Die Beauftragte für den Datenschutz und die Informationsfreiheit

Verbraucherpolitik in der digitalen Welt - Der Gläserne Kunde ?

Statement des Bundesbeauftragten für den Datenschutz Peter Schaar anlässlich der gemeinsamen Veranstaltung mit dem Bundesministerium für Verbraucherschutz, Ernährung und Landwirtschaft "Verbraucherpolitik in der digitalen Welt - Der Gläserne Kunde?" am 21. April 2005 in Berlin

Anfang 21.04.2005
Redner Peter Schaar

Das Sammeln von Daten über jeden Einzelnen von uns liegt im Trend. Je umfassender das Kundenprofil, desto planbarer und auch manipulierbarer wird das Kaufverhalten. Dem richtigen Kunden zum richtigen Zeitpunkt mit den richtigen Argumenten ein individuelles Angebot zu machen - dafür werden in der Werbung, Markt- und Meinungsforschung immer mehr Kundendaten zusammengetragen und ausgewertet, um zu immer ausgefeilteren Profilen zu gelangen. Aus Sicht der Wirtschaft verständlich, doch bleibt dabei das Recht des Einzelnen auf informationelle Selbstbestimmung vielfach auf der Strecke.
Einen nicht unwesentlichen Beitrag zu diesen Datenbergen leistet der Konsument selber. Unbewusst und vielfach automatisch hinterlässt er im täglichen Leben seine Datenspuren, wenn er mit seinem Mobiltelefon telefoniert, im Internet surft oder einkaufen geht. Durch entsprechende Anreize wie Boni der unterschiedlichsten Art fallen diese Daten vermehrt und regelmäßig an. Ein Kauf, bei dem wir für die gewünschte Ware einfach nur noch Bargeld auf den Tisch legen, ist schon beinahe zur Seltenheit geworden. Wer zahlt heute schon Summen über 50 Euro noch bar? Wir nutzen die Kredit- oder ec-Karte: im Supermarkt, an der Tankstelle, im Kaufhaus. Dabei fragt uns stets eine freundliche Kassiererin, ob wir nicht auch eine Kundenkarte hätten und es kommt uns dann schon beinahe so vor, als wenn wir eine Gelegenheit verpasst hätten, wenn wir mit „nein“ antworten. Dieser Eindruck verstärkt sich noch, wenn uns dann der Kassenzettel darauf hinweist, dass dieser Einkauf uns 100 Bonuspunkte auf einer Kundenkarte gebracht hätte. Und tatsächlich gehört die Kundenkarte für Viele nach der Krankenversicherungs- und der ec-Karte zu der wichtigsten Karte in der Brieftasche. Wie die Frankfurter Allgemeine Sonntagszeitung im Februar diesen Jahres geschrieben hat, stecken mindestens 78 Millionen Karten insgesamt in den Geldbörsen der Deutschen, davon allein 27 Mio. Kundenkarten des Marktführers Payback, gefolgt von dem Marktzweiten HappyDigits mit rund 23 Mio. Bei einer Gesamtbevölkerung von 82 Mio. kann man sich die Verbreitung der Bonuskarten leicht ausrechnen, selbst wenn die eine oder andere Karte in einer Schublade verstauben mag.
Die Karteninhaber sollen an das Unternehmen oder die hinter der Kundenkarte stehenden Konzerne gebunden werden und ihre Käufe auf die entsprechenden Geschäfte konzentrieren. Doch geht das Interesse der Unternehmen in aller Regel weiter. Als Gegenleistung für die Rabattgewährung wollen sie auch etwas vom Kunden erfahren und wie ginge das besser als über das Kaufverhalten. Wer gerne liest, dem werden Angebote über Buchneuheiten zugeschickt, der Sportfan erhält ein Sonderangebot für die neuesten Sportartikel.
Unterstützt wird die immer weiter wachsende Datensammlung durch den technischen Fortschritt: Kreditkarten, Internet, Scannerkassen, Mobiltelefone, Navigationssysteme, elektronisches Ticketing – alles technische Fortschritte, die den Verbrauchern auf der einen Seite das Leben bequemer machen, auf der anderen Seite aber auch enorme Datenmengen produzieren. Auch die neue RFID-Technologie gehört dazu:
In fast allen Branchen gibt es Bestrebungen, über RFID-Produkte zu identifizieren und Warenströme zu automatisieren. Die Funkchips dienen derzeit noch überwiegend der Logistikkontrolle und dem Diebstahlsschutz und werden bisher noch überwiegend nicht mit personenbezogenen Informationen wie etwa Kreditkarten, Kundenkarten oder Videoaufzeichnungen verknüpft. Es besteht jedoch die Gefahr, dass mit der breiten Einführung Verbindungen zwischen den RFID-Kennungen und dem Käufer bzw. Nutzer von Waren registriert werden. Auch könnte der Personenbezug durch Ausweise mit integriertem RFID-Chip hergestellt werden. Dies könnte sogar unbemerkt und ohne Kenntnis des Betroffenen geschehen. Die Funkchips sind so klein, dass man sie als Verbraucher kaum oder gar nicht erkennen kann und eine explizite Kennzeichnungspflicht gibt es bislang nicht.
Außerdem brauchen die Chips keinen Anstoß des Trägers, um aktiv zu werden, denn sobald sie in die Reichweite eines passenden Lesegerätes kommen, werden Daten ausgetauscht. Auch Personalpapiere, Kleidungsstücke, Medikamentenpackungen und sogar Geldscheine sind für die Ausstattung mit den Funkchips im Gespräch. Die fortschreitende Verbreitung dieser Technologie wird eine ganz neue Dimension des „gläsernen Kunden“ entstehen lassen.

