Den Trackern auf der Spur: Forscher geben Einblick in die kommerzielle Überwachungsindustrie

Überwachen, sortieren, berechnen – die Geschäftsmodelle der Datenökonomie sind simpel, doch über die Branche ist wenig bekannt. Eine Studie und ein 33c3-Talk geben Einblicke in das Geschäft mit unseren Daten. Forscher sehen tiefgreifende gesellschaftliche Konsequenzen und warnen vor einem „Big Data Divide“.

Foto: Carlos Muza unter CC0 via unsplash

Weit mehr als Marketing: Kommerzielle Überwachung. Foto: Carlos Muza unter CC0 via unsplash

3 Milliarden Verbraucherprofile aus 700 Millionen täglichen Social-Media-Nachrichten, Daten über die Nutzung von 15 Millionen Webseiten und Einkäufe bei 1 500 Händlern. Mit diesen Zahlen wirbt der Software-Riese Oracle für seine noch jungen Dienste im Geschäft mit persönlichen Informationen. Beim 33. Chaos Communication Congress stellte der Wiener Privacy-Forscher und Netzaktivist Wolfie Christl heute Erkenntnisse seiner Forschung zu Mechanismen, Verfahren und Konsequenzen kommerzieller Überwachung vor und gewährte Einblicke in eine hochgradig intransparente Branche (Videomitschnitt).

Gemeinsam mit Prof. Dr. Sarah Spiekermann von der Wirtschaftsuniversität Wien hat Christl im Oktober nach mehreren Jahren Recherche die englischsprachige Studie „Networks of Control“ veröffentlicht: „Ein Bericht über kommerzielle Überwachung, digitales Tracking, Big Data und Privatsphäre“ wie es im Untertitel heißt. Einen detaillierteren Überblick über Potenziale und Praxis der kommerziellen Überwachung hat es bislang noch nicht gegeben.

(Wir haben vergangene Woche einen 45-minütigen netzpolitik-Podcast mit Wolfie Christl veröffentlicht: Big Data, Algorithmen und kommerzielle Überwachung)

Atlas der Überwachungsgesellschaft

Die Autoren beschreiben unsere Zeit als historisch kritischen Augenblick, indem sich die Überwachungs-, Analyse- und Kontrollmöglichkeiten exponentiell vermehren:

Around the same time as Apple introduced its first smartphone and Facebook reached 30 million users in 2007, online advertisers started to use individual-level data to profile and target users individually […]. Less than ten years later, ubiquitous and real-time corporate surveillance has become a “convenient byproduct of ordinary daily transactions and interactions.”

In insgesamt acht Kapiteln bereiten Christl und Spiekerman das komplexe Feld der kommerziellen Überwachung umfassend auf. Nach einer Einleitung (1.) fangen sie bei den grundsätzlichen Möglichkeiten der Analyse personenbezogener Daten zur Vorhersage menschlichen Verhaltens an (2.). Darauf folgt (3.) ein Blick in die praktische Anwendung dieser Analysemethoden in den Bereichen Marketing, Finanzen, Versicherung und Arbeitswelt. Kapitel 4 beschreibt die umfassenden Wege der Aufzeichnung und Nachverfolgung menschlichen Verhaltens, von Browsern und Smartphones über Wearables und Fitness Tracker bis hin zum sogenannten „Internet der Dinge“. Darauf folgt in Kapitel 5 eine Beschreibung der Databroker-Branche und eine detaillierte Vorstellung unterschiedlicher Player der Datenökonomie mit kurzen Dossiers über Acxiom, Orcale, Palantir, arvato Bertelsmann, Mastercard und andere.

In zwei weiteren Kapiteln werden gesellschaftliche Folgen diskutiert (6.) und eine ethische Reflexion von Datenmärkten vorgenommen (7.). Schlussendlich liefern die Autoren auf über zehn Seiten konkrete Handlungsvorschläge (8.).

