Datenschutz

Data Analytics: Nürnberger Nahverkehr beendet Pilotprojekt zur Rasterung von Mobilfunk-Vorratsdaten (Update)

Die Nürnberger Verkehrsbetriebe haben die Rasterfahnung von Handy-Daten für Verkehrsstatistiken vorerst gestoppt. VAG und Telekom hatten Mobilfunk-Vorratsdaten von 13.000 Menschen gerastert und vermessen – ohne Benachrichtigung oder Opt-In. Laut Telekom war das Verfahren mit der Bundesdatenschutzbeauftragten abgesprochen, die streitet eine konkrete Zusammenarbeit ab.

Logo der Telekom für das Mobilfunk-Überwachungs-Projekt in Nürnberg.

Letzten Dienstag berichteten wir über ein gemeinsames Projekt der Telekom mit dem Nürnberger Nahverkehr: Deutsche Telekom rastert Mobilfunk-Vorratsdaten zu kommerziellen Zwecken.


netzpolitik.org - unabhängig & kritisch dank Euch.

Die Deutsche Telekom macht ihre eigene Vorratsdatenspeicherung, um Mobilfunkdaten ihrer Kunden zu rastern und daraus neue Erkenntnisse zu generieren. In einem ersten Schritt sollen Verkehrsstatistiken den Nahverkehr optimieren, andere Mobilfunkanbieter nutzen und verkaufen diese Daten zu kommerziellen Zwecken. Den Datenschutz will man durch eine angebliche „Anonymisierung“ der Daten realisieren – eine ganze Reihe an Studien hat dessen Wirksamkeit jedoch längst „zerstört“.

Jetzt haben die Verkehrsbetriebe einen Rückzieher gemacht: VAG bedauert Irritationen und beendet Pilotprojekt mit Telekom-Tochter.

Ein Pilotprojekt der VAG Verkehrs-Aktiengesellschaft Nürnberg mit einem Tochterunternehmen der Deutschen Telekom AG zur Optimierung des öffentlichen Nahverkehrs hat in den vergangenen Tagen für viele Nachfragen gesorgt. Die VAG bedauert es sehr, dass das Thema zu Irritationen und Missverständnissen geführt hat. Das Unternehmen wird das Pilotprojekt mit sofortiger Wirkung beenden.

[…] Offensichtlich hatte die VAG jedoch die Informationsrelevanz unterschätzt, die das Thema bereits in der Pilotphase für die Kunden und Bürger haben würde und beendet deshalb das Projekt mit der Telekom.

Da man sich nur auf das „Pilotprojekt“ bezieht, haben wir nochmal nachgefragt, ob das auch für das eigentliche Projekt bezieht.

nordbayern.de berichtet: VAG stoppt umstrittene Handydaten-Auswertung.

Am Donnerstag soll es ein Krisengespräch zwischen VAG-Vorstand und Aufsichtsrat gegeben haben.

Derweil werden neue Details zum Pilot-Projekt bekannt: Betroffen von einem ersten Probelauf waren 13.000 Menschen, gemessen wurde zwischen der Altstadt und Langwasser. Trotz des Stopps: Ganz vom Tisch ist das geplante Projekt noch nicht. Die VAG schließt nach einer erneuten Prüfung die Wiederaufnahme nicht aus.

Offenbar wurde auch der Nürnberger Stadtrat nicht vorab über das Pilot-Projekt informiert, der Aufsichtsrat habe „erst aus den Medien davon erfahren“, sagt Thorsten Brehm, stellvertretender Chef der Stadtratsfraktion der SPD und Verkehrsexperte. „Die Informationspolitik der VAG ist verbesserungswürdig.“

Verena Osgyan, Stellvertretende Fraktionsvorsitzende der Grünen im Bayerischen Landtag, kommentiert:

Ich kann mir nicht vorstellen, dass die Telekom-Kundinnen und -Kunden dieser Erhebung bewusst zugestimmt hätten“, so Verena Osgyan. Auch die später vorgesehene „Opt-out-Lösung“ hält sie für nicht zielführend. Wir „wollen ‚privacy by design‘, also den generellen Grundsatz, dass Kundendaten anonym sind und erst nach ausdrücklicher Zustimmung für weitere Zwecke verwendet werden können“, unterstreicht Verena Osgyan.

