Den Trackern auf der Spur: Forscher geben Einblick in die kommerzielle Überwachungsindustrie

Überwachen, sortieren, berechnen – die Geschäftsmodelle der Datenökonomie sind simpel, doch über die Branche ist wenig bekannt. Eine Studie und ein 33c3-Talk geben Einblicke in das Geschäft mit unseren Daten. Forscher sehen tiefgreifende gesellschaftliche Konsequenzen und warnen vor einem „Big Data Divide“.

– Public Domain Carlos Muza

3 Milliarden Verbraucherprofile aus 700 Millionen täglichen Social-Media-Nachrichten, Daten über die Nutzung von 15 Millionen Webseiten und Einkäufe bei 1 500 Händlern. Mit diesen Zahlen wirbt der Software-Riese Oracle für seine noch jungen Dienste im Geschäft mit persönlichen Informationen. Beim 33. Chaos Communication Congress stellte der Wiener Privacy-Forscher und Netzaktivist Wolfie Christl heute Erkenntnisse seiner Forschung zu Mechanismen, Verfahren und Konsequenzen kommerzieller Überwachung vor und gewährte Einblicke in eine hochgradig intransparente Branche (Videomitschnitt).

Gemeinsam mit Prof. Dr. Sarah Spiekermann von der Wirtschaftsuniversität Wien hat Christl im Oktober nach mehreren Jahren Recherche die englischsprachige Studie „Networks of Control“ veröffentlicht: „Ein Bericht über kommerzielle Überwachung, digitales Tracking, Big Data und Privatsphäre“ wie es im Untertitel heißt. Einen detaillierteren Überblick über Potenziale und Praxis der kommerziellen Überwachung hat es bislang noch nicht gegeben.

(Wir haben vergangene Woche einen 45-minütigen netzpolitik-Podcast mit Wolfie Christl veröffentlicht: Big Data, Algorithmen und kommerzielle Überwachung)

Atlas der Überwachungsgesellschaft

Die Autoren beschreiben unsere Zeit als historisch kritischen Augenblick, indem sich die Überwachungs-, Analyse- und Kontrollmöglichkeiten exponentiell vermehren:

Around the same time as Apple introduced its first smartphone and Facebook reached 30 million users in 2007, online advertisers started to use individual-level data to profile and target users individually […]. Less than ten years later, ubiquitous and real-time corporate surveillance has become a “convenient byproduct of ordinary daily transactions and interactions.”

In insgesamt acht Kapiteln bereiten Christl und Spiekerman das komplexe Feld der kommerziellen Überwachung umfassend auf. Nach einer Einleitung (1.) fangen sie bei den grundsätzlichen Möglichkeiten der Analyse personenbezogener Daten zur Vorhersage menschlichen Verhaltens an (2.). Darauf folgt (3.) ein Blick in die praktische Anwendung dieser Analysemethoden in den Bereichen Marketing, Finanzen, Versicherung und Arbeitswelt. Kapitel 4 beschreibt die umfassenden Wege der Aufzeichnung und Nachverfolgung menschlichen Verhaltens, von Browsern und Smartphones über Wearables und Fitness Tracker bis hin zum sogenannten „Internet der Dinge“. Darauf folgt in Kapitel 5 eine Beschreibung der Databroker-Branche und eine detaillierte Vorstellung unterschiedlicher Player der Datenökonomie mit kurzen Dossiers über Acxiom, Orcale, Palantir, arvato Bertelsmann, Mastercard und andere.

In zwei weiteren Kapiteln werden gesellschaftliche Folgen diskutiert (6.) und eine ethische Reflexion von Datenmärkten vorgenommen (7.). Schlussendlich liefern die Autoren auf über zehn Seiten konkrete Handlungsvorschläge (8.).

Einblicke in eine zwielichtige Industrie

Eine der größten Herausforderungen neben der übersichtlichen Aufbereitung und Systematisierung des Stoffs war es, überhaupt Einblicke in das Wesen einer Branche zu bekommen, in der Transparenz nicht nur nicht gewährt, sondern explizit vermieden wird:

Transparency is not provided, but avoided. Ambiguous business practices are still the norm and even misleading rhetoric is used to trick people into one-sided and disadvantageous data contracts.

Als Datenbasis konnten die Autoren auf eine bereits umfassende Recherche Christls aus dem Jahr 2014 zurückgreifen, die jetzt angereichert und ergänzt wurde. Bereits für die Studie „Kommerzielle digitale Überwachung im Alltag“ hatte der Forscher nicht nur andere Forschungsarbeiten als Grundlage genommen, sondern ist in die Untiefen der undurchsichtigen Branche abgetaucht. So speist sich der Report unter anderem auch aus Erkenntnissen, die Christl im Werbematerial der Tracking-Firmen und Databroker sowie in Entwickler-Manuals aufgestöbert hat.

Weit mehr als Marketing

Die Erkenntnisse der gut 150-seitigen Studie lassen sich in einem einfachen Überblick kaum adäquat wiedergeben. Denn eines macht der Report klar: Es geht schon lange nicht mehr „nur“ um Marketing, falls es das jemals ging. Denn im großen Maße verschmelzen die Datenbanken und werden für die unterschiedlichsten Zwecke eingesetzt, von der Berechnung eines „Customer Lifetime Value“ über Risikoscores bis zu Kriminalitätsprognosen:

For example, advertising gets pre-filtered according to risk judgments and “high risk” customers are treated differently, or even excluded from the beginning. Conversely, data collected in marketing contexts, by smartphone apps or social networks, is used for risk assessment. Generally, companies and practices in marketing and risk assessment are increasingly merging […]. In the realm of work, information that is collected to improve business processes – for example, customer satisfaction reports, location tracking in logistics, in-store-tracking for customer analytics, data from project management tools – is also used to monitor, judge and control employees.

Ein deutliches Beispiel für das Verschmelzen der Überwachungsziele sei auch der von Edward Snowden enthüllte exzessive Zugriff von Regierungsstellen auf Informationen, die ursprünglich von kommerziellen Akteuren gesammelt wurden.

Kontrollverlust des Individuums

In der Diskussion über die Konsequenzen der datenbasierten Überwachung, Analyse und Manipulation menschlichen Verhaltens zeigen die Forscher sowohl individuelle als auch gesellschaftliche Risiken auf.

Ein zentraler Punkt auf der individuellen Ebene ist etwa, dass Menschen in hohem Maße die Kontrolle über die kontextuelle Integrität ihrer digitalen Handlungen verlieren. Gerade bei der Social-Media-Plattform Facebook gebe es eine große Differenz zwischen dem antizipierten Publikum und dem tatsächlichen. Informationen, die man eigentlich mit einem bestimmten Kreis von Menschen teilen möchte, werden in komplett anderen Zusammenhängen eingesetzt:

Facebook encourages its users to provide information as accurate, real, valid and complete as possible […]. Facebook is not known for directly selling the personal profiles it collects; its core asset. However, the company allows a large group of marketers and app developers to leverage user data for targeted advertising and other purposes. Consequently, a Facebook user’s data may reappear or may be re-used in very different contexts than expected by the users. For example, the data broker Experian on its website offers its corporate clients the ability to harness individual-level social data from Facebook, including names, fan pages, relationship status and posts […]. Oracle recommends that companies integrate their enterprise data with social data […]. In practice, this means that the social networks of Facebook users are for instance used very successfully by car insurers for their fraud prevention algorithms. Telecom operators use Facebook status data to double-check whether contract-relevant data provided to them is correct (i.e. whether it corresponds to what a person has stated about themselves on Facebook).

Die Forscher machen dabei deutlich, dass die Konsequenzen dieses bewusst herbeigeführten Kontrollverlusts heute unmerklich bereits das Leben der meisten Menschen beeinflussen. Das beginnt bei der Dauer, die man in Service-Hotlines verbringen muss oder den Zahlungswegen, die einem zur Verfügung stehen, und hört bei personalisierten Preisen und Angeboten lange nicht auf.

