#netzrückblick: Kommerzielle Überwachung 2015 – Digitales Tracking, Echtzeit-Datenhandel und Scoring-Gesellschaft

campact via flickr (CC BY-NC 2.0)

Datenhandelsfirmen verfolgen uns zunehmend geräteübergreifend und verknüpfen unser Online-Verhalten mit Kundendaten von Unternehmen aus allen Wirtschaftsbereichen, sagt der Netzaktivist Wolfie Christl im Interview. Nicht nur Plattformen wie Facebook stehen für die Informationsreichtümer, die Unternehmen über ihre Nutzer und weit darüber hinaus sammeln. Damit beschäftigte sich die vor genau einem Jahr erschienene Studie zu „kommerzieller digitaler Überwachung“ aus Wien. Wir haben mit dem Studienautor Wolfie Christl über den Aufstieg der Datenhandelsplattformen, Schein-Anonymisierung, Scoring-Gesellschaft, dystopische Überwachungspläne in China und Big Data am Arbeitsplatz gesprochen – und ihn gefragt, welche Bilanz er zum Jahresende 2015 zieht.

Statt eines Jahresrückblicks in Buchform gibt es dieses Jahr jeden Tag im Dezember einen Artikel als Rückblick auf die netzpolitischen Ereignisse des Jahres. Das ist der neunte Beitrag in dieser Reihe.

Der Platzhirsch gab die Richtung vor

Das Informations- und Werbenetzwerk Facebook hatte zu Beginn des Jahres eine neue Datenschutzrichtlinie eingeführt, um sich das Sammeln von Daten, das Verfolgen jedes einzelnen Mausklicks und auch das Beobachten von Usern außerhalb der Plattform absegnen zu lassen. So ganz ging dieser Plan allerdings noch nicht auf: Der Verbraucherzentrale Bundesverband nahm die Herausforderung an und klagt nun gegen Facebook – 2016 könnte es zur Verhandlung vor dem Landgericht Berlin kommen.

Daneben waren 2015 noch weitere Auswüchse der kommerziellen Überwachung und Verarbeitung von Kundendaten Thema bei netzpolitik.org: Smarte Fernseher und andere Haushaltsgeräte wurden vorgestellt, kritisiert und gehackt. Für Aufsehen sorgte auch die Meldung, dass ein Antivirenhersteller künftig Nutzerdaten weiterverkauft. Doch tritt man einen Schritt zurück, wird schnell deutlich, dass es sich bei diesen Meldungen um Fälle handelt, die exemplarisch für einen allgemeinen Trend stehen.

Wir haben mit Wolfie Christl versucht, diese Entwicklungen einzuordnen, um ein Bild davon zu gewinnen, was Unternehmen mit ihren und unseren Daten machen.

Wolfie Christl ist Netzaktivist, Entwickler und Leiter von Cracked Labs in Wien. 2013 hat er das Datenschutz-Spiel „Data Dealer“ initiiert und erfolgreich crowd-finanziert, außerdem ist er Autor der Studie „Kommerzielle digitale Überwachung im Alltag“. Im Mai sprach er bereits auf der re:publica zum Thema „Corporate Surveillance in the Age of Digital Tracking, Big Data & Internet of Things“.

„Hinter den Kulissen tobt ein veritabler Krieg um unsere Daten.“

2015 wurde in Deutschland viel über staatliche Überwachung und die Ausspähaktionen von Geheimdiensten weltweit diskutiert. Welche Entwicklungen und Neuerungen haben wir auf dem Feld der privaten und kommerziellen Überwachung übersehen oder zu wenig beachtet?

Wolfie Christl (CC BY 3.0 Cracked Labs)
Wolfie Christl (CC BY 3.0 Cracked Labs)

Wolfie Christl: Einerseits gab es punktuell immer wieder diese aufmerksamkeitsstarken Geschichten – etwa über Kinderpuppen oder Smart TVs, die unsere Gespräche belauschen und an Dritte übertragen. Auch wenn gerade letzteres besonders schön an die Televisoren aus Orwell’s Roman 1984 erinnert – griffige Stories wie diese kratzen natürlich nur an der Oberfläche. Viele entscheidende Dinge passieren auf einer viel weniger alltäglich fassbaren, technischen Ebene.

