2008… Was war, was wird?

Auch ein Datenschützer macht sich zum neuen Jahr Gedanken. Welche Entwicklungen dürfen wir 2008 erwarten? Die Vorratsspeicherung ist aktiv, die Datensammelwut der Privatwirtschaft kennt keine Grenzen, Kameras finden sich an allen erdenklichen Orten und nicht nur diese Beobachtung wird zur “Normalität“.
Es stellt sich die Frage, wann uns der eigene Datenschatten überholt. Es ist 25 Jahre her, dass das Bundesverfassungsgericht in seinem Volkszählungsurteil Grundlegendes über das Recht auf Privatheit gesagt hat. Das Gericht hat damals eine Gesellschaftsordnung abgelehnt, “in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß”. Das Grundrecht auf informationelle Selbstbestimmung, wie es damals definiert wurde, soll den Bürger davor bewahren, “dass abweichende Verhaltensweisen notiert und als Information dauerhaft gespeichert, verwendet oder weitergeben werden dürfen”. Wer, was, wann, und über wen bei welcher Gelegenheit in Erfahrung bringen kann, ist heute schon fast Normalität.

Die Fachwelt nennt Datenschutz schon antiquiert und die Welt in der wir leben “Observosphäre“. Woran liegt es?
Zunächst ist hier sicher die technologische Entwicklung zu nennen. Technische Möglichkeiten lassen Begehrlichkeiten wachsen. Wenn wir im Supermarkt die Artikel nicht mehr auf ein Fließband legen müssen, weil selbst Butter und Zigaretten mit einem RFID-Chip ausgestattet sind, und der Einzug über eine durch die Schufa gestützte Kundenkarte den Weg zur Bank erspart, um “richtiges“ Geld abzuheben, mag die Alltagserleichterung als positiv verstanden werden, und eine weitergehende Betrachtung eventueller Risiken findet nicht statt.

Warum auch? Welches Risiko sollte schon darin bestehen, dass eine Handelskette weiß, wie viel wir rauchen, oder wie viel Butter wir verzehren?
Solange die Daten bei der Handelskette bleiben … Aber…, ist das in fünf oder zehn Jahren auch noch so?

In Kundensystemen sind aufgrund der Volkszählungsentscheidung datenschutzrechtliche Vorgaben einzuhalten. Diese führen zu Formulierungen wie: “Ich erkläre mich mit der Verwendung meiner Daten zu Werbe- und Marketingzwecken und einer Weitergabe an Dritte einverstanden.“
Und hiermit ist die Weitergabe auch von Ess- und Rauchgewohnheiten an Dritte eröffnet.

Haben Sie jetzt gedacht, dass Sie das nicht berühren kann, weil Sie Nichtraucher sind, und nicht befürchten müssen, dass Ihre Krankenversicherung Ihre Rauchgewohnheiten irgendwann erfahren und Ihnen deshalb Leistungen verweigern könnte?
Fragen Sie sich doch mal selbst, ob es nicht doch etwas gibt, das Sie gerne geheim halten würden…

Ein Datum ist ein Datum und kann beliebig weitergeben werden, wenn dazu die gesetzlichen Voraussetzungen eingehalten werden. Und die sind einfacher als man vielleicht glauben mag. Faktisch ist es so, dass Kundendaten auch zu anderen Zwecken verwendet werden dürfen, solange der Kunde dem nicht widerspricht. Mit einer darüber hinausgehenden Einverständniserklärung verzichtet jeder, der solch eine Vereinbarung unterschreibt, auf sein Recht auf informationelle Selbstbestimmung.

Beispiele? Gerne.

Die schwarze Liste

Einen Versicherungsvertrag erhält heute nur der, der durch seine Unterschrift eine Einwilligung zur Datenspeicherung- und abfrage gibt. Das „Hinweis- und Informationssystem“, kurz HIS des „Gesamtverband der Deutschen Versicherungswirtschaft“ (GdV) dient Versicherungen zur Pflege von Informationen über das Schadensrisiko von Kunden und Antragstellern. Alle im GdV angeschlossenen Unternehmen haben Zugriff auf das HIS. Es soll dazu beitragen, Versicherungsbetrug zu bekämpfen. Doch die Aufnahme in die Datei kann für Betroffene existenzbedrohend sein. Betroffene wissen nichts von den Einträgen und haben auch keinen Einfluss auf möglicherweise falsche Informationen. Dies kann dann Grundlage von Ablehnungen sein, da für Versicherungen ein Kunde, der keine Schäden verursacht und nur Beiträge zahlt, natürlich der liebste Kunde ist. Kündigungen bei Schadensfällen und Ablehnungen neuer Verträge lassen somit den Gedanken aufkommen, dass Versicherungen das HIS – System nur zur Profitmaximierung nutzen.

Beantragt ein Verbraucher beispielsweise eine Lebensversicherung, die abgelehnt wird, kommt ein Vermerk in das HIS. Ebenso verfahren die Konzerne, wenn ein potenzieller Kunde sich weigert, vorher noch einmal zum Arzt zu gehen. Stellt dieser Kunde anderswo einen neuen Antrag, kann sein Gegenüber mit Hilfe der zentralen Hinweisliste herausfinden, was ein anderer Versicherer über diesen Kunden weiß.

Was einer weiß, wissen bald alle.

In Kombination mit Auskunfteien und der Schufa entfaltet ein Informationssystem so ungeahnte Möglichkeiten. Ein schlechter Schufa-Score, weil man zufällig mit öffentlichen Verkehrsmitteln fährt und in der gleichen Straße wie ein paar Harz-IV Empfänger wohnt… Schon gilt man nicht mehr als liquide, weil im Zweifelsfall nichts zu pfänden da ist.

1983 hatten die Bundesbürger Angst vor der Volkszählung und einer Erfassung von Daten durch den Staat. Heute gibt fast jedermann freiwillig Daten preis, die weit über die Erfassungsbögen der Volkszählung hinausgehen.

Kaum ein Verbraucher, der nicht auf ausdrückliches Verlangen von Unternehmen, oder aus eigener Initiative Daten von sich hergibt. Fast jeder telefoniert mit einem Handy und besitzt eine EC- oder Kreditkarte. Und wenn der Bürger surft, kauft oder Punkte sammelt, hinterlässt er Spuren, die sorgfältig gespeichert werden. Informationen, an einer Stelle gegeben, tauchen an anderer Stelle wieder auf und werden oft sogar gegen den Betroffenen verwendet. Und wir haben uns schon daran gewöhnt…

Es lohnt sich ja auch, oder?

Man kann zum Nulltarif in den Urlaub fliegen, wenn im Job Prämienmeilen gesammelt werden. Man bekommt bei Amazon Leseempfehlungen und bei Drogerien Prämien für eine ausgeprägte Bindung zu bestimmten Anbietern. Schön, wenn man das alles auch mit Plastikgeld erledigen kann.

Was für Datenspuren hier bei den Kreditkartengesellschaften anfallen, ist für den Nutzer auch nicht ersichtlich. Die Gesellschaften können über Jahre zurückverfolgen, wo sich der regelmäßige Kartennutzer aufhält, wo er schläft, ob er viel reist, viel trinkt, für Zigarren schwärmt oder (zu) teure Geschenke macht…
Computer ermöglichen Unternehmensdaten mit öffentlich zugänglichen Quellen zu verbinden, Daten zusammenzubringen. Damit verlieren immer mehr Konsumenten die Kontrolle.

Legal? Ja, denn bevor ein Unternehmen eine umfangreiche Datei anlegt, bittet es zunächst einmal höflich um die Einwilligung seiner Kunden. Happy Digits genauso wie Miles and More oder PayBack. Danach sammeln beide Seiten. Boni und Rabattpunkte die einen, Daten die anderen. Ungenutzte Rabatte verfallen nach drei Jahren, die Daten nicht… Diese Daten nutzen Unternehmen zu allererst, um ihre Werbung genau auf den Kunden abzustimmen. Erst wird gesammelt, dann wird geschaut, wie sich die Informationen verwerten lassen.
So ist das, wenn man nichts zu verbergen hat und seine Daten selbst öffentlich macht.

Opt-In, Opt-Out und Xing

Letztlich zählt hier sicherlich auch eine Unkenntnis der Betroffenen (Verbraucher, Konsumenten) zu den datenschutzrechtlichen Bedingungen. Wer z.B. im Internet etwas bestellt, muss damit rechnen, dass seine Adressdaten an Dritte verkauft werden, es sei denn, der Kunde macht explizit geltend, dass er dieser Weitergabe widerspricht.
In der Diskussion steht hier immer wieder das Opt-In- / Opt-Out-Verfahren. Einem Betroffenen wird im Umfeld digitaler Einverständniserklärungen zum Datenschutz oftmals ein Textfeld vorgegeben, das er entweder deaktivieren oder aktivieren muss. Ein Opt-Out beinhaltet ein vorgegebenes Einverständnis des Nutzers in Form eines gesetzten Hakens, der nur durch aktives Tun des Nutzers deaktiviert werden kann. Eine solche Funktion wird gerne vom Betroffenen übersehen, ist aber dennoch in vielen Fällen rechtswirksam, so z.B. bei Newslettern oder einem Einverständnis zur Nutzung von Bestandsdaten zu Marketingzwecken.

Dass dies den wenigsten Internetnutzern bekannt ist, machen sich viele Systembetreiber zu Nutze, um Adressdaten und Kundenprofile monetär auszuschlachten.
Beachtung sollten aus Sicht Betroffener in diesem Kontext insbesondere Systeme finden, die ihren Geschäftsbetrieb auf personenbezogene Daten ausgerichtet haben. Besonders hervorgetan haben sich hier in den letzten Jahren sog. Sozialnetze wie Facebook, mySpace, Xing oder LinkedIn, die sich mittlerweile Millionen Nutzer auf die Fahne schreiben, deren personenbezogenen Daten für diese Netze das Betriebskapital bilden.

Auch im Social Network Xing AG ist aus datenschutzrechtlicher Sicht die Opt-Out-Funktion immer wieder Stein des Anstoßes. Die Xing AG stellt sich entsprechend der Mediadaten als eine Plattform dar, “mit der das berufliche und geschäftliche Netzwerk zu einer aktiv genutzten Ressource wird, denn XING ist weit mehr als ein Verzeichnis von Geschäftskontakten. Dank der erweiterten Funktionen für Kontaktsuche und -management entdecken Mitglieder auf der Plattform Geschäfts- und Fachleute, Chancen sowie auf sie zugeschnittene Angebote.“

Xing stellt eine Plattform bereit, auf der sich nichtzahlende und zahlende, sog. Premiummitglieder darstellen können. Mitglieder können nach Gusto ein Persönlichkeitsprofil mit Foto einstellen, welches dann weltweit einsehbar ist. Die Ausführlichkeit des Profils und auch die Einstellungen zur Privatsphäre können vom Nutzer selbst bestimmt werden. Allerdings sind sämtliche Funktionen in der Standardeinstellung aktiviert (Opt-Out), d.h. Mitglieder müssen Einstellungen aktiv deaktivieren, um z.B. nicht bei Google gefunden zu werden, oder Einträge in Foren nicht außerhalb der Nutzergruppe Xing öffentlich zu machen.

Der Wert der Plattform Xing liegt in den Profilen der Mitglieder, die oftmals mehr über sich preisgeben, als ihnen bewusst ist. Wie schmal der Grat zwischen Privatsphäre und Transparenz ist, zeigt der Dienst „Neues aus meinem Netzwerk“, den Xing im Dezember eingerichtet hat. Mit Hilfe dieser Funktion erfährt man, welcher Kontakt sich für neue Mitarbeiter interessiert, wer wen als neuen Kontakt hinzugefügt hat, aber auch wer was sucht und wer was bietet. Der Newsstream wird automatisch aus den Veränderungen generiert, die Nutzer an ihrem Profil vornehmen.
Bereits im Dezember gab es Kritiken an diesem System, die sich auf die Förderung von Transparenz der Mitgliederdaten durch die Standardeinstellungen bezog, eben weil sämtliche Einstellungen zur Privatsphäre als Opt-Out gestaltet sind. Insbesondere ist hier auch der Umstand tragend, dass dieser Funktionszirkel nur den Premiummitgliedern vorbehalten ist und den Mitgliedern eine gegenseitige Überwachung ermöglicht.

Als wertvoll gelten Sozialnetzwerke wie Xing, weil sie zielgruppengerechte Werbung versprechen. Möglich ist das aufgrund der oftmals recht detaillierten Nutzerprofile. Dabei werden diese umso wertvoller, je mehr Daten die Nutzer über sich bereitstellen.
Diese Systemkonstellation wurde mit Jahresbeginn seitens Xing dahingehend ausgebaut, dass – trotz mehrmaliger Zusicherungen in der Vergangenheit, Xing würde werbefrei bleiben – Xing auf den Profilen der Mitglieder Werbung einblendete und zwar sowohl bei den einfachen, als auch bei den zahlenden Premium-Kunden. Seither ging es in den Foren hoch her. In einer spontanen Abstimmung sprachen sich mehr als 6500 Mitglieder gegen Werbung aus. Erste Mitglieder verabschiedeten sich, andere drohten damit. Besondere Brisanz hatte der Umstand, dass die Premium-Kunden zwar selbst keine Werbung sehen konnten, ihre Profile aber als Werbeflächen genutzt wurden. Was dazu führte, dass manche Kunden mit Unternehmen in Verbindung gebracht wurden, die zur Konkurrenz der eigenen Arbeitgeber gehören. Gründer Lars Hinrichs bat um Verzeihung: “Wir entschuldigen uns bei Ihnen!“ “Seit Samstag, den 05. Januar 2008, sind die Profilseiten von Premium-Mitgliedern generell frei von Werbung. Wir reagieren damit auf das anhaltende Feedback, wonach die Mehrheit unserer Premium-Mitglieder keine Werbung auf ihren Profilseiten für Basis-Mitglieder wünscht. Wir bedauern es sehr, dass wir die Situation falsch eingeschätzt haben. Dafür möchten wir uns bei Ihnen entschuldigen.“
Dieses Vorgehensmodell zeigt vor dem Hintergrund, dass bei Xing die “Privatsphäre der Nutzer im Mittelpunkt stehen würde“, es damit tatsächlich nicht so ernst meinen kann. Wie sonst lässt sich erklären, dass hier die Nutzerinteressen im Kontext profilbezogener Werbung zunächst in Gänze missachtet wurden und erst auf „Wind von ganz schräg vorne“ Berücksichtigung gefunden haben.

Einen anderen Aspekt der Risikoschaffung durch soziale Netze wie Xing findet in der Presse bislang weniger Beachtung.
Social-Network-Systeme wie Xing und LinkedIn stellen Berufstätigen eine Plattform zum fachlichen Austausch zur Verfügung. Sinn und Nutzen sind nicht vom System, sondern vom inhaltlichen Umgang abhängig, Systeme werden offen gehalten und sind nur so sinnstiftend und nützlich, wie der erfasste Inhalt.
Aus unternehmerischer Sicht ist bedenklich, dass Mitarbeiter mit einem Drang zur Selbstdarstellung eine Schwachstelle für eine innerbetriebliche Sicherheitspolicy werden, wenn sie ihre Kontakte und Beziehungen interner wie auch externer Art detailliert dokumentieren und anhand eines umfangreichen Profils ausreichend Angriffsziel für gezielte Attacken des Social Engineering werden. Die so gesammelten Daten bieten die Basis für gezielte Attacken im Hinblick auf Industriespionage.
Was nutzt eine Verschwiegenheitserklärung des Mitarbeiters, wenn dieser in öffentlichen Systemen seine Tätigkeiten und Projekte fein säuberlich für jedermann lesbar deponiert und dabei dem Risiko unterliegt, dass der Sozianetzbetreiber ebenfalls Interesse an diesen Profildaten hat und alle Voraussetzungen für eine möglichst weite Transparenz des Profils schafft? Denn hierin liegt wiederum das Kapital für den Systembetreiber. Eine Karteileiche bringt wegen fehlendem Traffic keinen Umsatz, also ist jedes weitere Profildatum von Interesse für die Suchfunktionen anderer Mitglieder. Ebenso wie für diejenigen, die auf der Suche nach fundierten betriebsinternen Informationen sind. Wie willkommen ist dann eine Einstellung der Privatsphäre, die eine Erreichbarkeit des Mitgliedprofils auch außerhalb des Sozialnetzes ermöglicht und der Betroffene das Opt-Out-Verfahren zur Deaktivierung übersehen hat.
Faktisch muss man ein Sozialnetz als das sehen, was es ist. Eine Plattform, die zwar einen geschäftlichen Nutzen für die Mitglieder bereitzuhalten vermag, aber vornehmlich an einer Gewinnerzielungsabsicht orientiert ist. Und Gewinne lassen sich hier nur erzielen, wenn man die Nutzer davon überzeugt, dass es für diese von größerem Vorteil ist, dass der Systembetreiber die Daten der Mitglieder monetär verwertet. Quid pro quo.

Ausblick

In der Welt in der wir leben, sind technische Entwicklungen, die in unsere Privatsphäre eingreifen, nicht mehr wegzudenken und es wäre eine verfehlte Sichtweise, sich dagegen zu stellen, auch nicht oder gerade nicht als Datenschützer. Denn Datenschutz ist heute wichtiger denn je.
Die Instrumente des Datenschutzes bieten hinreichende Möglichkeiten, dem Gedanken der informationellen Selbstbestimmung zu entsprechen. Denn nur so kann verhindert werden, dass wir in eine Gesellschaftsform hineinwachsen, in der es nur noch um die kommerzielle Ausschlachtung von Individuen und die Ausgrenzung Andersdenkender geht. Eben weil die Wahrung von Persönlichkeitsrechten nicht den Anforderungen derer gerecht wird, die sich zum Ziel gesetzt haben, die Bürgerrechte zu missachten. Ob mit Terrorismusbekämpfung begründet oder damit, dass unser Leben bequemer wird. Jeder, der dazu beiträgt, die Freiheit der Privatsphäre und Anonymität verschwinden zu lassen und aus dem freien Bürger einen permanent observierten Konsumenten zu machen, der sich gefälligst konform zu verhalten hat, macht sich zum Totengräber der Demokratie.

Frohes neues Jahr

3 thoughts on “2008… Was war, was wird?

Comments are closed.