Datenschutz

Data Analytics: Deutsche Telekom rastert Mobilfunk-Vorratsdaten zu kommerziellen Zwecken

Screenshot aus dem Werbe-Video der Telekom.

Die Deutsche Telekom macht ihre eigene Vorratsdatenspeicherung, um Mobilfunkdaten ihrer Kunden zu rastern und daraus neue Erkenntnisse zu generieren. In einem ersten Schritt sollen Verkehrsstatistiken den Nahverkehr optimieren, andere Mobilfunkanbieter nutzen und verkaufen diese Daten zu kommerziellen Zwecken. Den Datenschutz will man durch eine angebliche „Anonymisierung“ der Daten realisieren – eine ganze Reihe an Studien hat dessen Wirksamkeit jedoch längst „zerstört“.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

telekom-nuernberg-motionlogic-730

Die Deutsche Telekom hat zur CeBIT eine Pressemappe veröffentlicht, deren Mitteilungen vor Bullshit-Bingo nur so triefen: Hilfe gegen die digitale Sitzblockade, Wirtschaftswunder 4.0, David gegen Cyber-Goliath, Impulse aus der Cloud.

Handy-Tracking der Telekom

Eine ist uns aber besonders ins Auge gestochen: Anonymisierte Mobilfunkdaten helfen Verkehrs-Aktiengesellschaft Nürnberg bei Optimierung des öffentlichen Nahverkehrs.

In einem Pilotprojekt nutzt die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten. Die anonymisierten Mobilfunkdaten werden als aggregierte Schwarm- und Massendaten für die Verkehrsstatistik verwendet.

Dazu gibt es auch ein Werbe-Video (Direktlink):

Verbindungsdaten aussagekräftiger als Inhalte

Seit Jahren berichten wir darüber, wie aussagekräftig diese Metadaten sind. Unser meistgelesener Artikel im letzten Jahr war: Wie dein unschuldiges Smartphone fast dein ganzes Leben an den Geheimdienst übermittelt. Angeblich harmlose Verbindungsdaten sind in Wahrheit noch aussagekräftiger sind als Kommunikations-Inhalte. Bereits vor zwei Jahren berichteten wir über Studien, die folgende Details aus „Mobilfunkdaten“ extrahieren konnten:

Einzigartig in der Masse

Juli 2012: Kaufkraft-Bestimmung durch Geodaten: Wie Mobilfunkbetreiber mit Vorratsdaten Geld verdienen

Nicht nur der Staat will die Standort- und Verbindungsdaten von Mobilfunk-Kommunikation. Die riesigen Datenberge werden auch ausgewertet, um die Anschlussinhaber in Kategorien einzuteilen – und ihnen anschließend zielgenau Werbung verkaufen zu können.

September 2012: Dein Telefon weiß, wo du nächsten Sonntag sein wirst

Aus den Bewegungsdaten eines Mobiltelefons lässt sich errechnen, wo man in Zukunft sein wird – auf bis zu drei Meter genau. Das haben drei britische Informatik-Studenten an einem Datensatz von gerade einmal 25 Freiwilligen demonstriert. Die Forscher wollen Behörden bei der Überwachung helfen – und der Werbewirtschaft.

März 2013: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.

Datenschutz: „Anonymisierung im Hochsicherheits-Rechenzentrum“

Logo von Sense Networks.
Logo von Sense Networks.

Das weiß auch die Telekom, daher ist sie peinlich darauf bedacht, einen Absatz zum Datenschutz zu liefern:

Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten wurde von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff eingehend geprüft und als datenschutzkonform und rechtlich einwandfrei bewertet. Der Anonymisierungsprozess läuft in einem Hochsicherheits-Rechenzentrum der Deutschen Telekom ab. Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt. Die anonymisierten und aggregierten Daten werden ausschließlich an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Motionlogic ist auf Datenanalysen spezialisiert und verfügt über das nötige Know-how, um auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme zu erstellen.

