Automatische Informationen

Zwei kleine Ereignisse der letzten Zeit haben mich zum Nachdenken über das Thema “Persönliche Daten” gebracht. Zum einen als ich mit meinem Sohn so vor mich hin chattete. Zum anderen durch einen Gastvortrag der Firma SiCom AG . Thema war “Datenschutz ist Chefsache”.

Mein Sohn und ich quatschten so vor uns hin, als er auf einmal meinte: “Papa, weißt du, warum ich Werbung von Augengläsern in Google Mail habe?”. Er braucht ganz sicher keine Brille. Ich trage zu gewissen Zeiten aber eine und habe das mal in einer Mail im Juli diesen Jahres erwähnt.

Bei mir war folgende Werbung zu sehen: “Harnverlust”, “Stressless Sessel”, “Vorlesung verpasst?” und “Rückentrainer von OTTO”. Davon passt nichts, aber aus irgendwelchen Gründen wurde mir das offensichtlich von Google zugeordnet. Ich will nicht ausschließen, dass ich in der Zukunft an Harnverlust leiden werde und daher einen Stressless Sessel brauche, damit ich die Vorlesung nicht verpasse, um micht beim Rektor zu Kreuze kriechen muss, das ich aber mit einem Rückentrainer von OTTO üben könnte. Aber aktuell ist nichts davon wahr.

Welche Daten sind da wie verarbeitet worden?

Der Gastvortrag dümpelte so vor sich hin, bis der Referent (dessen Namen ich aus Datenschutzgründen nicht erwähne) das eher trockene Thema Bundesdatenschutzgesetz ansprach. Zunächst ging die Diskussion in eher in die Richtung “Amerika, du hast es besser”. Was alles Firmen in den USA so investieren würden, um die Daten zu schützen. Bis heraus kam, dass ein Großteil der Investitionen getätigt werden, um Schadensersatzansprüche gar nicht erst zuzulassen. Denn in den USA (und nicht nur dort) darf jedes Unternehmen mit den angesammelten Daten machen, was es möchte. Es darf nur nicht so etwas wie den Schutz der Daten versprechen und sich später nicht daran halten.

In Deutschland ist erst einmal alles verboten, nicht nur beim Datenschutz. (Diese Formulierung konnte ich mir nicht verkneifen ;-) )

Erlaubt ist nur das, wofür es eine rechtliche Grundlage gibt. Selbst bei einer schriftlichen Zustimmung dürfen meine Daten nur für den angegebenen Zweck verarbeitet werden. Natürlich wird auch hier in Deutschland beim Datenschutz reichlich Schindluder getrieben, aktuelle Beispiele aus der Telekommunikationsbranche oder nicht so aktuelle Beispiele von falschen Auskünften im Bankenwesen sprechen für sich. Aber es gibt ein Gesetz, aus dem sich auch für mich ganz persönlich Rechte und Pflichten ableiten lassen.

Was bedeuten beide Ereignisse zusammengenommen für mich?

Wenn meine Daten außerhalb der Bundesrepublik Deutschland abgelegt sind, sind sie de facto jenseits meiner Kontrolle. Gut, alles was ich ins Internet stelle, also auch dieser Blog, sind mit der Publikation öffentlich verfügbare Daten. Das ist meine Entscheidung. Da ich quasi von Amts wegen in Teilen eine öffentliche Person bin, habe ich damit erst einmal wenig Probleme.

Wo werden meine Daten abgelegt?

Mir ist spät genug klar geworden, dass ich stärker über die Weiterverarbeitung meiner persönlichen Daten mitbestimmen möchte. Bisher war Google Mail einfach nur bequem. Und ich wähnte mich darin, dass ich in der Menge der Benutzer nicht wirklich auffalle. Das mag möglicherweise gegolten haben, als ich mich dort angemeldet habe. Heute trifft das ganz sicher nicht mehr zu. Nicht nur ich habe mich (zum Glück) gewandelt, auch Google ist vom Liebling aller Nerds zu einem riesigen, unüberschaubaren Unternehmen geworden. Selbst Suchanfragen liefern andere Ergebnisse, je nachdem ich bei Google angemeldet bin oder nicht. Zugegeben, die ganzen Anwendungen von Google sind, technisch gesehen, für Web-Anwendungen ganz gut zu bedienen. Teilweise setzen sie Maßstäbe. Um Datenverlust durch fehlerhafte Hardware brauche ich mich nicht selbst kümmern.