Das Ziel der Unternehmen sei es, Kunden genau das minimale an Aufmerksamkeit entgegenzubringen, das notwendig ist, um sie loyal zu halten – oder es bewusst zu unterschreiten, um ungewollte Kunden loszuwerden.

Verschärfung von asymmetrischen Informations- und Machtverhältnissen

Dass damit nicht nur individuelle Konsequenzen einhergehen, sondern auch Verschiebungen im Machtgefüge zwischen Individuen und (staatlichen wie kommerziellen) Organisationen nach sich zieht, liegt auf der Hand. Ausführlich beschreiben Christl und Spiekerman, wie Unternehmen Menschen anhand ihrer Daten analysieren, sortieren und versuchen, sie zu beeinflussen:

The lack of transparency is one enabler of power imbalances between those parties that possess data and those who don’t. Democratic as well as economic thinkers have always been suspicious of information and power asymmetries. And the current abuses of personal data that are highlighted in our report support their suspicion: Data richness is systematically used to discriminate against people. Companies „turn individuals into ranked and rated objects” […]. Everyone is constantly sorted and addressed on the basis of their economic potential; a practice that is undermining the core values of democracy: people’s equality and dignity.

Auch Einwendungen, dass kommerzielle Überwachung auf Freiwilligkeit beruhen würde, können im Angesicht dieser Studie von niemand ernsthaft mehr erhoben werden. Zum einen wird deutlich, wie rücksichtlos Datensammler- und Händler sich über den Willen von Menschen hinwegsetzen und ihre Überwachungspraxis zu verbergen versuchen. Zum anderen wird sichtbar, wie fließend die Grenze von der freiwilligen Preisgabe zur Kontrollpflicht ist. Wenn bestimmte Normen erst Mal etabliert sind, ist der Schritt vom Bonussystem zum Strafsystem nicht weit.

Big Data Divide

Neben den verstärkten Machtasymmetrien zwischen Individuen und Organisationen machen Christl und Spiekerman jedoch eine weitere gefährliche Spaltung aus. Sie argumentieren, dass die Konsequenzen der kommerziellen Überwachung nicht für alle Menschen gleich sind, sondern ein „Big Data Divide“ entsteht:

When, as suggested by a major data broker, the top 30% of a company’s customers are categorized as individuals who could add 500% of value, and the bottom 20% of customers are categorized as individuals who could actually cost 400% of value, the company may “shower their top customers with attention, while ignoring the latter 20%, who may spend ‘too much’ time on customer service calls, cost companies in returns or coupons, or otherwise cost more than they provide” […]. These “lowvalue targets” have been categorized as “waste” by data brokers.

Wohlhabende Menschen würde schon heute ein anderes Internet erleben als arme. Die kleinen alltäglichen Benachteiligungen vermeintlich weniger wertvoller Kunden würden sich addieren und so wiederum Chancen auf Änderungen des eigenen Status minimieren: Mit einem hohen Risikoscore eingestuft zu werden, könne etwa zur Folge haben, dass notwendige Kredite nur zu schlechteren Konditionen oder gar nicht vergeben werden. Ärmere Menschen mit höherem gesundheitlichem Risiko könnten Schwierigkeiten bekommen, angemessen versichert zu werden. „Kumulative Benachteiligung“ nennen die Forscher das Phänomen in Anlehnung an den US-amerikanischen Soziologen Oscar Gandy.

Was tun?

Konsequenterweise widmen sich die Autoren schließlich der notwendigen und doch oft vertagten Frage, was zu tun ist, um die Informationsgesellschaft demokratisch und gerecht zu gestalten. Neben dem Wunsch nach mehr Forschung und (ethisch-reflektierender) Bildung und Ausbildung widmen sie sich im Detail auch der oft pauschal gestellten Forderung nach mehr Regulierung.

Genau für den Zweck, Machtasymmetrien zwischen Individuen und Organisation abzufedern, gibt es schließlich daten- und verbraucherschutzrechtliche Vorgaben sowie Antidiskriminierungsgesetze – die bislang zu schwach sind und zu wenig durchgesetzt werden.

