Die Bedeutung von Personendaten in einer vernetzten Welt verstehen

Ein Smartphone verfügt über 14 bis 20 Sensoren. Ob wir es in der Hand halten oder bewegen, jede unserer Bewegungen wird in einen Datensatz umgewandelt. Sogar wenn wir das Smartphone auf den Tisch legen, bleiben bestimmte Sensoren aktiv und erzeugen Daten. Die Nutzung digitaler Medien für physische Handlungen erzeugt neue Daten, die ohne Einsatz von Technologie nicht direkt mit der entsprechenden Handlung in Zusammenhang stehen. Wenn man beispielsweise kontaktlos oder mit Karte bezahlt, werden nicht nur Angaben zur Person, zu den Einkäufen und zur Einkaufszeit gesammelt, sondern wir werden dank physischem Standort des Bezahlterminals genauer als mit einem GPS lokalisiert. Kaufe ich dagegen an einem Billettautomaten ein physisches Zugticket und bezahle mit Bargeld, werden keinerlei persönliche Angaben zu mir erzeugt. Ich kann von A nach B reisen und muss nur dieses bedruckte Stück Papier vorweisen. Kaufe ich ein Billett für die gleiche Strecke über die SBB-App, sieht dies völlig anders aus. Die App ist mit dem Internet verbunden und es werden Daten ausgetauscht. Ich werde beim Billettkauf nicht nur vom Bezahlsystem identifiziert, sondern das Billett enthält auch meine Personendaten. Die App wiederum möchte auf den Bewegungssensor meines Smartphones, auf meine Dokumente und auf die Geolokalisierung zugreifen. SBB Mobile enthält auch Werbe-Tracker (die deaktiviert werden können) und erhält Informationen von Drittanwendungen, die auf meinem Smartphone installiert sind, wie beispielsweise diejenigen von gewissen Google-Diensten. Wenn ich unterwegs dem Bahnpersonal mein Billett vorweise und die Gültigkeit des Fahrausweises überprüft wird, gibt dies auch Zugang zu meiner Identität (kaufe ich ein elektronisches Billett, muss ich meine Identität nachweisen können). Auf der einen Seite steht also ein bedrucktes Stück Papier, das nichts über meine Person verrät, und auf der anderen ein komplexes System, das sehr viel von mir preisgibt. Es weiss, wo ich bin und es erinnert sich an mich.

Profiling-Daten enthalten Informationen unter anderem zur Soziodemografie, Biometrie, Geolokalisierung und zum Nutzungsverhalten.

Stéphane Koch

Die Schweiz hat ihr eigenes Datenschutzgesetz, nämlich das Bundesgesetz über den Datenschutz (DSG); die kürzlich erfolgte Revision (nDSG) tritt am 1. September 2023 in Kraft. Für alle Online-Dienste ausserhalb der Schweizer Grenzen – wie beispielsweise Online-Shops, Soziale Netzwerke und vernetzte Objekte – gilt meistens die Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Die Schweiz gehört zur europäischen Region der Länder, für die der Schutz der DSGVO gilt.

Weltweit beträgt das gesetzliche Alter (definiert von den Leistungserbringern) für eine Anmeldung bei einem Dienst von META/Facebook, TikTok oder Snapchat beispielsweise 13 Jahre. Die DSGVO setzt jedoch ein Mindestalter von 16 Jahren fest. Dies entspricht dem Alter, ab dem eine Person zustimmen kann, ob sie ihre Personendaten zur Verfügung stellen möchte. Je nach Nutzungsbedingungen des Dienstes ist eine Einwilligung der Eltern bis zur Volljährigkeit mit 18 Jahren erforderlich. Für ein Kind ab 13 Jahren besteht dennoch die Möglichkeit, sich auf einer Social-Media-Plattform anzumelden, wenn ein Elternteil oder eine gesetzliche Vertretung einwilligt. Eine weitere Ausnahme ist die Schweizer Secure-Messaging-App Threema. Das gesetzliche Alter ist nur erforderlich, wenn Personendaten wie die Telefonnummer und/oder die Mailadresse mit dem Konto verbunden werden. Wird die App anonym genutzt, ist kein Einverständnis der Eltern erforderlich. Threema sammelt keine personenbezogenen Daten von Nutzer*innen.

