Trotz systematischer Verletzung von ‚Safe Harbor‘:Kauft Europol bei amerikanischen Datenbrokern?!

18. August 2014 | Von | Kategorie: BUND UND LÄNDER

Es wird viel spekuliert, doch nichts Genaues ist bekannt über Art und Umfang der Ausspähung deutscher Bürger und Unternehmen durch Geheimdienste der USA und Großbritanniens.

Anders sieht es da schon aus, wenn es um das Datensammeln durch amerikanische Datenbroker geht. Das hat vor wenigen Tagen eine Studie des Zentrums für digitale Demokratie (Center for Digital Democracy – CDD) deutlich gemacht [1]. Sie hat den Umgang von 30 (sehr) großen, amerikanischen Firmen, wie z.B. AOL oder Adobe, Acxiom oder Salesforce, mit den personenbezogenen Daten europäischer Bürger und Unternehmen untersucht. Und kam zu dem Urteil:

„Die Überwachung europäischer Konsumenten zu kommerziellen Zwecken durch amerikanische Unternehmen, die geschieht, ohne dass dies den Betroffenen bewusst wäre oder gar deren Einverständnis vorliegt, widerspricht den Grundrechten europäischer Bürger und den Europäischen Datenschutzbestimmungen. Es verletzt im Übrigen die Intentionen des Safe Harbor Abkommens, das darauf abzielt, europäischen Konsumenten einen Schutz ihrer personenbezogenen Daten nach europäischem Standard auch dann zu verschaffen, wenn die Daten außerhalb von Europa gespeichert und verarbeitet werden.

CDD hat daher die zuständige amerikanische Handelskommission (FTC) aufgefordert, Ermittlungen gegen diese Firmen aufzunehmen und sicherzustellen, dass sie die Vorteile des Safe Harbor Abkommens nicht nutzen können, solange sie die entsprechenden Verletzungen nicht einstellen.

Man ist, an sich, schon fast gelangweilt von solchen Nachrichten und denkt sich: „Wieder mal ein Verstoß, wieder mal berechtigte Forderungen und wieder mal wird – vermutlich – nichts rauskommen, bei der ganzen Sache.“ Das mag auch im vorliegenden Fall so sein, obwohl es durchaus bemerkenswert ist, wenn eine amerikanische Bürgerrechtsorganisation sich stark macht für die Datenschutzrechte europäischer Konsumenten.
Was den Fall jedoch außerdem bemerkenswert macht, ist die Tatsache, dass ausgerechnet Europol, das „europäische Polizeiamt“ sich aktuell daran macht, von den Daten genau solcher Datenbroker zu partizipieren. Doch der Reihe nach …

Was sind Datenbroker und was tun die?

Bei den dreißig Firmen handelt es sich um Datenbroker [2], also Firmen, die im Deutschen gerne noch verharmlosend als „Adressverlage“ bezeichnet werden. Ihr Geschäftszweck geht jedoch über das Zusammentragen von Adressen weit hinaus: Vielmehr sammeln sie so gut wie alles, was an Informationen über den einzelnen Konsumenten zu bekommen ist. Sie nutzen dazu öffentliche Quellen , wie z.B. das Melderegister, Telefonverzeichnisse, demographischen Datenquellen, werten Bewegungsdaten von Mobiltelefonen aus oder das Einkaufs- bzw. Zahlungsverhalten von Kunden. Das alles mit dem Ziel, über den einzelnen Konsumenten ein digitales Profil zu erstellen, das möglichst auch noch die kleinsten Details enthält. Zu diesen Informationen werden Daten aus anderen Quellen hinzugemischt, wie z.B. Postanschriften, Email-Adresse, wie man sie ja online ständig angeben muss, Angaben zur Einkommmenssituation oder zur Familienstruktur. Diese Konsumenten-Profile werden in riesige Datenbanken eingespeist, auf deren Grundlage dann Auswertungen erstellt und entsprechende Datensammlungen an andere Unternehmen für Werbe- oder Marketingzwecke verkauft werden.

Zum Beispiel Acxiom …

Zu den 30 Unternehmen der CDD-Studie gehören die Big Players des Datenbroker-Gewerbes, aber auch Adobe bzw. AOL. Denn sie alle stützen sich auf das gleiche Geschäftsmodell, nämlich möglichst viel Informationen für Konsumentenprofile zusammenzutragen und für Werbezwecke zu verkaufen. Beispielhaft sei die Firma Acxiom erwähnt, ein Unternehmen, das in den Vereinigten Staaten einen Umsatz von knapp 1,2 Milliarden Dollar generiert und einen Marktanteil von 12% aufweist [3]. Von der deutschen Niederlassung sagt Wikipedia [4], sie verfüge über 90% aller Postanschriften von Konsumenten in der Bundesrepublik, ein ideales Fundament also für die Anreicherung mit anderen Daten. Eine TV-Dokumentation zum Thema bezeichnet Acxiom als „das größte Unternehmen, von dem Sie nie gehört haben“ [in [3].

Und was hat das mit ‚Safe Harbor‘ zu tun?!

Eine so umfassende Anreicherung von personenbezogenen Daten ist nach amerikanischem Recht möglich, jedoch (eigentlich) vollkommen ausgeschlossen nach europäischem bzw. deutschem Datenschutzrecht. Ebenso ist es nach der europäischen Datenschutzrichtlinie verboten, personenbezogene Daten in solche Staaten zu übertragen und dort zu nutzen, die nicht ein dem europäischen vergleichbares Datenschutzniveau haben. Gelöst wurde dieses Problem durch eine Entscheidung der EU-Kommission aus dem Jahr 2000 und entsprechende Vereinbarung mit dem US-Handelsministerium, die den Namen ‚Safe Harbor‘ erhielt. Demnach können sich amerikanische Firmen beim US-Handelsministerium registrieren und damit dem ‚Safe Harbor‘ Abkommen beitreten, wenn sie sich verpflichten, die wesentlichen strikteren Anforderungen des europäischen Datenschutzrechtes zu beachten. Dazu gehören insbesondere drei Verpflichtungen der Unterzeichner: Sie haben den Betroffenen

  • zu unterrichten über den Zweck der Datenerhebung und -Speicherung,
  • mitzuteilen wo und wie die Daten verarbeitet werden und
  • ein Verfahren anzubieten, wie der Betroffene sich (wirksam) gegen die Datenspeicherung aussprechen kann.

Bisher sind annähernd eintausend Firmen dem Safe Harbor Abkommen beigetreten, darunter auch die Größen des Online-Handels, wie Amazon, Mail-Provider, wie Microsoft oder Google, und Anbieter sozialer Netze, wie Facebook. Zuständig für die Überwachung der Selbstverpflichtung nach dem Safe-Harbor Abkommen ist die amerikanische Handelskommission FTC = Federal Trade Commission.

Und an die wendet sich auf die eingangs erwähnte Untersuchung des Center for Digital Democracy. Sie soll nämlich belegen, dass die Datenschutzrechte europäischer Konsumenten durch die 30 in der Studie genannen Unternehmen systematisch verletzt werden: Weder gibt es eine klare Information für europäische Kunden über Art, Umfang und Zweck der Datenerhebung, noch weiss der europäische Kunde an wen, wann und warum welche Daten über ihn weitergegeben wurden, noch kann er sich mit Aussicht auf Erfolg gegen diese Nutzung seiner Daten zur Wehr setzen.

Mögliche Folgen für die Betroffenen

Berichte über unvollständige, veraltete oder schlicht völlig falsche Daten sind Legion. Aufgrund solcher Informationen wurden Bankkonten gekündigt, Kredite nicht gewährt, Bewerber nicht eingestellt oder völlig unbescholtene Personen aufgrund schlichter Verwechslung mit dem Namensvetter in Misskredit gebracht. BKA-Präsident Ziercke wird nicht müde, auf die Gefahren des Identitätsdiebstahls aus Datenbanken hinzuweisen.

Auch sind die entsprechenden Informationen nicht unbedingt sicher in diesen Datenbanken der amerikanischen Datenbroker. Der oben schon erwähnte Marktriese Acxiom geriet schon vor zehn Jahren in die Schlagzeilen, weil ein Systemadministrator bei einem Subunternehmer seinen Zugang zur „Mutter aller Konsumenten-Datenbanken“ nutzte und Millionen von Datensätzen kopierte. [5] Solche Datensätze umfassen die Sozialversicherungsnummer, Name, Geburtsdatum, Beruf, Familienstand, Anzahl der Kinder, aktuellen und frühere Anschriften, sowie Angaben zu dem oder den Fahrzeugen des Haushalts.