Als eines der Grundprobleme identifizieren Christl und Spiekerman hier zunächst die Lobbyübermacht der Überwachungsindustrie, die etwa bei den Verhandlungen um die Europäische Datenschutzgrundverordnung deutlich wurde. Das einzig wirksame Mittel gegen die enge, aber so gut wie unsichtbare Verwebung von Politik und Interessenvertretung sei dabei Transparenz.

The only way to move into a better future is to thoroughly publish any personal encounter between policy makers and industry representative as well as the lawyers that work for them. Tools such as LobbyPlag and organizations such as Transparency International should be heavily supported by donors, crowdfunding initiatives and governments themselves. Governments should support co-operations between NGOs and universities so that NGOs can leverage the existing educational infrastructure and universities’ educational programmes can benefit from the positive energy and knowledge that activists often hold.

Für die Anwendung der Datenschutzgrundverordnung ab dem Jahr 2018 empfiehlt die Studie eine strikte Einhaltung des Zweckbindungsgrundsatzes, nach dem Daten nur für den bei der Erhebung angegebenen Zweck verwendet werden würden (und der vom Bundesinnenministerium gerade beerdigt werden soll). Außerdem sei eine maßvolle Auslegung des „legitimen Interesses“ nötig, das Datenverarbeitern Zweckänderungen ermöglichen kann. Darüber hinaus sollte es klare Verantwortlichkeitsvorschriften für eine angemessene Kategorisierung der gesammelten Informationen und daraus gewonnene Ergebnisse geben sowie klare Widerspruchsmöglichkeiten für Betroffene.

Explizit verweisen die Forscher dabei auf die anstehende Reform der ePrivacy-Richtlinie. Nutzer müssten die Möglichkeit haben, Dienste zu nutzen, ohne kommerzieller Überwachung ausgesetzt zu sein. Außerdem müssten sie die Möglichkeit haben, von solchen Verträgen ohne Nachteile zurücktreten zu können, so eine Erkenntnis der Forschung.

Die Verarbeitung pseudonymisierter Daten unter Verwendung von Geräte- oder Cookie-IDs oder gehashten Identifiern wie Telefonnummern oder E-Mail-Adressen sollten Christl und Spiekerman zufolge datenschutzrechtlich unmissverständlich als Verarbeitung personenbezogener Daten gelten. Auch auf Grundlage von Analysen vergebene Attribute (wie etwa die Kategorisierung als „waste“) sollten als personenbezogene Daten behandelt werden und besonderen Vorschriften unterliegen.

Darüber hinaus empfehlen die Forscher, die Re-Identifikation anonymisierter oder pseudonymisierter Datensätze gesetzlich zu verbieten und strafrechtlich zu ahnden. Scoring-Systeme müssten zudem durch Behörden auf Fairness und Korrektheit geprüft werden. Mehr Transparenz könne durch ein Verzeichnis der informationssammelnden Apps und Dienste geschaffen werden, mit dem Verbraucher einfacher prüfen können, wer welche Daten für welche Zwecke sammelt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Sehr aufschlussreicher Artikel! Ich werde mir definitiv die Studie mal näher durchlesen!

    Eine kurze Frage zum Part „Mehr Transparenz könne durch ein Verzeichnis der informationssammelnden Apps und Dienste geschaffen werden, mit dem Verbraucher einfacher prüfen können, wer welche Daten für welche Zwecke sammelt.“ Gibt es da bereits welche Anlaufstellen oder Apps die ihr empfehlen könnt?

  2. Danke für die Klärung der Diffusität der eigenen Gedanken. Vieles was wage vorhanden war wird auf den Punkt gebracht. Da ich ein Lowleveltarget bin, umso wichtiger.

  3. Schon schön das mal so zusammengefasst zu sehen. Die Schnüffelei setzt allerdings voraus, dass die Nutzer ihre Daten mehr oder weniger bewusst oder (un-)freiwillig zur Verfügung stellen.

    Ob man Windows8/10, Smartphone, Facebook, Google, Schnüffelware, Internethandel meinetwegen bei Shops, Ebay oder Amazon und Kunden- oder Bonuskarten sowie Plastikgeld oder Paypal und andere Innovationen verwendet, kann man selbst bestimmen. Wer das das macht, muss mit den Konsequenzen leben. Man hat den AGB zugestimmt. Diese Daten sind nie sicher.