Interessant ist auch ein Punkt aus den T-Mobile-AGB:

Eine Übermittlung der Daten an sonstige Dritte erfolgt nicht, es sei denn, Sie haben dem zugestimmt oder wir sind auf Grund gesetzlicher Bestimmungen hierzu verpflichtet bzw. dies ist auf Grund einer gesetzlichen Bestimmung ausdrücklich zulässig.

Am Mittwoch hatte auch eine Telekom-Sprecherin auf unsere Fragen geantwortet:

netzpolitik.org: Welche einzelnen Datentypen werden in diesem Verfahren verwendet?

Telekom: Es werden nur die Signalisierungsdaten genutzt, die anfallen, wenn ein mobiles Gerät einen Anruf tätigt oder empfängt oder eine SMS empfängt oder versendet. Weiterhin werden Signale ausgelöst, wenn größere Zellgruppen verlassen werden oder ein Gerät länger nicht aktiv. Fortlaufende Informationen zum Wechsel zwischen Funkzellen werden jedoch nicht erfasst.

netzpolitik.org: Wie funktioniert die Anonymisierung genau?

Telekom: Die Daten werden von der Telekom sofort quellnah nach einem von den Datenschutzbehörden begutachteten Verfahren anonymisiert und anschließend zu Gruppen zusammengefasst und auf die Gesamtbevölkerung hochgerechnet, so dass aufgrund der Massenstatistiken Einzeldaten nicht rückverfolgbar sind. Zudem werden die Datenströme nach 90 Minuten wieder auf Null gestellt, d.h. Anonymisierung und Aggregation beginnen erneut.

netzpolitik.org: Wie wird eine De-Anonymisierung ausgeschlossen?

Telekom: Zusätzlich zur sofortigen und quellnahen Anonymisierung werden die Daten zu Gruppen aggregiert und auf die Gesamtbevölkerung hochgerechnet, so dass aufgrund der Massenstatistiken eine Rückführung nicht mehr möglich ist.

netzpolitik.org: Welche Datensätze werden an Motionlogic übermittelt?

Telekom: Motionlogic erhält anonymisierte Signalisierungsdaten, die alle 90 Minuten wieder auf Null gestellt werden. Somit kann Motionlogic anonymisierte Signalisierungsdaten über maximal 90 Minuten zu Statistiken verarbeiten. Diese Signalisierungsdaten können perspektivisch mit den Merkmalen Altersgruppe (10 Jahres-Schritte), Geschlecht und Postleitzahl (erste 4 Stellen) angereichert werden.

netzpolitik.org: Wie erstellt Motionlogic Aussagen aus diesen Daten?

Telekom: Motionlogic rechnet die Aktivitätsdaten auf die Gesamtbevölkerung hoch und erstellt auf Basis der Bewegungsströme zwischen Mobilfunkzellen Hochrechnungen über Verkehrsströme.

netzpolitik.org: Wie lange werden diese Daten bei Telekom und Motionlogic gespeichert?

Telekom: Die Telekom speichert in diesem Prozess keine Daten. Motionlogic erhält anonymisierte Daten und speichert die daraus errechneten Bewegungsstatistiken über 90 Minuten, um auf dieser Basis historische Auswertungen über Verkehrsflüsse erstellen zu können.

netzpolitik.org: Warum gilt das Opt-Out nur für die CRM-Daten, nicht generell?

Telekom: Für die Anonymisierung von Kundendaten ist weder eine Rechtsgrundlage noch das Einverständnis unserer Kunden erforderlich. Ein Opt-out bieten wir trotzdem über das gesetzlich geforderte Maß hinaus auf freiwilliger Basis an. Eine Prüfung, inwiefern opt-out auch für Signalisierungsdaten gelten könnte, läuft derzeit.

netzpolitik.org: Wurden Telekom-Datenschutzbeauftragten, Datenschutzbeirat und Compliance-Management kontaktiert?

Telekom: Die Deutsche Telekom hat ihren Datenschutzbeauftragten bei der Entwicklung neuer Lösung grundsätzlich von Anfang an mit an Bord, so auch in diesem Fall. Der Datenschutzbeirat ist regelmäßig über den Stand informiert worden. Die Deutsche Telekom hat über ein Jahr an dem Anonymisierungsverfahren gearbeitet, dass die Analyse datenschutzkonform ermöglicht. Dazu erfolgte ein enger Austausch mit den Experten der Bundesdatenschutzbeauftragten Andrea Voßhoff.

Nochmal nordbayern.de:

Das Verfahren, bei dem ein Bewegungsprofil von Fahrgästen ermittelt werden soll, wurde laut Telekom von der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff, für „rechtlich einwandfrei“ befunden. Von der konkreten Zusammenarbeit mit der VAG wusste ihre Behörde allerdings nichts.

Auf Nachfrage bestätigte Voßhoff, die Telekom habe ihr ein Verfahren zur Anonymisierung präsentiert. Dagegen habe mein „keine Einwände“ gehabt. Der Knackpunkt: Es werden keine zusätzlichen Daten erhoben, sondern ausschließlich vorhandenes Material der Telekom statistisch aufbereitet und anonymisiert weitergegeben.

Wir hatten ja „sämtliche Dokumente zum Verfahren zur Anonymisierung der Mobilfunkdaten der Telekom“ bei der Bundesdatenschutzbeauftragten angefragt und sind gespannt auf die Antworten. Zusätzlich haben wir nochmal eine Presse-Anfrage gestellt.

Update: Hier die Antwort der Bundesdatenschutzbeauftragten Andrea Voßhoff:

Erst durch die Medien bin ich auf das Pilotprojekt VAG/Telekom aufmerksam geworden. Soweit in diesem Zusammenhang berichtet wird, ich hätte der Deutschen Telekom AG zu diesem konkreten Projekt „grünes Licht“ gegeben, trifft dies nicht zu, da es mir bis heute gar nicht vorgestellt wurde.

Richtig ist, dass mir die Deutsche Telekom AG im letzten Jahr ein Anonymisierungsvorhaben präsentiert hat. Nach entsprechenden Beratungen habe ich gegenüber der Deutschen Telekom AG keine Einwände gegen die Einführung des mir vorgestellten Verfahrens erhoben.

Bei diesem Verfahren werden keine zusätzlichen Daten erhoben, sondern ausschließlich vorhandene Daten im Verantwortungsbereich der Telekom in anonymisierter Form statistisch aufbereitet, so dass sie keiner bestimmten Person mehr zugeordnet werden können. Nur diese anonymisierten Daten werden dann weitergegeben.

Ich habe die Telekom AG zu dem Projekt VAG/Telekom AG zu Stellungnahme aufgefordert.

Zur Zeit prüft die BfDI, „ob die Anwendung des Verfahrens im konkreten Projekt auch okay ist“.

Laut BfDI ist die Rechtsauffassung der Telekom, dass „anonymisierte“ Daten nicht unter das Bundesdatenschutzgesetz fallen und sie daher damit machen kann, was sie will.

Wir haben nochmal nachgefragt, wie das Anonymisierungsverfahren konkret aussieht und wie eine De-Anonymisierung sichergestellt werden soll. Wir hatten ja über zahlreiche Studien berichtet, die „unseren Glauben in den Schutz des Datenschutzes durch Anonymisierung, also den Schutz der Privatsphäre durch das Entfernen von persönlichen Informationen wie Namen oder Sozialversicherungsnummer in großen Datensätzen, zerstört“ haben.

12 Kommentare
  1. Ich halte die anonymisierte Nutzung von Mobilfunkdaten manchmal für eine gute Sache. Das Open Data Institute in London hat mit anonymisierten Daten von Telefonica untersucht, wo in London sich tagsüber Menschen aufhalten. Zielsetzung war eine Reorganisation der Londoner Feuerwehr. Man wollte dort Wachen haben, wo der Impact eines Feuers groß ist. Das ist halt da in der City, wo tagsüber viele Menschen sind und nicht dort, wo viele Menschen im Melderegister stehen. Der Case ist dokumentiert:
    http://theodi.org/news/odi-reveals-impact-of-london-fire-station-closures-using-open-data
    Zudem laufen beim ODI auch Anstrengungen, dass man auf bestehende Infrastruktur im ÖPNV mehr Durchsatz bekommen will, wobei man nicht neu bauen kann sondern nur effizienter nutzen. Ein Szenario dabei ist, dass bei Blockade eines Gleises durch „Personen auf dem Gleis“ die Pendler in Echtzeit neue Routenempfehlungen bekommen. Auch da ist es hilfreich, zu wissen, wo die Leute sind.
    So wie auch Google mit den Android-Handys eine Echtzeit-Stauanzeige hinbekommt in Deutschland, was der Staat nicht gebacken bekommt.
    Insofern kann man bei dem Thema auch relaxter sein. Datenschutz ist nicht das einzige Kriterium einer hochentwicklelten Gesellschaft. Irritierend ist die schleppende Zusammenarbeit mit den Behörden. Man muss ordentlich anonymisieren und sich dann einig sein, dass es das ist. Nur zu sagen, anonymisieren geht nicht, ist zu faul.

    1. Man muss da natürlich aufpassen. Bei der google-Stauanzeige ist die Auswirkung gering, wenn die Anzeige nicht stimmt. Bei der Feuerwehrplanung ist es allerdings fatal, wenn man die Belegung von Altenheimen oder Krankenhäusern mangels nicht-vorhandener oder nicht-eingebuchter Mobiltelefone stark unterschätzt.

      Im übrigen wäre es in jedem Fall fair, wenn man die einzelnen Nutzungen in einem Panel des Telefons angezeigt bekäme und gezielt an- und ausschalten könnte. Vielleicht möchte ich ja nicht, dass meine Daten ohne genaue Hintergrundinformation der Nutzung für irgendwelche Kürzungen der öffentlichen Infrastruktur „missbraucht“ werden.

      Open Data meinte übrigens ursprünglich öffentlich erhobene Daten. Wenn nicht-öffentliche Daten kommerziell genutzt würden, wäre es fair, wenn man ggf. einen Anteil der Erlöse als Guthaben beispielsweise auf das google Play Konto gebucht bekäme. Es steht ja nicht immer (wie bei der Stauanzeige) eine allgemein nützliche Dienstleistung dahinter.

      1. Wieso sollen in Krankenhäusern und Seniorenheime keine Handys sein. Warst du lange nicht mehr da? Sowohl Personal als auch Insassen sind wie andere Bürger damit ausgestattet.
        Man kann es auch übertreiben: wenn man im Zug oder Bus oder U-Bahn gezählt wird, braucht man für eine anonyme Zählung keine Anzeige. Übrigens auch nicht nach Bundesdatenschutzgesetz, da bei fehlendem Personenbezug dieses einfach nicht gilt.

        Mit Deinem Open Data Verständnis irrst Du. Die Einschränkung, die Dir vorschwebt nennt die Szene seit vielen Jahren Open Government Data. Dir schwebt also auch vor, dass man Ebola-Infizierte vergütet, wenn man sie zählt, um das Ausbreitungsrisiko der nichtangesteckten zu verringern. Ist klar. Und mit Dienen ganzen Vergütungen zahlst Du dann die Ebolabehandlung aus eigener Tasche. Jau, tolles Modell: wirst Du viele Fans für finden :-)
        Mann, wir haben Fastenzeit. Der Karneval ist längst vorbei. Jetzt dürfen nur Merkel und Gabriel ihren Halluzinationen ohne ärztliche Behandlung freien Lauf lassen. Und das tun diese SpinnerInnen reichlich (Vokabular vom Bundespräsidenten gewählt wegen Allgemeinverständlichkeit und Rechtssicherheit).

    2. Das mit den Personen im Gleis verstehe ich nicht. Kann man dann nicht, wenn man schon so ein Gerät mit sich rumträgt, selbst die Suchmaske bedienen?

      1. Das mit den „Personen auf dem Gleis“ ist die freundliche Umschreibung, dass sich ein Selbstmörder vor einen Zug geworfen hat. Wegen der Aufräumarbeiten und der kriminaltechnischen Untersuchung ist das Gleis dann meist lange Zeit unbrauchbar. Die Reisenden brauchen dann ggf. Ausweichrouten.

  2. So so, die Telekom speichert also nichts, die Daten gehen sofort zum Tochterunternehmen. Und das wiederum erhält ja ’nur‘ anonyme Daten, alles ganz legal. BND-Argumentation, anyone? Und irgendwo in diesem Prozess müssen ja die Vertragsdaten Geschlecht, Altersgruppe und die ersten vier Ziffern der PLZ mit den Bewegungsdaten verknüpft werden. Vielleicht versteht die Telekom unter Anonymisierung aber auch das umgekehrte Vorgehen, also das Löschen aller anderen persönlichen Daten hinter den Signaldaten? Das wäre dann der Euphemismus des Tages! Anonym ist, was der Telekom zum Geldverdienenn genügt ;-) Für mich auf Platz zwei: ‚Heimatregion‘. Die komplette PLZ bis auf die letzte Ziffer, das ist keine Region, sondern die Ebene einzelner Stadtteile.

  3. — KREDITECH GEHACKT — (via Fefe)

    http://www.gruenderszene.de/allgemein/kreditech-datendiebstahl

    Cloud-Computing FTW: Beim „Hamburger Big-Data-Startup Kreditech“ sind ein paar Daten rausgetragen worden. Was denn so?

    „Es ist richtig, dass eine begrenzte Menge sensibler Daten wie Scans von Ausweisdokumenten oder E-Mail-Adressen potenzieller Kreditech-Kunden von einem Unbekannten gestohlen wurden“, sagt ein Polizeisprecher.

    Das war im Sommer 2014. Wieso haben wir davon nichts gehört?

    Kreditech hat den Vorfall nie öffentlich gemacht.

    Hrm. Das klingt ja schon ziemlich übel. Von wieviel Daten reden wir denn hier konkret?

    mehrere Gigabyte Logdateien, dann mehrere tausend individuelle Angebote für Darlehensverträge, außerdem mehr als 2.000 Scans und Fotos von Ausweisdokumenten. Darin enthalten sind sensible persönliche Daten: Email-Adressen, Klarnamen, Geburtsdaten, Telefonnummern, Ausweisdaten.

    Au weia. Was sagt denn Kreditech dazu? Lest selbst.

    Mein persönliches Highlight ist diese an Kompetenz und Spezialexpertentum kaum zu überbietende Einschätzung eines Technikphilosophen:

    „Es sieht mir schon nach sensiblen Daten aus“, sagt Gaycken, „allerdings auch nicht so wahnsinnig sensibel.“

    Gut, dass wir das geklärt haben!

    1. … ist ein Unternehmen, dessen Geschäftsmodell in Deutschland wegen Datenschutz gar nicht geht (wenn ich den Datenschutzbeauftragten richtig verstanden habe). Deshalb machen die erstmal im europäischen Ausland rum und schauen, wie sehr sie die potentiellen Kreditnehmer analysieren können. Tolles Startup. Und kein Wunder, wenn die Daten dann abhandenkommen.

  4. Die VAG bringt einen Klopper nach dem anderen…
    Erst heißt es am 18.3.2015: „Einen Testlauf im Rahmen des Pilot-Projektes gab es bereits. Im vergangenen Herbst wurden nach Angaben von Telekom und VAG erste Messungen zwischen Worzeldorf und Kornburg durchgeführt. Die Auswertung der ersten Datenschätze sei „vielversprechend““
    (http://www.nordbayern.de/region/nuernberg/vag-will-handy-daten-anzapfen-stadtrat-wusste-von-nichts-1.4258628)
    Ich frage mich ja wirklich, wie man hier zu vielversprechenden „Datenschätzen“ kommen kann!!1!
    https://www.google.de/maps/dir/Kornburg/Worzeldorf/@49.3628861,11.0890899,15z/data=!3m1!4b1!4m19!4m18!1m5!1m1!1s0x479f5a8c16c83a33:0xa1eda35360982a0!2m2!1d11.099444!2d49.355833!1m5!1m1!1s0x479f5a6ff73ba2c9:0xa1eda35360982b0!2m2!1d11.096944!2d49.369722!2m4!5e0!5e1!5e2!5e3!3e3
    Dann wiederum heißt es am 19.3.2015:
    „Betroffen von einem ersten Probelauf waren 13.000 Menschen, gemessen wurde zwischen der Altstadt und Langwasser.“
    (http://www.nordbayern.de/region/nuernberg/nach-kritik-vag-stoppt-umstrittene-handydaten-auswertung-1.4264650?searched=true)
    Was kommt wohl am 1.4.2015? Der Probelauf umfasste das ganze Gebiet?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.