2009: „Glauben in Datenschutz durch Anonymisierung zerstört“

EBenfalls bereits 2012 berichteten wir:

Eine nicht umkehrbare Anonymisierung wird im Zeitalter von „Big Data“ immer schwieriger. Bereits in den Neunziger Jahren gelang es Forschern, aus einem „anonymisierten“ Datensatz mit Krankendaten die Krankenakte des Gouverneurs von Massachusetts herauszufinden, der vorher Anonymität versicherte. Vor fünf Jahren haben Forscher der Universität Texas die Anonymisierung eines ganzen Datensatzes von Netflix gebrochen und rückgängig gemacht. Die Studien zum Thema De-Anomisierung häufen sich:

Informatiker haben unseren Glauben in den Schutz des Datenschutzes durch Anonymisierung, also den Schutz der Privatsphäre durch das Entfernen von persönlichen Informationen wie Namen oder Sozialversicherungsnummer in großen Datensätzen, zerstört. Diese Wissenschaftler haben gezeigt, dass sie Einzelpersonen oft mit erstaunlicher Leichtigkeit aus anonymen Datensätzen „re-identifizieren“ oder „de-anonymisieren“ können.

Auch die Königliche Gesellschaft Großbritanniens kam kürzlich in einem Bericht Science as an open enterprise zum Schluss:

In der Vergangenheit wurde davon ausgegangen, dass die Privatsphäre von Menschen in Datensätzen durch Prozesse der Anonymisierung, wie der Entfernung von Namen oder Anschrift, geschützt werden könnte. Allerdings haben eine beträchtliche Menge an Studien in der Informatik nun gezeigt, dass die Sicherheit von persönlichen Daten in Datenbanken durch Anonymisierung nicht garantiert werden kann, wenn aktiv nach Identitäten gesucht wird.

Opt-Out, aber nicht vollständig

sensenetworks-3Als wäre das nicht schon pikant genug, schreibt die Telekom direkt hinterher:

Die Datenanalysen können mit drei zusätzlichen, ebenfalls anonymisierten Informationen zu Kunden – sogenannten CRM-Daten – ergänzt werden: Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion. Für Verkehrsunternehmen beispielsweise kann diese Datenkombination hilfreich sein, um besser zu verstehen, welche Kundengruppen wann und wo am Verkehr teilnehmen und darauf basierend neue Angebote zu entwickeln.

Immerhin bietet man ein Opt-Out an, aber nicht für die Rasterfahndung an sich, sondern nur für die Nutzung dieser zusätzlichen Datentypen:

Den Kunden wird bis zum 01.06.2015 unter www.telekom.de/opt-out und 0800/0005608 ein „Ausschaltknopf“ zur Verfügung stehen. Damit können sie die Verwendung der drei einzigen persönlichen Daten im Modell der Deutschen Telekom – Geschlecht, Altersgruppe und Postleitzahl – abstellen.

Viele Fragen bleiben

Wir haben folgende Fragen an die Telekom gestellt:

  1. Welche einzelnen Datentypen werden in diesem Verfahren verwendet?
  2. Wie funktioniert die Anonymisierung genau?
  3. Wie wird eine De-Anonymisierung ausgeschlossen?
  4. Welche Datensätze werden an Motionlogic übermittelt?
  5. Wie erstellt Motionlogic Aussagen aus diesen Daten?
  6. Wie lange werden diese Daten bei Telekom und Motionlogic gespeichert?
  7. Warum gilt das Opt-Out nur für die CRM-Daten, nicht generell?
  8. Wurden Telekom-Datenschutzbeauftragter, Datenschutzbeirat und Compliance-Management involviert?
  9. Wie viel Geld zahlt die Verkehrs-Aktiengesellschaft Nürnberg dafür?

