Datenerhebung überall – wo führt das hin?

Datenerhebung überall – wo führt das hin?
© wattanaphob – Fotolia.com

"Ich habe die AGBs und Datenschutzerklärung gelesen und verstanden. Akzeptieren." Ich möchte wetten, dass die meisten Menschen fortfahren, ohne tatsächlich einen Blick rein geworfen zu haben. Kein Wunder, sind die Datenschutzbestimmungen doch meist seitenlang, sehr klein gedruckt und im Stil eines Gesetzbuches geschrieben. Trotzdem dürfte jedem der Schutz der eigenen Daten wichtig sein.

Dass Datenerhebung sinnvoll sein und sowohl die Gesellschaft als auch jeden Einzelnen schützen kann, sehen wir bei Themen wie der Terrorbekämpfung oder Verbrechensaufklärung. Vor allem hier werden Daten präventiv gesammelt und kategorisiert, um so mögliche Attentäter frühzeitig entlarven zu können. Im Hinblick auf die Ereignisse im Großraum Bayern könnte man jetzt behaupten, dass diese Früherkennung nicht praktikabel sei, weil ja trotzdem Attentate verübt werden. Aber das wäre zu kurz gedacht, wenn man an die lange Liste an geplanten Attentaten denkt, die in der Bundesrepublik über die letzten Jahre glücklicherweise vereitelt werden konnten.

Noch kontroverser wird das Thema „Datenerhebung“ diskutiert, wenn es um Unternehmen und ihre Kunden geht. Ein junger Student hat im Juli 2015 in Köln bei einem Verkehrsunfall einen Radfahrer überfahren. Das Fahrzeug war ein Leihwagen aus dem Joint Venture „Drive Now“ von BMW und Sixt. Die Staatsanwaltschaft forderte im Zuge des Prozesses die Fahrtdaten von BMW an, und erhielt ein überraschend genaues Bild. Neben der Geschwindigkeit und der genauen Wegstrecke waren auch Daten wie die Außentemperatur und sogar Positionsdaten des Handys, über welches der Wagen gebucht wurde, enthalten. In diesem Fall stellte die Aufzeichnung der Daten einen Glücksfall für den Prozess dar, zumal der Fall weit über Kölns Grenzen hinaus für Entsetzen gesorgt hatte.

Bislang Entscheidungen nach Einzelfall

Fakt ist, dass kaum jemand mehr genau sagen kann, welche Daten über ihn wo und wann gespeichert werden. Das geht vom Urlaubsfoto auf Facebook hin bis zur Ortung des Smartphones. Diese Daten können hilfreich und sinnvoll sein, wie im Falle der Verurteilung des Totrasers von Köln, aber rechtfertigt das grundsätzlich eine derart umfangreiche Datenerhebung? Was ist, wenn jemand ein Fahrzeug kauft und es Daten aufzeichnet, die im Falle eines Unfalls gegen den Halter selbst verwendet werden können? Wenn er zu schnell unterwegs war und die Vollkasko-Versicherung ihm aufgrund der Auswertung der aufgezeichneten Daten die Deckung verweigert?

Während der Hersteller im Fall des Kölner Rasers mit den Ermittlungsbehörden kooperierte, passierte dem FBI kürzlich das genaue Gegenteil. Die Behörde bat den Konzern Apple um die Entschlüsselung eines iPhones, das einem Attentäter gehört hatte. Nachdem der Konzern sich weigerte, ist es dem FBI mit fachkundiger Hilfe selbst gelungen. Dass es Apple ums Prinzip ging, mag ehrenwert erscheinen, doch hatte der Besitzer des iPhones in der Vorweihnachtszeit des vergangenen Jahres gemeinsam mit einem Komplizen 14 Menschen getötet. Auf seinem Gerät hätten sich beispielsweise Hinweise auf weitere potentielle Attentäter finden können. Offenbar war das nicht der Fall, doch wäre Apple vermutlich in Erklärungsnot geraten, wenn weitere Anschläge geschehen wären, die aufgrund der entschlüsselten Daten zu verhindern gewesen wären.

In Fällen wie diesen zeigt sich, auf welch schmalem Grat man sich auf dem Gebiet des Datenschutzes bewegt. Nach heutigem Stand sind die deutschen Datenschutzregelungen weltweit eine der strengsten. Vieles, was hierzulande für Empörung sorgt, ist in den USA und anderen Ländern schon lange selbstverständlich – dort sind, wenn man auf den Fall des Kölner Rasers schaut, einige Automodelle schon seit vielen Jahren mit einer sogenannten Blackbox ausgestattet, einem Aufzeichnungsgerät für bestimmte Parameter, wie der Geschwindigkeit. Auch ist allgemein die Vernetzung von Autos weiter fortgeschritten. So plant Audi beispielsweise, bestimmte Modelle ab diesem Herbst mit der Ampelinfrastruktur zu verbinden, um dem Fahrer anzuzeigen, in wieviel Sekunden die nächste Grünphase beginnt.

Datensicherheit
© ILYA AKINSHIN – Fotolia.com

Was, wenn sensible Daten in falsche Hände gelangen?

