Tanpohp

Experiment in Sachen Datenschutz: Selbstauskunft nach Bundesdatenschutzgesetz (BDSG)

by on Jan.16, 2016, under Bundestdatenschutzgesetz

Vorgeschichte

Schon seit einiger beschäftige ich mich mit dem Thema Datenschutz, Anonymität und Bürgerrechte im Internet. Vor einige Jahren, war ich mir dem Thema Datensammeln zwar (einigermaßen) bewusst, schenkte ich dem aber wenig Beachtung. Meine Argumentation lief damals in etwa wie folgt:

  • Ja ich habe ein Gmail-Konto und Google scannt meine Mails, aber dafür bekomme ich kostenlose Speicherplatz und die eingeblendete Werbung passt wenigstens zu mir.
  • Ja ich benutze Facebook, aber ich entscheide schließlich selbst, welche Bilder ich hochlade, welche Kommentare ich poste und welche Produkte ich auf Drittseiten like.
  • Ja ich benutze XY, aber ….

Ich konnte mir diesen Entscheidungen leben, da der Gegenwert aus meiner Sicht groß genug war und vor allem glaubte ich die Kontrolle über meine Daten zu haben.

Vor in etwa 2 Jahren lernte ich etwas neues über eine scheinbar harmlose Technologie: Cookies. Für die, welche es nicht wissen. Cookies sind kleine Dateien welche eine Webseite auf dem eigenen PC hinterlegt, um den Browser des Gegenübers zu erkennen. Diese ermöglichen es recht einfach so etwas wie einen Login auf einer Webseite einfach umzusetzen. Soweit so gut. Was ich damals nicht wusste, das wenn ein Facebook Like-Button auf einer Webseite eingeblendet ist und dieses Bild auf den Seiten Facebook gehostet wird, erfährt Facebook von meinem Besuch z.B auf spiegel.de. Dies passiert unabhängig davon, ob ich den Button drücke oder nicht. Den mit dem download des Like-Buttons wird automatisch der zu facebook.com gehörende Cookie mit übermittelt. D.h wenn ich mich bei Facebook einlogge, wieder auslogge erfährt Facebook im Anschluss von jeder Seite die ich Besuche, wenn dort irgendwo ein Like-Button eingeblendet ist. Und auf welcher Seite ist kein Facebook Like-Button?

Das war ein Schock für mich.

Eine weitere Nachricht auf heise.de verunsicherte mich um so mehr (der verlinkte Artikel ist nicht der den ich damals las, der damalige war umfangreicher. Die folgenden Daten sind daher zum Teil aus meiner Erinnerung rezitiert). In einer Studie an der Universität Stanford haben Forscher die Telefonhistorie ihrer Teilnehmer (also wann wurde welche Telefonnummer wie lange angerufen) ausgewertet. Das sind Daten welche ich persönlich nicht als sonderlich sensibel ansah. Diese Daten wurden mit anderen (öffentlich verfügbaren) Daten wie Telefonbücher, Yelp, Facebook etc kombiniert und ausgewertet. Zum Abschluss wurde die Teilnehmer zu den Ergebnissen befragt um diese zu validieren). Das Ergebnis:

  • 72% der Angerufenen konnten namentlich ermittelt werden.
  • Über 80% der Teilnehmer konnten zuverlässig dem Status gläubig oder atheistisch zugeordnet werden.
  • 50% der Gläubigen konnte deren Religion zugeordnet werden.
  • Von mehreren Teilnehmern konnten Krankheiten bestimmt werden.
  • Einer teilnehmenden Frau konnte der ungefähre Termin genannt werden, an welche sie einen Schwangerschaftsabbruch vornehmen ließ.

Das Ergebnis der Studie hat mich tief beeindruckt. Nicht zuletzt weil viele Unternehmen mehr Daten über mich haben, als nur Telefonnummern.

Ich begann mir Gedanken zu machen welche Schutzmöglichkeiten mir zur Verfügung stehen, um mich gegen diese Angriffe auf meine informationelle Selbstbestimmung zu wehren. Der Begriff Angriffe ist hier aus meiner Sicht nicht übertrieben, ich sehe es inzwischen tatsächlich so. Als begann ich:

  • Drittanbieter Cookies zu sperren
  • Ad-Blocker zu installieren
  • Script- und Flashblocker zu installieren
  • Proxies und VPN zu benutzen

Und eine gewisse Kreativität beim Anmelden an diversen Plattformen zu entwickeln. Es ist nicht notwendig, das Unternehmen meine Telefonnummer kennen, nur weil ich bei denen irgendein Blödsinn bestelle.

