(Dieser Artikel ist veröffentlicht in MHR 3/10, 17) < home RiV >

 

Eigentlich sollte das folgende, lange geplante Thema schon in den letzten MHR behandelt werden. Doch jenes Heft war schon voll, so dass der Beitrag (in nun aktualisierter Fassung) auf das jetzige Heft verschoben werden musste. In der Zwischenzeit ist das Thema „leider“ in der Presse hochgekocht. Trotzdem dürfte der Beitrag für manchen unserer Leser noch das ein oder andere Bemerkenswerte enthalten.

(Red.)

Meine Daten, Deine Daten

- Gegenwart und Zukunft der Personenrecherche -

 

Datenschutz steht wieder positiv im öffentlichen Interesse. Lange war das Thema Datenschutz negativ besetzt gewesen und wurde es in der öffentlichen Wahrnehmung mehr als ein Instrument zur Verhinderung positiver technischer Entwicklungen angesehen. Doch in letzter Zeit hat sich das Bild gewandelt. Google und Facebook haben sich zu Kristallisationspunkten der öffentlichen und großenteils von Hamburg ausgehenden Diskussion zum Thema Datenschutz entwickelt. Anlass war bei der Suchmaschine Google die neue Rubrik „streetview“, in der Straßenzüge horizontal angesehen werden können[1], statt wie bisher nur von oben in der Satellitenansicht. Beim Sozialnetzwerk Facebook nahm man Anstoß insbesondere an der Implementierung von Daten unbeteiligter dritter Personen.

 

Diese Kristallisationspunkte sind jedoch nur kleinste Mosaiksteinchen dessen, was technisch möglich ist. Und um diese Möglichkeiten geht es in diesem Artikel. Dagegen behandelt der Artikel nicht, was rechtlich zulässig ist; diese Frage ist zwar auch wichtig, aber dennoch nur zweitrangig: Erstens ist die rechtliche Zulässigkeit von Staat zu Staat unterschiedlich geregelt, so dass man sich das, was in Deutschland unzulässig ist, oftmals über Services aus fremden Staaten, in denen dies zulässig ist oder nicht verfolgt wird, über das Internet beschaffen kann. Zweitens hinkt der Staat bei der Regulierung neuer Techniken immer hinterher; bis etwas – und dann oft auch noch unzulänglich – geregelt ist, sind schon wieder neue Techniken vorhanden, auf die die gerade erst verabschiedeten Gesetze schon nicht mehr passen; die erwogenen Gesetze für streetview könnten so ein Fall werden. Und drittens sind die faktischen Möglichkeiten der Durchsetzung des Rechts in diesem Bereich derzeit noch so schwach, dass die Versuchung, sich über die rechtlichen Schranken hinwegzusetzen, sehr groß ist[2].

Für eine bessere Durchsetzung wäre mehr Kontrolle erforderlich. Doch wollen wir das? China kritisieren wir wegen der hohen Kontrolldichte.

 

Doch die Kontrolldichte wird nicht nur auf staatlichem Gebiet immer größer. Auch Private kontrollieren Private immer stärker. Arbeitgeber nutzen hierzu immer mehr Technik.

Zunächst zur alten Technik, dem Video. Lidl’s Video-Überwachung von Arbeitnehmern wurde heftig kritisiert. Nun gibt es einen Gesetzentwurf zum Arbeitnehmerdatenschutz. Der Hmb. Datenschutzbeauftragte merkt an, dass nach diesem Entwurf Beschäftigte künftig anlasslos durch Videokameras überwacht werden dürfen und dass nach wie vor die unzulässige Nutzung von im Arbeitsverhältnis erhobenen Daten sanktionslos bleibe.

Und nun zur neuen Technik. Die Firma KDDI hat ein System zur Arbeitnehmerüberwachung entwickelt, mit dem selbst die kleinsten Bewegungen des Handynutzers aufgezeichnet und an die Zentrale geschickt werden können. Das System greift dazu auf die Bewegungssensoren zu, die mittlerweile in vielen Handys integriert sind. Die dazugehörige Software kann unter anderem erkennen, ob der Mensch geht, Treppen steigt oder sogar, ob er gerade den Boden putzt.

Darüber hinaus gibt es die Recherche durch jedermann. Jeder kann über jeden x-beliebigen Zeitgenossen über das Internet viel herausfinden und durch derartige Personenrecherche andere Leute kontrollieren. Hierzu benutzte Dienste wie Google und Facebook sind da nur ein kleines Element eines bislang schleichenden Umbruchs, der sich zur Lawine auswächst. Immer mehr Datenbanken gibt es, und viele davon sind öffentlich zugänglich mit der Folge, dass jeder von jedem immer mehr weiß oder wissen kann. Man mag dies mit negativem Makel versehen („ausspionieren“, „kontrollieren“) oder ihm positive Seiten abgewinnen („gute Informationsquelle“). Doch um den Befund als solchen, dass immer mehr Daten im Umlauf sind und miteinander zu immer besseren Personenprofilen verknüpft werden, kommt man nicht herum. Dem Einen ist dies egal, weil er selber gerne guckt (nach Personen googelt) und glaubt, nichts verbergen zu haben/brauchen; der Zweite guckt zwar ebenfalls gern, möchte aber nicht selbst beguckt werden (das sind laut Bundesinnenminister die Meisten). Der dritte Typus, der nicht einmal selbst guckt, besteht überwiegend aus internetfernen Personen; diese Gruppe dürfte mit der Zeit immer kleiner werden.

