Personendossiers: Wie Firmen ihre Kunden ausspionieren

Bei der Sammlung von Daten sind Firmen nicht zimperlich. Sie kaufen Profile von Datenhändlern und Bonusprogrammen. Sogar über versteckte Kameras mit Gesichtserkennung wird nachgedacht, die die Reaktion auf Werbeplakate auswerten.

Dass Unternehmen über ihre Kunden Daten sammeln, ist nicht neu: Recht bekannt ist etwa die Einteilung in A-, B- und C-Kunden. A-Kunden machen den meisten Umsatz und werden deshalb gehegt und gepflegt. C-Kunden müssen froh sein, dass sie überhaupt bedient werden. Diese recht einfache Betrachtung orientiert sich allerdings ausschließlich an der Vergangenheit und lässt somit kaum verlässliche Vorhersagen über die künftige Kaufkraft der Kunden zu.

Heute versucht man weitere Informationen zu bekommen, etwa Alter, Wohnort, Geschlecht, Bildungsstand und Beruf. Aber auch diese Betrachtung ist noch immer zu schlicht: Je mehr Autoverkäufer, Banken, Einzelhändler und Versicherungen über ihre Kunden wissen, desto passgenauere Angebote können sie schneidern.

Deshalb wirken Kundenbindungsprogramme, beispielsweise Payback-Karten, wie ein Brennglas, um an weitere persönliche Daten zu kommen: Die Karte wird beim Bezahlen in den beteiligten Partnerunternehmen vorgelegt. Der Kunde erhält dafür einen vom Warenwert abhängigen Rabattbetrag gutgeschrieben.

Allerdings werden Kundennummer, Datum, Filiale, Umsatz und von manchen Payback-Partnern auch Warengruppencodes an Payback übermittelt. Der Herausgeber der Karte speichert außerdem die gekauften Produkte. Payback beobachtet so ein Umsatzvolumen in Höhe von 14,5 Milliarden Euro. Das Programm wird von 30 Partnern und 300 Internetunternehmen unterstützt. Payback steht seit Jahren in der Kritik, die Datenschutzbestimmungen nicht einzuhalten.

Das Unternehmen „Loyalty Partner“ betreibt nicht nur das Bonusprogramm Payback, sondern auch die Bonusprogramme bahn.comfort sowie bahn.bonus und wickelt auch die BahnCard ab. Ein Geschäftsführer ist in Personalunion für Payback und die Bahn-Produkte zuständig. Ein bahnfahrender Liebhaber elektronischer Karten gibt somit weitere Informationen über Haushaltsgröße, Lebensstandard und Bewegungsprofil preis.

Auch große Mengen Daten lassen sich heute auf kleinen Speicherkarten transportieren. Zudem kann man sie auf einfache Weise zu Geld machen. So steht beispielsweise eine ehemalige Angestellte eines Reisebüros im Verdacht, die Computer ihres früheren Arbeitgebers gestohlen zu haben. Für Einbrecher wären die Reisedaten der Kunden sicher Gold wert, um die Häuser der Urlauber in Ruhe ausräumen zu können.

Über viele Bürger kann man bereits Personendossiers kaufen. So berichtete der Stern im September 2008: „Ute F. ist über 60 Jahre alt. Sie wohnt im feinen Hamburger Stadtteil Eppendorf, nahe der Außenalster, in einem schönen Gründerzeitaltbau, gehobene Wohnlage. Sie ist wohlhabend und interessiert sich für Haushalt, Garten, Reisen. Und sie nimmt ab und zu an einem Gewinnspiel teil“.

