Was hilft gegen Datendiebstahl? Mehr Datenbanken!

Der Vorsitzende des Bundes Deutscher Kriminalbeamter hat eine Erkenntnis:

„Die Telekom-Affäre ist eine Riesenchance für den Datenschutz, die wir nutzen müssen. Es ist doch offensichtlich, dass sensible Kundendaten bei privaten Unternehmen mehr als schlecht aufgehoben sind“, sagte BDK-Vorsitzender Klaus Jansen der Neuen Osnabrücker Zeitung.

Wer würde da nicht zustimmen? Der Lösungsvorschlag für das Dilemma ist hingegen weniger konsensfähig:

Jansen forderte laut dpa, sämtliche Verbindungsdaten in einem Sicherheits-Center unter Aufsicht von Datenschützern zu hinterlegen. Darauf könnten dann sowohl Unternehmen zu Abrechnungszwecken als auch der Staat zur Strafverfolgung streng kontrolliert zugreifen. Technisch sei ein solches Verfahren nach Ansicht von Experten kein Problem, sagte Jansen. „Die heutige Praxis einer sechsmonatigen Speicherung direkt beim Telefonanbieter öffnet Missbrauch Tür und Tor.“

Auf gut Deutsch: Wir verhindern Datenmissbrauch, wenn wir die Daten nicht nur in einer, sondern gleich in zwei Datenbanken speichern. Denn die Telekom hat ja im aktuellen Skandal nicht etwa auf die Vorratsdatenspeicherung zugegriffen, sondern auf die Abrechnungsdaten, die bei einem Telefonprovider nun mal anfallen müssen.

Um das Konzept von Jansen richtig würdigen zu können, übertragen wir es einfach mal in die physische Welt. Um Bankraub zu verhindern, wird in jeden Tresorraum eine zweite Tür eingebaut, deren Schlüssel bei der Polizei hinterlegt werden muss. Klingt das sinnvoll? Welcher Experte soll diesem Irrwitz eine problemlose Umsetzung prophezeit haben?

Ich gehe mal davon aus, dass Jansen bei seiner Betonung der Rolle des Datenschützers keinen besonderen Wert mehr auf einen kompetenten Richtervorbehalt legt. Wenn die Daten doch schon mal da sind, warum sollten rechtschaffene Diener des Rechtsstaates erst nach einem bürokratischen Hürdenlauf drauf zugreifen können?

Warte, warte nur ein Weilchen

Burkhard Strassmann zweifelt bei Zeit Online an der Notwendigkeit der IT-Sicherheit und sieht besonders beim Datenschutz ein Vermittlungsproblem.

Dass die Sicherheitsbranche wenigstens einen Mann präsentieren kann, der ihre Existenzberechtigung belegt, ist einiges wert. Ansonsten geraten die meisten befragten Aussteller ins Stocken oder ins Geschwafel, wenn man sie konkret nach „dem Bösen“ fragt, das bekämpft werden muss. Das gilt besonders für Datenschützer. Regelmäßig fällt ihnen auf die Frage nach einem Beispiel für Datenmissbrauch nur eine Antwort ein: Es gebe doch das Datenschutzgesetz. Und deshalb den Datenschutz!

Nun – die behördlichen Datenschützer mögen noch nicht ganz im Zeitalter von sozialen Netzwerken angekommen zu sein und sicher sind viele Produkte eher kreativ als nützlich – dennoch sollte man Realist bleiben. Glaubt man den Zahlen in der Wikipedia hat es über 10 Jahre gedauert, bis Spammer die Vorteile des Mailversands erkannten und nutzten. StudiVZ gibt es gut zwei Jahre und schon hat die Bild den Nutzen entdeckt.

StudiVZ-Mitglieder klaglos oder ahnungslos?

Eben ist folgende Meldung hereingeschwappt.

Die breite Masse von Social-Community-Mitglieder hat gegen die Vermarktung ihrer persönlichen Daten nichts einzuwenden. Es war offenbar nur ein Sturm im Wasserglas, den einige Protestanten Ende vergangenen Jahres gegen die neuen AGB bei der Studentencommunity StudiVZ da auslösten. Die Mehrheit der StudiVZ-Mitglieder macht die neuen Werbestrategie jedoch sang- und klanglos mit.

Zur Realitätskontrolle habe ich mich mal bei StudiVZ eingeloggt. Zwar muss man nun die neuen AGB akzeptieren, über die neue Verwendung der persönlichen Daten erfährt der Nutzer erst nach ausgiebiger Lektüre etwas. Und wie man das Ganze abschaltet, steht auch nicht oben in den FAQ, sondern unten, im Kleingedruckten.

StudiVZ AGB-Einstellungen

Nach 10 Minuten ausführlichen Suchens konnte ich die in erwähnte Option „Einstellungen zur Verwendung meiner Daten“ nicht finden. Weder auf der Startseite, nicht im eigenen User-Profil, auch nicht unter dem Punkt „Privatsphäre“ oder „Datenschutz“.

Erst Google brachte mich weiter: In dem Blog Suchtwolke habe ich eine Klick-für-Klick-Anleitung zum Auffinden der Werbeeinstellungen gefunden:

1. Einloggen

2. Ganz unten in der Leiste, die mit “Presse” beginnt und mit “Verhaltenskodex” endet, auf “Datenschutz” klicken.

3. Dort dann auf [ Datenschutz-Erklärung ] klicken.

4. Ganz unten auf [ Einstellungen zur Verwendung meiner Daten ] klicken.

5. Alle Häckchen ausstellen und die Sache speichern – fertig.

Sprich: Die Einstell-Möglichkeit wurde gezielt versteckt. Wer die Datenschutzerklärung findet, muss erst zwei Seiten nach unten scrollen um dort den ganz kleinen Link auf die Einstellungs-Seite zu finden.

Das Unternehmen glaubt offenbar nicht daran, den User selbst entscheiden zu lassen und baut darauf, dass die Kommunikation auf der Plattform denkbar schlecht ist. Wäre es anders, hätten sie die Optionen schlichtweg in die Privatsphären-Einstellungen integriert oder wenigstens in den FAQ einen Link auf die Einstellmöglichkeiten gesetzt.

Dass die Strategie funktioniert, ist dennoch deprimierend. Vielleicht auch für die Werbekundschaft – wer auf solche Tricks reinfält, wird nie zum zahlungskräftigen Kunden werden.

GEZ, die Daten-Versager

Dass die GEZ mit umstrittenen Methoden Daten sammelt, ist eine Binsenweisheit. Aber so richtig gut im Datenabgleich scheinen sie nicht zu sein. Denn in letzter Zeit bekomme ich wieder diese netten grünen Briefe, dass ich doch bitte meine Rundfunkgeräte anmelden soll – dabei zahle ich bereits brav die Rundfunkgebühren.

Aber die GEZ hat meine Anschrift eben nochmal aus einer Datenbank gefischt – mit einer anderen Hausnummer, die zum gleichen Briefkasten führt. Die gleichen Anschriften-Variante finde ich sonst nur bei zwielichtigen Kreditkarten-Angeboten, die ich manchmal aus dem Briefkasten fische.

Hey, von der Leyen

Nach dem üblichen Wochenendpolitauflauf hat Bundesfamilienministerin Ursula von der Leyen ihren Vorschlag ad acta gelegt, Kinder als halbamtliche Testkäufer einzusetzen. Ich weiß nicht, ob ich darüber glücklich sein soll. Schließlich wäre es die perfekte Ausbildung der Kinder gewesen, um sie auf den Präventionsstaat vorzubereiten, an dem wir alle so eifrig arbeiten. Misstrauen ist die Devise. Und Wachsamkeit!

Aber sehr verehrte Frau Bundesministerin, ich habe einen Alternativ-Vorschlag. Statt gefährdete Jugendliche in den gefährlichen Einzelhandel zu schicken, soll doch der Einzelhandel zeigen, wie sehr er sich um die Jugendlichen sorgt. Die Mittel sind schon vorhanden: Fast jeder Supermarkt ist inzwischen videoüberwacht: wenn die Kameras nicht gerade auf der Suche nach Ladendieben sind, so schauen sie den eigenen Mitarbeitern auf die Finger. Alles, was nun nötig ist: eine gesetzliche Pflicht, diese Videobänder auf Anforderung den Jugendschutzbehörden zu übergeben. Wenn ein 15jähriger Bier kauft, wird das ja auf den Bändern zu sehen sein.

Wie gesagt: die Kameras sind schon in den Läden vorhanden, sie brauchen nur eine kleine (Grund)Gesetzesnovelle, um den Zugriff in rechtsstaatliche Bahnen zu lenken. Am besten ist es, man fragt die Ladenbesitzer gar nicht vor der Überprüfung – sie könnten belastendes Material beseitigen. Dank Breitbandanschlüssen ist das aber kein Problem: die Kameras bekommen eine Internetschnittstelle und die Behörden das geheime Passwort. Die Experten der Deutschen Bahn AG werden sicher gerne helfen, die kennen sich aus mit Überwachungskameras. Auch die Frage der Identifizierung Minderjähriger auf den Videobändern ist schon in Arbeit. Die Antwort lautet: Schülerregister. In jeder Schülerakte sollte es ein Foto geben, das ihn biometrisch kenntlich macht. Der Nutzen einer solchen Datei wäre ressortübergreifend. Ausreißer könnten schnell gefunden werden. Und nach dem nächsten Bombenanschlag haben wir schnell eine Bilderdatei mit sämtlichen Käufern von Nägeln.

Aber lieber Frau von der Leyen, warten Sie noch etwas ab. So praktisch und folgerichtig mein Vorschlag auch sein mag – er ist nicht politisch durchsetzbar. Noch nicht. Warten Sie ab, so lange es ihre Amtszeit erlaubt. In einem Jahr haben wir uns mit Vorratsdatenspeicherung und Co abgefunden, dann ist der nächste Schritt gar nicht so schwer.