Ich kann nicht verhindern, dass ich dazulerne.

Nie werde ich wissen, was mit meinen Daten passiert. Google kann nach Gutdünken seine Datenschutzrichtlinien ändern. Als Nicht-Amerikaner habe ich Probleme, meine Rechte, sofern ich überhaupt welche habe, gegen Google durchzusetzen. Um nicht falsch verstanden zu werden: Google ist für mich nur der Prototyp von Unternehmen, das mit meinen Daten alles was es will machen kann. Das gleiche gilt für andere Unternehmen, die sicher nützliche Dienste anbieten. Nicht nur Google könnte evil werden.

Jetzt bin ich dabei, mich langsam aus der Umklammerung dieser Dienste zu lösen.

Mit Google Reader mache ich den Anfang. Da habe ich mit Gregarius eine gute Alternative gefunden. Die Synchronisation mit Google Calendar habe ich abgestellt. Die Suche nach einer Alternative zu Google Mail wird sicher länger dauern. Die hiesigen Provider, wie GMX und WEB.DE bieten mir nicht genug. Meine Mailbox ist schlichtweg zu groß. Evtl. stelle ich mir meinen eigenen Server hin. Sandy hat Ihren Dienst schon von sich aus eingestellt. Ansonsten nutze ich nur noch Dienste, bei denen meine Daten auf meinem Rechner verschlüsselt werden und nicht beim Diensterbringer, z.B. Digsby, oder bei denen ich meine Daten selbst verschlüsseln kann, z.B. Dropbox.

In der ersten Zeit wird für mich das Ganze bestimmt unbequemer werden. Aber ich werde dabei viel dazu lernen. Hinweise für gute Alternativen nehme ich gerne entgegen.

Eine Frage bleibt offen: warum sehen so wenige deutsche Firmen diesen Wettbewerbsvorteil namens Bundesdatenschutzgesetz? “Bei uns sind Ihre Daten von Gesetzes wegen geschützt”. Es müsste sich doch damit ein gutes Geschäft machen lassen, oder übersehe ich da etwas?

Auch die Identifizierung bei Monatskarten im öffentlichen Nahverkehr ist mit der neuen Chipkarte vorstellbar.

Laut einem Artikel der Computer Zeitung (Elektronischer Personalausweis soll ein Multitalent werden) soll dies Dr. Hans Bernhard Beus, Staatssekretär und IT-Beauftragter der Bundesregierung, gesagt haben. So eine Aussage macht mich nachdenklich. Der ganze Artikel bringt mich zum Nachdenken.

1. Ist denn der Personalausweis kein hoheitliches Dokument mehr? Ich dachte immer, ich muss ihn nur offiziellen Stellen zeigen. Und denen, die per Gesetz dazu gezwungen werden, z.B. Banken. Oder soll in naher Zukunft jeder Bürger jedem Busfahrer und Fahrkartenkontrolleur seinen Personalausweis zeigen müssen?
2. Was ist mit Kindern, die noch keinen Personalausweis benötigen, aber durchaus am Leben teilnehmen wollen? Bekommen die keine Monatskarten mehr?
3. Was ist mit unseren ausländischen Mitbürgern ohne deutschen Personalausweis? Sollen die so weit diskriminiert werden, dass auch diese immer schlechter am gesellschaftlichen Leben teilnehmen können. Fahrkarten sind der Anfang. Dann kommt das Kino, Theater, Museen. Und dann Läden?
4. Ein Multitalent ist eine Person, die vieles gut macht, aber nirgendwo so richtig sehr gut ist. Wie ein Zahnkämpfer: in jeder Disziplin genügend gut, aber einen Weltrekord in einer Einzeldisziplin wird er eher nicht schaffen. Wie ist die Strategie, welche Richtlinien gibt es für einen guten Kompromiss beim Entwurf dieses Multitalents? Möchte man bei einem hoheitlichen Dokument wirklich Kompromisse eingehen? Und wenn ja, warum?
5. Warum baut man eigentlich die Gesundheitskarte nicht weiter aus? Z.B. zur Identifizierung bei Monatskarten? (Zugegeben, eine polemische, nicht wirklich ernst gemeinte Frage)
6. Bei aller Bequemlichkeit: möchte wirklich die Mehrheit aller Bürger in fast allen Lebenslagen eindeutig identifiziert werden? Wurde schon einmal mit dieser Konsequenz des elektronischen Personalausweises nach der Akzeptanz der Bürger gefragt?
7. Wenn man schon alles einfacher haben möchte: warum sind Nummer des Personalausweises und die Steuer-ID nicht identisch? Dann könnte doch die Polizei bei einer Fahrzeugkontrolle gleich mit prüfen, ob die Umsatzsteuer noch nicht bezahlt wurde. (nicht das dies jemand als ernst gemeinte Aufforderung versteht …).
8. Kleine Abwandlung: warum werden die Funktionalitäten des elektronischen Personalausweises und der Gesundheitskarte nicht auf einem einzigen Dokument zusammen abgelegt? Ich bräuchte dann keine zwei Dokumente mitnehmen, wenn ich mit dem Bus zum Arzt fahre.
9. Was passiert, wenn einem der elektronische Personalausweis abhanden kommt? Kann ich dann nicht mehr meine Monatskarte benutzen? Kann ich dann nicht mehr elektronisch Einkaufen? Und: ist es gewünscht, dass der elektronische Personalausweis zum “Single Point of Failure”, zur Sollbruchstelle wird?
10. Welche automatischen Informationen werden mit dem elektronischen Personalausweis wirklich anfallen? Nicht nur die offensichtlichen, wie Bewegungsprofile.
11. Der elektronische Personalausweis soll eine oder mehrere elektronische Signaturen enthalten. Dies ist ein Mechanismus, um sich über das Internet zu authentifizieren. Sprich, andere können sicher sein, dass ich auch wirklich ich bin, wenn ich mit ihnen über das Internet kommuniziere. Dieser Mechanismus ist nicht neu. Jeder kann schon länger eine elektronische Signatur beantragen. Aus Gründen der Sicherheit sind diese Signaturen aber nur ca. 5 Jahre gültig. Dann müssen sie aktualisiert werden. Schließlich könnte das technische Verfahren für die Signatur mathematisch ausgehebelt worden sein. Dies halte ich für einen guten Ansatz. Nur, der elektronische Personalausweis wird doch hoffentlich länger als nur 5 Jahre gültig sein. Wie geht das zusammen? Was ist, wenn das Verfahren zur Signatur des elektronischen Personalausweises nicht mehr sicher ist? Müssen dann alle 80 Millionen Bundesbürger dann schnellstmöglich zu den Bürgerämtern und ihren elektronischen Personalausweis aktualisieren?

Um nicht missverstanden zu werden: meine Meinung zum elektronischen Personalausweis ist in Bezug auf Themen wie E-Goverment neutral bis positiv. Schließlich hat E-Goverment etwas mit hoheitlichen Aufgaben zu tun. Aber Busfahren und Einkaufen doch nicht, oder? Dafür sollte es separate Mechanismen geben, die mit dem elektronischen Personalausweis keine gemeinsame Infrastruktur haben.

Vielleicht finde ich noch jemanden, der meine Fragen beantwortet.

So, heute habe ich mich entschieden, diesen Blog doch besser auf Deutsch zu schreiben. Englisch ist zwar ganz nett und vielleicht erreiche ich damit theoretisch mehr Personen, aber Deutsch ist einfach die Sprache in der ich mich besser ausdrücken kann. Außerdem, die Anzahl meiner Leser hält sich doch etwas in Grenzen. Und wenn ich de facto für mich selbst schreibe, kann ich das auch gleich in meiner Muttersprache tun. Schließlich träume ich meistens auch meistens auf Deutsch.

Ach ja, und bevor sich jemand fragt, welche Rechtschreibung ich bevorzuge: meine eigene. Hier gibt es keine amtlichen Bekanntmachungen und die Schule habe ich auch vor einiger Zeit verlassen. Wer Rechtschreibfehler findet, darf sie behalten.