscheinlich. |
|
|
|
Wie eindeutig individuell selbst Vitaldaten sein können, zeigt ein Produkt |
|
aus den USA: Ein Start-up hat dort eine Art Armband entwickelt, das als |
|
universeller Türöffner im Alltag – von der digitalen Geldbörse über das |
|
Einloggen in einen E-Mail-Account bis zum realen Öffnen von Türen – dienen |
|
soll. Der Mechanismus zum Authentifizieren: das Elektrokardiogramm, quasi |
|
die Summe der Herzaktivitäten. Die sind bei jedem Menschen unterschiedlich, |
|
abhängig unter anderem von der Größe des Herzens und der Physiologie des |
|
Körpers. Und wie es aussieht, sind die biometrischen Muster verschiedener |
|
Personen ausreichend unterschiedlich, um Nutzer voneinander zu |
|
unterscheiden beziehungsweise denselben Nutzer wiederzuerkennen. |
|
|
|
## Die IP-Adresse verrät alles |
|
|
|
Wann Daten persönlich sind, wird in den kommenden Wochen auch der |
|
Europäische Gerichtshof beantworten müssen, und zwar für Menschen, die im |
|
Internet unterwegs sind. Dabei hinterlassen sie vielfältige Spuren, aber |
|
eine, die sie nur unter Aufwand und Komforteinbußen verfälschen können: die |
|
IP-Adresse. Die hinterlässt jeder Besucher einer Seite bei deren Betreiber, |
|
ähnlich einer Visitenkarte. Ohne den Zugangsprovider – also Telekom, Kabel |
|
Deutschland oder Ähnliche – weiß der Seitenbetreiber zwar nicht, wer |
|
dahintersteht. Aber es ist eben möglich herauszufinden, wer sich bei den |
|
Anonymen Alkoholikern informiert hat, wer über die Fälschungssicherheit von |
|
Ausweisdokumenten und wer die Anschaffung eines Halogenstrahlers mit |
|
ungewöhnlich hoher Wattzahl plant. |
|
|
|
Internetnutzer, Verwender von Fitnesstrackern und -apps, Autofahrer – ihnen |
|
allen ist gemein, dass die gesammelten Daten sensibel bis kompromittierend |
|
sein können; spezifische Werbung ist dabei noch das Harmloseste. Wenn die |
|
Daten erst mal beim Hersteller sind, bei der Versicherung oder bei |
|
Unbefugten, die sich in den Server gehackt haben und sämtliche |
|
Bewegungsprofile veröffentlichen, dann fragt niemand mehr, ob es stimmt, |
|
was das Auto da aufgezeichnet oder die Fitnessapp gemessen hat. Im Zweifel |
|
gegen den Nutzer. |
|
|
|
5 Aug 2016 |
|
|
|
## AUTOREN |
|
|
 |
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Biometrie |
|
Datenschutz |
|
Schwerpunkt Überwachung |
|
Lesestück Meinung und Analyse |
|
Schwerpunkt Überwachung |
|
Datenschutz |
|
Hacker |
|
Internet |
|
o2 |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
Privacy Shield |
|
Edward Snowden |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Kommentar Tracking und IP-Adressen: Verfolgung im Dunkeln |
|
|
|
Auch wenn das Urteil zu IP-Adressen positiv zu bewerten ist, gibt es viele |
|
Arten des Trackens. Die User erfahren davon nichts – das muss sich ändern. |
|
|
|
Telefónica und Kundendaten: Big Data mit Rabatten |
|
|
|
Kunden sollen belohnt werden, wenn sie der Nutzung ihrer Bewegungsprofile |
|
zustimmen. Datenschützer sind einverstanden. |
|
|
|
Nerd hilft: „Man kann jede Seite hacken“ |
|
|
|
Unbekannte haben vergangene Woche die Homepage von Hamburg Wasser gehackt. |
|
Ein Mitglied des Chaos Computer Clubs erklärt, warum Menschen so was tun |
|
|
|
http://: Happy Birthday, WWW! |
|
|
|
Auch ein riesiges Netz beginnt irgendwann mal mit einem einzigen Knoten. |
|
Vor 25 Jahren ging die erste Website ans Netz. |
|
|
|
O2 wird eine Bank: Konto mit Mobilfunkanschluss |
|
|
|
Der Telekommunikationsanbieter O2 steigt in den Bankensektor ein. Der |
|
Schritt ist Teil eines Branchenwandels. |
|
|
|
Dokumentarfilm über das Dark Web: Was seit 1984 im Netz geschah |
|
|
|
Drogen, Waffen, Kinderpornos, aber auch Schutz vor totalitärer Repression. |
|
„Down the Deep, Dark Web“ erkundet virtuelle Anonymität. |
|
|
|
Gutachten zur Vorratsdatenspeicherung: Die katalogisierte Bevölkerung |
|
|
|
Der Generalanwalt des Europäischen Gerichtshofs fordert eine strenge |
|
Prüfung der Verhältnismäßigkeit. Diese sollen nationale Gerichte vornehmen. |
|
|
|
Kommentar Privacy Shield: Ein Schild aus Luft |
|
|
|
Das EU-US-Datenschutzabkommen Privacy Shield taugt nicht viel. Ein Blick |
|
auf die Ombudsstelle zeigt, warum das so ist. |
|
|
|
Sicherheitsexperte über Kybernetik: „Über Gott hinwegsetzen“ |
|
|
|
In seinem Buch „Maschinendämmerung“ beschäftigt sich der Sicherheitsexper… |
|
Thomas Rid mit der Ideengeschichte der Kybernetik. Ein Gespräch. |
