# taz.de -- Kommentar Schutz von Kundendaten: Das große Sammeln
> Für die meisten Unternehmen sind Daten erst dann persönlich, wenn es
> einen zugehörigen Namen gibt. Das ist falsch. Und gefährlich für Nutzer.
IMG Bild: Der Fingerabdruck ist weniger eindeutig als digitale Metadaten
So ein Fingerabdruck ist einzigartig. Wie sich die Linien formen, wo Wirbel
entstehen, das gibt es kein zweites Mal, nicht einmal bei eineiigen
Zwillingen. Und trotzdem ist kein ganzer Fingerabdruck notwendig, um den
zugehörigen Menschen zu identifizieren. Zwölf Punkte des Mustergeflechts
reichen gemeinhin aus.
Diese Information sollte man im Hinterkopf behalten, wenn es um die Frage
geht, wann Daten so individuell sind, dass sie Rückschlüsse auf eine Person
zulassen. Unternehmen machen es sich bei dieser Frage meistens leicht:
Persönlich wird es erst, wenn ein Name dabeisteht. Umgekehrt heißt das: die
Kaufhistorie samt Schuhgröße, Brillenstärke und
Lebensmittelunverträglichkeit gespeichert, aber Name gelöscht? Ist doch
anonymisiert, also alles super!
Nein, ist es nicht. Denn Daten sind persönlich, lange bevor es um Namen,
Adressen oder Kombinationen von Geburtsdaten und Postleitzahlen geht. Und
das wird zunehmend zum Problem. Zu sehen ist das aktuell in der
Autobranche. Dort geht das große Sammeln gerade los. Das vernetzte Auto
macht es möglich, dass Hersteller gigabyteweise Daten speichern, von der
Motordrehzahl bis zur GPS-Position, von der Zahl der eingelegten CDs bis
zur Tankfüllung. Einfach nur, weil es geht.
Auch BMW sammelt fleißig mit und weil das Unternehmen nicht nur Autos
verkauft, sondern über die Beteiligung an dem Carsharing-Dienst DriveNow
auch Autos vermietet, hat das kürzlich für größeren Aufruhr gesorgt. Dabei
unterliegt auch BMW der bequemen Annahme, dass nicht persönlich ist, was
keinen Namen dabeistehen hat. Zwar speichert ein in den
Carsharing-Fahrzeugen verbautes Modul diverse Fahrzeugdaten, unter anderem
den Standort. Aber Bewegungsprofile zu erheben oder zu speichern bestreitet
das Unternehmen. Schließlich habe man keine Namen, die hat nur DriveNow,
das wiederum keinen Zugriff auf die Standortdaten habe, abgesehen vom
Start- und Endpunkt der Fahrt.
## Individuelle Bewegungsmuster
Doch so einfach ist es nicht. Zur Erinnerung: Beim Fingerabdruck sind zwölf
Punkte notwendig, um seinen Träger zu identifizieren. Forscher der
Harvard-Universität und des Massachusetts Institute of Technology (MIT)
haben sich vor drei Jahren angeschaut, wie eindeutig eigentlich
Standortdaten sind, also die Kombination von Zeitpunkt und Ort. Sie nahmen
sich dafür die Daten von Handynutzern vor, das ist praktisch, weil hier
viele Ort-Zeit-Kombinationen vorliegen. Das Ergebnis: Mit vier zufällig
ausgewählten Punkten konnten sie 95 Prozent der Nutzer identifizieren. Mit
elf Punkten erreichten sie hundert Prozent. Das Muster, in dem wir uns
bewegen, ist also noch individueller als unser Fingerabdruck.
Durch die gemeinschaftliche Nutzung des Fahrzeugs könnte eine
Identifizierung beim Carsharing etwas schwieriger sein als bei
Handynutzern. Andererseits werden vermutlich die gleichen Nutzer häufig die
gleichen Strecken zurücklegen, nur eben mit verschiedenen Autos. Und wie
lange die Daten gespeichert werden, verrät BMW nicht. Doch je länger die
Daten aufgehoben werden, desto mehr Information lassen sich herauslesen,
auch ohne Namen.
Bewegungsdaten haben längst nicht nur Mobilfunkanbieter und Autohersteller.
Sondern zum Beispiel auch Fitnesstracker. Sie sammeln Vitaldaten von
Herzfrequenz bis Kalorienverbrauch und kombinieren sie mit
Geschwindigkeiten und zurückgelegten Strecken, um dadurch das Absolvieren
oder Nichtabsolvieren eines Sportpensums zu ermitteln. Die Daten? In der
Cloud. Also beim Anbieter. Was der Anbieter damit macht, welche
Auswertungen er erstellt, an wen er sie in welcher Form weitergibt und
welches Niveau eigentlich der Schutz vor unbefugten Zugriffen auf die
Server hat – all das weiß der Jogger mit dem Fitnessarmband nicht. Wenn er
Glück hat, hält sich der Anbieter daran, was er in die Allgemeinen
Geschäftsbedingungen geschrieben hat. Wenn der Nutzer viel Glück hat, sind
diese auch noch verständlich formuliert und eindeutig. Obwohl, das wäre
eigentlich schon extrem viel Glück und mithin unwahrscheinlich.
Wie eindeutig individuell selbst Vitaldaten sein können, zeigt ein Produkt
aus den USA: Ein Start-up hat dort eine Art Armband entwickelt, das als
universeller Türöffner im Alltag – von der digitalen Geldbörse über das
Einloggen in einen E-Mail-Account bis zum realen Öffnen von Türen – dienen
soll. Der Mechanismus zum Authentifizieren: das Elektrokardiogramm, quasi
die Summe der Herzaktivitäten. Die sind bei jedem Menschen unterschiedlich,
abhängig unter anderem von der Größe des Herzens und der Physiologie des
Körpers. Und wie es aussieht, sind die biometrischen Muster verschiedener
Personen ausreichend unterschiedlich, um Nutzer voneinander zu
unterscheiden beziehungsweise denselben Nutzer wiederzuerkennen.
## Die IP-Adresse verrät alles
Wann Daten persönlich sind, wird in den kommenden Wochen auch der
Europäische Gerichtshof beantworten müssen, und zwar für Menschen, die im
Internet unterwegs sind. Dabei hinterlassen sie vielfältige Spuren, aber
eine, die sie nur unter Aufwand und Komforteinbußen verfälschen können: die
IP-Adresse. Die hinterlässt jeder Besucher einer Seite bei deren Betreiber,
ähnlich einer Visitenkarte. Ohne den Zugangsprovider – also Telekom, Kabel
Deutschland oder Ähnliche – weiß der Seitenbetreiber zwar nicht, wer
dahintersteht. Aber es ist eben möglich herauszufinden, wer sich bei den
Anonymen Alkoholikern informiert hat, wer über die Fälschungssicherheit von
Ausweisdokumenten und wer die Anschaffung eines Halogenstrahlers mit
ungewöhnlich hoher Wattzahl plant.
Internetnutzer, Verwender von Fitnesstrackern und -apps, Autofahrer – ihnen
allen ist gemein, dass die gesammelten Daten sensibel bis kompromittierend
sein können; spezifische Werbung ist dabei noch das Harmloseste. Wenn die
Daten erst mal beim Hersteller sind, bei der Versicherung oder bei
Unbefugten, die sich in den Server gehackt haben und sämtliche
Bewegungsprofile veröffentlichen, dann fragt niemand mehr, ob es stimmt,
was das Auto da aufgezeichnet oder die Fitnessapp gemessen hat. Im Zweifel
gegen den Nutzer.
5 Aug 2016
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Biometrie
DIR Datenschutz
DIR Schwerpunkt Überwachung
DIR Lesestück Meinung und Analyse
DIR Schwerpunkt Überwachung
DIR Datenschutz
DIR Hacker
DIR Internet
DIR o2
DIR Schwerpunkt Überwachung
DIR Schwerpunkt Überwachung
DIR Privacy Shield
DIR Edward Snowden
## ARTIKEL ZUM THEMA
DIR Kommentar Tracking und IP-Adressen: Verfolgung im Dunkeln
Auch wenn das Urteil zu IP-Adressen positiv zu bewerten ist, gibt es viele
Arten des Trackens. Die User erfahren davon nichts – das muss sich ändern.
DIR Telefónica und Kundendaten: Big Data mit Rabatten
Kunden sollen belohnt werden, wenn sie der Nutzung ihrer Bewegungsprofile
zustimmen. Datenschützer sind einverstanden.
DIR Nerd hilft: „Man kann jede Seite hacken“
Unbekannte haben vergangene Woche die Homepage von Hamburg Wasser gehackt.
Ein Mitglied des Chaos Computer Clubs erklärt, warum Menschen so was tun
DIR http://: Happy Birthday, WWW!
Auch ein riesiges Netz beginnt irgendwann mal mit einem einzigen Knoten.
Vor 25 Jahren ging die erste Website ans Netz.
DIR O2 wird eine Bank: Konto mit Mobilfunkanschluss
Der Telekommunikationsanbieter O2 steigt in den Bankensektor ein. Der
Schritt ist Teil eines Branchenwandels.
DIR Dokumentarfilm über das Dark Web: Was seit 1984 im Netz geschah
Drogen, Waffen, Kinderpornos, aber auch Schutz vor totalitärer Repression.
„Down the Deep, Dark Web“ erkundet virtuelle Anonymität.
DIR Gutachten zur Vorratsdatenspeicherung: Die katalogisierte Bevölkerung
Der Generalanwalt des Europäischen Gerichtshofs fordert eine strenge
Prüfung der Verhältnismäßigkeit. Diese sollen nationale Gerichte vornehmen.
DIR Kommentar Privacy Shield: Ein Schild aus Luft
Das EU-US-Datenschutzabkommen Privacy Shield taugt nicht viel. Ein Blick
auf die Ombudsstelle zeigt, warum das so ist.
DIR Sicherheitsexperte über Kybernetik: „Über Gott hinwegsetzen“
In seinem Buch „Maschinendämmerung“ beschäftigt sich der Sicherheitsexperte
Thomas Rid mit der Ideengeschichte der Kybernetik. Ein Gespräch.