Einblicke in eine zwielichtige Industrie

Eine der größten Herausforderungen neben der übersichtlichen Aufbereitung und Systematisierung des Stoffs war es, überhaupt Einblicke in das Wesen einer Branche zu bekommen, in der Transparenz nicht nur nicht gewährt, sondern explizit vermieden wird:

Transparency is not provided, but avoided. Ambiguous business practices are still the norm and even misleading rhetoric is used to trick people into one-sided and disadvantageous data contracts.

Als Datenbasis konnten die Autoren auf eine bereits umfassende Recherche Christls aus dem Jahr 2014 zurückgreifen, die jetzt angereichert und ergänzt wurde. Bereits für die Studie „Kommerzielle digitale Überwachung im Alltag“ hatte der Forscher nicht nur andere Forschungsarbeiten als Grundlage genommen, sondern ist in die Untiefen der undurchsichtigen Branche abgetaucht. So speist sich der Report unter anderem auch aus Erkenntnissen, die Christl im Werbematerial der Tracking-Firmen und Databroker sowie in Entwickler-Manuals aufgestöbert hat.

Weit mehr als Marketing

Die Erkenntnisse der gut 150-seitigen Studie lassen sich in einem einfachen Überblick kaum adäquat wiedergeben. Denn eines macht der Report klar: Es geht schon lange nicht mehr „nur“ um Marketing, falls es das jemals ging. Denn im großen Maße verschmelzen die Datenbanken und werden für die unterschiedlichsten Zwecke eingesetzt, von der Berechnung eines „Customer Lifetime Value“ über Risikoscores bis zu Kriminalitätsprognosen:

For example, advertising gets pre-filtered according to risk judgments and “high risk” customers are treated differently, or even excluded from the beginning. Conversely, data collected in marketing contexts, by smartphone apps or social networks, is used for risk assessment. Generally, companies and practices in marketing and risk assessment are increasingly merging […]. In the realm of work, information that is collected to improve business processes – for example, customer satisfaction reports, location tracking in logistics, in-store-tracking for customer analytics, data from project management tools – is also used to monitor, judge and control employees.

Ein deutliches Beispiel für das Verschmelzen der Überwachungsziele sei auch der von Edward Snowden enthüllte exzessive Zugriff von Regierungsstellen auf Informationen, die ursprünglich von kommerziellen Akteuren gesammelt wurden.

Kontrollverlust des Individuums

In der Diskussion über die Konsequenzen der datenbasierten Überwachung, Analyse und Manipulation menschlichen Verhaltens zeigen die Forscher sowohl individuelle als auch gesellschaftliche Risiken auf.

Ein zentraler Punkt auf der individuellen Ebene ist etwa, dass Menschen in hohem Maße die Kontrolle über die kontextuelle Integrität ihrer digitalen Handlungen verlieren. Gerade bei der Social-Media-Plattform Facebook gebe es eine große Differenz zwischen dem antizipierten Publikum und dem tatsächlichen. Informationen, die man eigentlich mit einem bestimmten Kreis von Menschen teilen möchte, werden in komplett anderen Zusammenhängen eingesetzt:

Facebook encourages its users to provide information as accurate, real, valid and complete as possible […]. Facebook is not known for directly selling the personal profiles it collects; its core asset. However, the company allows a large group of marketers and app developers to leverage user data for targeted advertising and other purposes. Consequently, a Facebook user’s data may reappear or may be re-used in very different contexts than expected by the users. For example, the data broker Experian on its website offers its corporate clients the ability to harness individual-level social data from Facebook, including names, fan pages, relationship status and posts […]. Oracle recommends that companies integrate their enterprise data with social data […]. In practice, this means that the social networks of Facebook users are for instance used very successfully by car insurers for their fraud prevention algorithms. Telecom operators use Facebook status data to double-check whether contract-relevant data provided to them is correct (i.e. whether it corresponds to what a person has stated about themselves on Facebook).

