Deutschland will uns die Unterhosen runterziehen
Vor einigen Monaten suchte ich im Internet nach einer möglichst langen Heckenschere. Ich fand eine, suchte nach den Preisen und bestellte eine. Ist es ein Zufall, dass ich seither immer wieder Werbung für Gartenwerkzeuge in meinem E-Mail-Eingang habe?
Vor drei Wochen las ich einen Artikel über den Wasserverbrauch in Kalifornien, einen Vergleich des Wasserbrauchs der dortigen Mandelplantagen mit dem Wasserverbrauch der Stadt San Francisco. Um den Vergleich zu verstehen, googelte ich kurz im Internet: San Francisco, aha, die Stadt hat rund 840’000 Einwohner. Und dann – es ging keine Stunde, da kam bereits die erste E-Mail von booking.com: Empfehlung für Sie! San Francisco. Und dazu Links zu ganz vielen dortigen Hotels… Es war offensichtlich: Google meldete simultan an booking.com weiter, dass ich mich für San Francisco interessierte.
Das wäre ja noch harmlos…
In einem ganzseitigen Artikel in der deutschen Wochenzeitung Die Zeit wird nun darauf aufmerksam gemacht, dass in der EU eine neue Datenschutz-Grundverordnung in Diskussion und sogar kurz vor dem Abschluss steht. Als Hauptänderung gegenüber dem Status quo ist vorgesehen, dass Firmen die ihnen zugänglichen Daten ohne Bewilligung der betroffenen Personen weitergeben dürfen. Sprich: Wer etwa bei der unsäglichen Aktion SRF bewegt kurz vor der letzten Abstimmung zur Finanzierung der SRG mitgemacht und gemessen hat, wie viele Meter und Kilometer er an diesem Tag schon zurückgelegt hatte – und sei es auch nur mit dem Bügeln von Hemden – und wer immer seine Daten mit der entsprechenden App in ein Rechenzentrum abgeliefert hat, der hat, in Zukunft, diese Daten auch gleich seiner Versicherungsgesellschaft gemeldet.
Es ist nicht «Brüssel», es ist Deutschland
Was viele, die «Brüssel» nur als Bürokratie-Monster zur Kenntnis zu nehmen bereit sind, überraschen dürfte: Es ist nicht etwa die EU-Kommission, die den höchst problematischen Schritt gehen will, es ist Deutschland, das sich für das Recht der grossen Firmen auf die fast unbegrenzte Weitergabe – sprich: den lukrativen Weiterverkauf! – von Daten stark macht. Der deutsche Justizminister Heiko Maas (SPD), der in Deutschland auch für den Verbraucherschutz zuständig ist, ist von der geplanten Änderung zwar nicht begeistert, zuständig aber ist das Innenministerium unter Thomas de Maizière (CDU), der zustimmen will. Wenn die Reform zustande kommt, ist es also in erster Linie Deutschland gewesen, das uns die Unterhosen heruntergezogen hat.
Die Unterhosen herunterziehen?
Die Formulierung «die Unterhosen herunterziehen» mag übertrieben tönen. Doch man überlege: Was wissen die grossen Firmen – oder auch Deine Regierung – alles von Dir, wenn die Daten des Handys (mit eingebautem GPS), der Kreditkarte (wofür hast Du bezahlt?), der Fluggesellschaften (wohin fliege ich wann?), von booking.com (wo übernachte ich?) und meiner Kamera (wann hat sie wo ein Bild gemacht?) kombiniert werden? Von den versandten E-Mails schon gar nicht zu reden! Dann wissen die CIA und auch TTIP-Befürworter Bundesrat Schneider-Ammann heute schon, dass ich am 10. Oktober in Berlin bin und an der Anti-TTIP-Demo teilnehme…
Und was sagt eigentlich die Schweiz?
Die Schweiz zieht es bekanntlich vor, in Europa nicht mitzureden, um dann hinterher, wie meistens, alles einfach zu übernehmen. Immerhin: Laut einer Grafik zu den Anträgen der Mitglieder der Gruppe «Informationsaustausch und Datenschutz DAPIX», der auch die Schweiz angehört, haben nur Griechenland und die Schweiz keine Anträge auf Lockerung des Datenschutzes eingereicht. Deutschland hat dagegen über 60 solche Anträge eingereicht, Grossbritannien über 50. Siehe die Grafik aus der ZEIT unten.
Kaum Informationen in den Schweizer Medien
Da die Schweizer Medien, nicht zuletzt natürlich wegen der bevorstehenden Wahlen, diesem Thema bisher kaum Beachtung schenkten, lassen wir den Artikel der ZEIT (leicht gekürzt und mit eigenen Zwischentiteln und Kursiv-Auszeichnungen versehen) hier folgen:
Oh, der hat Herzprobleme!
Neue EU-Regeln bedrohen den Datenschutz: Firmen sollen Kundendaten ohne Zustimmung weitergeben dürfen. Versicherungen bereiten sich vor.
Von Ruben Rehage
Das Ende des europäischen Datenschutzes schleicht sich über das Handgelenk in Markus Sommers Leben. Es wiegt 25 Gramm, ist aus schwarzem Gummi und hat 99 Euro gekostet. Es heisst Garmin vivofit und ist ein sogenanntes Fitnessarmband, das Sommers Schritte aufzeichnet, verbrauchte Kalorien, Herzfrequenz und Schlafverhalten – 24 Stunden am Tag. Die Daten sendet das Gerät an eine App. Mehr, sagt der Hersteller des Armbands, passiere nicht. Aber wenn es nach dem Europäischen Rat geht, muss es heissen: noch nicht.
Denn im Juni hat das EU-Gremium der Staats- und Regierungschefs seinen Entwurf für die Datenschutz-Grundverordnung vorgelegt. Die Verordnung soll die bisher geltende Richtlinie aus dem Jahr 1995 ablösen. Hinter dem sperrigen Namen verbirgt sich eine vollständige Neuordnung der europäischen Datenschutz-Gesetzgebung, die bisher ein Flickenteppich aus nationalen Einzelgesetzen war.
Unternehmen können mit Verbraucher-Daten machen, was sie wollen
Es ist ein historisches Projekt mit vielen wertvollen Ansätzen, eigentlich. Aber wenn der Rat seine Pläne verwirklicht, könnten Unternehmen mit den Daten der Verbraucher in Zukunft in grossem Stil machen, was sie wollen. Allen voran die Versicherungskonzerne bereiten sich schon darauf vor. Markus Sommer ist jung, hat ein breites Kreuz, ist sportlich, gesund, und sein Armband hat er sich vor allem gekauft, weil er an Fitnesswettkämpfen teilnimmt und mit dem Armband sein Training kontrollieren möchte.
Was Unternehmen mit den Daten jedoch sonst noch anstellen könnten, hat mit Fitnesswettkämpfen wenig zu tun. Die Verordnung würde für Sommer bedeuten, dass der Hersteller seines Fitnessarmbands künftig die erhobenen Daten zum Beispiel an seine Krankenkasse verkaufen könnte. Personalisiert, also in Verbindung mit seinem Namen. Ohne ihn darüber informieren zu müssen. Und das selbst dann, wenn der ursprünglich vereinbarte Zweck der Datenerhebung ein völlig anderer war.
Die Interessen der Unternehmen sind entscheidend
Dafür reichen laut Ratsentwurf nicht näher definierte «Interessen» der Unternehmen aus, wenn diese «die Interessen der betroffenen Personen überwiegen», um die Daten weitergeben zu können. Das wäre das Ende der in Deutschland bisher geltenden sogenannten Zweckbindung, also der Prämisse, dass Daten nur zu einem vorher vereinbarten Zweck verwendet werden dürfen – nach ausdrücklicher Zustimmung des Verbrauchers. «Diese ‹berechtigten Interessen› sind im Datenschutzrecht kein neuer, aber ein sehr dehnungsfähiger Begriff», sagt Marco Biewald, Vorsitzender des Berufsverbands der Datenschutzbeauftragten. Die Abwägung führe das Unternehmen selbst durch, sagt Biewald. Das Ergebnis dieser Abwägung wiederum kontrollieren die Datenschutzbeauftragten – falls sich jemand beschwert. Dabei geht es um weit mehr als Krankendaten. Aus allen Lebensbereichen wollen Versicherungen Informationen abgreifen: «Autos senden Daten über das Fahrverhalten, intelligente Stromzähler analysieren die Lebensgewohnheiten der Hausbewohner, selbst Kameras sammeln inzwischen Bewegungsprofile», sagt Berlins Datenschutzbeauftragter Alexander Dix. «Kein Unternehmen wäre gezwungen, die Verordnung auszunutzen. Aber sie werden es wollen, und sie werden es tun», ist Dix sich sicher. Möchte ein Verbraucher in Zukunft also eine neue Versicherung, wird der Anbieter sich womöglich erst mal Daten über ihn besorgen. Raser? Trinker? Heimwerker? Dann lieber nicht versichern oder nur zu einem teureren Tarif.
Was sich für Datenschützer wie eine Dystopie aus einem Science-Fiction-Roman anhört, geht dem Branchenverband Bitkom dagegen noch nicht weit genug. Die digitale Welt brauche einen «Ordnungsrahmen, der innovative Methoden der Datenverarbeitung ermögliche», teilt der Verband mit. Es gehe um Deutschlands Chancen im Zeitalter von Big Data, die Zweckbindung stehe dem entgegen.
Die Diskussion läuft
Von kommender Woche an wird in Brüssel zwischen Europäischem Parlament, Rat und Kommission im sogenannten Trilog-Verfahren verhandelt. Die Beratungen sollen bis Ende des Jahres abgeschlossen sein. Setzt sich der Rat durch, verlieren Verbraucher praktisch jede Kontrolle über ihre Daten, wenn sie einmal in ihre Verarbeitung eingewilligt haben. Und: «Wer, bitteschön, willigt nicht irgendwann irgendwo in eine Datenverarbeitung ein?», fragt Dix. Für Versicherungen und andere Unternehmen wäre der Weg frei zu intimsten Details aus dem Leben der Bürger.
«Steinbruch der Verbraucherrechte»
Diese Einschätzung teilt auch Jan-Philip Albrecht. Er ist ein grüner EU-Politiker mit strubbeligem Haar, unter seinen Sakkos trägt er meistens T-Shirts, es ist leicht, ihn zu unterschätzen. Aber Albrecht ist Berichterstatter des Europäischen Parlaments in dieser Sache und in die Details eingearbeitet wie wenige andere. Wenn Albrecht über den Ratsentwurf redet, wird er deutlich: «Es ist erschreckend, zu sehen, was der Rat als Entwurf auf die Beine gestellt hat.»
Daran habe nicht zuletzt Deutschland einen wesentlichen Anteil. «Die Bundesregierung erledigt die Arbeit der Wirtschaftsvertreter und macht aus der Datenschutzreform einen Steinbruch der Verbraucherrechte zugunsten der Unternehmen.» Dass die Bundesregierung den Datenschutz derart verrate, sagt Albrecht, sei schlicht «schäbig».
Wie sehr sich die Bundesregierung in den Verhandlungen von der Wirtschaft hat beeinflussen lassen, geht aus vertraulichen Dokumenten hervor, die das Internetportal lobbyplag.eu veröffentlicht hat. Schon im März wurde bekannt, in welch regelmässigem und freundschaftlichem Austausch sich der Branchenverband Bitkom mit dem Bundesinnenministerium befand. Immer wieder meldete sich demnach Bitkom mit Formulierungsvorschlägen bei den deutschen Verhandlungsführern. Der enge Kontakt trug offenbar Früchte: Der entscheidende Passus über die Abschaffung der Zweckbindung findet sich fast wortgleich in Papieren von Bitkom und im Ratsentwurf. Politik und Verband in enger Zusammenarbeit: der Traum jedes Lobbyisten.
In den Bürotürmen der Versicherungen werden derweil fleissig die zum Ratsentwurf passenden Tarife vorbereitet und ausprobiert. Noch sind sie Fingerübungen, denn die Versicherten müssen derzeit aktiv in die Datenverarbeitung einwilligen, und die Versicherungen müssen sich an die Abmachung halten. Wird der Ratsentwurf in seiner jetzigen Form beschlossen, ist diese Abmachung nichts mehr wert: Den Schatz, den die Unternehmen jetzt anhäufen, müssen sie dann nur noch heben.
Die Versicherungen reiben sich die Hände
Die Generali zum Beispiel, die zweitgrösste Versicherung Deutschlands, will ab 2016 einen Tarif anbieten, der eine nachweislich gesündere Lebensweise belohnt. Dabei geht es der Versicherung offensichtlich nicht um die Gesundheit ihrer Versicherten: «Die Zukunft der Branche liegt in ihrem Schatz an Informationen, den sie hortet», sagte kürzlich der Chef des Generali-Konzerns, Mario Greco. Mit seiner Einschätzung befindet sich Greco in der Branche in guter Gesellschaft. Mehrere Wettbewerber arbeiten an ähnlichen Tarifen. Ihre Erklärungen ähneln sich, und ihre Pläne tun es auch. Die Liste liesse sich also fortführen, und sie geht weit über Krankenkassen hinaus.
Es gibt kaum ein Unternehmen, das nicht überlegt, wie es aus Big Data profitieren könnte … Die Technologien böten viele Chancen für Unternehmen wie Nutzer gleichermassen, sagt Morris Riedel, ein IT-Experte an der University of Iceland, aber eben auch Risiken.
Ein bisschen grösser, schwerer und weniger schick als das Fitnessarmband von Markus Sommer ist ein «Telematik»-Gerät des spanischen Konzerns Telefónica. Das Gerät (…) wird in Autos verbaut. Während der Fahrt zeichnet es Geschwindigkeit, Ort, Bremszeiten und Nachtfahrten auf, unter anderem. Mehrere deutsche Versicherungen bieten das System bereits mit passenden Tarifen an, andere wollen dies in Zukunft tun. Unter ihnen sind auch die grössten der Branche: HUK Coburg und Allianz. Sie alleine umfassen ein Drittel des gesamten deutschen Marktes für Kfz-Versicherungen.
Sie planen das, obwohl sich die Tarife derzeit für die Versicherungen kaum rentieren. Schon das Bereitstellen der Geräte frisst den Gewinn zu einem grossen Teil auf, der Rest geht durch die Rabatte verloren. Öffentlich zugeben will das keines der Unternehmen, hören tut man das aber von mehreren.
Das Verlustgeschäft zeigt, wie wichtig die Daten für die Versicherungen schon heute sind: Erst mal sammeln, dann gucken, was wir mit dem Datenschatz machen können, scheint die Devise zu sein. «Tritt der Ratsentwurf in Kraft, könnte die Versicherung die sensiblen Daten langfristig an Dritte weiterverkaufen», sagt der Parlamentarier Albrecht.
Der deutsche Innenminister will die Zweckbindung aufheben
Es wäre eine riesige Chance für die Versicherungen. Ihnen und anderen Unternehmen will die Bundesregierung mit ihrem Engagement im Europäischen Rat offenbar den Weg frei räumen. Wobei der Ratsentwurf noch für einigen Streit in der schwarz-roten Koalition sorgen könnte, denn Justizminister Heiko Maas (SPD) scheint von dem Text wenig begeistert zu sein. Kurz vor den ersten Treffen zur Trilog-Verhandlung liess er seinen Sprecher mitteilen, dass «die Zweckbindung ein zentraler Pfeiler des Datenschutzrechts» bleiben soll. Vieldeutig teilte Maas mit, dass die Diskussion darüber noch nicht abgeschlossen sei. Dabei befindet sich Maas in einer schwierigen Situation. Die Federführung in den Verhandlungen liegt beim Bundesinnenministerium. Maas hat damit praktisch kein Mitspracherecht, Einfluss nehmen kann er nur mittelbar: im Gespräch mit Innenminister Thomas de Maizière, der wiederum mitteilt, die Zweckbindung aufheben zu wollen.
Der Bundesinnenminister wolle sich im Trilog allerdings für ein «schlüssiges Konzept der Pseudonymisierung» einsetzen. Alle Dienstleister bekämen die Daten dann nur in Kombination mit einer Nummer, aber nicht den zugehörigen Namen des Verbrauchers. Experten sind aber skeptisch. Die Pseudonymisierung sei zwar technisch möglich, berge aber ein Problem: «Theoretisch kann man auf eine konkrete Person Rückschlüsse ziehen, wenn man Zugriff auf mehrere Datenbanken hat», sagt Wissenschaftler Riedel. Dafür seien die Namen gar nicht notwendig.
Eine letzte Hoffnung für die Gegner des Entwurfs ist das Europarecht. Experten gehen davon aus, dass der Ratsentwurf gegen europäische Grundrechte verstösst. «Die Zweckbindung ist der wichtigste Grundsatz des europäischen und des deutschen Datenschutzes. Und der Ratsentwurf verkehrt ihn in sein komplettes Gegenteil», sagt Franziska Boehm, Professorin für Informationsrecht an der Universität Münster. «Ich habe grosse Zweifel, ob das noch verhältnismässig wäre.»
(Die Zeit, 10. September 2015, Nr. 37)
Themenbezogene Interessenbindung der Autorin/des Autors
Keine
Ja, dieses Thema nicht vernachlässigen.
Im Lichte der Abgas-Affäre könnte ich mir als Informatiker (im Ruhestand) folgende Guerillataktik dagegen vorstellen. Nehmen wir das Fitness-Armband als Beispiel. Mit einem Hack könnte man das so umbauen, dass es Fitness-Aktivitäten simuliert und entsprechend geschönte Daten (am Arm eines 80jährigen Rollstuhlfahrers eine Stunde mit 160 Watt Leistung und doch recht tiefem Puls etc.) an die Krankenkasse meldet. Das Beispiel liesse sich auf das ganze Spektrum der inkontinenten Gadgets erweitern. Wenn da 10 bis 15 Prozent mitmachen, müsste sich der Nutzen und Wert der Datensammlungen doch stark relativieren.
Zu Handen Geheimdienste / Büpf: Versteht diesen Kommentar bitte als Warnung über mögliche Auswüchse; ich beabsichtige selbst nicht mehr, solche Hacks zu entwickeln noch zu verbreiten – beruhigt euch!
Der Einwurf von Herr Jutzi beschreibt exakt, warum alle Initiativen von Krankenversicherungen usw., solcherlei Daten nutzbar zu machen, über kurz oder lang scheitern werden. Ich wundere mich ja schon länger, dass noch keine Manipulationen an den Blackboxen der Autoversicherer publik wurden …