 

Die größten Gefahren bei der Ausweitung der Personenrecherche gehen nicht zwingend von den großen Konzernen wie Google aus. Je größer ein Anbieter wird, desto stärker ist er manifestiert, bildet er Vermögen in unterschiedlichen Staaten und kann er in diesen Staaten sanktioniert und angegriffen werden. Regierungen, Datenschutzbeauftragte, Verbraucherverbände schießen sich auf ihn ein. Zudem muss ein Konzern Rücksicht auf sein Image nehmen; Werbepartner und Endnutzer darf er nicht zu sehr verärgern. Eine Untersuchung hat ergeben, dass Googles hohe Nutzerzahl vor allem ein Ausfluss eines hohen Vertrauens der Nutzer in Google sei. Vertrauen kann jedoch schnell verspielt werden. Ein milliardenschweres Unternehmen würde viel riskieren, wenn es Pfändungen, Beschlagnahmungen, Persönlichkeitsrechtsverletzungen, Wettbewerbsklagen und Ähnliches massenhaft in Kauf nähme; die Vernichtung großer Vermögenswerte dieses Unternehmens könnte die Folge sein.

Demgegenüber hilft gegen one-man-Firmen die Möglichkeit von Unterlassungsklagen etc. strukturell wenig. Anschauliches Beispiel dafür sind die Adressenverkäufer: macht man einen dicht, wachsen sie an anderer Stelle nach. Die digitalisierten Adressbestände sind im Umlauf. Ob das in Deutschland verboten ist, interessiert einen chinesischen oder russischen Adressenhändler – der auch die deutschen Adressen mit im Angebot hat - nicht im Geringsten. Dass der Händler nur eine Einzelperson und kein Großkonzern ist, macht ihn schlechter greifbar und nicht weniger gefährlich als manchen Konzern: die Datenbestände dieser Einzelpersonen können immens sein. Zum Beispiel machen Email-Adressbestände oft zig Millionen Datensätze aus; sie werden vervielfältig und vielfältig verkauft. Weltweit haben die Bürger dadurch unter Spams zu leiden. Öffentlichkeitswirksame Einzelaktionen insbesondere in den USA gegen einzelne Händler haben daran nichts geändert.

Ein weiteres Beispiel sind die filesharing-Services, wo u.a. auch verbotene Daten angeboten werden. Die Rechteinhaber setzen großes Engagement daran, derartigen Services das Leben schwer zu machen. Kaum haben sie damit bewirkt, dass kazaa, emule, bearshare etc. rückläufig waren, nahmen die entsprechenden Angebote mit anderer Technik z.B. bei rapidshare zu. Dann wandten sich die Rechtinhaber verstärkt diesem größer werdenden Unternehmen zu; gerade das OLG Hamburg hat hierzu wiederholt zu entschieden[3].

Doch was hilft’s? Megaupload, Depositfiles und viele andere Firmen stehen als Alternativen bereit. Es ist ein Kampf gegen Windmühlen; Daten die erst einmal im Umlauf sind, sind kaum wieder auszurotten. Sogar der Staat ist um den Erhalt rechtswidrig erhobener Daten bemüht, wenn sie ihm nur nützen. Dies zeigen beispielsweise der Ankauf von Steuersünder-CD’s durch Finanzbehörden und die Leitlinie des Berliner GenStA zur Weiterverwendung von Vorratsdaten (Mobilfunkverbindungs- und Internetdaten), die aufgrund eines vom BVerfG[4] für verfassungswidrig erklärten Gesetzes erhoben wurde.

Die Unausrottbarkeit führt zur Nichtvergesslichkeit des Internets, die zusätzlich durch Archivierungsdienste wie dem Google-Cache oder archive.org verstärkt wird. Der Bundesinnenminister hat sich für einen „digitalen Radiergummi“ ausgesprochen. Recht hat er, doch die Umsetzung dürfte schwierig sein. Vergessen ist ambivalent: es kann auch eine Gnade sein. Dies ist vor allem solchen Personen immer wieder mahnend in Erinnerung zu rufen, die Ihre Daten freiwillig ohne Not hergeben, sei es in Sozialnetzwerken oder um irgendetwas kostenlos zu erlangen. Heute mag es insbesondere vielen jungen Nutzern einerlei sein, ob sie eine private Information hergeben. Doch was dem Menschen heute egal ist, muss ihm in einigen Jahren nicht mehr egal sein, wenn aus dem Studenten ein Abteilungsleiter und aus dem Single ein Familienvater geworden ist. Die Internetrecherche ist bereits ein Standardinstrument bei der Personalauswahl geworden; daran wird auch die vom Gesetzgeber in Erwägung gezogene „anonyme Bewerbung“ nichts ändern.

 

Bei Personen, die aufgrund ihrer eigenen Angaben insbesondere bei Teilnahme an Sozialnetzwerken, Blogs und Foren recherchierbar sind, kann man immerhin noch sagen, sie seien irgendwie selbst „schuld“ daran, dass sie Informationen zugänglich gemacht haben[5] - auch wenn der Begriff Schuld hierbei arg überstrapaziert werden kann:

-  Muss jeder, der einem Anderen Informationen über sich gibt, damit rechnen, dass diese Informationen später der Allgemeinheit zur Verfügung gestellt werden?

-  Muss jeder ständig bei Google recherchieren, wo etwas im Internet über ihn selbst berichtet wird, und dann mit großem Aufwand darauf drängen, dass diese Informationen wieder gelöscht werden?

-  Muss sich jeder nun ständig darüber informieren, ob gerade wieder - wie bei streetview - irgendwo eine Widerspruchsfrist läuft, die ein Internetdienst der Allgemeinheit „einräumt“, bevor dieser Dienst anschließend ohne Wissen des Bürgers Daten über ihn veröffentlicht.

 

Außer durch die eigene Mitteilsamkeit werden auch von Ihrem sozialen Umfeld erhobene Daten öffentlich. Arbeitgeber stellen ihre Arbeitnehmer auf ihre Homepage. Sportvereine berichten über Vereinsaktivitäten, an denen Sie beteiligt waren. Freunde machen Fotos von Ihrem Privatbereich oder legen Outlookdaten über Sie bei sich an.