Auch Polizeibehörden kaufen bei Datenbrokern

Auch die amerikanische Bürgerrechtsbewegung ACLU macht sich Sorgen um Datenbroker und ihre Verfahren, Daten aus den diversen Quellen zusammenzuziehen und daraus Personenprofile zu erstellen [6]: „Diese Firmen, zu denen Acxiom , Choicepoint, Lexis-Nexis und viele andere gehören, sind für Otto Normalverbraucher so gut wie unsichtbar, allerdings machen sie jedes Jahr Multi-Milliarden-Dollar-Umsätze.“ Datenschutzgesetze beschränken die Möglichkeiten der staatlichen Verwaltung, Daten über den normalen Bürger zu sammeln, jedenfalls, wenn dieser nicht Ziel einer polizeilichen Maßnahme ist bzw. war. Wir sehen jedoch zunehmend, sagt ACLU, „dass Strafverfolgungsbehörden diese Beschränkung dadurch umgehen, dass sie die Informationen einfach kaufen, die von den Datenbrokern gesammelt worden sind“.

Europol sucht eine Datenbank über – weltweit – alle Firmen und Branchen

Das europäische „Polizeiamt“, Europol, bestätigt diese Befürchtung ganz aktuell: Unter dem Datum 09.08.2014 ruft Europol zu einer „Interessenbekundung“ auf [7]: Gesucht werden Anbieter, die den Analytikern von Europol Zugang zu einer [einzigen! sic!] Datenbank bieten können, in der Informationen über private Unternehmen gespeichert sind und zwar weltweit und über alle Branchen hinweg. Für jede Firma soll der Name enthalten sein, die vollständige Anschrift, einschließlich Telefon-, Fax, Internet- und Email-Adresse, andere Unternehmen am gleichen Standort, die Steuernummern(n), Namen der Geschäftsführer/Vorstände und der leitenden Mitarbeiter, der Geschäftszweck, sowie die Anzahl der Mitarbeiter.

Es kommen nur sehr wenige Anbieter überhaupt in Frage, die Datenbestände über Firmen und daran Beteiligte weltweit und für alle Branchen anbieten könnten. Europäische Anbieter gehören eher nicht in diese Spielklasse. Die Namen amerikanischer Datenbankgiganten fallen einem ein, wie z.B. Reed-Elsevier oder Lexis-Nexis oder eben andere Big Player aus dem Datenbroker-Gewerbe. Auch wenn Firmen als primärer Gegenstand der von Europol nachgefragten Datenbank nicht datenschutzrechtlich geschützt sind, gilt dies nicht für alle Gesellschafter, Geschäftsführer und leitenden Mitarbeiter, die im Zusammenhang mit diesen Firmen genannt werden, jedenfalls dann nicht, wenn es sich um europäische Staatsbürger handelt.

Wenn es also, wie zu erwarten ist, auf den Einkauf bei einem amerikanischen Anbieter hinausläuft, ist allerdings das Rechtsverständnis von Europol zu hinterfragen: Europäisches Datenschutzrecht?! Ja gerne, auf dem Papier. Doch wenn es um die Nutzung geht, nimmt man gerne die Daten, die man kriegen kann?! Ist das dann die Doppelzüngigkeit „neue Pragmatik“ der europäischen Polizeiarbeit?!

Quellen zu diesem Beitrag

[1] CDD Files Complaint on U.S./EU Safe Harbor for Data Privacy at FTC/ Filing Reveals Failure of U.S. Agreement to Protect European Privacy, 14.08.2014, Center for Digital Democracy
[2] Do You Know what a Data Broker is?, 07.03.2013, KMIR Youtube Channel
[3] Acxiom, heruntergeladen am 16.08.2014, en.wikipedia.org
[4] Acxiom, heruntergeladen am 16.08.2014, de.wikipedia.org
[5] Chat led to Acxiom Hacker Bust, 20031219, SecurityFocus
[6] Spying on a see through world: the „Open Source“ intelligence industry, January-March 2010, Statewatch Bulletin by Ben Hayes
[7] Dienstleistungsauftrag – Aufruf zur Interessenbekundung – Abonnements von Zugriffsrechten für eine Online-Datenbank mit Unternehmensinformationen (2014/S 152-272352), 09.08.2014, Tenders Electronic Daily (TED),

Schlagworte: , , , ,

Kommentare sind geschlossen