    Besorgniserregender scheint, dass die Gemeinden, Banken, Versicherungen, Krankenkassen und wohl auch andere ihre in mehr oder weniger staatlicher Pflicht erhobenen Daten privaten Konzernen dieser Art und Staatsspitzeln fremder Länder zur Verfügung stellen, denn das kann man gar nicht beeinflussen. Erst dadurch wird es möglich aussagefähige Profile zu realen Personen, die diese Machenschaften ablehnen, zu erstellen.

    Wir kriegen ab 2017 sogar eine „TV-Grundversorgung“ incl. Internetzugang. Abgerechnet über die Mietnebenkosten. Die scheinen zu glauben, dass man IoT bräuchte. Mal sehen, was mein Kali-Linux ermittelt. Nicht als Angreifer, sondern als Wächter. Die Telefonie wurde auf die viel billigere IP-Telefonie umgestellt. Die eher unfreiwilligen Nutzer wissen gar nicht, dass das die Schnüffelei unglaublich vereinfacht.

    Zusammengefasst kann man sagen, dass das Internet i.e.S. tot ist. Man kann in andere Netze ausweichen. Die ehemaligen Internetaktivisten werden das auch machen.

    1. so etwas wie snowden wird den geheimdiensten oder deren subunternehmern bei der zukünftigen personalakquise sicher viel seltener passieren, tendenz stark steigend. das gilt für praktisch alle institutionen einschließlich der presse, alles wird stark homogenisiert.

    2. Wohin willst Du ausweichen? In die Onion-Bereiche? Was soll das bringen? Bist Du interessant hast Du da kaum Spiel, sofern Du deinen eigenen TK-Anschluß nutzt.

      Soetwas wie ein freies, offenes und diskretes Internet gibt es schlicht nicht mehr. Und gewisse Obrigkeiten haben eigene Netze, da kommt der Normalsterbliche nur nicht rein. Wirkliche Alternative, lebe analog. Trenne relevante Daten insbesondere zu Einkäufen in Form von Bargeld und nutze kein Smartphone. Ist definitiv nicht verkehrt.

      Wenn einem diese Unbequemlichkeit nicht passt, möge er sich nicht beschweren. Das was heute passiert war bereits weit vor Snowden und Co. absehbar. Das Internet folgt einfach ganz primitiven Gesetzen des Turbokapitalismus und politischen Machtfantasien und insbesondere auch Kontrollfantasien. Man könnte böse gesprochen auch meinen, es ist genau so beabsichtigt.

  4. Hmmm … Sinnieren wir mal …

    Szenario … ich wäre eine Behörde/Dienst und benötige Personal mit bestimmten psychologischen Eigenschaften … Neigungen … Verhaltensmustern!
    Wie Rekrutiere ich (als Behörde/Dienst) diese?
    Klar ist dieses Personal nicht leicht zu finden, zumal diese Menschen ihre Neigungen gerne verschleiern und sich schon gar nicht damit bei einer/em Behörde/Dienst bewerben würden!
    … sie sind dazu zumeist auch nicht Dumm genug dazu!
    … da ihre potenziellen Eigenschaften/Neigungen als evtl. stark kriminell anzusehen wären!
    (Genau wie meine Kommentare! *harhar*)
    … für die einen ein Terrorist und Mörder, für die Anderen ein Freiheitskämpfer!

    Behörden/Dienste könnten nun zu diesen Firmen „gehen“ und ihre Profilwünsche äußern … nun filtern diese Firmen ihre Datensätze und es werden Muster sichtbar … diese Muster führen dann zu den gewünschten Personenkreisen …
    Die/er jeweilige Behörde/Dienst kann nun die gewünschte Person anwerben … oder erpressen!

  5. Nachdem was ich gelesen habe, finde ich Eure Webs-site sehr wichtig! Was mich letzthin sehr beeindruckt hatte war der Film über San Francisco, resp über das Quartier in welchem die neuen Internet Firmen wie Apple, Google etc. ihr brutales Unwesen treiben. Auch die kürzlich vollzogene Umformung des privaten Internet Zugangs: grauenhaft. In der ersten Phase hatte ich während mehreren Jahren freien Zugang weltweit zu Personen, die an Universitäten oder in privaten Instituten Forschungsarbeiten leisteten. Phantastisch, man konnte über Forschungsprobleme per Internet diskutieren. Jetzt geht alles über diesen Google-Pub-Mist! Zum Kotzen! Auch verkauft man jetzt bei Apple höllisch teure Computer, die aber mit den älteren Modellen nicht mehr kommunizieren. Seriöses Arbeiten wird verunmöglicht. Das nur einige wenige Punkte. Man könnte ganze Seiten füllen über das, was man uns antut zur Zeit. Ich werde Euch später unterstützen. Muss mir das noch zurechtlegen.
    Mit besten Grüssen, Nold Egenter

  6. Die Ankündigungen im Artikel sind irreführend. Es wird bereits selektiert zwischen „wertvollem“ Nutzer / Käufer und unliebsamen Nutzer / Käufer mit fehlender Bonität.

    Wer mit einem negativen Schufaeintrag eine Wohnung sucht, weiß was gemeint ist. Genauso wie derjenige, der sich beruflich irgendwann einen Fehltritt geleistet hat, oder auf Facebook zuviele vom Mainstream abweichende Äußerungen getätigt hat. Das gilt natürlich für diverse weitere Dinge des notwendigen Lebens. Doch die Selektierung ist KEINE Zukunftsmusik.

    Man könnte jetzt debattieren. Steigen die Obdachlosenzahlen seit kurzer Zeit so steil, weil es wirklich keine Wohnungen gibt, oder weil das digitale BigData – Scoring potentiell Benachteiligte bereits auf die Strasse befördert?

  7. Außerdem müssten Datensammler ihre Daten mit einer Art Wasserzeichen versehen, damit der Verbraucher endlich einmal nachvollziehen könnte aus welchen Quellen ein Werbetreibenden seine Daten über ihn gewonnen oder gekauft hat.

  8. Ich erinnere mich noch mit Schrecken an die Cebit2016: Bundes-Angie forderte in Hinblick auf den Zukunftsmarkt „Big Data“ den Datenschutz doch zurückzuschrauben. Ich vermute ihr „Neuland“ vor einigen Jahren war nur ein Ablenkungsmanöver! „Leider“ kann unser Industrie-Oettinger ja auf seinem neuen Posten jetzt nicht mehr seine Lobbyisten-Verordnungen zur digitalen Wirtschaft ohne weiteres durchsetzen.
    Heute ist man häufig auch beruflich bereits auf gewisse digitale „Helfer“ angewiesen, kann jedoch durch Meiden Sozialrat Netzwerke die Datenaquise erschweren.
    Ich fürchte jedoch, dass bei den jetzigen politischen Verhältnissen der Datenschutz den Bach runtergeht. Leider wird dieser nur noch von wenigen Liberalen wie Gerhart Baum hochgehalten- schlimm, dass man hier die FDP lobend erwähnen muss, da alle anderen etablierten Parteien in diesem Punkt Versagen!

  9. Wenn juckt heute noch Datenschutz,in einer digitalisierten Welt,die vom Streben nach mehr Profit über Leichen geht ? Datensätze sind das Gold des digitalen Zeitalters,und ein Garant für Umsätze ? Solange man Lobbyismus nicht durch mehr Transparenz zähmt,wird sich daran auch nichts ändern ? Und damit bleibt Datenschutz,nur ein Relikt aus einer anderen Epoche ??✌

    1. Ich finde den Vergleich mit dem Öl des 21. Jahrhunderts viel passender, denn genau wie bei diesem kann der exzessive Miss-/Gebrauch katastrophale Folgen haben. In dieser Analogie ist dann auch der Datenschutz der Umweltschutz von heute und keineswegs ein Relikt. ;-)

      Über die Notwendigkeit, den Lobbyismus durch Transparenz zu zähmen sind wir uns einig.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.