Andere Datenerheber kommen aus dem kommerziellen Bereich: Werbefirmen, Firmen bei denen Sie Kunde sind oder waren (vom EC-Karten-Netzbetreiber[6] über den Verkehrsbetrieb bis vielleicht zum Erotikshopbetreiber), Schufa, Internetservices wie Google und Email-Provider, Zeitungen in denen über Sie berichtet wird, Telefonbücher usw.

Und schließlich ist es auch der Staat, der in schon nicht mehr überschaubarer Vielzahl Datenbanken inne hat, in denen nicht nur Ihre immer wiederkehrenden Daten wie Adresse etc., sondern auch die unterschiedlichsten Sondereigenschaften von Ihnen gesammelt werden (Sozialversicherungen, polizeiliche Ermittlungsdatenbanken, digitalisierte Akten, teil-/öffentliche Register). Neuere diesbezügliche Stichworte sind der Elektronische Entgeltnachweis Elena[7], der digitale Personalausweis, die Steuer-ID, das SWIFT-Abkommen (Überweisungsdaten) und das Fluggastdaten-Abkommen mit den USA.

 

Schon diese nur rudimentäre Auflistung zeigt, dass niemand vor unerwünschten Recherchen über ihn gefeit ist, nur weil er selber nichts über sich ins Internet stellt. Von völlig internet-aversen Personen, die das Internet noch nie benutzt haben, stehen Daten im Internet. Hierzu mal ein paar Beispiele von einzelnen meiner eigenen Bekannten:

-  Eine Verwandte war wegen eines Jubiläums von der Lokalzeitung aufgesucht worden. Die Zeitungsleute machten von ihr und ihrem Ehemann ein Foto. Die Zeitung stellt ihre Artikel kostenlos ins Internet. Seitdem kann man durch Suchmaschinen über meine beiden kein Internet nutzenden Verwandten herausfinden, wie sie heißen, wie sie aussehen und was für Interessen sie haben. Über den Namen kann man aus dem Internettelefonbuch nicht nur die Telefonnummer, sondern auch die Adresse herausbekommen. Mit dieser Adresse kann man über Google-maps ihr Haus in der Satelliten-Ansicht sehen.

-  Ein pensionierter Sportsfreund macht ein Seniorenstudium, in dessen Rahmen er an einer Studienreise teilnahm. Ein anderer Teilnehmer der Reise schrieb einen Reisebericht und stellte ihn ins Internet. Seitdem ist mein Sportsfreund nicht nur mit Namen, Bild und Hobby im Internet, sondern auch mit seiner Immatrikulationsnummer. Außerdem hat die im Internet zugängliche Sportvereinszeitung über seine Verdienste berichtet, wobei insbesondere seine Zuständigkeit für Finanzfragen offengelegt wurde. Unter Zuhilfenahme einzelner dieser Ergebnisse bekommt man dann auch noch seinen früheren Beruf heraus, über den er selbst nie redet.

-  Ein Bekannter ist mit seinem wirtschaftlich nicht verwerteten und somit ansonsten unbekannten Patent in einem Internetverzeichnis enthalten. Durch das Thema dieser Arbeit kann festgestellt werden, dass er identisch ist mit einer Person, die in Firma B Abteilungsleiter für ein ähnliches Thema geworden ist. Mit dieser Information lässt sich recherchieren, dass er bei Firma C Vorträge für eine andere Branche hält. Nichts davon hat er selbst ins Internet gestellt. Außerdem lässt sich herausfinden, von wo nach wo er umgezogen ist.

Vorstehendes zeigt zugleich: Hat man erst einmal eine „Teil-“Information, so lassen sich davon ausgehend andere Informationen finden. Darum kann auch die unscheinbarste Information wichtig werden. Selbst nur im Fotohintergrund befindliche Informationen können weiterführen. Es ist erschreckend, wie weitgehend man sich durch Sammeln von Internetinformationen ein Bild von den Lebensumständen fremder Personen machen kann.

Hilfestellung bei der Verknüpfung von Informationen leisten auch sogenannte Rückwärtssuchmaschinen: Dort wird nicht der Name eingegeben und hierzu Informationen gesucht, sondern zu vorhandenen Informationen wird der Name gesucht. Gängig ist diese Methode z.B. bei Telefonnummern und Email-Adressen; wenn Sie diese haben, finden Sie auch die zugehörige Person[8]. Dienstlich ist auch die Rückwärtssuche anhand der Zimmernummer möglich[9]. Suchmaschinen, die auf Personenrecherchen spezialisiert sind, sind z.B. 123people.de und yasni.de, die auch schon Gegenstand der Hamburger Rechtsprechung waren[10]. Spezielle Richterdatenbanken gibt es ebenfalls[11].

In Kürze wird es auch Online-Rückwärtssuchen anhand eines Personenfotos geben[12]. Das heißt, Sie geben ein Foto ein, und sei es, dass Sie bloß Ihre Handy-Kamera auf eine Person richten (bzw. diese auf Sie gerichtet wird), und schon werden alle im Internet erhältlichen Infos zu dieser Person ausgegeben.

Für Gebäude gibt es das bereits. Der Dienst heißt Google goggles. Sie richten Ihre Handy-Kamera auf ein Gebäude und wenn dieses Gebäude in der Bilderdatenbank von Google enthalten ist, gibt Google Ihnen über das Handy-Internet sofort alle hierzu im Internet enthaltenen sonstigen Informationen zum Gebäude. Bislang (!) hat Google die Gesichtserkennung aus Datenschutzgründen nicht ebenfalls in goggles integriert. Die entsprechende Technik hat Google aber bereits gekauft und prominente Personen sollen User-Mitteilungen nach trotz der Nichtimplementierung bereits mit diesem Dienst erkannt werden.

Die US-Firma Facebook, deren Führungskräfte ihre Abneigung gegen Datenschutz öffentlich bekundet haben (das sei „Schnee von gestern“) und die ebenfalls bereits eine Gesichtserkennungsfirma aufgekauft hat (ebenso Apple), hat weniger Skrupel als Google. Sie will erklärtermaßen die Gesichtserkennung implementieren. Das ist gerade bei dieser Firma von Bedeutung, weil deren 500 Mio. Nutzer rd. 100 Mio. Fotos pro Tag (!) hochladen, auf denen oft auch Freunde, Verwandte, Bekannte, unbeteiligte Passanten zu sehen sind.

Es wäre ein Wunder, wenn Google mit der Gesichtserkennung nicht auch online seine Konkurrenten zu überholen versuchen wird, wo doch Google schon für die offline-Erkennung auf dem privaten PC für jedermann das entsprechende Programm anbietet. Es heißt picasa. Damit kann man seinen eigenen PC nach Fotos abscannen lassen. Sodann zerlegt dieses Programm jedes Foto in die einzelnen Gesichter; selbst wer auf einem Foto mit sehr großen Menschengruppen irgendwo ganz hinten in der Ecke gerade noch hervorlugt, wird auf diese Weise erfasst. Der Nutzer kann picasa zu jeder einzelnen vom Programm gefundenen Person sagen, wie die Person heißt. Das Programm ordnet diesen Namen dann automatisch auch allen anderen Fotos auf dem ganzen PC zu, auf dem es diese Person selbst erkennt. Anschließend kann der User seine Datenbank zu Google hochladen und hat die Wahl, jedermann den Zugang zu seinen Fotos zu gestatten.

Und für die Personenerkennung in Videos hat Google auch schon einen Patentantrag gestellt. Sobald das durch ist, kann man, wenn man ein Foto von Ihnen hat, auch nach Videos suchen, in denen Sie zu sehen sind. Bei youtube, das ebenfalls Google gehört, gibt es bereits 500 Mio. von Usern hochgeladene Videos, zum Teil aufgenommen mit Handys in privater Umgebung.

Wechselbeziehungen zwischen Googles Gesichtserkennung mit den unzähligen online-Webcams sind in beide Richtungen denkbar: Einerseits kann die Webcam von allein bei jeder ins Bild laufenden Person bei Google anfragen, wer diese Person ist. Andererseits ist denkbar, dass Google oder ein Anderer per Spezial-Suchmaschine alle online-Webcams[13] (soweit diese nicht passwort-geschützt sind) zu sich streamt, dann alle durchs Bild laufenden Personen zu erkennen versucht und Ihnen die Webcam und somit den Standort zuordnet.

 

Und selbst wenn man Google und Facebook langfristig zur Nichtnutzung der online-Gesichtserkennung bewegen würde: Es gibt schon seit längerer Zeit kleinere Dienste, die Ähnliches leisten[14]. Wenn die großen Konkurrenten wegfallen, dann werden bislang kleine Firmen versuchen, die Technik und das Geschäft auszubauen.

Doch dazu wird es wohl nicht kommen. Google-Chef Schmidt scheint jedenfalls mittelfristig nicht die Absicht zu haben, das Feld anderen zu überlassen. Auf der Techonomy-Konferenz schaute er beherzt in die Zukunft, die wohl nur wenige Monate vor uns liegen dürfte: „Anhand von 14 Bildern aus dem Netz können Computer mit künstlicher Intelligenz eine Person mit hoher Sicherheit identifizieren“ (und zwar ohne dass ein Mensch zuvor das Foto mit dem Namen verknüpft hat bzw. den Namen aus den Internetinfos zu diesem Foto sich erschließt).

 

Hat der Fotograf auf seinem Foto einen sog. Geotag gesetzt – das ist die Ortsposition, die der GPS-Sensor des Handys/Fotoapparats der Fotodatei automatisch hinzufügen kann - so ist für jedermann auch noch der Ort des Fotos feststellbar. Der Chef von Google weist darauf hin, dass die gespeicherten Daten aus ortsbasierten Diensten auch benutzt werden können, um mit hoher Genauigkeit vorherzusagen, wohin eine Person sich als Nächstes bewegt.

Wie aussagekräftig auch bloß aus Mobilfunk-Verbindungsdaten (also ohne deren Inhalt, sondern nur aus Ort, Zeit und Adressat) erstellte Bewegungsprofile sind, haben die Gutachten gezeigt, die dem BVerfG im Verfahren zur Vorratsdatenspeicherung vorlagen. Hieraus folgerte das BVerfG (s. Fn. 4):

„Auch aus diesen Daten lassen sich jedoch bei umfassender und automatisierter Auswertung bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse ziehen. Adressaten (deren Zugehörigkeit zu bestimmten Berufsgruppen, Institutionen oder Interessenverbänden oder die von ihnen angebotenen Leistungen), Daten, Uhrzeit und Ort von Telefongesprächen erlauben, wenn sie über einen längeren Zeitraum beobachtet werden, in ihrer Kombination detaillierte Aussagen zu gesellschaftlichen oder politischen Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen derjenigen, deren Verbindungsdaten ausgewertet werden. Einen Vertraulichkeitsschutz gibt es insoweit nicht. Je nach Nutzung der Telekommunikation und künftig in zunehmender Dichte kann eine solche Speicherung die Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile praktisch jeden Bürgers ermöglichen. Bezogen auf Gruppen und Verbände erlauben die Daten überdies unter Umständen die Aufdeckung von internen Einflussstrukturen und Entscheidungsabläufen.“

Der Bundesinnenminister hat im September in einem Spitzengespräch die Verknüpfung von Daten zu Bewegungs- und Persönlichkeitsprofilen – insbesondere bei den Geodatendiensten – zur Diskussion gebracht. Er kündigte einen eigenen Gesetzentwurf an (Hamburg hatte zuvor bereits im Bundesrat einen Gesetzentwurf bewirkt), forderte einen Kodex der Diensteanbieter und überlegt die Erstellung eines regelmäßigen Berichts. Das hört sich nicht so an, als ob irgendetwas Wirkungsvolles passieren wird.

 

Einige der obigen Beispiele (z.B. Reiseberichte und picasa) zeigen: Bürger geben nicht nur ihre eigenen Daten preis, sondern auch die von ihnen gesammelten Daten ihrer Mitbürger. Ein weiteres Beispiel hierfür ist Facebook: Wer sich dort anmeldet, sucht Bekannte. Damit der Anmelder nicht lange suchen muss, wer von seinen Freunden ebenfalls schon bei Facebook angemeldet ist, bietet Facebook an, dass der Anmelder seine Outlook-Daten hochlädt. Ein einfacher bequemer Link und die komplette Sammlung aller privaten Kontaktdaten fließt zu dem Internetunternehmen. Doch damit nicht genug. Facebook hat dann nicht nur die Daten der einzelnen Personen, sondern auch ihre Beziehung zueinander, denn Facebook merkt sich, wer sich durch wen kennt; und das gibt Facebook auch dem Rest der Welt bekannt. Google hat einen ähnlichen Dienst; er heißt „Google Buzz“. Als dieser Dienst im Februar startete, lag plötzlich für alle Welt zutage, wer wem besonders häufig Emails schreibt.

 

Viel mehr noch lässt sich über solche Personen herausfinden, die aktiv im Internet tätig sind. Sie bleiben dort auch dann nicht anonym, wenn sie sich Mühe geben. Die IP kann von der Staatsanwaltschaft (und dadurch z.B. auch von verletzten Rechteinhabern) beim Mobilfunkbetreiber mit Namen versehen lassen werden. Selbst manche Anonymisierungsdienste geben entsprechende Auskünfte. Und in Österreich hat kürzlich eine Forschergruppe gezeigt, wie Nutzer über ihre Gruppenzugehörigkeit bei Facebook und Xing und den Verlauf ihres Webbrowsers zu identifizieren sind. Und wer fähig ist, sich illegal Zutritt zu nichtöffentlichen Datenbanken zu verschaffen, dessen Möglichkeiten zur Recherche erscheinen grenzenlos.

 

Werden die Daten weitergegeben, so besteht über diesen unangenehmen Umstand hinaus die Gefahr, dass irgendwo Daten aus mehreren Quellen zusammengeführt werden und miteinander verknüpft werden (s.o.).

Wer hat nicht schon selbst unterschrieben, dass er mit den AGB einverstanden ist, wonach der Vertragspartner dies und das mit den Daten machen darf. Und wer hat nicht schon sensible Daten per Email verschickt. Mancher verwaltet gar seinen Kalender online (z.B. bei Google) oder nutzt einen der vielen Online-Speicher. Wer „Google-Desktop“ nutzt, überlässt Google sogar den Suchindex für seine privaten Dokumente - vom Liebesbrief über die Steuererklärung bis zum Testament. Google plant laut Statement seines Chefs auf der IFA, seinen Kunden ihr Einverständnis dazu erklären zu lassen, dass Google auf die Inhalte (insbesondere auf die Emails) zugreifen darf und dies für die Verbesserung der Suchmaschine auswerten darf. Das ist umso brisanter, als Google seine Kundendaten durchaus auch staatlichen Behörden überlässt. In den USA wurde ein Täter überführt, weil er vor dem Mord an seiner Frau die Worte „Nacken“ und „brechen“ bei Google nachgeschlagen hatte. Das erfuhr die Polizei nicht etwa durch den Internetverlaufsordner auf dem PC des Täters, sondern weil Google entsprechende Aufzeichnungen machte und sie der Polizei zur Verfügung stellte. In diesem Fall eine gute Sache, aber weiß man schon vor der Datensammelei, dass die Daten nur für gute Sachen verwendet werden? Außerdem stellt Google derartige Daten nicht nur in den USA zur Verfügung; auch für China wurde derartiges bekannt.

 

Ergänzt wird dies durch Geheimdienstmethoden. Der US-Präsident George W. Bush hatte im Rahmen des patriot act der NSA (National Security Agency) auf der Suche nach Terroristen erlaubt, ohne richterliche Erlaubnis massenweise Telefongespräche, Emails und Finanztransaktionen abzufangen. Dazu bedient sich die NSA des so genannten Data-Mining. Diese Methode durchforstet auf der Suche nach auffälligen Mustern riesige Datenmengen aus Telefongesprächen, Emails und Internetverkehr. Und da das Internet international ist, sind davon nicht nur die Amerikaner betroffen. Und da man vorher nicht weiß, wer Terrorist ist, gelangen auch Unbeteiligte in die NSA-Datenbank.

Darüber hinaus betrieb die NSA ein ähnliches Projekt auch in Europa; es hieß Echelon, hatte in Deutschland eine Station in Bad Aibling und wurde anno 2004 eingestellt. An seine Stelle trat ein Horchposten in Darmstadt/Grießheim namens „Dagger Complex“, der anno 2008 aufgelöst worden sein soll (die Genehmigung lief allerdings bis 2012).

Die aus Echelon gewonnenen Daten sollen die USA auch US-Firmen für deren Vertragsverhandlungen gegen Konkurrenten zur Verfügung gestellt haben[15].

Wäre es da ein Wunder, wenn mit derartigen Daten auch Einfluss auf deutsche Politik genommen würde? Möglich wäre, dass der US-Geheimdienst bei der Besetzung eines höchsten Staatsamtes dem deutschen Geheimdienst mal einen Tipp gibt, wenn das Data-Mining ergibt, dass der Kandidat relevante außergewöhnliche Internetgewohnheiten hat. Es liegt ja nicht ganz fern, dass ein US-Beamter es für sinnvoll hält, dass die Deutschen wissen sollten, wen sie da z.B. zum Präsidenten des BVerfG’s zu machen im Begriffe stehen. Vorsorglich sollten Sie lieber keine nicht astreine Internetseite ansurfen, wenn Sie noch PräsBVerfG werden wollen (J).

 

Und selbst wenn Google und all die anderen Datensammler sorgsam mit den Daten umgehen würden: wer stellt sicher, dass nicht irgendwann ein hoher Angestellter mit Zugriffsrechten die Daten klaut und für eine eigene Firma verwendet? Speicherplatz ist billig. Kopiersperren kann man überwinden. Und wer so etwas macht, den interessieren auch Datenschutzvorschriften nicht. Hier ist vielmehr das Thema Datensicherheit angesprochen.

Man hält sich für sicher, weil man Datenlecks für technisch beherrschbar[16] bzw. für Einzelfälle hält. Doch durch ein kleines Leck passt viel hindurch. Durch ein „kleines Leck“ sind schon riesige Datenströme geflossen: ganze Kreditkartendatenbestände einer Bank wurden schon von Externen kopiert.

Die Firma 1&1, auf deren Servern ein Drittel aller deutschen Email-Adressen liegen (insbesondere durch gmx und web.de), beschäftigt eine ganze Abteilung mit 20 Personen, die Hackerangriffe abwenden sollen, wobei es sich nicht um Hobbyhacker, sondern um professionelle Verbrecher aus dem osteuropäischen und asiatischen Raum handelt, die aus den erbeuteten Daten Geld ziehen. Wie vielen Verbrechern mag das wohl schon gelungen sein, sonst würde 1&1 nicht eine kostenträchtige ganze Abteilung mit der Abwehr beschäftigen.

Hacker – zum Teil sogar im Auftrag fremder Regierungen - stehlen auch Daten von fremden Regierungen[17]; Regierungsdaten können auch Bürgerdaten sein (Finanzamt, Justiz).

In Lettland hackte sich jemand in das System der Finanzbehörde ein und kopierte 90% aller Daten. Anschließend stellte er die Gehaltslisten von Besserverdienenden anonym ins Internet.

Das US-Pentagon hätte wahrscheinlich Stein und Bein auf allerhöchste Sicherheitsstufen geschworen, bevor der Dienst wikileaks riesige Mengen geheimer Regierungsunterlagen zum Afghanistan-Krieg veröffentlichte. Und auch die Schweizer Banken hätten vor dem inzwischen schon institutionalisierten Handel mit Steuersünder-CD’s die Hand dafür ins Feuer gelegt, dass ihre Daten die Bank nicht verlassen können; im Falle der HSBC-Bank war übrigens der eigene IT-Administrator der Datendieb, dagegen halfen auch keine IT-Sicherheitsmaßnahmen.

Überhaupt scheinen EDV-Mitarbeiter mit Zugriffsrechten auch in Deutschland eine große Schwachstelle zu sein: EDV-Administratoren nehmen unerlaubt Einsicht in Emails[18] und kontrollieren unter Missbrauch von Zugriffsrechten sogar den Vorstand ihrer Bank[19]. Und selbst wenn sie keine Zugriffsrechte haben, die sie missbrauchen könnten, so können sie sie sich auf Umwegen manchmal trotzdem verschaffen[20].

Und da soll noch irgendjemand Vertrauen haben, dass seine Daten in „sicheren“ Datenbanken sicher sind. Sogar in der Justiz wurden laut HessDGH die erforderlichen organisatorischen Vorkehrungen zur Vermeidung von Missbrauch der Daten zur unzulässigen Kontrolle der Richter nicht eingehalten[21]. Dass auch in Hamburg IT-Leute sich nicht immer an die Zugriffsbeschränkungen gehalten haben, wurde in den MHR schon früher erwähnt[22].

 

In Karteikartenzeiten war es für untreue Mitarbeiter schwieriger, Millionen Datenbestände einfach mal so mitzunehmen. Heutzutage ist das eine Sache von Sekunden für den, der Zugang hat; die billigen mobilen Speicher machen es möglich. Beispielsweise nutzten Telekom-Mitarbeiter die Kundendaten für eigene Firmen. Darüber hinaus wurden dem Mobilfunk-Unternehmen T-Mobile anno 2006 über 17 Mio. Kundenstammdaten (Handynummern, Adressen, Geburtsdaten und Email-Adressen) entwendet und im Internet in kriminellen Kreisen angeboten.

So wie die Digitalisierung den Datenklau erleichtert, wird die zunehmende Vernetzung den digitalen kriminellen „Einbruch“ ins vernetzte Haus[23], ins vernetzte Auto etc. erleichtern. Und wenn auch das Auto mit dem Haus vernetzt ist[24], dann kann man über einen digitalen Autoeinbruch[25] auch noch gleich digital im Haus herumspazieren (und dort nicht nur wie in Fn. 24 die Kaffemaschine abschalten). Einbruchsversuche in den häuslichen PC sind bereits jetzt z.B. über Viren, Trojaner, Keylogger und spezielle Phishing-Methoden an der Tagesordnung[26]. Spanner verschaffen sich über das Internet unbemerkt Zugang zu am PC montierten Webcams von Mädchen. Der polizeiliche digitale Einbruch - die sog. Online-Durchsuchung – ist seit 2009 sogar gesetzlich in § 20 BKA-Gesetz geregelt.

 

Ein weiterer Weg, über den häufig auf fremde Daten zugegriffen wird, sind Funkverbindungen, insbesondere WLAN, Handys, schnurlose Telefone und RFID-Chips. Google machte Aufzeichnungen über private WLAN-Netze anlässlich der streetview-Fahrten (Apple macht mittels der Iphone’s seiner Kunden das Gleiche). Unredliche Zeitgenossen verschaffen sich über ungesicherte WLAN’s Zugang zu fremden Rechnern; Laien, die nicht wissen, wie sie ihr WLAN verschlüsseln können (insbesondere ältere Mitbürger), gibt es immer wieder[27].

Die in fast jedem Haushalt vorhandenen schnurlosen Telefone (DECT) können in der Regel von Dritten mittels eines Laptops mit spezieller Software und spezieller Funkkarte abgehört werden. Das ZDF-Magazin Frontal21 führte das vor. Intime Gespräche, medizinische Gespräche, Telefonbanking, Anwaltskanzleien und viele andere sensible Telefonate könnten so Objekt der Neugier werden.

Eine WiSo-Sendung des ZDF zeigte, wie Dritte von außen per Funk auf Überwachungs-Kameras zugreifen könne, obwohl diese zum Teil von Sicherheitsfirmen installiert worden waren. 80 Kameras - darunter die auf Kunden gerichtete Kamera einer Bankfiliale - konnten so allein an einem Tag angezapft werden.

RFID-Chips stehen für den Traum der Supermärkte vom Kunden, dessen Einkaufswagen ohne Kasse im Vorbeigehen auf seinen Inhalt gescannt und bezahlt wird. Verwirklicht worden ist das in einem Bremer Wellnessbad; dort bekommen Sie mittels eines solchen Chips am Arm Zutritt, schließen damit Ihren Umkleideschrank auf und bezahlen den Verzehr bargeldlos. Außerdem kommen diese Chips u.a. in Mülltonnen zur Erfassung des Recyclingverhaltens und in allen deutschen Reisepässen seit 2005 zum Einsatz. Ein britischer Sicherheitsexperte hat beschrieben, wie er sich mit Kenntnis der Inhaberdaten Zugriff auf weitere Passdaten dieser Person verschaffen konnte, obwohl sich der Ausweis in einem Umschlag beim Passinhaber befand.

Handys sind nicht nur ein Lieferant von Verbindungsdaten und Gesprächsinhalten (abhörbar auch im Vorbeigehen über IMSI-Catcher), sondern auch von Positionsdaten. Fremde können Ihr Handy jederzeit orten, wenn sie irgendwann mal unbemerkt Zugriff auf Ihr Handy hatten und es bei einem Handy-Ortungsdienst wie z.B. picosweb.de angemeldet haben.

 

Natürlich gibt es unterschiedliche Grade der Betroffenheit bei fremdem Datenzugriff. Wenn jemand Ihre Position oder Ihr Bewegungsprofil kennt, mag das im Einzelfall nur ärgerlich sein. Doch wer auf seine anderen Daten nicht aufpasst, der kann z.B.

-  sein Geld verlieren (weil jemand sein Bankkonto plündert);

-  seinen Ehepartner verlieren (weil jemand ihn/sie über die Emails mit dem Seitensprung informiert);

-  seinen Beruf verlieren (nicht nur als Brandenburgischer Innenminister, sondern auch als einfacher Bürger, z.B. wenn dieser in Emails über seinen Arbeitgeber lästert);

-  erpressbar sein (weil er nicht möchte, dass Vorstehendes passiert).

 

Ist das alles nur Angstmacherei? Ja, aber begründete Angstmacherei, wobei die „Angst“ nicht zu irrationaler Totalverweigerung jeglicher Benutzung von Kommunikationsmitteln führen kann oder soll, sondern als Bewusstsein verstanden werden soll, dass da etwas ist, was gefährlich ist und dem man vorsichtig begegnen muss. Gefährlich scheinen nicht (zumindest nicht immer) je für sich genommen belanglose Einzelaktionen und Einzeldienste. Bedenklich ist aber die Struktur, in die unsere Gesellschaft und jedes ihrer Mitglieder durch die Summe solcher Dienste und der Art und des Umfangs ihres Gebrauchs nicht nur langsam, sondern rasant hineinwachsen. Einzelne kleine Gefahren lassen sich um des Vorteils willen hinnehmen, doch der hier aufgezeigte Umfang erfordert eine Intensivierung des gesellschaftlichen Diskurses, der zumindest in der Politik inzwischen angekommen zu sein scheint; mögen die derzeitigen politischen Aktivitäten kein bloßes Strohfeuer sein.

 

Doch auch jeder Einzelne muss für sich und seine Familie überlegen, woran er teilnimmt und wie er seine Daten schützen kann, auch wenn die Handlungsalternativen des Einzelnen nur sehr begrenzt sind, weil die neuen Kommunikationswege mit den ihnen immanenten Gefahren nun mal zu einem gesellschaftliche Faktum geworden sind, dem man sich immer weniger entziehen kann.

 

Wie oben schon aufgezeigt, lassen sich auch ohne Zutun des Betroffenen immer detailliertere Profile erstellen. Dazu Google-Chef Schmidt: „Wer nicht möchte, dass andere von etwas erfahren, der sollte es vielleicht am besten erst gar nicht tun“ – eine Ermahnung zu regelkonformem Verhalten. Facebook-Chef Zuckerberg schlägt in die gleiche Kerbe: Die Menschen müssten zu den Konsequenzen ihres Handelns stehen; die Zeiten, in denen man seinen Kollegen bei der Arbeit eine Persönlichkeit präsentieren konnte und seinen Freunden eine ganz andere, seien vorbei.

Solche Äußerungen mögen sarkastisch klingen, doch dürften sie ein realistisches Bild der mittelfristigen Zukunft sein. Wer eine solche Zukunft nicht möchte, weil er der Ansicht ist, dass jeder Mensch seine kleinen Geheimnisse sollte behalten dürfen, der muss einer solchen Zukunft entgegenwirken. Gerade in einer Zeit wie der heutigen, in der kleine Fehler gern so lange aufgebauscht werden, bis die wirtschaftliche und soziale Existenz des Betroffenen vernichtet ist und in der Nachsicht, Fürsorge und Fehlerfreundlichkeit[28] keinen hohen Stellenwert genießen, wird das Bedürfnis des Einzelnen nach Geheimhaltung zunehmen - und das bei wachsendem Interesse der Gegenseite an mehr Informationen. Da ist ein wechselseitig sich aufschaukelndes Spannungsverhältnis zwischen beiden Interessen vorprogrammiert.

 

Wolfgang Hirth


 

[1] Gleiches bietet sightwalk.de bereits jetzt, wo man u.a. vor dem Hamburger Ziviljustizgebäude eine Menschengruppe mit verpixelten Gesichtern sieht. Und in den USA gibt es Microsofts Suchdienst Bing mit dem Service „streetside“.

[2] Richter und StA'e beklagen, dass Verfahren wegen Überlastung der PC-Ermittler aufgrund der Datenflut in die Länge gezogen werden (DRB-Niedersachsen, 28.05.2010).

[3] MMR 2008, 823; 2010, 51

[4] NJW 2010, 833

[5] Innenminister de Maizière: „Wer mit Twitter seine stündlichen Bewegungen der Öffentlichkeit mitteilt, kann nicht erwarten, dass der Staat ihn vor der Erstellung von privaten Bewegungsprofilen schützt.“

[6] Nach neuesten Nachrichten erstellen die EC-Karten-Betreiber rechtswidrig Bonitätsprofile der EC-Kunden. Teilweise bieten die Betreiber den Geschäften an, dass bei EC-Kartenzahlung sofort an der Kasse online geprüft wird, ob dem Kunden das für das Geschäft billigere Bezahlen mit Unterschrift erlaubt wird. Ansonsten wird die Geheimnummer des Kunden verlangt.

[7] Ein Eilantrag gegen Elena wurde gerade vom BVerfG abgelehnt (Beschl. v. 14.09.2010 - 1 BvR 872/10)

[8] Für Telefonnummern gehen Sie z.B. auf www.dasoertliche.de und dort auf „Rückwärtssuche“. Wie man das in die eigene Telefonanlage integrieren kann und Reaktionen in Abhängigkeit von der Person des Anrufers automatisieren kann, ist beschrieben bei Hirth, MHR 2/2008, 15.

[10] LG Hamburg, Urt. v. 16.06.2010 – 325 O 448/09 (juris)  und OLG Hamburg, Beschl. v. 23.10.2009 – 7 W 119/09

[11] www.richterdatenbank.de. Zum Richterbewertungsportal beim „Marktplatz Recht“ vgl. in diesem Heft, Seite 15

[12] Sowohl die entsprechende Offline-Rückwärtssuche, als auch die umgekehrte Online-Suche nach einem Foto anhand des Namens bietet Google schon seit langem.

[13] Es gibt Millionen Webcams, die nicht zum Chatten am PC hängen, sondern den öffentlichen oder halböffentlichen Raum (z.B. Geschäftsrume mit Kundenverkehr) oder auch fremde private Gebäude zeigen. Im Friesenhausurteil hat der BGH entschieden, dass das Fotografieren eines fremden Hauses zulässig ist – quasi „streetview privat“.

[15] Das sagte anno 2000 ein Journalist vor einem Bundestagsausschuss aus. Die Regierungen bestritten das.

[16] Im Vorratsdatenurteil des BVerfG ist ausgeführt, welche Techniken „Sicherheit“ bieten würden.

[17] Das betrifft nicht nur China. Gerade ist ein neuer Super-Virus namens „stuxnet“ aufgetaucht, der dem Anschein nach von einer Regierung, die dem Iran nicht wohlgesonnen ist, mit Millionenaufwand kreiert wurde, dem kein Virenscanner gewachsen ist und der darauf angelegt ist, ganze Industriewerke (insbesondere Atomanlagenzentrifugen) lahm zu legen (und dies wohl auch geschafft hat).

[18] ArbG Aachen, MMR 2006, 702

[19] LAG Köln, Urt. v. 14.05.2010 – 4 Sa 1257/09 (juris)

[20] vgl. LAG München, MMR 2010, 497

[21] in diesem Heft, Seite 27

[23] Ein Hamburger Bauunternehmen plakatierte in diesem Sommer großflächig: „Homecontrol per iphone“. Dadurch können Sie mit Ihrem Handy z.B. – aber nicht nur - Heizung, Rolläden, Garagentor bedienen.

[24] Die Telekom hat gerade bei der Errichtung ihres neuen Geschäftsbereichs „Netzlösungen“ das Beispiel einer Familie auf Urlaubsfahrt, die vom Auto aus ihre häusliche Kaffeemaschine abschaltet, demonstriert.

[25] In Boston haben sich Wissenschaftler aus der Ferne über das Funknetz des Reifendruckkontrollsystems Zugriff auf das Bordsystem eines fahrenden Autos verschafft.

[26] Instruktiv zur Organisation von Hackerbanden und zu den neueren technischen Möglichkeiten: LG Bonn, Urt. v. 07.07.2009 – 7 KLs 01/09 (juris)

[27] … und werden dann auch noch selber als Störer von der Rechtsprechung in die Haftung genommen (BGH MDR 2010, 883) – ein sinnvoller mittelbarer Zwang auch zum Selbstschutz.

[28] Chr. und E. U. v. Weizsäcker: Fehlerfreundlichkeit; in: Kornwachs, Zur Theorie der Offenen Systeme, 1984, 167