Die große Gefahr liegt aber nicht allein in der wachsenden Quantität der erfassten Daten; die eigentliche Gefahr geht vielmehr von der Vernetzung und Verknüpfung dieser Datenbestände aus. Da die Speicherung der Daten dank der fortgeschrittenen Computertechnologie immer weniger ein bestimmender Kostenfaktor ist, hat sich das Schwergewicht auf die Nutzung und Auswertung dieser Daten verschoben. So wächst der Markt für Softwarelösungen für Data-Warehousing- und Data-Mining-Konzepte. Von den Marketingexperten wird die Erstellung von Kundenprofilen angestrebt, die unter Umständen Hunderte, ja sogar Tausende von Merkmalen umfassen und so ein möglichst detailliertes, umfassendes und realitätsgetreues Bild einer Konsumentenpersönlichkeit zeichnen.
Welche Gefahren von einem Missbrauch der gesammelten Daten ausgehen, konnten wir kürzlich in den USA sehen. Dort war die Datenbank eines großen Marketingunternehmens geknackt und dazu verwendet worden, unter Nutzung der Profile, Zahlungs- und Kreditkartendaten in mehreren zehntausend Fällen Betrügereien mittels „Identitätsdiebstahls“ zu begehen. Soweit die Betroffenen überhaupt die Chance hatten, dies zu erkennen, hatten sie es in vielen Fällen schwer, nachzuweisen, dass sie eine bestimmte Bestellung nicht aufgegeben hatten.