Das Experiment

Nach §3a BDSG müssen Firmen den Umfang der erfassten Daten soweit als möglich reduzieren, Stichwort Datensparsamkeit. Doch da mir immer wieder Eingabeformulare begegnen die Daten erfassen wollen die in keiner Beziehung zu der Angebotenen Dienstleistung stehen, habe ich Zweifel das dieses Gebot eingehalten wird. Glücklicher Weise ist in §19 BDSG festgelegt, das Betroffenen ein Auskunftsanspruch bei den entsprechenden Firmen und Behörden haben, wenn Sie dann einen Antrag stellten.

Mein Ursprünglicher Gedanke war es, ein solchen Antrag an Facebook zu stellen. Bei der Recherche zum Thema Selbstauskunft stellte ich mir irgendwann die Frage: Warum nur Facebook? Ich habe schon bei haufenweise Firmen Accounts erstellt und Bestellungen getätigt und nicht wenigen traue ich zu, deutlich mehr Informationen über mich zu sammeln als mir lieb ist. Das Ergebnis ist eine Liste mit 35 Firmen und Institutionen, welche diese Woche von mir ein Einschreiben erhielten:

  1. Facebook Germany GmbH
  2. Allianze Versicherungs AG
  3. ADAC e.V.
  4. Generali Versicherung AG
  5. Goolge Germany GmbH
  6. Gothaer Versicherungsbank VVaG
  7. HUK-COBURG
  8. Telefonica Germany GmbH & Co OHG
  9. Deutsche Telekom AG
  10. Vodafone GmbH
  11. Bürgel Wirtschaftsinformationen GmbH & CO
  12. Deltavista GmbH
  13. CEG Creditinformation Consumer GmbH
  14. Bundesverwaltungsamt (Visa Warndatei)
  15. U.S. Homeland Security
  16. Schufa Holding AG
  17. Innenministerium Mecklenburg Vorpommern
  18. Landeskriminalamt Mecklenburg Vorpommern
  19. Ministerium für Inneres des Landes Brandenburg
  20. Polizeipräsidium des Landes Brandenburg
  21. Senatsverwaltung für Inneres
  22. Bundeskriminalamt
  23. Zollkriminalamt
  24. Bundesamt für Justiz
  25. Bundeskriminalamt
  26. 1&1 Internet SE
  27. DAK Gesundheit
  28. Klarna AB
  29. ARD ZDF Deutschalndradio Beitragsservice
  30. Paypal Deutschalnd GmbH
  31. Deutsche Post Adress GmbH
  32. Landeskriminalamt Bayern
  33. Landeskriminalamt Berlin
  34. Bundespolizei
  35. infoscore Consumer Data GmbH

Dem Aufmerksamen Leser ist sicherlich aufgefallen, dass das Bundeskriminalamt zwei mal in der List auftaucht. Einmal schrieb ich es direkt an, ein anderes mal als Ansprechpartner für Interpol in Deutschland.

Ich bin sehr gespannt welche Ergebnisse dieses Experiment bringt. Aus Erfahrungsberichten anderen weiß ich, es wird hart werden an die Daten zu kommen und das es vermutlich mehrere Monate dauern wird, bis ich ernsthafte Resultate haben werde. Einige interessante Dinge lassen sich schon jetzt berichten:

  • So ziemlich alle der angeschriebene Firmen verfügen über eine Informationsseite zum Thema Datenschutz.
  • Die wenigsten der Firmen haben einen separaten Ansprechpartner für das Thema Datenschutz, sprich eine leicht auffindbare öffentliche Adresse der Datenschutzbeauftragten.
  • Ich habe glaube ich nur eine Firma gefunden, welche konkrete Speicherfristen zu einzelnen Datenarten benannte.

In diesem Blog möchte ich festhalten, wie Firmen mit meinen Daten und vor allem den Rechten die ich daran habe, umgehen. Ich werde regelmäßig darüber berichten, wenn ich Antworten erhalte.

 

:, ,

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Visit our friends!

A few highly recommended friends...