Zudem haben wir „sämtliche Dokumente zum Verfahren zur Anonymisierung der Mobilfunkdaten der Telekom“ bei der Bundesdatenschutzbeauftragten auf FragDenStaat.de angefragt.

Wir werden die Antworten nachtragen.

Weitersagen und Unterstützen. Danke!
30 Kommentare
  1. Interessante Frage wäre noch, wie Kunden die bei anderen Betreibern unterschrieben haben (zB Congstar) und nur das Telekomnetz verwenden behandelt werden.

  2. Hochsicherheits-Rechenzentrum der Deutschen Telekom

    Ohoho, das ist bestimmte das gleiche „Hochsicherheitszentrum“ wie bei De-Mail.
    Das ist deutsche Wertarbeit und so hochsicher, daß es eigentlich hypersicher ist. Auf jeden Fall aber cybersicher. Quasi hypercyberhochsicher.
    Da kann nichts schiefgehen. Sicherer waren Daten noch nie.

    1. „Nicht vereinbart“? Schau doch mal in die AGB :)

      Ansonsten: Gerade der VGN führt doch regelmäßig Fahrgastbefragungen durch. Die müssten eigentlich alle Informationen schon haben …

  3. Danke, sehr informativ die Aufstellung von Arbeiten darüber, was man aus diesen Daten alles ablesen kann. Ein guter Grund, normalerweise kein GSM zu nutzen und wenn doch, das Gerät danach in eine Tauschbörse zu geben und sich wirklich *nie*, *nie* mit eigenem Namen anzumelden.

    Wie „legal“ oder „gegen die AGB“ das ist, ist inzwischen so weit von der Relevanz entfernt, dafür finde ich gar keine Worte mehr. Wir werden als Freiwild betrachtet, die Datensammlung zunehmend als legitim und als Grundlage für einen ganzen Wirtschaftszweig (Cebit-Motto bringt es auf den Punkt). Moralische Skrupel gibt es immer weniger. Und da soll man sich zur virtuellen Schlachtbank führen lassen? Nicht mit mir.

    1. Bevor jemand kommt und dagegenhält,

      1) „ja aber die Daten sind ja nur für X“
      2) „ist doch alles halb so schlimm“
      3) „von mir kann doch jeder alles wissen“
      4) „man kann ja den Anbieter wechseln“
      5) „es gibt Schlimmeres“

      1) Pfft, glaubst du das wirklich? Wenn ja, wie lange?
      2) Es ist eine schiefe Ebene und am Neigungswinkel wird gedreht, unten wartet der Abgrund bzw. die Dystopie. Wann, wann, wann kapiert ihr das endlich?
      3) Von dir vielleicht. Aber nicht von jedem Menschen. Ein totalitäres System ist nicht OK, nur wenn man selbst nichts zu befürchten hat. Respektiere deine Mitmenschen!
      4) Momentan scheinen die sich einig zu sein, in welche Richtung das gehen soll. Sobald es ein angemessenes Angebot gibt, gern. Der Markt für nicht-verdatete Dienstleistungen wächst sicher in dem Maße, dass die Überwachung gruseliger wird. Andererseits, der Anmeldewahnsinn bei Prepaid beispielsweise kommt gar nicht von den Anbietern, sondern vom Staat.
      5) Ja, gibt es. Irgendwann aber keine Möglichkeit mehr, sich dagegen zu organisieren. Wenn jeder Schritt über jeden in Echtzeit bekannt ist, gibt es kaum noch Handlungsmöglichkeiten.

      1. Man muss das wie gesagt glücklicherweise eh nicht nutzen, es gibt noch keine Handypflicht. Aber ich sehe auch keinen Grund, warum man in immer mehr Auswertung einwilligen müssen sollte, nur um die modernen Kommunikationsmittel zu nutzen.

        Die Ankündigung der Telekom, das jetzt machen zu wollen, ist als Warnschuss zu nehmen. Die Anwendung ist harmlos, die Daten ohnehin da (vorausgesetzt, man speichert sie) und es ist ein sehr schöner Aufhänger, um diese diskreditierte Art von „Anonymisierung“ auseinanderzunehmen. Richtige Anonymisierung geht bei Ortsdaten eben nicht, solange es eine eindeutige Kennung gibt, die dem Nutzer zuzuordnen ist … das immer noch zu behaupten, ist einfach frech.

  4. … zum Thema ‚Meine Daten‘, ist scheint tatsächlich keine gesetzliche Grundlage zu geben, diese einem Besitzer zuzuordnen. Solange das personenbezogene Daten sind, d.h. der Kundenname am Datensatz steht, ist zumindest in Deutschland die Situation eindeutig: meine Daten. In dem Moment, in dem der Kundenname gegen eine Zufallszahl ausgetauscht wird, sind die Daten tatsächlich Betriebsdaten eines Netzwerks und könnten in den Besitz des Netzbetreibers übergehen.

    Und Daten aggregieren und weiterverkaufen, da sind Google, Amazon, Facebook, Twitter etc. schon ein bisschen weiter als die Netzbetreiber…

    1. Für mich ein Grund für eine weitreichende Datenschutzverschärfung. Alles, was nicht wirksam anonymisiert ist, müsste von gewissen Weiterverwendungen ausgeschlossen sein. Sonst kriegen wir in naher Zukunft ganz große Probleme.

  5. Auf der Opt-Out Seite steht aber etwas anderes:

    „Die Deutsche Telekom sieht Chancen darin, durch die Analyse von anonymisierten und aggregierten Kundendaten Erkenntnisse zu gewinnen, die für neue Anwendungen und Lösungen genutzt werden können – zum Beispiel, um Verkehrsflüsse besser zu verstehen und so Staus zu vermeiden oder den öffentlichen Nahverkehr zu verbessern. Über die rechtlichen Verpflichtungen zum Datenschutz und zur Datensicherheit hinaus wird die Telekom ihren Kunden als zusätzliche, freiwillige Leistung anbieten, der Verwendung der vollständig anonymisierten Daten über diese Webseite zu widersprechen.“

    Das lese ich als vollständiges Opt-Out

    1. Das ist keine Opt-Out Seite sondern nur eine Ankündigung, denn dort gibt es keine Kontaktdaten noch eine Information, wie man den Opt-Out Prozess von Kundenseite startet. Den Kunden nach Strich und Faden verars…, mehr ist das nicht – wäre ich T(äter)-Com, ich hätte schon längst Werbung auf der Opt-Out Seite geschaltet – wenn das mal nur auch so viele nutzen würden, aber die meisten Nutzer sind einfach nur Mäh, mäh, määähe – zu faul, desinformiert, senil … weiss der Henker, warum die Generation Wende einfach jeden Schei… mitmacht – da ist wohl wirklich die ganze Kritikfähigkeit reduziert auf eine Onlinebewertung zur letzten online bestellten Pizza.

      1. Ein besserer Datenschutz würde ein Opt-Out-Verbot beinhalten. Daten-Opt-Out mutet an wie eine Standardmethode aus dem Kundenverarsche-Basiskurs. Und es ist unverschämt häufig!

  6. SPON schreibt jafolgendes Detail:
    „Im vergangenen Jahr soll bereits ein Pilotprojekt stattgefunden haben: Im Spätherbst bekam die VAG einen Teil der Mobilfunkdaten, die die Telekom von ihren Kunden erfasste, sobald diese ins Internet gingen oder Nachrichten verschickten.“
    http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-vag-in-nuernberg-nutzt-telekom-daten-a-1024001.html

    Wie soll das eigentlich mit dem „Datenschutz“ vereinbar sein, von dem die Telekom in den AGB schreibt?