Profilbildung ist generell fragwürdig, wie auch das Bundesverfassungsgericht festgestellt hat. Das Zusammenstellen von personenbezogenen Daten eines bestimmten Menschen, das sein Verhalten ganz oder teilweise abbildet und ihn dadurch für Dritte berechen- und verfügbar macht, ist schon dann problematisch, wenn dies mit seinem Wissen geschieht, weil er im Zweifelsfall die weitreichenden Konsequenzen nicht abschätzen kann. Erfolgt dies aber mittels heimlicher Datenerhebungen oder –übermittlungen, liegt ein schwerer Verstoß gegen das informationelle Selbstbestimmungsrecht vor.
Das datenschutzrechtliche Kernprinzip ist in diesem Umfeld die Zweckbindung. Nach der EG-Datenschutzrichtlinie 95/46/EG, die durch das Bundesdatenschutzgesetz Eingang in unsere nationale Gesetzgebung gefunden hat, dürfen Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind. Am Beispiel eines Kaufvertrages zeigt sich, dass diejenigen Daten verarbeitet werden können, die zur Abwicklung des Vertrages notwendig sind. Wenn der Vertrag erfüllt ist, entspricht eine weitere Verarbeitung und Nutzung nicht mehr dem ursprünglichen Zweck. Bei der Profilbildung ist die Bildung oder Vervollständigung des Konsumentenprofils immer nur eine sekundäre Zielsetzung, die durch die eigentliche ursprüngliche Zielsetzung nicht abgedeckt ist.
Den rettenden Anker sehen Marketingexperten in dieser Situation in der Einwilligung der betroffenen Person. Diese wird in der Praxis eingeholt, indem der Kunde im Rahmen der allgemeinen Geschäftsbedingungen unterschreibt, dass er sich mit einer weiteren Bearbeitung seiner Daten zu „Marketingzwecken“ einverstanden erklärt. Doch sollte man sich davor hüten zu meinen, eine Unterschrift an dieser Stelle macht das Ganze datenschutzrechtlich unbedenklich.

Eine wirksame Einwilligung setzt nämlich Informiertheit voraus; d.h. der Betroffene muss sich der Bedeutung seiner Einwilligung im Klaren sein. Er muss wissen, wozu welche Daten abgefragt werden, welche Daten über ihn gespeichert werden und zu welchem Zweck dies geschieht. Transparent sein muss für ihn auch, an wen Daten über ihn weitergegeben werden sollen.
Ich bin mir sicher, dass den Wenigsten z.B. bewusst ist, dass die Freigabe zu Marketingzwecke auch eine Verwendung im Ausland einschließen kann. So bietet die Direktmarketing-Industrie in den USA personenbezogene Informationen über deutsche Verbraucher zum Kauf an, die für Werbezwecke weltweit genutzt werden können. Haben die Daten erst einmal diesen Weg genommen, sind sie dem Einfluss der Betroffenen endgültig entzogen. Ebenso wenig dürfte bekannt sein, dass die Anbieter von Adressen letztlich keine Kontrolle darüber haben, ob die Daten tatsächlich ausschließlich für Werbezwecke oder etwa auch zu Kredit- oder Personalbeurteilungen verwendet werden. An der Wirksamkeit derartiger pauschaler Einwilligungen habe ich daher Zweifel.
Data-Warehousing-Konzepte führen bei den Unternehmen zu riesigen Datensammlungen über die Konsumenten. Was ursprünglich beim Staat befürchtet wurde, wird nun in der Privatwirtschaft aufgebaut: Datenzentralen, die Informationen über das Verhalten einzelner Personen enthalten, ohne dass hierzu eine primäre Notwendigkeit besteht.
Das Risikopotential aus datenschutzrechtlicher Sicht zeigt sich etwa bei den Kreditkartenunternehmen, die Informationen über das Kaufverhalten von Millionen von Kunden speichern oder bei Fluggesellschaften, die über Reisedaten von Tausenden von Passagieren verfügen.
Damit kein Missverständnis entsteht: Ich will damit nicht sagen, dass all diese Daten bei den betreffenden Unternehmen zweckentfremdet genutzt werden. Doch besteht die Gefahr bereits darin, dass immense Datenmengen aus den unterschiedlichsten Bereichen und die eingesetzten Data-Warehousing-Konzepte zu einer Überwachungs- und Kontrollmöglichkeit führen.
In diesem Zusammenhang stellt sich auch die Frage nach der Datenqualität. Nicht nur die ursprünglichen Quellen mit ihren unterschiedlichen Fehleranfälligkeiten, sondern auch die aus Data-Mining-Prozessen gewonnenen neuen Informationen unterliegen in keiner Weise einer Kontrolle durch die betroffenen Personen. Hinzu kommt, dass Data-Warehouse-Konzepte auch in Bezug auf die Aufbewahrung der Daten keine Grenzen setzen. Im Gegenteil: Für die Aussagekraft der Profile sind Daten über eine möglichst lange Zeitspanne von Interesse, da sie ein Verhalten um so besser interpretieren lassen. Eine unbeschränkte Aufbewahrung der Daten ist aber nicht nur datenschutzrechtlich unzulässig, sie hat auch direkten Einfluss auf die Datenintegrität, ohne dass die Fehlerquelle mit Sicherheit ausgemacht werden könnte.