Der Stern will das Profil von Ute F. für 1,62 Euro beim Datenhändler Schober erworben haben. Darüber hinaus gab es die Daten weiterer Damen über 60, die in der noblen Hamburger Isestraße wohnen. Der Stern schlussfolgert: „Die Chance, dass unter ihnen eine große Zahl einsamer Witwen ist, die besonders häufig Opfer von Einbrechern oder Betrügern werden, ist hoch. Gekostet hat diese Liste nur 95,58 Euro.“

Christian Schaaf, Geschäftsführer des Münchener Sicherheitsberaters „Corporate Trust“ kommentiert: „Jeder Einzelne von uns, der zugestimmt hat, dass seine Daten in Telefonverzeichnissen verwendet werden dürfen, kann daher auch in diversen Verzeichnissen erscheinen. Daher können auch solche Unternehmen dann legal darauf zugreifen und die ’synchronisierten‘ Datensätze zum Kauf anbieten.“

Neben der Frage, ob die Auskunfteien ihre Daten rechtmäßig erhalten haben, ist die Qualität der Auskünfte umstritten: In einer von der Bundesregierung finanzierten Studie (PDF) wurden Arvato Infoscore, Bürgel, CEG Creditreform Consumer GmbH sowie die Schufa unter die Lupe genommen. In der „zusammenfassenden Schlussfolgerung“ des Dokuments wird kritisiert, dass keine Auskunftei vollständige Daten liefere und die Fehlerquote unvertretbar hoch sei. Das Zustandekommen der Daten sei zudem nicht nachzuvollziehen und die Aussagekraft zweifelhaft.

Der Bankenverband schreibt in einer Broschüre (PDF), dass besonders sensible persönliche Daten, etwa die ethnische Herkunft, die Religion oder die sexuelle Orientierung, nicht von der Kreditwirtschaft für Scoring-Zwecke eingesetzt würden. Das lässt allerdings den Schluss zu, dass die Auskunfteien über diese Daten verfügen.

Zur Profilierung werden durchaus auch Schlussfolgerungen aus sogenannten Stammdaten gezogen. Zu den Stammdaten zählen Datenfelder wie Name, Adresse, Wohnort und Lebensstandard: Abgesehen davon, dass sich ein Name durch Heirat ändern oder der Lebensstandard durch eine Erbschaft bessern könnte, bleiben diese Daten im Zeitverlauf konstant.

Ein Kind mit Namen „Kevin“ trage quasi von Geburt an einen Malus, denn dieser Name lasse auf arme Eltern schließen, wie Winfried Hassemer, der frühere Vizepräsident des Bundesverfassungsgerichts und heutige Ombudsmann der Schufa, im Interview mit Spiegel Online bestätigt.

Früher wollten große Unternehmen von Bewerbern während Einstellungstests oft wissen, ob sie das Diner im Edelrestaurant oder eine Pizza in der Abendsonne am Baggersee vorziehen. Hardrock oder Klassik? Städtereise oder Rucksackurlaub? Doch es gibt wesentlich interessante Daten: Mit Hilfe sogenannter „Bewegungsdaten“ können Arbeitgeber, Banken, Krankenkassen oder Versicherungen ihre Kunden oder Mitarbeiter viel genauer profilieren, um „personalisierte Preise“ anzubieten oder den Service auch komplett zu versagen – teilweise sogar in Echtzeit.

Der größte EC-Netzbetreiber easycash soll bis zum Jahr 2010 Kundendaten illegal gespeichert haben, „um damit Aussagen über deren Zahlungsfähigkeit treffen zu können“, wie NDR Info berichtete. Schließlich ist es für eine Bank interessant zu wissen, welchen Lebensstil ein Kreditnehmer pfeögt, und ob er diszipliniert genug ist, einen Kredit zurückzuzahlen.

Im Jahr 2007 gab es eine Diskussion darüber, ob selbst verschuldete Krankheiten auch selbst zu bezahlen sind. Eine Krankenkasse sollte sich also für den Tabakkonsum oder die Risikosportarten ihrer Versicherten interessieren. Und eine Lebensversicherung sollte über den Fettgehalt in der Nahrung des Antragstellers Bescheid wissen.

