Letzten Dienstag berichteten wir über ein gemeinsames Projekt der Telekom mit dem Nürnberger Nahverkehr: Deutsche Telekom rastert Mobilfunk-Vorratsdaten zu kommerziellen Zwecken.
Die Deutsche Telekom macht ihre eigene Vorratsdatenspeicherung, um Mobilfunkdaten ihrer Kunden zu rastern und daraus neue Erkenntnisse zu generieren. In einem ersten Schritt sollen Verkehrsstatistiken den Nahverkehr optimieren, andere Mobilfunkanbieter nutzen und verkaufen diese Daten zu kommerziellen Zwecken. Den Datenschutz will man durch eine angebliche „Anonymisierung“ der Daten realisieren – eine ganze Reihe an Studien hat dessen Wirksamkeit jedoch längst „zerstört“.
Jetzt haben die Verkehrsbetriebe einen Rückzieher gemacht: VAG bedauert Irritationen und beendet Pilotprojekt mit Telekom-Tochter.
Ein Pilotprojekt der VAG Verkehrs-Aktiengesellschaft Nürnberg mit einem Tochterunternehmen der Deutschen Telekom AG zur Optimierung des öffentlichen Nahverkehrs hat in den vergangenen Tagen für viele Nachfragen gesorgt. Die VAG bedauert es sehr, dass das Thema zu Irritationen und Missverständnissen geführt hat. Das Unternehmen wird das Pilotprojekt mit sofortiger Wirkung beenden.
[…] Offensichtlich hatte die VAG jedoch die Informationsrelevanz unterschätzt, die das Thema bereits in der Pilotphase für die Kunden und Bürger haben würde und beendet deshalb das Projekt mit der Telekom.
Da man sich nur auf das „Pilotprojekt“ bezieht, haben wir nochmal nachgefragt, ob das auch für das eigentliche Projekt bezieht.
nordbayern.de berichtet: VAG stoppt umstrittene Handydaten-Auswertung.
Am Donnerstag soll es ein Krisengespräch zwischen VAG-Vorstand und Aufsichtsrat gegeben haben.
Derweil werden neue Details zum Pilot-Projekt bekannt: Betroffen von einem ersten Probelauf waren 13.000 Menschen, gemessen wurde zwischen der Altstadt und Langwasser. Trotz des Stopps: Ganz vom Tisch ist das geplante Projekt noch nicht. Die VAG schließt nach einer erneuten Prüfung die Wiederaufnahme nicht aus.
Offenbar wurde auch der Nürnberger Stadtrat nicht vorab über das Pilot-Projekt informiert, der Aufsichtsrat habe „erst aus den Medien davon erfahren“, sagt Thorsten Brehm, stellvertretender Chef der Stadtratsfraktion der SPD und Verkehrsexperte. „Die Informationspolitik der VAG ist verbesserungswürdig.“
Verena Osgyan, Stellvertretende Fraktionsvorsitzende der Grünen im Bayerischen Landtag, kommentiert:
Ich kann mir nicht vorstellen, dass die Telekom-Kundinnen und ‑Kunden dieser Erhebung bewusst zugestimmt hätten“, so Verena Osgyan. Auch die später vorgesehene „Opt-out-Lösung“ hält sie für nicht zielführend. Wir „wollen ‚privacy by design’, also den generellen Grundsatz, dass Kundendaten anonym sind und erst nach ausdrücklicher Zustimmung für weitere Zwecke verwendet werden können“, unterstreicht Verena Osgyan.
Interessant ist auch ein Punkt aus den T‑Mobile-AGB:
Eine Übermittlung der Daten an sonstige Dritte erfolgt nicht, es sei denn, Sie haben dem zugestimmt oder wir sind auf Grund gesetzlicher Bestimmungen hierzu verpflichtet bzw. dies ist auf Grund einer gesetzlichen Bestimmung ausdrücklich zulässig.
Am Mittwoch hatte auch eine Telekom-Sprecherin auf unsere Fragen geantwortet:
netzpolitik.org: Welche einzelnen Datentypen werden in diesem Verfahren verwendet?
Telekom: Es werden nur die Signalisierungsdaten genutzt, die anfallen, wenn ein mobiles Gerät einen Anruf tätigt oder empfängt oder eine SMS empfängt oder versendet. Weiterhin werden Signale ausgelöst, wenn größere Zellgruppen verlassen werden oder ein Gerät länger nicht aktiv. Fortlaufende Informationen zum Wechsel zwischen Funkzellen werden jedoch nicht erfasst.
netzpolitik.org: Wie funktioniert die Anonymisierung genau?
Telekom: Die Daten werden von der Telekom sofort quellnah nach einem von den Datenschutzbehörden begutachteten Verfahren anonymisiert und anschließend zu Gruppen zusammengefasst und auf die Gesamtbevölkerung hochgerechnet, so dass aufgrund der Massenstatistiken Einzeldaten nicht rückverfolgbar sind. Zudem werden die Datenströme nach 90 Minuten wieder auf Null gestellt, d.h. Anonymisierung und Aggregation beginnen erneut.
netzpolitik.org: Wie wird eine De-Anonymisierung ausgeschlossen?
Telekom: Zusätzlich zur sofortigen und quellnahen Anonymisierung werden die Daten zu Gruppen aggregiert und auf die Gesamtbevölkerung hochgerechnet, so dass aufgrund der Massenstatistiken eine Rückführung nicht mehr möglich ist.
netzpolitik.org: Welche Datensätze werden an Motionlogic übermittelt?
Telekom: Motionlogic erhält anonymisierte Signalisierungsdaten, die alle 90 Minuten wieder auf Null gestellt werden. Somit kann Motionlogic anonymisierte Signalisierungsdaten über maximal 90 Minuten zu Statistiken verarbeiten. Diese Signalisierungsdaten können perspektivisch mit den Merkmalen Altersgruppe (10 Jahres-Schritte), Geschlecht und Postleitzahl (erste 4 Stellen) angereichert werden.
netzpolitik.org: Wie erstellt Motionlogic Aussagen aus diesen Daten?
Telekom: Motionlogic rechnet die Aktivitätsdaten auf die Gesamtbevölkerung hoch und erstellt auf Basis der Bewegungsströme zwischen Mobilfunkzellen Hochrechnungen über Verkehrsströme.
netzpolitik.org: Wie lange werden diese Daten bei Telekom und Motionlogic gespeichert?
Telekom: Die Telekom speichert in diesem Prozess keine Daten. Motionlogic erhält anonymisierte Daten und speichert die daraus errechneten Bewegungsstatistiken über 90 Minuten, um auf dieser Basis historische Auswertungen über Verkehrsflüsse erstellen zu können.
netzpolitik.org: Warum gilt das Opt-Out nur für die CRM-Daten, nicht generell?
Telekom: Für die Anonymisierung von Kundendaten ist weder eine Rechtsgrundlage noch das Einverständnis unserer Kunden erforderlich. Ein Opt-out bieten wir trotzdem über das gesetzlich geforderte Maß hinaus auf freiwilliger Basis an. Eine Prüfung, inwiefern opt-out auch für Signalisierungsdaten gelten könnte, läuft derzeit.
netzpolitik.org: Wurden Telekom-Datenschutzbeauftragten, Datenschutzbeirat und Compliance-Management kontaktiert?
Telekom: Die Deutsche Telekom hat ihren Datenschutzbeauftragten bei der Entwicklung neuer Lösung grundsätzlich von Anfang an mit an Bord, so auch in diesem Fall. Der Datenschutzbeirat ist regelmäßig über den Stand informiert worden. Die Deutsche Telekom hat über ein Jahr an dem Anonymisierungsverfahren gearbeitet, dass die Analyse datenschutzkonform ermöglicht. Dazu erfolgte ein enger Austausch mit den Experten der Bundesdatenschutzbeauftragten Andrea Voßhoff.
Nochmal nordbayern.de:
Das Verfahren, bei dem ein Bewegungsprofil von Fahrgästen ermittelt werden soll, wurde laut Telekom von der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff, für „rechtlich einwandfrei“ befunden. Von der konkreten Zusammenarbeit mit der VAG wusste ihre Behörde allerdings nichts.
Auf Nachfrage bestätigte Voßhoff, die Telekom habe ihr ein Verfahren zur Anonymisierung präsentiert. Dagegen habe mein „keine Einwände“ gehabt. Der Knackpunkt: Es werden keine zusätzlichen Daten erhoben, sondern ausschließlich vorhandenes Material der Telekom statistisch aufbereitet und anonymisiert weitergegeben.
Wir hatten ja „sämtliche Dokumente zum Verfahren zur Anonymisierung der Mobilfunkdaten der Telekom“ bei der Bundesdatenschutzbeauftragten angefragt und sind gespannt auf die Antworten. Zusätzlich haben wir nochmal eine Presse-Anfrage gestellt.
Update: Hier die Antwort der Bundesdatenschutzbeauftragten Andrea Voßhoff:
Erst durch die Medien bin ich auf das Pilotprojekt VAG/Telekom aufmerksam geworden. Soweit in diesem Zusammenhang berichtet wird, ich hätte der Deutschen Telekom AG zu diesem konkreten Projekt „grünes Licht“ gegeben, trifft dies nicht zu, da es mir bis heute gar nicht vorgestellt wurde.
Richtig ist, dass mir die Deutsche Telekom AG im letzten Jahr ein Anonymisierungsvorhaben präsentiert hat. Nach entsprechenden Beratungen habe ich gegenüber der Deutschen Telekom AG keine Einwände gegen die Einführung des mir vorgestellten Verfahrens erhoben.
Bei diesem Verfahren werden keine zusätzlichen Daten erhoben, sondern ausschließlich vorhandene Daten im Verantwortungsbereich der Telekom in anonymisierter Form statistisch aufbereitet, so dass sie keiner bestimmten Person mehr zugeordnet werden können. Nur diese anonymisierten Daten werden dann weitergegeben.
Ich habe die Telekom AG zu dem Projekt VAG/Telekom AG zu Stellungnahme aufgefordert.
Zur Zeit prüft die BfDI, „ob die Anwendung des Verfahrens im konkreten Projekt auch okay ist“.
Laut BfDI ist die Rechtsauffassung der Telekom, dass „anonymisierte“ Daten nicht unter das Bundesdatenschutzgesetz fallen und sie daher damit machen kann, was sie will.
Wir haben nochmal nachgefragt, wie das Anonymisierungsverfahren konkret aussieht und wie eine De-Anonymisierung sichergestellt werden soll. Wir hatten ja über zahlreiche Studien berichtet, die „unseren Glauben in den Schutz des Datenschutzes durch Anonymisierung, also den Schutz der Privatsphäre durch das Entfernen von persönlichen Informationen wie Namen oder Sozialversicherungsnummer in großen Datensätzen, zerstört“ haben.