Datenschutz

Heute tritt die viel diskutierte neue Datenschutz-Grundverordnung (DSGVO) in Kraft, an die sich alle Unternehmen ab morgen bindend halten müssen. Im Vorfeld dieser Verordnung gab es viel Trubel um die genaue Umsetzung. Alles muss ab sofort transparent für den Kunden sein, er muss genau wissen wo und wie seine Daten verarbeitet werden und er hat ein Recht auf vollständige Löschung. Dazu gab es im Vorfeld des Inkrafttreten der Verordnung auch bei uns einiges zu tun. Markus Eltermann von der Firma Kanzleiblick ist unser neuer Datenschutzbeauftragter bei arktis.de und hat sich in den letzten Wochen intensiv um die exakte Umsetzung der DSGVO bei arktis.de gekümmert. Egal ob entsprechende Hinweise in unserem Online-Shop, Schulung unserer Mitarbeiter im Umgang mit personenbezogenen Daten, Updates unserer Serverstrukturen oder aber entsprechende Hinweisschilder in und außerhalb unseres Firmengebäudes. Unglaublich, was es alles zu beachten gibt, aber wir sind jetzt dank der professionellen Unterstützung bestens vorbereitet. Also: Don´t Panic!

Unser neuer Datenschutzbeauftragter Markus Eltermann (rechts) im Meeting mit Kollege Dirk Schäfer. Don´t Panic!

Unser neuer Datenschutzbeauftragter Markus Eltermann (rechts) im Meeting mit Dirk Schäfer von Arktis. Es gab viel zu tun. Don´t Panic!

UPDATE. Eine Meldung von NDR Info hat hohe Wellen geschlagen: „SCHUFA will Facebook-Daten sammeln“. Bei Rivva.de lässt sich verfolgen wie die Meldung von Spiegel, Welt und Heise aufgegriffen wurde und sich über Tweets und Shares rasch weiter verbreitet hat – ein wahrer Hype. Dabei hatten die Pressemitteilungen der SCHUFA und des Hasso-Plattner-Instituts der Uni-Potsdam so harmlos geklungen. Wortgleich hatten beide den Beginn einer dreijährigen Zusammenarbeit angekündigt: „Ziel des Projektes ist die Analyse und Erforschung von Daten aus dem Web. Forschungsschwerpunkte sind einerseits die Validität von Daten und anderseits Technologien zur Gewinnung von Daten“. Peter Hornung und Jürgen Webermann hatten sich von der Pressemitteilung nicht blenden lassen und für NDR Info nachrecherchiert – dabei sind die Redakteure in den Besitz vertraulicher Dokumente gelangt.

Was steht in den vertraulichen Dokumenten?
Eine „lange Ideenliste“ zeigt was Manager der SCHUFA und Wissenschaftler des Hasso-Plattner-Instituts (HPI) für ihr Projekt „SCHUFALab@HPI“ planten: Informationen aus dem Web sollten mit anderen Informationen verknüpft und dann aus „Business-Sicht“ bewertet werden. Dazu sollten u.a. bei Facebook, Google+, Xing und anderen sozialen Netzwerken die „Adressen und insbesondere Adressänderungen“ der Nutzer erfasst und die „Suche und Bewertung von Personen- bzw. Kontaktverknüpfungen“ betrieben werden. Das solche „Experimente am HPI nur beschränkt möglich“ sein könnten, dass hatten die Wissenschaftler durchaus bemerkt. Es sollte daher nicht nur bei der Analyse von öffentlich zugänglichen Daten bleiben, sondern auch untersucht werden, welche Informationen man aus „nicht-öffentlichen Quellen (dark web)“ ziehen kann!

Wie wollte man an nicht-öffentliche Daten gelangen? Indem z.B. in sozialen Netzwerken Fake-Accounts angelegt werden, danach hätte man anderen Nutzern die „Aufforderung zum joinen“ gesendet. Die Kontaktierten würden so für drei Jahre zu Testpersonen des HPI – ohne von der Erfassung ihrer Daten, der wissenschaftlichen Auswertung und der evt. Verknüpfung mit Bonitätsdaten etwas zu erfahren. Unfreiwillige Testpersonen? Ist das mit der Forschungsethik vereinbar? Mit Blick auf Regelungen zum Datenschutz ist es jedenfalls unzulässig Daten zu erschleichen, die eigentlich nur einem beschränkten Kreis zugänglich sind bzw. durch einen Login geschützt wurden. Auch für das Scoring der SCHUFA haben derartige Adressdaten keinen Wert. Adressen dürfen für die Berechnung von Scores nur verwendet werden, wenn Betroffene über die Nutzung ihrer Daten unterrichtet sind – sagt zumindest das Bundesdatenschutzgesetz.

Was war noch geplant? Weitere Projektideen sind u.a. eine „automatisierte Identifikation von Personen“, insbesondere von Journalisten, Verbraucherschützern und Personen des öffentlichen Interesses. In einer spezialisierten Suche sollte dann auch ein „aktuelles Meinungsbild“ zu Personen ermittelt werden. Neben den sozialen Netzwerken werden dabei auch Nachrichten, Kurzmitteilungsdienste, Blogs und Einträge bei Wikipedia als mögliche Quellen genannt – darunter könnten auch Kommentare in unserem Blog oder Tweets fallen. Bei all den Daten wollten die Wissenschaftler dann auch eine mögliche „Korrelationen zur Bonität untersuchen“ – man forscht schließlich für die SCHUFA. Eine Auswahl der Projektideen findet sich bei NDR Info.

Wie wird das Projekt bewertet? Für Politiker, Journalisten, Blogger, Daten- und Verbraucherschützer ist das alles ein Skandal. Markus Beckedahl, Vorsitzender des Vereins Digitale Gesellschaft, erklärte in einer Pressemitteilung: „Deine Freunde und dein Status sind deine Bonität. Das erinnert nicht ohne Grund an Wohnumfeldbonitäten, das sogenannte Geo-Scoring, wo zum Beispiel aus der Bonität der Nachbarn auf die eigene geschlossen wird. Wir sind besorgt, dass hier Unfug getrieben wird. Facebook und Twitter sind vielleicht öffentlich, aber keine Geschäftsdaten. Diese Daten gehen die Schufa nichts an. Es wäre also an der Zeit, dass die Schufa ihre Algorithmen offenlegt – vielleicht versteckt sich darin ja bereits ähnlicher Unfug?“ Und Beckedahl ergänzt auf netzpolitik.org, dass ihn das Projekt an die US-Plattform Klout erinnert. Die Vernetzungen in sozialen Medien wird von Klout schon zur Berechnung von Kredit- und Vertrauenswürdigkeit genutzt. Nimmt man das Forschungsprojekt der SCHUFA und des Hasso-Plattner-Instituts also ernst, dann wären zukünftig Hartz IV-Bezieher unter den eigenen Kontakten ein Bonitätsrisiko.

Was antwortet das Hasso-Plattner-Institut den Kritiker? Für das HPI ist das Projekt legitime Forschung. „Die Schufa und wir haben aber rechtzeitig und offen über das explorative Grundlagenforschungsprojekt informiert“, entgegneten Prof. Dr. Felix Naumann und Pressesprecher Hans-Joachim Allgaier trotzig den Kritikern in einer ersten Stellungnahme. Stimmt – so wurden ja auch die Redakteure des NDR auf das Forschungsprojekt aufmerksam, allerdings wurde die „lange Ideenliste für Forschungsansätze“ bei der Projektvorstellung leider unterschlagen.

Weiter heißt es:„Das HPI hat den Journalisten gegenüber betont, dass es selbstverständlich weder geplant noch vertraglich vereinbart ist, personenbezogene Daten, die im Rahmen der Forschungstätigkeit des HPI entstehen, der Schufa zur Verfügung zu stellen“. Schön, dass man zumindest dabei Datenschutzgesetze einhalten wollte, aber tatsächlich braucht die SCHUFA gar keine „personenbezogene Daten“ aus dem Forschungsprojekt. Die Auskunftei möchte lediglich neue, effiziente und effektive Techniken für ihrer Bonitätsprüfungen – denn darum geht es ja auch bei dem Projekt: „Technologien zur Gewinnung von Daten“.

Entlarvend ist der letzte Abschnitt der Stellungnahme: „Es geht nicht etwa um das Ausspionieren von Geheimdaten, sondern um das Auffinden öffentlicher Informationen, die im Netz stehen, weil sie jemand dort bewusst hinein und damit zur Verfügung gestellt hat. Die meisten dieser Daten sind für jeden Internetnutzer durch ganz normale Suchmaschinen-Abfragen manuell recherchierbar. (…) Berücksichtigt wird auch das so genannte dark web, also Daten, die für angemeldete Internetnutzer offen sichtbar sind.“ Angemeldete Internetnutzer im Dark Web? Damit sind wohl die Fake-Accounts gemeint, mit denen man in sozialen Netzwerken Kontakte knüpfen wollte um deren Nutzerdaten zu erschleichen. Naumann scheint wirklich nicht klar zu sein, dass es sich bei diesen Daten nicht um „öffentliche Informationen“ handelt die jemand „zur Verfügung gestellt“ hat.

Zu weiteren Projektideen wird in der Stellungnahme lieber geschwiegen. Auch die geplante Verletzung von Persönlichkeitsrechten bei unfreiwilligen Testpersonen wird mit keinem Wort erwähnt.

(UPDATE: Die Stellungnahme von Professor Naumann ist von der Website des HPI entfernt worden – ist aber noch als PDF zu finden.)

Fazit. Um es klar zu sagen: Die Erhebungen öffentlicher Daten im Internet ist durchaus zulässig und die Erforschung des Web 2.0 wünschenswert. Doch diese Art der Forschung am Hasso-Plattner-Institut ist eine Grenzüberschreitung und entspricht nicht gängigen Normen und Werten anderer wissenschaftlicher Disziplinen. In anderen Disziplinen sind unfreiwillige Testpersonen ein Fall für die Ethikkommission. Forschung nach „höchsten ethischen Maßstäben“ sieht anders aus. Zudem sind Fake-Accounts und die Erfassung von Nutzerdaten auch ein eindeutiger Verstoß gegen die Nutzungsbedingungen von Facebook, Google+, Xing und anderer sozialer Netzwerke. Man darf gespannt sein, wie die Internetkonzerne reagieren – immerhin leben auch die Uni-Potsdam und das Hasso-Plattner-Institut von Drittmitteln aus der Wirtschaft.

UPDATE: Nach massiver Kritik hat das Hasso-Plattner-Institut (HPI) den Vertrag mit der SCHUFA Holding AG aufgekündigt. Es gebe in der Öffentlichkeit „Missverständnisse“ über den Forschungsansatz, heißt es in einer sehr kurzen Pressemitteilung. Das Forschungsprojekt könne jetzt nicht mehr „unbelastet“ und „mit der nötigen Ruhe“ durchgeführt werden, erklärt außerdem HPI-Direktor Christoph Meinel. – Ein Fehlereingeständnis klingt anders. Der einprägsame Projektname dürfte jedenfalls am HPI hängen bleiben: „SCHUFA-Lab“. Für die Uni-Potsdam und ihr Institut ein PR-Desaster.

Der einprägsame Projektname dürfte dennoch am Hasso-Plattner-Institut hängen bleiben: „SCHUFALab“. Für die Uni-Potsdam und ihr Institut ein PR-Desaster.

Apple weiß, wo Du gerade bist!

von Rainer Wolf am 28. Juni 2010 in Allgemein,iPhone

Mit der Zustimmung zum neuen iOS4 Vertrag akzeptiert der User, dass Apple Positionsdaten sammeln, auswerten und auch weitergeben darf. Dafür wurden Apple Datenschutzbedingungen entsprechend überarbeitet. Sieht die iPhone Zukunft für den User etwa so aus? 😉 (Quelle)

Apple weiß, wo Du bist.

Die moderne iOS4 Fußfessel

b ( 1 )