Ein weiteres datenschutzrechtliches Problem und eine Schmiede für Profilbildungen stellt das wachsende Netz verschiedener Auskunftssysteme dar. Zwar besteht grundsätzlich ein legitimes Interesse der Wirtschaft, sich vor Betrügern, schwarzen Schafen und zahlungsunfähigen oder -unwilligen Kunden zu schützen. Datenschutzrechtliche Gefahren entstehen insbesondere, wenn Systeme zusammengeschaltet werden oder wenn beliebig aus allen Systemen Informationen abgerufen werden können. Es darf nicht dazu kommen, dass z.B. ein junger Mensch, der im Alter von zwanzig Jahren auch nach einer Mahnung seine Handyrechnung nicht bezahlen konnte, anschließend kein Konto mehr eröffnen kann, keine Wohnung findet, keinen Versicherungsvertrag bekommt und selbst der Zahnersatz nur gegen Vorkasse gewährt wird, weil auch Zahnärzte über Auskunfteien die Bonität ihrer Patienten abfragen, bevor sie an ihnen kostenintensive Behandlungen vornehmen.
Eine weitere bedenkliche Entwicklung im Rahmen der Profilbildung ist das Scoring von Daten. „Scoring“ kommt aus dem Englischen und heißt „Punkte zählen“. Mit dem Scoringverfahren soll die Kreditwürdigkeit weitgehend unabhängig vom tatsächlichen Verhalten des Betroffenen beurteilt werden, selbst dann, wenn keinerlei negative Informationen über das Zahlungsverhalten einer Person in der Vergangenheit vorliegen.
Mittels statistisch-mathematischer Methoden werden Prognosen über das zukünftige Verhalten von Personengruppen erstellt, denen dann der Einzelne zugeordnet wird. Hat man lediglich wenige Daten über den Betroffenen, werden mikrogeographische und soziodemographische Daten herangezogen, um zu einem Profil zu gelangen, das am ehesten dem „Typen“ des Betroffenen entspricht. In welcher Gegend wohnt er? Wie hoch ist dort das Familieneinkommen? Welche Autos stehen dort vor der Tür? Wird dort Spiegel oder Das Goldenen Blatt gelesen etc. etc.. Steht die eigene Villa in der falschen Straße oder wohnt man in einem sozialen Brennpunktbereich, hat man eben Pech gehabt und bekommt nur gegen Rechnung etwas geliefert. Bereits ein „falscher“ Name reicht dann
z.B. aus, dem Betroffenen den Abschluss einer bestimmten Versicherung zu versagen, wenn er auf osteuropäische Vorfahren schließen lässt. Auf einem kürzlich stattgefundenen Symposium der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein- Westfalen zu diesem Thema waren sich alle Wirtschaftsvertreter darin einig, dass heute keine kommerzielle Entscheidung ohne ein vorangegangenes Scoring mehr fällt. Bestellt man per Internet eine Ware, läuft vielfach bereits während des Erhebungsvorgangs der Adressdaten ein Scoring ab, von dessen Ergebnis es der Händler abhängig macht, ob er nur Lieferung per Nachnahme oder auch Zahlung gegen Rechnung anbietet. Ein datenschutzrechtlich, aber vor allem gesellschaftspolitisch bedenkliches Vorgehen, das dem Einzelnen die Möglichkeit nimmt, selbst über sein Erscheinungsbild in der Öffentlichkeit zu entscheiden oder dieses auch nur durch eigenes rechtstreues Verhalten zu beeinflussen.

Meine sehr verehrten Damen und Herren,

ich habe viel über die datenschutzrechtlichen Gefahren in der heutigen digitalen Verbraucherwelt berichtet. Aber was können wir dagegen tun? Wo kann man ansetzen? Ich bin weit davon entfernt, technische Neuerungen zu verteufeln und mir wieder die gute alte Zeit zu wünschen, in der es diese technologischen Möglichkeiten der Profilbildung noch gar nicht gab. Auch früher gab es Gefahren für den Datenschutz. Diese waren anderer Natur. Es gab die Datenverarbeiter und die Betroffenen, denen allein der Schutz ihrer Daten vor den Datenverarbeitern galt. Heute ist diese Polbildung verschwommen. Heute wird die Datenverarbeitung auch gleichzeitig durch das Nutzerverhalten bestimmt. Durch die Nutzung der Kundenkarte z.B. werden Daten erhoben. Diese Nutzung erfolgt aber durch den Verbraucher und damit den Betroffenen selbst. Die Forderung nach einem Verbot wäre hier sicherlich keine angemessenen Antwort. Es muss vielmehr darum gehen, die Technik so zu gestalten, dass das Gefahrenpotenzial für den Datenschutz begrenzt und beherrscht werden kann.
Dazu gehört in einem ersten Schritt, dass diese potentiellen Gefahren überhaupt erkannt werden. Um bei der Kundenkarte zu bleiben, ist zu fordern, dass die Position des Verbrauchers durch verbesserte Transparenz gestärkt wird. Jeder muss wissen, wozu welche Daten abgefragt werden, welche Daten über ihn gespeichert werden, zu welchem Zweck dies geschieht und ob die Daten weitergegeben werden, welche Unternehmen hinter der Karte stehen und inwieweit sein Kaufverhalten zu einem Kundenprofil zusammengeführt wird. Erst genaue Informationen geben ihm die Möglichkeit abzuwägen und frei zu entscheiden, ob er für die ihm gewährten Vorteile auch die damit einhergehenden Gefahren oder konkreten Nachteile in Kauf nehmen will.
Eine weitere Gestaltungsmaxime ist die Schaffung von Wahlmöglichkeiten. Der Verbraucher muss die Möglichkeit haben, auch ohne die technische Innovation zum Ziel zu kommen. So muss es dem Kunden auch weiterhin möglich sein, anonym seine Einkäufe abzuwickeln. Eine dritte Gestaltungsmaxime sehe ich in der technischen Unterstützung des Datenschutzes.

Fragen der Datenvermeidung und der Datensparsamkeit, der Anonymisierung und der Pseudonymisierung müssen von vornherein in technische Prozesse einbezogen werden, um Missbrauchsmöglichkeiten erst gar nicht entstehen zu lassen. Ein positives Beispiel erhoffe ich mir davon, dass bei der RFID-Technologie die Chips mit einem Mechanismus versehen werden sollen, der das Auslesen der Informationen unterbindet, wenn ein sog. „Kill- Kommando“ abgesetzt wird. Weiterhin wird im wissenschaftlichen Bereich an Tools gearbeitet, die es dem Betroffenen selbst ermöglichen sollen, zu erkennen, ob und welche Informationen auf den RFID-Chips gespeichert sind und die darüber hinaus Unberechtigte daran hindern, die Chips auszulesen. Ich habe gerade dieses Beispiel gewählt, weil es deutlich macht, dass von Technik nicht nur Gefahren für den Datenschutz ausgehen, sondern dass diese Gefahren auch mit technischen Mitteln begegnet werden kann.

Druckversion im pdf-Format (Link)

Adresse

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn