Kommentar Schutz von Kundendaten: Das große Sammeln

S o ein Fingerabdruck ist einzigartig. Wie sich die Linien formen, wo Wirbel entstehen, das gibt es kein zweites Mal, nicht einmal bei eineiigen Zwillingen. Und trotzdem ist kein ganzer Fingerabdruck notwendig, um den zugehörigen Menschen zu identifizieren. Zwölf Punkte des Mustergeflechts reichen gemeinhin aus.

Diese Information sollte man im Hinterkopf behalten, wenn es um die Frage geht, wann Daten so individuell sind, dass sie Rückschlüsse auf eine Person zulassen. Unternehmen machen es sich bei dieser Frage meistens leicht: Persönlich wird es erst, wenn ein Name dabeisteht. Umgekehrt heißt das: die Kaufhistorie samt Schuhgröße, Brillenstärke und Lebensmittelunverträglichkeit gespeichert, aber Name gelöscht? Ist doch anonymisiert, also alles super!

Nein, ist es nicht. Denn Daten sind persönlich, lange bevor es um Namen, Adressen oder Kombinationen von Geburtsdaten und Postleitzahlen geht. Und das wird zunehmend zum Problem. Zu sehen ist das aktuell in der Autobranche. Dort geht das große Sammeln gerade los. Das vernetzte Auto macht es möglich, dass Hersteller gigabyteweise Daten speichern, von der Motordrehzahl bis zur GPS-Position, von der Zahl der eingelegten CDs bis zur Tankfüllung. Einfach nur, weil es geht.

Auch BMW sammelt fleißig mit und weil das Unternehmen nicht nur Autos verkauft, sondern über die Beteiligung an dem Carsharing-Dienst DriveNow auch Autos vermietet, hat das kürzlich für größeren Aufruhr gesorgt. Dabei unterliegt auch BMW der bequemen Annahme, dass nicht persönlich ist, was keinen Namen dabeistehen hat. Zwar speichert ein in den Carsharing-Fahrzeugen verbautes Modul diverse Fahrzeugdaten, unter anderem den Standort. Aber Bewegungsprofile zu erheben oder zu speichern bestreitet das Unternehmen. Schließlich habe man keine Namen, die hat nur DriveNow, das wiederum keinen Zugriff auf die Standortdaten habe, abgesehen vom Start- und Endpunkt der Fahrt.

Individuelle Bewegungsmuster

Doch so einfach ist es nicht. Zur Erinnerung: Beim Fingerabdruck sind zwölf Punkte notwendig, um seinen Träger zu identifizieren. Forscher der Harvard-Universität und des Massachusetts Institute of Technology (MIT) haben sich vor drei Jahren angeschaut, wie eindeutig eigentlich Standortdaten sind, also die Kombination von Zeitpunkt und Ort. Sie nahmen sich dafür die Daten von Handynutzern vor, das ist praktisch, weil hier viele Ort-Zeit-Kombinationen vorliegen. Das Ergebnis: Mit vier zufällig ausgewählten Punkten konnten sie 95 Prozent der Nutzer identifizieren. Mit elf Punkten erreichten sie hundert Prozent. Das Muster, in dem wir uns bewegen, ist also noch individueller als unser Fingerabdruck.

Durch die gemeinschaftliche Nutzung des Fahrzeugs könnte eine Identifizierung beim Carsharing etwas schwieriger sein als bei Handynutzern. Andererseits werden vermutlich die gleichen Nutzer häufig die gleichen Strecken zurücklegen, nur eben mit verschiedenen Autos. Und wie lange die Daten gespeichert werden, verrät BMW nicht. Doch je länger die Daten aufgehoben werden, desto mehr Information lassen sich herauslesen, auch ohne Namen.

Bewegungsdaten haben längst nicht nur Mobilfunkanbieter und Autohersteller. Sondern zum Beispiel auch Fitnesstracker. Sie sammeln Vitaldaten von Herzfrequenz bis Kalorienverbrauch und kombinieren sie mit Geschwindigkeiten und zurückgelegten Strecken, um dadurch das Absolvieren oder Nichtabsolvieren eines Sportpensums zu ermitteln. Die Daten? In der Cloud. Also beim Anbieter. Was der Anbieter damit macht, welche Auswertungen er erstellt, an wen er sie in welcher Form weitergibt und welches Niveau eigentlich der Schutz vor unbefugten Zugriffen auf die Server hat – all das weiß der Jogger mit dem Fitnessarmband nicht. Wenn er Glück hat, hält sich der Anbieter daran, was er in die Allgemeinen Geschäftsbedingungen geschrieben hat. Wenn der Nutzer viel Glück hat, sind diese auch noch verständlich formuliert und eindeutig. Obwohl, das wäre eigentlich schon extrem viel Glück und mithin unwahrscheinlich.

Wie eindeutig individuell selbst Vitaldaten sein können, zeigt ein Produkt aus den USA: Ein Start-up hat dort eine Art Armband entwickelt, das als universeller Türöffner im Alltag – von der digitalen Geldbörse über das Einloggen in einen E-Mail-Account bis zum realen Öffnen von Türen – dienen soll. Der Mechanismus zum Authentifizieren: das Elektrokardiogramm, quasi die Summe der Herzaktivitäten. Die sind bei jedem Menschen unterschiedlich, abhängig unter anderem von der Größe des Herzens und der Physiologie des Körpers. Und wie es aussieht, sind die biometrischen Muster verschiedener Personen ausreichend unterschiedlich, um Nutzer voneinander zu unterscheiden beziehungsweise denselben Nutzer wiederzuerkennen.

Die IP-Adresse verrät alles

Wann Daten persönlich sind, wird in den kommenden Wochen auch der Europäische Gerichtshof beantworten müssen, und zwar für Menschen, die im Internet unterwegs sind. Dabei hinterlassen sie vielfältige Spuren, aber eine, die sie nur unter Aufwand und Komforteinbußen verfälschen können: die IP-Adresse. Die hinterlässt jeder Besucher einer Seite bei deren Betreiber, ähnlich einer Visitenkarte. Ohne den Zugangsprovider – also Telekom, Kabel Deutschland oder Ähnliche – weiß der Seitenbetreiber zwar nicht, wer dahintersteht. Aber es ist eben möglich herauszufinden, wer sich bei den Anonymen Alkoholikern informiert hat, wer über die Fälschungssicherheit von Ausweisdokumenten und wer die Anschaffung eines Halogenstrahlers mit ungewöhnlich hoher Wattzahl plant.

Internetnutzer, Verwender von Fitnesstrackern und -apps, Autofahrer – ihnen allen ist gemein, dass die gesammelten Daten sensibel bis kompromittierend sein können; spezifische Werbung ist dabei noch das Harmloseste. Wenn die Daten erst mal beim Hersteller sind, bei der Versicherung oder bei Unbefugten, die sich in den Server gehackt haben und sämtliche Bewegungsprofile veröffentlichen, dann fragt niemand mehr, ob es stimmt, was das Auto da aufgezeichnet oder die Fitnessapp gemessen hat. Im Zweifel gegen den Nutzer.