Die Forscher machen dabei deutlich, dass die Konsequenzen dieses bewusst herbeigeführten Kontrollverlusts heute unmerklich bereits das Leben der meisten Menschen beeinflussen. Das beginnt bei der Dauer, die man in Service-Hotlines verbringen muss oder den Zahlungswegen, die einem zur Verfügung stehen, und hört bei personalisierten Preisen und Angeboten lange nicht auf.

Das Ziel der Unternehmen sei es, Kunden genau das minimale an Aufmerksamkeit entgegenzubringen, das notwendig ist, um sie loyal zu halten – oder es bewusst zu unterschreiten, um ungewollte Kunden loszuwerden.

Verschärfung von asymmetrischen Informations- und Machtverhältnissen

Dass damit nicht nur individuelle Konsequenzen einhergehen, sondern auch Verschiebungen im Machtgefüge zwischen Individuen und (staatlichen wie kommerziellen) Organisationen nach sich zieht, liegt auf der Hand. Ausführlich beschreiben Christl und Spiekerman, wie Unternehmen Menschen anhand ihrer Daten analysieren, sortieren und versuchen, sie zu beeinflussen:

The lack of transparency is one enabler of power imbalances between those parties that possess data and those who don’t. Democratic as well as economic thinkers have always been suspicious of information and power asymmetries. And the current abuses of personal data that are highlighted in our report support their suspicion: Data richness is systematically used to discriminate against people. Companies „turn individuals into ranked and rated objects” […]. Everyone is constantly sorted and addressed on the basis of their economic potential; a practice that is undermining the core values of democracy: people’s equality and dignity.

Auch Einwendungen, dass kommerzielle Überwachung auf Freiwilligkeit beruhen würde, können im Angesicht dieser Studie von niemand ernsthaft mehr erhoben werden. Zum einen wird deutlich, wie rücksichtlos Datensammler- und Händler sich über den Willen von Menschen hinwegsetzen und ihre Überwachungspraxis zu verbergen versuchen. Zum anderen wird sichtbar, wie fließend die Grenze von der freiwilligen Preisgabe zur Kontrollpflicht ist. Wenn bestimmte Normen erst Mal etabliert sind, ist der Schritt vom Bonussystem zum Strafsystem nicht weit.

Big Data Divide

Neben den verstärkten Machtasymmetrien zwischen Individuen und Organisationen machen Christl und Spiekerman jedoch eine weitere gefährliche Spaltung aus. Sie argumentieren, dass die Konsequenzen der kommerziellen Überwachung nicht für alle Menschen gleich sind, sondern ein „Big Data Divide“ entsteht:

When, as suggested by a major data broker, the top 30% of a company’s customers are categorized as individuals who could add 500% of value, and the bottom 20% of customers are categorized as individuals who could actually cost 400% of value, the company may “shower their top customers with attention, while ignoring the latter 20%, who may spend ‘too much’ time on customer service calls, cost companies in returns or coupons, or otherwise cost more than they provide” […]. These “lowvalue targets” have been categorized as “waste” by data brokers.

Wohlhabende Menschen würde schon heute ein anderes Internet erleben als arme. Die kleinen alltäglichen Benachteiligungen vermeintlich weniger wertvoller Kunden würden sich addieren und so wiederum Chancen auf Änderungen des eigenen Status minimieren: Mit einem hohen Risikoscore eingestuft zu werden, könne etwa zur Folge haben, dass notwendige Kredite nur zu schlechteren Konditionen oder gar nicht vergeben werden. Ärmere Menschen mit höherem gesundheitlichem Risiko könnten Schwierigkeiten bekommen, angemessen versichert zu werden. „Kumulative Benachteiligung“ nennen die Forscher das Phänomen in Anlehnung an den US-amerikanischen Soziologen Oscar Gandy.

Was tun?

