Düsseldorf Bei dem Blick in das eigene digitale wie analoge Postfach können einem manchmal die Nerven durchgehen. Werbeflyer und Spam-Mails erinnern daran, dass die eigenen Daten im Internet kursieren und auf Servern von Unternehmen und Behörden gespeichert sind.
Wer seinen Namen und seine Adresse schon mal irgendwo angegeben und in einem Social-Media-Profil ein paar Links und Tipps von „Freunden“ mit einem „Gefällt mir“ belohnt hat, ist ein gläserner Kunde. Die Bezeichnung für den Menschen, über den die Werbewirtschaft alles zu wissen scheint, wird längst wie selbstverständlich benutzt. Sogar das gezielte Einsetzen der gesammelten Informationen hat in der Werbewirtschaft seinen eigenen Begriff: „Targeting“.
Nur 18 Prozent der Online-Käufer in Europa haben den Eindruck, die vollständige Kontrolle über ihre Daten zu haben. Das hat die Umfrage „Eurobarometer - Einstellungen zum Datenschutz und Elektronischer Identität in der EU“ aus dem Jahr 2011 ergeben. Dabei ist es eigentlich ganz einfach, sich zumindest einen recht umfassenden Überblick über das Daten-Chaos zu verschaffen. Man muss nur eines tun: Nachfragen.
Einmal im Jahr sind Unternehmen und Behörden in Europa verpflichtet alle gespeicherten Informationen über eine Person bekannt geben. Dazu muss der Bürger oder Kunde eine schriftliche Anfrage stellen. Binnen weniger Wochen sollten die vorliegenden Daten dann per Post zugeschickt werden. Dabei beschränkt sich die Auskunftspflicht nicht nur auf die Daten. Auch der Verwendungszweck muss sauber ausgewiesen werden. Aufwendig ist dieses Vorgehen dennoch, denn jede Stelle muss separat angefragt werden - von Amazon bis zum Kraftfahrtbundesamt.
Allgemein gilt, dass Unternehmen und Behörden alles speichern dürfen, was sie für ihre Geschäftszwecke brauchen. Auch alle Angaben, die Kunden freiwillig machen, dürfen archiviert werden. Ebenso alles, was öffentlich zugängig ist. Damit ist jedes Social-Media-Profil, jeder Blog, jede Homepage oder auch jeder Twitter-Feed gemeint. Auch was andere über einen öffentlich machen, zählt dazu, sofern nicht dagegen vorgegangen wird.
Wer hat die Daten?
Die meisten Daten, die bei den Behörden über Personen gespeichert sind, wurden nicht freiwillig abgegeben – beispielsweise Angaben beim Einwohnermelde-, Ordnungs- oder Kraftfahrtbundesamt in Flensburg. Außerdem kennt das Arbeitsamt den Lebenslauf, das Finanzamt das Einkommen und Krankenkassen wissen, wie gesund beziehungsweise krank ihre Kunden sind. All diese Daten dürfen die einzelnen staatlichen Behörden frei untereinander austauschen, sofern das für ihre jeweilige Arbeit notwendig ist.
Ebenso sieht es bei Unternehmen aus. Allerdings wurden hier die meisten Daten über Online-Bestellformulare oder Gewinnspiele freiwillig angegeben. Wer ein Buch, Musik, Kleidung, Flug- oder Bahntickets im Netz kaufen möchte, muss dafür in der Regel seine Adresse sowie Konto- oder Kreditkarteninformationen hinterlegen. Schließlich soll die bestellte Ware ja auch im richtigen Haushalt landen.
Diese Pflichtangaben sind für die meisten Kunden nachvollziehbar. Der Handel „Daten gegen Dienstleistung“ ist inzwischen so verbreitet, dass 79 Prozent der Online-Käufer bereitwillig ihre Daten offen legen, um den Zugang zu einem Online-Dienst zu bekommen. Auch das hat das Eurobarometer des vergangenen Jahres ergeben.
Sehr viel tiefer gehende Informationen geben Social Media-Nutzer über ihre Profile im Internet preis. Jeder Kommentar, der positiv bewertet wurde, jedes Posting und jede Google-Suche verraten Details über eine Person, die sich Unternehmen bei gründlicher Analyse zu Nutze machen können. So lässt sich Werbung für den Kunden haargenau anpassen.
Extra programmierte Algorithmen automatisieren diesen Prozess. Wer gestern noch Informationen zu einem Fitnessprogramm im Internet gesucht hat, bekommt morgen Diättipps auf den Facebook-Werbeflächen präsentiert. Und wer einen Urlaub in Bordeaux bucht, dem werden kurz darauf Weine aus dem Médoc angeboten. Unheimlich genau scheint das Internet zu wissen, wer die Person vor dem Rechner ist.
Informationen sind bares Geld wert
Dabei ist nicht nur entscheidend, welche Formulare ausgefüllt oder Dinge angeklickt wurden. Auch die Webseite auf der man vorher unterwegs war oder mit welchem Browser gesurft wurde, fließt in die elektronische Kundenanalyse mit ein. Sogar die Sprache auf die der PC eingestellt ist, kann erfasst werden.
Informationen über Kunden sind bares Geld wert. Entsprechend haben sich Auskunfteien als Dienstleister für dieses Geschäft entwickelt. Am bekanntesten ist hier die Schufa. Die Schuldenauskunftsstelle lebt davon herauszufinden, wie kreditwürdig eine Person ist. Entsprechend verraten zum Beispiel Banken und Kreditinstitute schon aus Eigeninteresse der Schufa, wann Konten eröffnet und Kredite aufgenommen wurden. Auch wie zuverlässig Schulden bezahlt und ob Konten gedeckt waren, erfährt die Auskunftei. Nicht berücksichtigt werden der Wohnort, das Geschlecht oder das Alter bei der Berechnung.
Weltenbummler und Geschäftsreisende unter Beobachtung
Im Sommer 2012 wurde bekannt, dass die Schufa auch soziale Netzwerke für die Beurteilung der Kreditwürdigkeit mit einbeziehen wollte. Massive Kritik von Verbraucherschützern und Politikern folgte. Das Vorgehen wurde als Grenzüberschreitung bei der Erfassung persönlicher und geschützter Daten bewertet. Daraufhin nahm man seitens der Schufa wieder Abstand von den Plänen.
Die Schufa hat insgesamt etwa 479 Millionen Einzeldaten von 66,2 Millionen Menschen erfasst. Auf Basis all dieser Angaben, wird die Kreditwürdigkeit mit einem Prozentwert ermittelt. Nicht nur bei der Aufnahme von Krediten muss die Schufa-Auskunft vorgelegt werden. Auch immer mehr Vermieter wollen Einsicht in diese Unterlage eines potentiellen Mieters, ehe es zum Vertragsabschluss kommt. Negative Vermerke müssen allerdings nach vier Jahren wieder gelöscht werden. Schon deshalb kann es sich lohnen, mindestens einmal im Jahr die Schufa-Daten anzufordern. Denn auch die ist einmal im Jahr kostenlos, sofern sich auf in einer schriftlichen Anfrage konkret auf das Bundesdatenschutzgesetz bezogen wird. Passiert das nicht, werden 18,50 Euro für eine Bonitätsauskunft fällig.
Neben der Schufa sind Auskunfteien wie Arvato Infosorce, Accumio Finance Services, Brügel, Boniversum oder Deltavista aktiv. Diese Wirtschaftsauskunfteien sammeln öffentliche Daten und verkaufen sie an Unternehmen. Die Informationen wiederum werden aus dem Internet generiert. Telefonbücher, Web-Profile und Netzwerke sind beim sogenannten „Targeting“ wertvolle Quellen.
An diesem lukrativen Geschäft sind inzwischen über tausend Unternehmen alleine in Deutschland beteiligt - und auch die staatlichen Behörden verdienen mit. Laut Artikel 32, Abschnitt 3 des Meldegesetzes sind Gemeinden berechtigt, Meldedaten an Adressbuchverlage weiterzuvermitteln, sofern dem nicht eindeutig vom Bürger widersprochen wurde. Und die Befugnisse des Staates soll noch weiter gehen. Mit einer Novelle des Meldegesetzes, sollen Einwohnermeldeämter künftig die Daten auch zu Werbezwecken weitergeben dürfen.
Ermittlungsbehörden dürfen sehr weit gehen
Weiterhin werden Weltenbummler und Geschäftsreisende zum Beispiel bei jeder Einreise in die USA gezwungen Fotos und Fingerabdrücke bei Homeland Security abzugeben. Außerdem dürfen die USA laut SWIFT-Abkommen Kontobewegungen einsehen. Eine Begründung dafür müssen sie nicht ablegen.
Wie Homeland Security dürfen auch in Deutschland die Ermittlungsbehörden beim Datensammeln relativ weit gehen. Besteht ein konkreter Verdacht gegen eine Person dürfen Funkzellen abgefragt werden. Zu diesem Zweck geben die Provider dann alle Informationen aller Handys gemessen an einem bestimmten Zeitraum frei. Wer von den polizeilichen Ermittlungen nicht betroffen ist, muss über die Datenerhebung nicht extra informiert werden.