Solange ausschließlich Behörden Zugriff auf die Daten haben, mag man sich sagen, dass die Schwelle für eine missbräuchliche Nutzung hoch liegt und die Daten grundsätzlich in sicheren Händen sind. Doch wie sieht es aus, wenn unbefugte Dritte, beispielsweise Hacker, Zugriff auf sensible Daten erlangen? Ein Fall mit traurigem Ausgang war der Hack der kanadischen Seitensprung-Plattform „Ashley Madison“, der im vergangenem Jahr die Schlagzeilen beherrschte. Nachdem von kriminellen Dritten Nutzerdaten in großem Umfang entwendet wurden, sollen zwei Mitglieder des Portals Selbstmord begangen haben, vermutlich aus Angst vor den Konsequenzen, die eine Veröffentlichung ihrer Namen zur Folge hätte haben können. Selbst wenn man den moralischen Aspekt einbezieht und Aussagen beispielsweise lauten „man muss sich ja nicht bei solchen Seiten registrieren“, wird deutlich, welche Gefahr entstehen kann, wenn sensible Daten in falsche Hände gelangen.

Nun muss man sich nicht unbedingt auf einem Seitensprung-Portal anmelden, um bei seiner Partnerin/ seinem Partner oder in der Öffentlichkeit in Ungnade zu fallen. Wenn heutzutage Autos gestohlen werden, rücken die Diebe in der Regel nicht mehr mit Bügel und Brecheisen an, sondern mit Notebook und Funkmodul – und öffnen das Fahrzeug über dessen Funkverrieglung. Aber was wäre, wenn jemand nicht an Ihrem Fahrzeug interessiert ist, sondern an Ihrem Bewegungsprofil, sofern es von Ihrem Wagen aufgezeichnet wird – was haben Sie abends um 23 Uhr im Industriegebiet gemacht? Oder in diesem und jenem Waldstück? Ihre Freisprechanlage hat zu diesem Zeitpunkt via Bluetooth nicht nur ein Smartphone, sondern zwei registriert. Wem gehörte denn das andere? Sie kandidieren für den Stadtrat? Das war es dann wohl. Natürlich wäre eine „Enthüllung“ wie diese mit einem massiven Aufwand verbunden. Eine erhebliche kriminelle Energie wäre seitens des Täters notwendig und die gespeicherten Positionsdaten müssen irgendwie ungewollt zugänglich sein, beispielsweise durch eine Sicherheitslücke in der Fahrzeug-Software. Ein Fall wie dieser – es handelt sich nur um ein Gedankenspiel – ist sehr unwahrscheinlich, aber theoretisch denkbar.

Ein viel simpleres, aber seit langem diskutiertes Szenario ist Folgendes: Man ist unterwegs und postet etwas in einem sozialen Netzwerk. Man schreibt, wo man sich gerade befindet oder das Smartphone übermittelt automatisch den aktuellen Aufenthaltsort und er wird im Post mit angezeigt. Später kehrt man nach Hause zurück und muss feststellen, dass die Wohnung von Einbrechern leergeräumt wurde. Hier kann durchaus ein Zusammenhang bestehen. Schon seit Jahren existieren fragwürdige Websites, mit deren Hilfe man feststellen kann, ob jemand gerade zuhause ist oder unterwegs – anhand der Aktivitäten dieser Person in sozialen Netzwerken, sofern deren Posts öffentlich sichtbar sind. Allerdings hat man es meist selbst in der Hand, wer einen Post zu Gesicht bekommt – bei Facebook lassen sich Beiträge beispielsweise auf den eigenen Freundeskreis beschränken.

Fazit

Das Sammeln von Daten ist ein breit gefächertes Feld. Einerseits werden dadurch neue Potentiale geschaffen (Stichwort: Big Data), aber selbstverständlich ergeben sich auch Risiken. Große Datensammlungen in den richtigen Händen können ein Segen sein – wie beispielsweise zur (vorbeugenden) Verbrechensbekämpfung. In den falschen Händen können sie aber das genaue Gegenteil bewirken. Wer als Unternehmer selbst Daten von Nutzern oder Kunden erhebt, sollte sich stets die Frage stellen, was diese in fremden Händen bewirken könnten. Auf jeden Fall sollten sie verschlüsselt oder anonymisiert gespeichert werden, so dass sie in den Händen Dritter nutzlos sind und keinen Schaden anrichten können. Auch sollten ausschließlich Daten erhoben werden, die auch tatsächlich benötigt werden. Passwörter sollten grundsätzlich mit einem Verfahren zur Einwegverschlüsselung abgelegt werden – das bedeutet, dass das ursprüngliche Passwort daraus im Regelfall nicht ermittelt werden kann. Stattdessen wird bei der Anmeldung eines Nutzers dessen Eingabe ebenfalls mit demselben Algorithmus verschlüsselt und dann mit dem hinterlegten Wert abgeglichen. Stimmen beide Werte überein, erhält der Nutzer Zugang. Wer die Sicherheit zusätzlich erhöhen möchte, ergänzt das Passwort vor der Verschlüsselung um weitere Zeichen.

In allen Bereichen ist es notwendig, eine sorgfältige Abwägung vorzunehmen, welche Daten in welcher Form erhoben werden sollen. Wer Daten erhebt, trägt eine große Verantwortung. Szenarios nach dem Motto „was wäre wenn?“ sollten durchdacht und insbesondere auch zu Ende gedacht werden. Das ist in den meisten Fällen ein langwieriger Prozess, aber er lohnt sich.


Jochen Moschko

 
Jochen Moschko
SEO & QS-Manager
Jochen Moschko arbeitet in den Bereichen Suchmaschinenoptimierung und Qualitätssicherung bei der FAIRRANK GmbH.