Für völlig unterbelichtet halte ich die Entwicklungen rund um Cross-Device-Tracking. Immer mehr Unternehmen arbeiten daran, die NutzerInnen geräteübergreifend und in möglichst jeder Situation als die gleichen Personen wiederzuerkennen – unabhängig davon ob sie einen Computer zu Hause, am Arbeitsplatz, ihr Smartphone oder andere Geräte benutzen. Dabei kommt ein ganzes Arsenal an Technologien zum Einsatz, Cookies funktionieren ja nur im Browser.

Eine wichtige Rolle spielen die User-Accounts auf den großen Plattformen wie Facebook oder Google. Diese Accounts bilden die zentralen Transmissionsriemen in diesen immer unübersichtlicher werdenden Marketingtechnologie-und Tracking-Ökosystemen, bestehend aus tausenden Firmen in Bereichen wie Analytics, Adserver oder Data Management.

Sogenannte Data-Management-Plattformen sorgen als Echtzeit-Handelsmärkte für die Verknüpfbarkeit der unterschiedlichsten Datenbestände und bieten Unternehmen in allen Wirtschaftsbereichen an, entweder Daten von Dritten zu nutzen, oder sogar ihre eigenen Kundendaten zu verwerten. Generell werden die Kooperationen zwischen Tracking-Firmen, den großen Plattformen und alteingesessenen Datenhandelsunternehmen wie zum Beispiel Acxiom immer enger.

Über E-Mail-Adressen und Telefonnummern werden die an unterschiedlichen Stellen verwalteten Profile über Einzelne in Echtzeit miteinander verknüpft. Durch den Einsatz von Hash-Funktionen werden diese E-Mail-Adressen und Telefonnummern zwar meistens nicht direkt ausgetauscht, die Profile bleiben aber trotzdem zuordenbar. Die Unternehmen bezeichnen das neusprechartig als „Anonymisierung“. In Wirklichkeit haben diese – von verschiedenen Firmen mit den jeweils gleichen Hash-Funktionen berechneten – Buchstaben-Zahlen-Kombinationen oft schon fast den Charakter von persönlichen Identifikationsnummern.

Schlussendlich geht das so weit, dass zum Beispiel Einkaufstransaktionsdaten aus dem Versandhandel oder aus Kundenkartensystemen dazu genutzt werden können, jemanden via Cookie online beim Besuch einer beinahe beliebigen Website wiederzuerkennen – über die Verkettung von Profiling- und Identifikationstechnologien und über Netzwerke von Tracking-Firmen hinweg.

Nicht nur die User-Accounts bei Google, Facebook, Apple oder Microsoft stehen im Zentrum dieser Tracking-Netzwerke. Auch andere Firmen, die große Mengen an zuverlässigen Identitäten verwalten, bringen sich auf diesen Datenmärkten als zentrale „Hubs“ in Stellung. Telekomkonzerne wie Verizon fügen zum Beispiel Tracking-Header in den HTTP-Datenverkehr ein und verknüpfen die Daten von Mobilfunk-NutzerInnen mit dem Werbenetzwerk von AOL.

Neue Trackingtools, neue Datenschutz-AGB, neue Fälle von Preisdiskriminierung, all das haben wir 2015 erlebt. – Welche Entwicklung hat dich im zurückliegenden Jahr am meisten besorgt?

Wolfie Christl: Drastisch, aber gleichzeitig auch sehr aufschlussreich fand ich die in diesem Jahr diskutierten Entwicklungen in China. Auch wenn dabei immer noch einiges unklar ist: Einerseits ist bekannt geworden, dass die chinesische Regierung ein zentrales Social Credit System plant, das Daten über die gesamte Bevölkerung erfassen soll – von Bonität und Finanzen bis hin zu Online-Aktivitäten. Auf Basis der erstellten Persönlichkeitsprofile sollen diverse Belohnungs- und Bestrafungs-Mechanismen entwickelt werden. Nicht nur Online-Betrug, sondern etwa auch das Verbreiten von „Gerüchten“ und ähnliches abweichendes Verhalten soll sanktioniert werden.

