Datenschutz und Datenhandel

In der letzten Woche ist erstmals auch in den deutschen Medien ausführlich von Fällen des Handels mit persönlichen Daten deutscher Bürger berichtet worden, nachdem es zuletzt u.a. in England eine Serie von Datenverlusten gab. Die Opposition schreit natürlich nach härteren Gesetzen und der Verband der Call-Center-Betreiber hat nichts besseres zu tun, als Öl ins Feuer zu gießen und den schwarzen Peter weiterzuschieben. Doch die eigentlichen Ursachen der aktuellen Probleme sind vielfältiger und nicht durch Aktionismus zu behandeln. Ich möchte darum ein paar Worte über die Thematik verlieren und das Problem von verschiedenen Seiten beleuchten.

Die Berichte in den Medien weisen darauf hin, dass Mitarbeiter von Call-Centern die Daten gesammelt und danach weiterveräußert haben. Dies erinnert mich an eine Vorlesung Datenschutz und Datensicherheit, nach der die größte Gefahr für Datenverarbeitungssysteme nicht von äußeren Angriffen durch Hackern ausgeht, sondern von den eigenen Mitarbeitern. Doch warum sind die Telekom- oder Lotterie-Daten dann nicht bei den jeweiligen Mutterfirmen verloren gegangen, sondern in den Call-Centern? Dazu muss man wissen, wie die Arbeitsbedingungen dort aussehen. Die großen Unternehmen lagern ihre Call-Center aus, um Geld zu sparen. Dies wird nur erreicht, indem unter Tarif bezahlt, mehr Arbeitszeit verlangt wird und erfolgsabhängige Gehälter auf der Tagesordnung stehen. D.h. die Mitarbeiter gerade im Outbound-Bereich stehen bei schlechter Bezahlung unter ständigem Druck, und da ist es nicht verwunderlich, wenn der Eine oder Andere sich Mittel und Wege sucht, das Gehalt etwas aufzubessern. Die Bindung an das Unternehmen ist in Call-Centern meist sehr gering und damit sinkt auch die Hemmschwelle, den Arbeitgeber zu hintergehen

Damit gibt es zumindest eine Erklärung, weshalb Menschen Daten verkaufen. Doch warum gibt es überhaupt eine Nachfrage nach den Daten der Bürger? In der Wirtschaft steckt das Problem dahinter, potentielle Kunden für die eigenen Produkte zu finden. Durch Werbung und andere Marketingaktionen spricht man nicht alle möglichen Adressaten an; und die Kunden selber bevorzugen meist bestimmte, eingeschränkte Wege der Informationsbeschaffung. Es gibt also viel Potential für die Zusammenführung von Produktanbietern und ihren Abnehmern.

Vermittler von Dienstleistungsprodukten zum Beispiel leben von der Provision, die der Produktanbieter dem Vermittler bei erfolgreichem Abschluss zahlt, und sind damit auf der Suche nach möglichst vielen so genannten Leads. Diese sind nichts anderes als die elementaren Kundendaten mit einer ansprechbaren Adresse (physisch, E-Mail oder per Telefon), in die man einen potentiellen Abschluss hineininterpretiert. Solange eine Menge von Daten so preiswert ist, dass sich aus genügend von ihnen ein Abschluss generieren lässt und die Provision diese Kosten deckt, wird es also eine Nachfrage nach den Daten der Bürger geben. Wenn der Verkäufer der Datensätze Garantien über ein bestimmtes Produktinteresse seiner Leads gibt, dann werden diese für entsprechende Käufer wertvoller, da statistisch die Chance auf einen Abschluss steigt. Somit ergibt sich die Ironie, dass mit steigender Menge von Daten die Preise dafür sinken können, weil sie für den Käufer keinen generierbaren Wert haben - während sich der Wert für die eigentlichen Besitzer der Daten, nämlich die Bürger, nicht ändert.