Außerdem bieten auch die Social-Networks den Behörden eine Möglichkeit der Zusammenarbeit an. Unter der Webadresse www.facebook.com/records können Polizeibehörden eine Abfrage der von Facebook gespeicherten Bestands- und Verkehrsdaten beantragen. Dafür muss derjenige, der anfragt, lediglich eine E-Mailadresse mit einer deutschen Polizeibehörde eintippen. Daraufhin geht eine automatische Antwortmail mit einem Link heraus, über den man anschließend auf ein internes Facebook-Portal für die Abfrage von Bestands- und Nutzungsdaten gelangt. Hier muss die Anfrage dann konkreter ausformuliert werden. Zusätzlich hat Facebook für Polizei- und Strafverfolgungsbehörden ein Formular zum Anfordern von Daten eines Facebook-Profils sowie ein gesondertes Formular zur Offenlegung von Daten in Notfällen entwickelt.
Was man tun kann
Gewisse Dinge dürfen weder Unternehmen, noch Behörden noch Auskunfteien über Privatpersonen speichern. Dazu gehören die ethische Herkunft, die politische Überzeugung, die Religion, die Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit und zum Sexualleben. Diese personenbezogenen Daten unterliegen einem besonderen Schutz. Nicht geschützt sind hingegen der Name, die Adresse, der Geburtstag oder das Einkommen.
Bei all den Informationen, die über einen gespeichert werden, kann es sich durchaus lohnen, diese von Zeit zu Zeit zu überprüfen. Denn sobald die Daten keinem konkreten Geschäftszweck mehr dienen, die Einwilligung zur Datennutzung widerrufen wird oder die Auskünfte inhaltlich falsch sind, müssen diese gelöscht werden. Einmal im Jahr müssen Unternehmen und Behörden einer Anfrage kostenlos nachkommen. So besagt es das Bundesdatenschutzgesetz.
„Wenn man eine Anfrage auf Selbstauskunft stellt, ist es wichtig zu präzisieren, was man genau wissen will“, erklärt Juliane Heinrich, Sprecherin beim Bundesdatenschutzbeauftragten in Berlin. Bei einer zu global gestellten Anfrage könnte es lange dauern, ehe die Anfrage bearbeitet wird. „Es ist sinnvoll nicht nur seinen kompletten Namen zu nennen, sondern auch darzulegen, in welchem Zusammenhang Daten von einem erhoben worden sein könnten“, so Heinrich. In Einzelfällen sei es auch sinnvoll zur Legitimation die Kopie des Personalausweises oder Führerscheins beizulegen. Auf der Ausweiskopie müssen nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer zu lesen sein. Alle anderen Informationen dürfen geschwärzt werden.
Betroffene können Schadenersatz verlangen
Am schnellsten wird die Anfrage beantwortet, wenn auch gleich der richtige Ansprechpartner in Sachen Datenschutz bei einer Behörde oder einem Unternehmen ausfindig gemacht wurde. „Meistens wird auf den Homepages im Bereich des Impressums darüber Auskunft gegeben“, sagt Heinrich. Außerdem hätten inzwischen fast alle größeren Unternehmen auch einen Datenschutzbeauftragten, der sich der Anfragen annimmt.
Die Anfrage muss, so sagt es das Gesetz, unverzüglich beantwortet werden. In der Regel dauert das etwa vier Wochen, je nach Fall und Unternehmen kann es aber auch länger dauern. „Wenn zu viel Zeit verstreicht, können sich die Bürger jederzeit an den Datenschutzbeauftragten ihrer Region wenden. Die Behörde untersucht dann die Organisationsstrukturen des Unternehmens und fast nach, warum der Vorgang so lange dauert“, sagt Juliane Heinrich. Dazu muss der vorangegangene Schriftwechsel bei der jeweiligen Datenschutzbehörde mit eingereicht werden.
Ist durch eine falsche Datenverarbeitung sogar ein Schaden entstanden, besteht in der Theorie sogar ein Recht auf Schadensersatz. „Hier hat der Betroffene das Problem, dass er selbst beweisen muss, dass er durch die falsche Handhabung der Daten zu Schaden gekommen ist“, sagt Juliane Heinrich. Sobald die Behörde oder das Unternehmen dies Widerlegen kann, bekommt der Betroffene nichts. Entsprechend selten kommen diese Fälle vor.