Gleichzeitig arbeiten private chinesische Großkonzerne wie der Social-Media-Betreiber Tecent oder die Online-Handelsplattform Alibaba an Scoring-Systemen, die zur Bewertung von Einzelpersonen umfassende Daten mit einbeziehen – von Zahlungs- und Onlineverhalten bis hin zu Daten aus den hauseigenen sozialen Netzwerken. Inwiefern der chinesische Staat auf diese bereits bestehenden Systeme der privaten Firmen zurückgreifen wird, wird sich zeigen.

Das klingt natürlich alles sehr dystopisch nach digitaler Technokratie, aber wir dürfen nicht vergessen: So viel anders läuft das bei uns im sogenannten „Westen“ auch nicht. Im Unterschied zum staatlich gelenkten Kapitalismus in China funktioniert das bei uns netzwerkartiger. Aber Unternehmen mit flächendeckenden Daten über die Bevölkerung gibt es schon lange. Durch den digitalen Wandel hat sich die Dichte der verfügbaren Informationen über unseren Alltag immens erhöht.

„Marketing, Scoring und Risikomanagement werden immer mehr eins“

Creditscoring unter Einbeziehung von Daten aus sozialen Netzwerken und anderen Online-Quellen boomt – Firmen wie zest finance, Wonga, Lenddo oder auch Kreditech in Deutschland haben jede Menge Kapital bekommen. Generell fließen Milliarden in den sogenannten Fintech-Sektor – also in Startups im Bereich Finanztechnologie. Breiter betrachtet werden Marketing, Scoring und Risikomanagement immer mehr eins. Das früher nur im Bonitätsbereich übliche Scoring hat sich inzwischen auf viele Felder ausgebreitet – von Wahrscheinlichkeitsbewertungen von Charaktereigenschaften wie Loyalität oder Manipulierbarkeit über Bereiche wie Schwangerschaft oder Gesundheit bis hin zu einem Maß dafür, wie stark eine Person ihr eigenes soziales Umfeld zu beeinflussen in der Lage ist. Wir landen immer mehr in einer Art von Scoring-Gesellschaft. Und wie wir insbesondere seit 2013 wissen, greift auch der Staat massiv auf die von privaten Firmen gesammelten Daten zu.

Vor einem Jahr habt ihr bei Cracked Labs eine große Studie über kommerzielle Überwachung veröffentlicht. Sind die Leute inzwischen sensibler geworden bei diesem Thema?

Datenhandel-Prisma Deutschland (ohne digital), Stand 09/2013. Quelle: safe-address.de (Creative Commons BY-SA)
Datenhandel-Prisma Deutschland (ohne digital), Stand 09/2013. Quelle: safe-address.de (Creative Commons BY-SA)“

Wolfie Christl: Unsere Studie wurde zwar von Medien über Politik bis Wirtschaft im deutschen Sprachraum sehr gut wahrgenommen, unser Ziel einer so richtig durchdringenden Sensibilisierung haben wir aber dummerweise trotzdem nicht erreicht. Scherz beiseite. Ich würde sagen, es sieht nicht besonders gut aus. Die Thematik ist einfach sehr abstrakt und schwer zu vermitteln. Einer Mehrheit ist überhaupt nicht bewusst, wie flächendeckend unser Verhalten bereits auf Basis digitaler Daten analysiert, eingeordnet und bewertet wird. Mögliche negative Auswirkungen auf Einzelne sind schwer vorstellbar, weil sie zu weit in der Zukunft liegen oder generell zu sehr entkoppelt sind von unserer alltäglichen Nutzung von Web-Browser oder Smartphone-Apps.

Dabei ist vieles schon Alltag. In der Debatte wird oft auf das massive Diskriminierungspotenzial verwiesen, das sich daraus ergeben würde, wenn Banken, Versicherungen, Arbeitgeber oder Wohnungsvermieter hemmungslos auf unsere digitalen Profile zugreifen könnten. Keine Frage, das könnte auf uns zukommen. Außerdem stehen Krankenversicherungstarife unter Einbeziehung von Fitnessdaten auch im deutschen Sprachraum schon in den Startlöchern, und überwachungsbasierte Autoversicherungstarife bereits vor dem Durchbruch.

Viele kleine oder größere personalisierte Diskriminierungen

Aber es gibt noch eine andere Ebene: Schon heute werden an vielen Stellen viele kleine automatisierte Entscheidungen über unser Leben und unsere Möglichkeiten auf Basis digitaler Daten getroffen. Von der Wartezeit in der Telefonhotline über die verfügbaren Bezahloptionen im Online-Shop bis zu individuellen Angeboten und Preisen. Aus meiner Sicht besteht hier die Gefahr vieler kleiner Diskriminierungen, die einzeln betrachtet vielleicht manchmal harmlos wirken, aber in Summe zu einer systematischen Benachteiligung von Einzelnen führen könnten. Dazu kommt, dass beinahe alle diese Vorgänge völlig intransparent sind. Auf dieser Ebene ist die Sensibilisierung der Leute besonders schwierig. Dabei werden sich diese Problematiken mit dem aufstrebenden Internet der Dinge noch multiplizieren. Ich denke, da ist noch sehr viel zu tun.

Ich habe mich 2015 relativ viel mit Überwachung am Arbeitsplatz und dem Aufstieg der sogenannten Workforce Intelligence beschäftigt. Auch hier gibt es unzählige Firmen von kleinen Startup-Klitschen bis zu Giganten wie SAP, die die entsprechenden Technologien weiterentwickeln. Das reicht von GPS und Handscannern in der Logistik über die umfassende Zeit- und Leistungserfassung ganz unterschiedlichen Berufsfeldern bis zur Prognose zukünftiger Arbeitsleistung. Im Arbeitsleben sind die Folgen dieser Art der digitalen Überwachung allerdings für die Einzelnen viel unmittelbarer spürbar. Vielleicht könnte das darum ein guter Ansatzpunkt für die Bewusstseinsarbeit sein?

Beinahe jedes Unternehmen hat Informationen darüber, wo seine Kunden wohnen, wie alt sie sind, ob sie rauchen oder gerne Tomatensaft trinken. Der Datenschatz wächst unablässig, schließlich werden persönliche Daten auch untereinander gehandelt. Wird 2016 das Jahr sein, in dem die Unternehmen aufhören uns zu überwachen, weil sie ohnehin schon alles über uns wissen?

Wolfie Christl: Die Unternehmen wissen zweifellos bereits sehr viel über uns. Aber viele Daten sind fehlerhaft, fragmentarisch und verstreut. Darum versuchen einerseits Beratungsfirmen, Unternehmen in allen Wirtschaftsbereichen davon zu überzeugen, ihre Kundendaten aus den verschiedenen unternehmensinternen „Silos“ zusammenzuführen und zu zentralisieren.

Dazu alle diese Bemühungen rund um geräteübergreifendes Tracking und um die Verknüpfung von Online- und Offline-Daten. Viele Firmen, die solche Dinge können, wurden in den letzten zwei Jahren um Milliarden von den Großen aufgekauft. Nur ein paar Beispiele: Bluekai und Datalogix gehören jetzt zum IT-Riesen Oracle. LiveRamp wurde von Acxiom gekauft, ExactTarget vom Online-CRM-Marktführer Salesforce. Auch so unterschiedliche Firmen wie IBM oder Adobe mischen in diesem Bereich mit und kaufen sich ein. Facebook bringt seine Datenhandelsplattform Atlas in Stellung. Sogar Twitter hat 2015 mit TellApart eine Firma gekauft, die personalisierte Angebote auf Basis von Cross-Device-Tracking und der Verknüpfung von Online- und Offline-Daten anbietet.

„Die einzigen, die nicht mitreden dürfen, sind die NutzerInnen“

Wo nicht gekauft wird, wird kooperiert. Unter welchen Bedingungen die Profile und Echtzeitinformationen über uns ausgetauscht werden, ist zwischen den Firmen umkämpft. Sie versuchen, so weit als möglich zusammenzuarbeiten, ohne ihre Datenbestände komplett der Konkurrenz zu öffnen. Man könnte sagen, hinter den Kulissen tobt ein veritabler Krieg um unsere Daten. Die einzigen, die bei diesen Auseinandersetzungen absurderweise kaum bis gar nicht mitreden dürfen, sind wir. Wie es weitergeht, wird massiv davon abhängen, wieviel wir uns als NutzerInnen gefallen lassen und welche Arten von gesetzlichen Regulierungen geschaffen werden können.

Stichwort „Regulierung“: Können wir uns 2016 zurücklehnen, weil die neue EU-Datenschutzgrundverordnung alles für uns regelt?

Wolfie Christl: Wenn ich mir die öffentlichen Äußerungen von Merkel in letzter Zeit dazu ansehe, bin ich nicht gerade optimistisch. Sie betont äußerst einseitig die Interessen von Wirtschaft und Industrie und verteidigt auf Biegen und Brechen den über weite Strecken desaströsen Entwurf des EU-Rats für die neue europäische Datenschutzverordnung. Ich halte das für kurzsichtig und verantwortungslos. Der mit fraktionsübergreifender Mehrheit beschlossene Entwurf des EU-Parlaments wäre zumindest ein guter Kompromiss. Wenn sich Merkel und der EU-Rat durchsetzen sollten, sehe ich schwarz für unser zukünftiges Grundrecht auf informationelle Selbstbestimmung.

Aber ich will nicht nur pessimistisch sein. Resignation á la „die machen sowieso, was sie wollen“ ist wohl unser schlimmster Feind. Das von Max Schrems erkämpfte Safe-Harbor-Urteil ist echt ein großer Erfolg. Auch das belgische Urteil im November, nach dem Facebook € 250.000 Strafe pro Tag hätte zahlen müssen, wenn es nicht innerhalb von 48h damit aufhört, die Daten von nicht auf Facebook registrierten Menschen zu tracken, gibt Hoffnung. Geht doch! Es braucht aber natürlich viel mehr als nur gesetzliche Regulierung – angefangen von Bewusstseinsarbeit und mehr Transparenz über die Praktiken der Unternehmen bis hin zur Schaffung dezentraler und selbstbestimmt nutzbarer digitaler Informationstechnologie. Es ist viel zu tun.

Die letzten zwei Beiträge in der Reihe #netzrückblick haben sich mit den erfolgreichsten Artikeln im Jahr 2015 sowie mit dem Kampf um Netzneutralität in Europa beschäftigt.

3 Ergänzungen

  1. Das mit dem Bewusstsein ist schön und gut und doch nicht so vorhanden, dass sich das in die gewünschte Richtung des Autors oder von Herrn Christl entwickelt. Auch meine Wunschvorstellung wird nicht bedient. So bleibt die eigene Objektivität als Parameter für die Aufgabe und Abgabe der eigenen Privatsphäre an Firmen, über unser williges gewolltes, wie auch gleichgültiges Verhalten mit unseren Daten. Nur, was ist uns wichtig beim Digitalen Leben? Um mir selbst diese Frage befriedigend beantworten zu können, benötige ich erst mal eine Zeit ohne Digitalen Einfluss auf mein Leben. Abstand bring die Objektivität. Ich will nicht alles mitmachen was hier beredet wird und da stellt sich die Frage: Darf man das, sich weigern in gewissen Entwicklungen, oder muss man einem neuen auferlegten Zwang gesetzlich folge leisten!?. Darauf habe ich noch keine Antworten bekommen.

  2. An die Redaktion,

    dieses Thema kommt mir viel zu kurz. Der ausufernden Videoüberwachung muss Grenzen gesetzt werden. In dem http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_VideoueberwachungOeffentlicheVerkehrsmittel.html?cms_templateQueryString=Video%C3%BCberwachung&cms_sortOrder=score+desc steht ganz unten ein Punkt, dass die Verhältnismäßigkeit nach einem Jahr zu überprüfen ist.
    (4.5 Überprüfung der Rechtmäßigkeitsvoraussetzungen) Sehr lesenswert!

    Der Inhalt des Zweiten steht im Wiederspruch zur Videoüberwachung in öffentlichen Verkehrsmitteln. Hier wird das Recht des Einzelnen höher bewertet.
    Auszug: Das informationelle Selbstbestimmungsrecht
    umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen,
    ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden.
    Dies geschieht aber Massenhaft Bahnhöfen, Bussen, Zügen usw.

    http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/26022014_UnzulaessigkeitDashcams.html?cms_templateQueryString=Video%C3%BCberwachung&cms_sortOrder=score+desc

    Die Bahn und die Betreiber der Verkehrsbetriebe sind verpflichtet, Statistiken zu führen um die Videoüberwachung zu rechtfertigen. Wäre das nicht einmal ein Punkt für euch, um darüber einen Zustandsbericht darüber zu veröffentlichen, wie damit umgegangen wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.