Wie man sieht, sind die aktuellen Probleme mit dem Datenhandel hausgemacht, doch liegt es nicht direkt im Einflussbereich der Betroffenen, sie zu beheben. Klar, man könnte einfach keinem Unternehmen mehr vertrauen und darauf achten, wem man welche Daten gibt. Doch dazu gehört neben einer gehörigen Portion Paranoia auch ein gewisser Bildungsgrad und eine Selbstbeschränkung, der sich die meisten Menschen nicht unterwerfen wollen oder können. Die noch vor ein paar Jahren vorherrschende Hoffnung, dass große Datensammlungen nur sehr aufwendig zu analysieren und auszuwerten sind, hat sich mit der Weiterentwicklung der Technik (Algorithmen und Hardware) leider zerschlagen.

Ob ein totales Verbot des Datenhandels nun hilft oder nicht, kann ich nicht beurteilen. Was ich allerdings ganz und gar ablehne, ist der Zwang für alle DV-Systeme, die Daten intern zu verschlüsseln. Dies ist nur eine teure Hemmschwelle, die trotzdem leicht zu überwinden ist - am Ende muss jemand die gespeicherten Daten nutzen können, also wird es immer Menschen mit Zugriff geben. Viel wichtiger ist, den Zugriff zu regeln und zu kontrollieren, denn hier trat der eigentliche Fehler auf. Und auch die Herkunft der Daten sollte immer mit abgespeichert werden, denn momentan landen gekaufte Daten einfach in einer Datenbank und sind da nur schwer wieder zu entfernen. Wer will da entscheiden, dass Datensatz A bewusst vom Kunden zwecks Beratung an Unternehmen X weitergegeben wurde, während Datensatz B durch halb-illegale Aktionen in den Datenpool geraten ist?

Am Ende hilft nur der sogar im Gesetz verankerte, aber von den Regierungen dieses Landes und der EU in den letzten Jahren mit Füßen getretene Grundsatz der Datensparsamkeit und der Verzicht auf Zentralisierung und Zusammenführung aller möglichen Datenquellen. Dadurch werden die Daten nämlich erst so wertvoll, weil man z.B. aus dem Surfverhalten einer Person verbunden mit seiner Adresse sehr genau einen Kunden für bestimmte Produkte ablesen kann. Man schafft also durch die Vorratsdatenspeicherung einen riesigen Datenpool, der automatisch das Interesse der Privatwirtschaft weckt. Die Nachfragen der Musikindustrie nach den Besitzern bestimmter IP-Adressen sind da nur der Anfang; irgendwann werden die gesammelten Datenmengen einen so großen Anreiz darstellen, dass entweder von innen oder aber von außen sich jemand an den Datenbanken vergehen wird.

Ebenso verhält es sich mit den Fluggastdaten, die die USA von jedem per Flugzeig einreisenden EU-Bürger verlangen. Dort werden viele Daten der Bürger abgefragt, die per Data Mining in Bezug auf ihre Terrorgefahr hin ausgewertet werden. Doch es sind so viele Felder, die dort gesammelt werden, dass sowohl Privatwirtschaft als auch andere Regierungen ein Interesse daran haben. Da zudem in den USA geringere Datenschutzstandards gelten als hierzulande, ist nicht auszuschließen, dass diese Daten bereits jetzt zur Wirtschaftsspionage genutzt werden oder demnächst Ziel von Angriffen sind, sei es von innen oder außen.

Wir sollten also schleunigst damit aufhören, für die geringe Chance einer verbesserten Sicherheit oder Einsparungen in der Datenverarbeitung riesige Datenpools zu schaffen, deren Missbrauchspotential so ungleich höher ist als in den aktuellen Fällen. Sind die persönlichen Daten der Bürger erst einmal im freien Umlauf, kann sie niemand mehr zurückholen. Und wer will schon seinen Namen und seine Adresse ändern, weil irgendeine Behörde vergessen hat, den neuesten Sicherheitspatch einzuspielen oder ein privates Unternehmen seine Mitarbeiter schlecht behandelt und bezahlt?