Die DSGVO gibt Nutzer*innen die folgenden Rechte (die Revision der DSG, die nDSG, enthält ähnliche Angaben):

• Recht auf Information (Art. 14)
• Auskunftsrecht (Art. 15)
• Recht auf Berichtigung (Art. 16)
• Recht auf Löschung («Recht auf Vergessenwerden») (Art. 17)
• Recht auf Einschränkung der Verarbeitung (Art. 18)
• Recht auf Datenübertragbarkeit (Art. 20)
• Widerspruchsrecht (Art. 21)
• Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall (Art. 22)
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3)

Gemäss Datenschutzgesetz hat jede Person das Recht zu erfahren, welche Daten über sie gespeichert sind, und diese – wenn nötig – löschen oder korrigieren zu lassen.

Diese Aussage hört man oft, aber es ist nicht oder nicht mehr so einfach. Beispielsweise trifft dies weder auf die Secure-Messaging-App Signal noch auf Wikipedia zu. Beide Dienste sind gratis, aber ihr «Geschäftsmodell» basiert nicht auf der Auswertung und Monetarisierung von personenbezogenen Daten, sondern hauptsächlich auf einem offenen System und Spenden, oder zielt wie bei Wikipedia auf den Aufbau einer Enzyklopädie aus freien Inhalten ab. Das Gleiche gilt, wenn man für den Online-Dienst oder das vernetzte Gerät bezahlt. Die Bezahlung ist jedoch keine Garantie dafür, dass personenbezogene Daten nicht ausgewertet werden. Dass man mehrere hundert Franken für einen Smart-TV oder eine Smartwatch ausgibt, ändert nichts an der Tatsache, dass die Hersteller oder Dienstleister (beispielsweise im Zusammenhang mit Apps auf dem Smart-TV, wie Netflix, Disney oder auch die TV-Box) Personendaten monetarisieren und auswerten. Deshalb ist Sorgfalt geboten und davon auszugehen, dass immer, wenn eine direkte oder indirekte Internetverbindung genutzt wird, auch das Risiko besteht, dass Personendaten ausgewertet werden. In der digitalen Welt erzeugt jede Form von Interaktion mit einem Objekt Daten. Wer mit SIRI oder Google Assistant spricht, erzeugt zwangsläufig Datenflüsse, die von den jeweiligen Unternehmen ausgewertet werden. Daher ist es wichtig zu verstehen, wie die Dienste, die man nutzt, mit personenbezogenen Daten umgehen. Informationen über den Zugang und die Datennutzung können speziell auch bei Verkaufspersonal, Hersteller oder Leistungserbringer eingeholt werden. Suchmaschinen helfen bei Fragen ebenfalls weiter. Und das 24 Stunden am Tag, 7 Tage die Woche, ohne sich zu beklagen.

Die nationale Datenschutzbehörde Frankreichs (CNIL) definiert «Quantified Self» als eine Gesamtheit neuer Praktiken, die darin bestehen, die eigene physische Aktivität und Lebensweise zu analysieren: Gewicht, Blutdruck, verbrauchte Kalorien, Anzahl Schritte pro Tag, Herzfrequenz usw. Bei dieser Art von Messung kommen unterschiedliche Geräte wie Armbänder, Schrittzähler, Uhren oder Apps, die mit den Sensoren eines Smartphones verbunden sind, oder eine vernetzte Waage zum Einsatz. Meist werden die generierten Gesundheitsdaten, die von den vernetzten Objekten erzeugt werden, den Herstellern übermittelt, die sie monetarisieren; aber sie werden von den Nutzer*innen auch oft über Social Media geteilt. Nach Ansicht der CNIL verursacht das «Quantified Self» Probleme in Bezug auf Datensicherheit und -schutz.

Um den Wert personenbezogener Daten zu verstehen, reicht es, die Geschäftszahlen von META anzuschauen (zu META gehören Facebook, Instagram, Messenger, WhatsApp, Oculus/Meta Quest und NOVI). Im Jahr 2021 haben unsere Daten dem Unternehmen 118 Milliarden Dollar und ein Nettoergebnis von 39 Milliarden eingebracht. Diese Zahlen sind nicht nur interessant, um den Wert personenbezogener Daten zu verstehen. Sie zeigen auch, dass META ohne unsere Daten nicht existieren könnte. Dies wirft eine fast philosophische Frage auf: Könnten wir ohne META noch «existieren»? Zudem stellen wir fest, dass diese Dienste nicht nur «kostenlos», sondern paradoxerweise für das Unternehmen auch sehr teuer sind. Zieht man das Nettoergebnis vom Umsatz ab, bleiben rund 78 Milliarden Dollar übrig. Dies gibt eine Vorstellung von den Betriebskosten der Plattform, die mehr als 100 000 Personen auf der ganzen Welt beschäftigt. Die Mehrzahl der kostenlosen Dienste basiert auf dieser Art von Geschäftsmodell.

META sammelt personenbezogene Daten (alle ausgefüllten Felder, die Kontaktliste im Adressbuch auf dem Mobiltelefon – bewusst oder unbewusst geteilt – sowie das, was Freunde untereinander teilen) sowie Informationen zu sozialen Interaktionen und Interaktionen mit Inhalten beziehungsweise Interessen. Die Cookies von besuchten Partnerseiten, die von META vorgeschlagen werden, sind ebenfalls eine wichtige Datenquelle. Die Profiling-Daten enthalten Informationen unter anderem zur Soziodemografie, Biometrie, Geolokalisierung und zum Nutzungsverhalten. META verkauft personenbezogene Daten nicht direkt, sondern eine Art Zugang dazu. Sie werden in ein Tool integriert, eine Art Datenbank, die von allen konsultiert werden kann und in welcher Segmente oder Personengruppen gemäss unterschiedlichen Kriterien der gesammelten Daten in dieser Datenmasse identifiziert werden können. Man kann META bezahlen, um eine Publikation oder eine Werbung gezielt für bestimmte Nutzer*innen nach Geschlecht, Alter, Ort, Sprache und Interessen aufschalten zu lassen. Die Kundin kann auch den Ort vorgeben, wo die Publikation oder Werbung erscheinen soll: bei den Diensten von META (Facebook, Instagram, Messenger) oder auf Partnerwebseiten. META ermöglicht den Webseiten ausserdem, im Code der Seite einen Datentracker namens PIXEL zu installieren, um die Nutzer*innen genau zu verfolgen. Dieser unsichtbare Datentracker schafft eine Verbindung zwischen den verwendeten Seiten und den Diensten von META. Deshalb erscheinen gewisse Werbungen auf Webseiten Dritter, wenn man den gleichen Artikel zuvor auf Instagram oder Facebook gesehen hat, und umgekehrt (sog. Retargeting). Facebook erklärt: «Mithilfe von Cookies können wir denjenigen Personen, die bereits zuvor die Website eines Unternehmens besucht, seine Produkte gekauft oder seine Apps verwendet haben, Werbeanzeigen zeigen und ihnen auf dieser Aktivität basierende Produkte und Dienstleistungen empfehlen (...)». Sobald der Kunde die gewünschten Kriterien für seine Kampagne ausgewählt hat, wird er über die Anzahl Personen, die er erreichen könnte, informiert (der Sponsored Content wird aktiv in den Newsfeeds der Zielgruppe des Kunden angezeigt). Und sobald die Kampagne beendet ist, hat er Zugang zu den Statistiken, wie gut die anvisierte Zielgruppe tatsächlich erreicht wurde. Diese Daten werden neben der kommerziellen oder staatlichen Nutzung für das «Machine Learning» und die künstliche Intelligenz (1) verwendet ...

Personenbezogene Daten sind heute somit eine echte gesellschaftliche Herausforderung, sei es in Bezug auf den Schutz der Privatsphäre oder für die Demokratie. Nur wenn wir den Wert personenbezogener Daten und die unterschiedlichen Verwendungen davon verstehen, können wir bewusst darüber entscheiden, wie unsere Daten in Zukunft eingesetzt werden.

***
In einem späteren Artikel werden Tipps und Ansätze aufgezeigt, wie man mit Personendaten am besten umgehen und die Privatsphäre-Einstellungen verwalten kann.

(1) Machine Learning ist ein Teilbereich der künstlichen Intelligenz, mit der Computer lernen können, ohne explizit dafür programmiert zu sein. Für die Weiterentwicklung benötigen die Computer jedoch Daten, die sie analysieren und mit denen sie trainieren können. Big Data ist der Kern von Machine Learning; diese Technologie kann das Potenzial von Datenbeständen voll und ganz ausschöpfen.
Mehr Informationen dazu finden Sie hier.