Konsequenterweise widmen sich die Autoren schließlich der notwendigen und doch oft vertagten Frage, was zu tun ist, um die Informationsgesellschaft demokratisch und gerecht zu gestalten. Neben dem Wunsch nach mehr Forschung und (ethisch-reflektierender) Bildung und Ausbildung widmen sie sich im Detail auch der oft pauschal gestellten Forderung nach mehr Regulierung.

Genau für den Zweck, Machtasymmetrien zwischen Individuen und Organisation abzufedern, gibt es schließlich daten- und verbraucherschutzrechtliche Vorgaben sowie Antidiskriminierungsgesetze – die bislang zu schwach sind und zu wenig durchgesetzt werden.

Als eines der Grundprobleme identifizieren Christl und Spiekerman hier zunächst die Lobbyübermacht der Überwachungsindustrie, die etwa bei den Verhandlungen um die Europäische Datenschutzgrundverordnung deutlich wurde. Das einzig wirksame Mittel gegen die enge, aber so gut wie unsichtbare Verwebung von Politik und Interessenvertretung sei dabei Transparenz.

The only way to move into a better future is to thoroughly publish any personal encounter between policy makers and industry representative as well as the lawyers that work for them. Tools such as LobbyPlag and organizations such as Transparency International should be heavily supported by donors, crowdfunding initiatives and governments themselves. Governments should support co-operations between NGOs and universities so that NGOs can leverage the existing educational infrastructure and universities’ educational programmes can benefit from the positive energy and knowledge that activists often hold.

Für die Anwendung der Datenschutzgrundverordnung ab dem Jahr 2018 empfiehlt die Studie eine strikte Einhaltung des Zweckbindungsgrundsatzes, nach dem Daten nur für den bei der Erhebung angegebenen Zweck verwendet werden würden (und der vom Bundesinnenministerium gerade beerdigt werden soll). Außerdem sei eine maßvolle Auslegung des „legitimen Interesses“ nötig, das Datenverarbeitern Zweckänderungen ermöglichen kann. Darüber hinaus sollte es klare Verantwortlichkeitsvorschriften für eine angemessene Kategorisierung der gesammelten Informationen und daraus gewonnene Ergebnisse geben sowie klare Widerspruchsmöglichkeiten für Betroffene.

Explizit verweisen die Forscher dabei auf die anstehende Reform der ePrivacy-Richtlinie. Nutzer müssten die Möglichkeit haben, Dienste zu nutzen, ohne kommerzieller Überwachung ausgesetzt zu sein. Außerdem müssten sie die Möglichkeit haben, von solchen Verträgen ohne Nachteile zurücktreten zu können, so eine Erkenntnis der Forschung.

Die Verarbeitung pseudonymisierter Daten unter Verwendung von Geräte- oder Cookie-IDs oder gehashten Identifiern wie Telefonnummern oder E-Mail-Adressen sollten Christl und Spiekerman zufolge datenschutzrechtlich unmissverständlich als Verarbeitung personenbezogener Daten gelten. Auch auf Grundlage von Analysen vergebene Attribute (wie etwa die Kategorisierung als „waste“) sollten als personenbezogene Daten behandelt werden und besonderen Vorschriften unterliegen.

Darüber hinaus empfehlen die Forscher, die Re-Identifikation anonymisierter oder pseudonymisierter Datensätze gesetzlich zu verbieten und strafrechtlich zu ahnden. Scoring-Systeme müssten zudem durch Behörden auf Fairness und Korrektheit geprüft werden. Mehr Transparenz könne durch ein Verzeichnis der informationssammelnden Apps und Dienste geschaffen werden, mit dem Verbraucher einfacher prüfen können, wer welche Daten für welche Zwecke sammelt.

12 Kommentare
    • Frag den Frosch 2. Jan 2017 @ 16:13
  1. Nold Egenter 31. Dez 2016 @ 18:49
  2. Frag den Frosch 2. Jan 2017 @ 16:00
  3. Cogito ergo sum 7. Jan 2017 @ 23:28

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden