Der freie Onlinedienst zum Thema Selbstauskunft
Artikel vom 08.05.2018
Transparenz und Datenhoheit: Meine Daten gehören mir - wirklich?
Mitte April erreichte den Krankenhauszweckverband Rheinland e. V. ein anonymer Tipp: Aktivisten sollen Datensätze von über 300 deutschen Kliniken gehackt haben - mit Fehlzeitstatistiken, Diagnosen, Alter, Geschlecht und Adresse. Jetzt ermittelt die Staatsanwaltschaft Köln - wegen Verstoß gegen das BDSG und Datenhehlerei. Dagegen ist Mikrotargeting, das persönliche Daten strategisch zu detaillierten Kundenprofilen zusammenführt, legal: Zum Beispiel, um in gutbetuchten Stadtteilen gezielt für Luxusartikel zu werben, Wahlkämpfer auf Wechselwähler anzusetzen oder kommunale Bürgerdaten zu Geld zu machen.
Selbstauskunft: Patientendaten frei im Umlauf?
Kein Einzelfall, wie Angriffe auf Institutionen des Gesundheitswesens immer wieder zeigen. Studien zufolge sind in 68 Prozent der Fälle unachtsame Mitarbeiter am Datenverlust schuld: Mit umfassendem Zugang zu Patientendaten ausgestattet, öffnen diese - wie 2016 in Neuss - trojanerinfizierte E-Mail-Anhänge. Krankenhausleitungen sind in der Pflicht, neue Zugriffsrechtekonzepte zu entwickeln, die ein Schutzniveau gem. Art. 32 Abs.1 DSGVO sicherstellen - weil Patientendaten sensiblen genetische oder biometrische Informationen enthalten und unter das Berufsgeheimnis fallen. Gewährleisten die IT-Regelungen zur Zugriffsberechtigung keine Vertraulichkeit, kann es teuer werden: Gem. Art. 83 Datenschutzgrundverordnung (DSGVO) drohen Bußgelder in bis zu achtstelliger Höhe. Mit 25. Mai gilt die neue DGSVO und damit die Pflicht von Krankenhäusern, Aufsichtsbehörden spätestens binnen 72 Stunden über Datenschutzverletzungen zu informieren - und betroffene Patienten ebenfalls, gem. Art. 34 DSGVO.
Auch sonst: Internetkriminalität auf dem Vormarsch
Global aktive Hacker und Datenhehler dringen in Firmen und öffentliche Institutionen ein, um große Datenmengen abzusaugen. Wie die Welt berichtet, stieg Computerkriminalität laut Polizeilicher Kriminalstatistik (PKS) 2017 um 0,7 Prozent - auf 108.510 registrierte Straftaten. Dabei schätzt der Bund Deutscher Kriminalbeamter (BDK) die Dunkelziffer auf 90 Prozent. Neben grenzüberschreitender Kooperation fordert BDK IT-Expertenkreischef Ronald Schulze daher, die Gesetzeslage an digitale Entwicklungen anzupassen. Der Branchenverband Bitkom beziffert den jährlichen Schaden auf eine zweistellige Milliardenhöhe: Viele Unternehmen brächten Angriffe aus Reputationsgründen nicht zur Anzeige.
Gemeinden: Daten verraten und verkaufen?
Ganz legal möchte der Städte- und Gemeindebund Bürgerdaten zu Geld machen. Datenhandel, der komplexe Verfahren erfordert - für den einzelnen Verbraucher kaum zu durchschauen: Aus der Gesamtheit der Bevölkerung formen statistische Analysen einzelne Zielgruppen. Datenbanken, die intensiv gepflegt sein wollen - allein in Deutschland wechseln acht Millionen Bürger pro Jahr den Wohnsitz, eine Million verstirbt. Sammlung und Klassifizierung dieser Daten obliegt Adresshändlern, die diese im Kundensinn verwerten - in Deutschland legal, aber inzwischen umstritten. Entsprechend groß war die Empörung bei Datenschützern, als Hauptgeschäftsführer Gerd Landsberg wertvolle Bürgerdaten in der Rheinischen Post als "das Öl des 21. Jahrhunderts" bezeichnete. Sein Vorschlag? Ein Konzessionsmodell, dessen Einnahmen durch Privatunternehmen den Bürgern zugute kommen. Um personenbezogene, schutzwürdige Daten handele es sich bei der Vielfalt an Rohdaten diverser Bereiche nicht - sie könnten über Apps aufbereitet und vermarktet werden. Bereits jetzt kann jeder Bürger Meldedaten bei Städten und Gemeinden abfragen, jedes Unternehmen zwecks Adresshandel Auskunft bei Statistischem Bundesamt und Kraftfahrtbundesamt erhalten. Gegen hohe Bearbeitungsgebühren, weshalb sich das Modell für Adressfirmen derzeit nicht lohnt.
Deutsche Post: Daten zu 85 Prozent aller Haushalte
Auch die Deutsche Post geriet in die Kritik: Im Wahlkampf 2017 vermietete sie Kundendaten an CDU und FDP - gegen einen fünfstelligen Betrag. Zwar anonymisiert, aber geeignet für straßengenaue Analysen potenzieller Wähler und einen Datenabgleich durch Wahlkämpfer an der Haustür. Gab man weitere Informationen ein, ließen sich auch personenbezogene Wählerprofile erstellen. Was macht Post-Daten so attraktiv? Die Deutsche Post Direkt GmbH verfügt über einen beispiellosen Datenpool von über 37 Millionen Adressen. Drin ist eine Milliarde an Einzelinformationen - zu Geschlecht, Alter, Bildung, Familie, Kaufkraft, Bankverhalten, Autobesitz und Wohnsituation. Ergänzend kauft die Post Daten von Kraftfahrtbundesamt und Katasteramt an. Speziell CDU und FDP mieteten zusammengefasste Informationen zu Haushalten eines Straßenzuges (Mikrozellen). Pikant daran: Für Wähleranalysen führt die Post ihre Daten in Kooperation mit Meinungsforschungsinstitut dimap mit Wahlergebnissen zusammen. Aber: Weder vermiete man an Wirtschaftsunternehmen, noch nutze man Daten der Schufa.
Wie können Bürger die Weitergabe ihrer Daten verhindern?
Bislang, indem sie Widerspruch gegen die Nutzung einlegen. Dagegen fordert Netzpolitikerin Anke Domscheit-Berg (Linke), eine solche Weitergabe ohne ausdrückliche Zustimmung zu verbieten, der Hamburger Datenschutzbeauftragte Johannes Caspar, Microtargeting angesichts der jüngsten Facebook-Ereignisse transparenter zu machen. Bis dahin zeigt die Praxis die Flickschusterei politischer Maßnahmen. Denn was passiert, sobald Daten einmal verkauft sind? Sie werden Teil maßgeschneiderter Datensätze. Wie der etablierte Adressanbieter Schober beweist: Interessenten von Telekom bis VW geben einfach Alter, Geschlecht, Wohnlage, Postleitzahl und Kaufkraft in eine Maske ein. Hat der Bürger Interesse an Luxusimmobilien, Autos, Unterhaltungselektronik? Schober spuckt die passenden Adressen aus - zu gut einem Euro das Stück. Wer nicht möchte, dass seine Daten genutzt werden, muss widersprechen - in jedem Einzelfall.
Datensätze: Einmal verkauft kaum noch Zugriff
Bundesdatenschutzbeauftragte Andrea Voßhoff warnt vor der vermeintlichen Unbedenklichkeit anonymer Datennutzung: In Zeiten von Digitalisierung und Big Data könnten Daten so verknüpft werden, dass Rückschlüsse auf Einzelpersonen möglich werden. Und der Schweizer Datenjournalist Hannes Grassegger verweist in einem Interview mit Deutschlandradio Kultur darauf, dass Facebook kein Datenhändler, sondern Zukäufer sei. Facebook arbeite mit Data Brokern, die mit Sammlungen persönlicher Daten handelten. Sprich: Einmal verkauft, hat auch Facebook kaum noch Zugriff. Grassegger machte die Probe aufs Exempel - und erhielt ein Data Broker Angebot mit persönlichen Daten von mehreren Millionen Frauen inklusive Religionszugehörigkeit - in den USA, zu drei Cent pro Unit. Der Schweizer spricht von einem riesigen Graumarkt, gespeist durch Handys und Apps. Auch müsse er als Privatperson in der Schweiz selbst schriftlich dafür sorgen, dass seine Daten nicht verkauft, sondern gesperrt werden.
Gefordert: Datenhoheit und -kontrolle des Einzelnen
Wo der Wunsch von Behörden und Wirtschaft auf Datenzugriff und Persönlichkeitsrechte von Individuen aufeinander treffen, sind Konflikte unvermeidlich. Derzeit kontrollieren Verbraucher weder den Datenfluss, noch, was mit ihrem Datenmaterial passiert. Echte Kontrolle besteht darin, den Handel damit verbieten zu können. Oder, sofern ich diesen erlaube, selbst vom Verkauf meiner Daten zu profitieren. Nicht ich als Verbraucher muss dann AGBs akzeptieren - sondern die Firmen, die meine Daten nutzen, meine Bedingungen als Verbraucher.