    In den AGBs von t-mobile liest man allerdings in den Hinweisen zum Datenschutz (Punkt 3), dass eine Übermittlung der Daten an sonstige Dritte nicht erfolgt, ausser man hat zugestimmt, oder ist aus gesetzlichen Bestimmungen zu verpflichtet. Weiter heißt es bezüglich der Speicherdauer der Daten, dass gegebenenfalls die zugeteilte IP ausschließlich zur Missbrauchsbekämpfung verwendet und nach sieben Tage gelöscht wird.
    http://www.telekom.de/dlp/agb/pdf/33352.pdf

  7. Ich wusste es! Der Höttges poltert seit Monaten herum ohne neue Regulierung, könne die Telekom nicht gegen Google & Co. konkurrieren. Ich hatte schon geahnt, dass der Telekom nichts besseres einfällt, als die Daten einfach zu verkaufen. Meine Güte, die leben voll in den 80’ern.

    1. Das war auch mein erster Gedanke. Dieses Interview in der SZ letzten Oktober…die vielen, vielen tollen Mautdaten! Damit könnte man doch so viele, viele Staus vermeiden!! Aber die Europäer kaufen die Daten stattdessen von den Amerikanern!!! Ich kann einfach nicht fassen, dass die Old White Men immer noch glauben, ein Narrativ von der „guten Datensammlung“ versus „böses Google“ schaffen zu können. Liebe Telekom, fragt doch mal bei den deutschen Verlegern nach. Die können Euch erzählen, wie toll das beim LSR geklappt hat.

      1. Ich bin mir nicht ganz sicher, aber ich glaube, du hast mich missverstanden. Während Google & Co. Daten sammeln und diese wie einen Schatz hüten und darauf Geschäftsmodelle errichten, denken Unternehmen wie die Telekom garnicht darüber nach, was man mit Daten machen kann. Statt mit den Bewegungsprofilen (obwohl ich glaube, dass in dem Fall die Genauigkeit der Daten so schlecht ist, dass man damit rein garnichts machen kann) bspw. einen Live-Traffic-Dienst anzubieten, verkaufen die die Daten einfach. Alles andere wäre zu viel Arbeit. Genau deshalb kann die Telekom nicht konkurrieren!

  8. Wenn ich so darüber sinniere, können diese ominösen CRM-Daten nur _Vertragsdaten_ sein. Geschlecht und ‚Heimatregion‘ lassen sich nicht schlüssig über das Bewegungsprofil erschließen. Das würde auch das (Pseudo-)Opt-Out erklären…und die Tatsache, dass offenbar nur die Bewegungsauswertung selbst etwas kostet. Nicht einmal die Telekom würde sich auf die CeBIT stellen und herausbrüllen, dass sie die Vertragsdaten ihrer Kunden zusammen mit Bewegungsprofilen verkauft. Dann wohl lieber als Gratiszugabe! Das wäre dann eine weitere Frage für den Katalog: Warum ist das Opt-Out nur bis zum 01.06. möglich, wenn laut VAG-Sprecherin die Dauer des Pilotprojektes nicht begrenzt wurde (s. Nordbayern.de-Artikel im Vorpost)?

  9. Hallo, interessanter Artikel. Ich habe gesehen, dass bei fragdenstaat.de die Antwort vom BfDI auf Eure Fragen eingegangen ist. Leider ist die Antwort noch nicht öffentlich. Wird die Antwort zugänglich gemacht?

    Das Prozedre an sich ist mittlerweile ja bereits usus – also das Datensammeln. Das macht FB, Google, und alle weiteren Dienste die wir fröhlich und nutzbringend verwenden. Und die meisten denken sich, die USA ist weit weg und wer interessiert sich da schon für mich? Hier hingegen ist es eine deutsche Firma. Da ist der Anspruch der Gesellschaft an ein sicheres Anonymisierungsverfahren zu Recht deutlich höher. Und gerade deswegen bin ich an den Informationen der Vorgehensweise interessiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.