Gefährlich sind auch Daten, die mit Hilfe der elektronischen Gesundheitskarte (eGK) zentral gespeichert werden sollen: Der Arzt und Informatiker Jörg Heydenbluth hält die Einführung der Karte für „grob fahrlässig“. Es sei möglich, dass ohne Wissen des Inhabers medizinische und administrative Daten von der eGK gelesen und Daten manipuliert oder zerstört werden.

Auch das „intelligente Stromnetz“ wirft Fragen auf: Sicherlich ist es sinnvoll, die Waschmaschine zu einem Zeitpunkt zu starten, zu dem das Netz nur gering belastet ist und Strom zu einem günstigen Preis angeboten werden kann. Der Arbeitskreis Vorratsdatenspeicherung behauptet (PDF) allerdings, dass jedes Elektrogerät über ein individuelles Stromverbrauchsprofil verfüge. Damit ließe sich ermitteln, welches Gerät zu welchem Zeitpunkt in welchem Haushalt betrieben wird. Damit wären neben der Haushaltsgröße, sprich Anzahl der Erwachsenen und Kinder in einem Haushalt, und dem Lebensstandard auch die Lebensgewohnheiten transparent, beispielsweise wann geduscht wird.

Firmen interessieren sich allerdings für noch viel mehr Daten: Was ist dem Kunden sympathisch? Was lehnt er ab? Welche und wie viele Freunde hat er? Wie verbringt er seine Freizeit? Spielt er Videospiele oder bevorzugt er „Natur pur“? Ist er konservativ oder liberal?

Um das herauszufinden, sind Werkzeuge wie Google Analytics grundsätzlich geeignet. Eigentlich handelt es sich um ein sinnvolles Werkzeug, mit dem Websites analysiert und verbessert werden können. Hartnäckig hält sich aber das Gerücht, dass Google in Versuchung geraten könnte, die Webseitenbesuche eines Nutzers zu einem Profil zusammenzuführen.

Facebook führt alle angeklickten „Gefällt-Mir-Buttons“ zu Nutzerprofilen zusammen. Das Unternehmen erzielt einen nicht unerheblichen Teil seiner Einkünfte aus dem Verkauf von Daten an Partnerunternehmen.

Ex-Google-Chef Eric Schmidt sieht das gelassen. Für ihn befindet sich die Welt bereits in der Post-Privacy-Era. Einen praktischen Tipp für diejenigen, die um ihre Privatsphäre besorgt sind, hat er auch: „Wenn es irgendetwas geben sollte, von dem man nicht will, dass andere es wissen, sollte man es vielleicht besser erst gar nicht tun.“

Der Designer Andreas Weishaupt hat ganz andere Ansätze: Er beschreibt in einer Broschüre (PDF) die „Leistungsfähigkeit“ von Litfaßsäulen: „Augenkameras registrieren die Veränderung der Pupillen der Versuchspersonen beim Betrachten eines Plakates. Aus diesen Veränderungen lesen die Forscher ab, wie aufmerksam das Gesehene registriert wird. Einen zusätzlichen Effekt haben die Beobachtungen mit den Augenkameras für den Gestalter: Weil der Blick und der Wahrnehmungsverlauf des Probanden erfast wird, können wichtige und unwichtige Gestaltungsdetails ausgemacht werden.“

Wenn ohnehin schon eine Kamera in der Litfaßsäule installiert ist, so lässt sich diese auch zur Gesichtserkennung nutzen. Auf diese Weise lassen sich Namen und Adresse ermitteln, etwa aus markierten Personen in Fotos von Facebook und Google+.

Wenn es um die Nutzung solcher Techniken durch Privatleute und Unternehmen geht, wendet sich die Bundesregierung entschieden gegen ihren Einsatz. „Es muss möglich bleiben, auf die Straße zu gehen, ohne dass jeder über ein Foto feststellen kann, wer man ist, wo man lebt und was das Internet über einen weiß“, so ein Sprecher des Verbraucherschutzministeriums im Dezember 2010.

Anders sieht es aus, wenn staatliche Stellen selbst solche Techniken einsetzen. Die Fähigkeit, Gesichter zu erkennen, probiert die Bundespolizei derzeit am Flughafen Frankfurt aus. Ein breiterer Abgleich mit Videoaufnahmen ist laut golem.de derzeit jedoch noch nicht geplant.

Das Angebot an Software zur Gesichtserkennung ist üppig. Die Litauische Firma Neurotechnology steht in den Startlöchern, um „FaceCell EDK“ nach Deutschland zu liefern: Das System kann den zu Kontrollierenden mit 3000 Bildern pro Sekunde in einer Datenbank vergleichen.

Personenkontrolle 2.0 mit Hilfe von FaceCell EDK (Quelle: neurotechnology.com).
Personenkontrolle 2.0 mit Hilfe von FaceCell EDK (Quelle: neurotechnology.com).

Die „Future-Group„, eine Gruppe europäischer Innen- und Justizminister, lässt keinen Zweifel daran, dass sie solche Techniken einsetzen möchte. In einem Konzeptpapier (PDF) zur öffentlichen Sicherheit in einer vernetzten Welt (PDF) heißt es: „Die Bürger hinterlassen bereits viele digitale Spuren mit ihren Bewegungen. Eins allerdings ist klar: Die Anzahl dieser Spuren (und die detaillierten Informationen, die sie enthalten) wird sich höchstwahrscheinlich innerhalb der nächsten zehn Jahre um ein Mehrfaches steigern. Von jedem Objekt, das eine Person benutzt, jeder Transaktion, die sie unternimmt, und nahezu überall, wo sie hingeht, wird es digitale Aufzeichnungen geben. Das bedeutet für die Sicherheitsorgane reichlich Information und liefert riesige Möglichkeiten für effektive und produktive Sicherheitsanstrengungen.“

Der IT-Branchenverband Bitkom sieht das wiederum anders. Er kritisiert staatliche Datensammlungen. In einer Pressemitteilung von 2010 sagt der damalige Vorsitzende August-Wilhelm Scheer: „Selbst reine Verbindungsdaten von Telefonaten und Internet-Sitzungen ermöglichen Persönlichkeitsprofile, von Handybenutzern können sogar Bewegungsprofile erstellt werden.“ Kriminelle müssten auch im Internet effektiv verfolgt werden, aber dafür dürfe die Privatsphäre unbescholtener Nutzer nicht geopfert werden, so Scheer weiter.

Für den Bürger bleibt dabei nur eine Erkenntnis: Eigene Datensammlungen werden von Unternehmen und Regierungen als legitim dargestellt. Sobald es ein anderer tut, äußert man jedoch heftige Kritik.

AUTOR

Joachim Jakobs...

...ist Betreiber des Blogs privatsphaere.org und Co-Autor des Buches "Vom Datum zum Dossier - Wie der Mensch mit seinen schutzlosen Daten in der Informationsgesellschaft ferngesteuert werden kann" erschienen im dpunkt-Verlag. Er hat 20 Jahre Erfahrung als Journalist und Öffentlichkeitsarbeiter; seit über zehn Jahren engagiert er sich in der IT-Industrie, darunter auch bei IBM in Schottland, als Leiter Unternehmenskommunikation eines Instituts der Fraunhofer-Gesellschaft und Medienkoordinator der Free Software Foundation Europe. Er ist gelernter Industriekaufmann und Diplom-Betriebswirt (FH). Seit Jahren veröffentlicht er zum Thema Datenschutz und Datensicherheit – unter anderem für die ZDNet, VDI-Nachrichten, DIE ZEIT, stern.de und den Rheinischen Merkur. Bei Telepolis verfasst er regelmäßig seine Kolumne »JJ’s Datensalat«.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Hacker, Privacy, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Personendossiers: Wie Firmen ihre Kunden ausspionieren

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *