Rund um das Einkaufen ist ein datenintensives System entstanden: Händler, Auskunfteien und andere Unternehmen sammeln zahlreiche Daten, um Kunden möglichst individuell anzusprechen, die Zahlungsfähigkeit zu bewerten und Kundenprofile zu erstellen. Für den Kunden aber bleibt undurchschaubar, wo und wie er eingeordnet und bewertet wird. Datenschutz-Aufsichtsbehörden zeigen sich bei vielen Fragen nicht nur zahn-, sondern willenlos.
Anonymes Einkaufen verschwindet langsam, aber sicher: Tauschte man bis in die Siebzigerjahre hinein lediglich Ware und Geld aus, wobei auf dem Kassenbon nur die Preise der einzelnen Waren summiert wurden, wird heute meist mit Giro- oder Kreditkarte bezahlt. Das Kassensystem registriert dabei nicht nur die Bezahldaten, sondern auch den Namen jeder einzelnen Ware. Die Warendaten fließen in das Logistiksystem des Händlers ein und die Bezahldaten in die Bezahlsysteme, die letztlich wiederum Daten über die Kreditwürdigkeit eines Kunden generieren.
Eine Umfrage des von Handelsunternehmen getragenen „EHI Retail Institute“ unter 518 Unternehmen stellte kürzlich fest, dass der Anteil der kartengestützten Umsätze im deutschen Einzelhandel rund 42 Prozent beträgt. Eine andere Studie desselben Instituts stellte bei einer Umfrage unter 61 Handelsunternehmen fest, dass die meisten (54 Prozent) auf eine weitere Verlagerung vom Bargeld auf unbare Zahlungsmittel setzen.
Den jährlichen Rückgang schätzt EHI-Mitarbeiter Horst Rüter auf 1,5 Prozent pro Jahr. Schon in drei bis vier Jahren soll der Bargeldanteil weniger als die Hälfte betragen. Die Entwicklung werde, so Rüter, allerdings von den Unternehmen nicht vorangetrieben, weil die Kosten noch immer höher liegen als beim Barbezahlen: 0,3 Prozent des Umsatzes beim Bezahlen ohne Bargeld – 0,1 Prozent beim Bezahlen mit Bargeld. Der Grund für den Trend liege vor allem darin, dass besonders jüngere Kunden bargeldlos zahlen.
EC-Zahlung: Enge Grenzen, um Daten zu verknüpfen
Was bedeutet es für den einzelnen Kunden, wenn immer mehr Bezahldaten bei den Kassensystemen auflaufen? Aus Sicht des Datenschutzes ist vor allem die Frage interessant, ob die Bezahl- und die Warendaten vom Unternehmen zusammengeführt werden, um etwa den Kunden zu bewerben. Aus den USA sind entsprechende Fälle bekannt, in denen Kunden nach ihren Käufen speziell beworben wurden, ohne eine Kundenkarte genutzt zu haben.
Doch in Deutschland gibt es hierfür noch einige Grenzen. So werden beim Bezahlen mit einer EC-Karte nur Bankleitzahl und Kontonummer erfasst, aber nicht der Name des Kontoinhabers. Den erfährt der Händler erst im Falle eines Zahlungsausfalls von der Bank. Seitens der Händler, so berichtet Horst Rüter, gab es bislang nur sporadische Ansätze, den Namen des Kunden mit der EC-Karte zu verknüpfen, um diesen gezielt bewerben zu können. Üblich hingegen sind stadtteilbezogene Auswertungen, bei denen der Kunde an der Kasse etwa seine Postleitzahl mitteilt.
2010 machte das Unternehmen Easycash auf sich aufmerksam. Es hatte als Zahlungsverkehrsdienstleister von Handelsunternehmen offenbar Positivlisten auch von solchen Kunden geführt, die gar nicht nur durch Zahlungsausfälle auf sich aufmerksam gemacht hatten. Dabei sind allein Negativlisten allgemein akzeptiert, mit denen sich der Handel gegen das Risiko von Zahlungsausfällen absichert. Rund 400.000 Kontodaten mit Angaben über Ort, Zeitpunk und Höhe der Zahlungsvorgänge übermittelte Easycash an seine Tochterfirma, die Kundenkarten und Bonusprogramme anbietet. Der nordrhein-westfälische Landesdatenschützer verhängte deshalb 2011 ein Bußgeld in Höhe von 60.000 Euro gegen die Firma.
Bonuskarten wissen einiges, Onlinehändler wissen alles über Kunden
Eine klare Zuordnung von Kundenname und Kauf ist für Händler nur möglich, wenn der Kunde in die Nutzung seiner Daten ausdrücklich einwilligt. Das ist bei Kundenkarten und in Online-Shops der Fall. Mit der „Breuninger“-Kundenkarte etwa – die bereits in den Fünfzigerjahren vom gleichnamigen Kaufhaus eingeführt wurde – werden 80 Prozent aller Umsätze getätigt. Im Fall des Payback-Bonusprogramms mit einer Vielzahl an Partnergeschäften ist es theoretisch möglich, dass zum Beispiel Kaufhof erfährt, was der Kunde bei Rewe gekauft hat. Doch Datenschützer stellten schon vor einigen Jahren klar, dass die Daten nur in der jeweiligen Zweierbeziehung zwischen Payback und den Partnergeschäften genutzt werden dürfen – es sei denn, der Kunde hat einer weiteren Datenverwendung zugestimmt.
Anders ist das online: Hier erfahren die Unternehmen alles über den Kunden. Sie kennen seinen Namen, können seine Bezahlmoral einschätzen und sie wissen, was er kauft. Über die Jahre ergibt das aussagekräftige Käuferprofile. Je mehr ein Unternehmen anbietet, desto mehr erfährt es: Amazon etwa zieht über sein Family-Programm Rückschlüsse darauf, wann ein Kunde Nachwuchs erwartet. Über die Bestellhistorie weiß es, wie sich das Kind entwickelt. Über den Bücher- und Filmkonsum weiß das Unternehmen, was den Käufer interessiert. Und über alternative Lieferadressen weiß es, wer mit wem verbunden ist.
Neue Auswertungsverfahren, alte Zweckbindung
Nach Auskunft einiger Aufsichtsbehörden für den Datenschutz wurden die Data-Mining-Methoden von Online-Händlern wie Amazon, Ebay oder Zalando bislang allerdings nicht überprüft. Dafür gibt es bisher formell auch kaum Anlass, da der Kunde in der Regel zustimmt, rechtlich betrachtet also seine informierte Einwilligung erteilt hat, die Daten zu verwenden. In seinen Datenschutzbestimmungen muss der Händler dann darlegen, für welche Zwecke er die Daten verwendet.
Die großen Online-Anbieter wie Amazon arbeiten derzeit an ausgefeilten Techniken, um ihre Logistik zu verbessern. Von Amazon ist bekannt, dass es die Einkaufshistorie seiner Kunden nutzen will, um schon vor den Bestellungen zu wissen, wie hoch der Bedarf für bestimmte Artikel in bestimmten Logistikzentren sein wird. Amazon sucht derzeit nach Experten für „Maschinelles Lernen “, die das Angebot mit den neuesten Deep-Learning-Methoden weiterentwickeln sollen.
Deep Learning
Beim „Deep Learning“ werden riesige Datenmengen mit Techniken aus dem maschinellen Lernen zusammengebracht. Dabei überlässt man es der Maschine beispielsweise, aus Text- und Bilddaten selbständig neue Erkenntnisse zu gewinnen. Die Besonderheit: So sollen relevante Eigenschaften identifiziert werden, ohne dass der Programmierer diese ausdrücklich vorgegeben hat. Google-Forscher etwa ließen Massen an Youtube-Videos auswerten. Die Maschinen lernten, zwischen Videos mit Katzen und solchen mit Menschen zu unterscheiden. Auch Microsoft und Facebook haben in den letzten Jahren verstärkt Deep-Learning-Technologien erforscht oder darauf spezialisierte Unternehmen hinzugekauft.
Die Datenschutzgesetze schreiben jedoch vor, dass Kundendaten zweckgebunden zu nutzen sind. Das ist beim „Deep Learning“ und ähnlichen Techniken fraglich. Florian Glatzner vom Verbraucherzentrale Bundesverband sagt: „Letztlich wird hier die Zweckbindung aufgehoben, weil alles auf Vorrat gespeichert wird und der Zweck bei der Auswertung wegfällt. Die Loslösung des Zwecks sollte aber ohne Einwilligung des Kunden nicht möglich sein.“
Überprüft wird bis jetzt wenig
Die in der Artikel-29-Gruppe versammelten Datenschützer Europas haben dazu einen Vorschlag für die derzeit verhandelte Datenschutz-Grundverordnung ausgearbeitet (PDF). Bereits für das Sammeln von Daten zu solchem „Profiling“ fordern sie, ausdrückliche rechtliche Voraussetzungen festzuschreiben, nicht erst für spätere Verarbeitungsschritte. Inwieweit der Vorschlag – der von den Datenverarbeitern auch den Einsatz von datensparsamen Techniken (privacy by default) fordert – vom europäischen Ministerrat in den aktuellen Verhandlungen aufgenommen wurde, ist nicht bekannt.
Transparenz ist im Datenschutz zentral: Der Kunde muss wissen, was mit seinen Daten geschieht. Ob aber Online-Händler die Kunden in ihren Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen darüber ausreichend informieren, wurde bislang offenbar noch nicht überprüft. Der Verbraucherzentrale Bundesverband kennt keine solchen Überprüfungen seitens der Aufsichtsbehörden und hat auch selbst noch keine vorgenommen. Im Falle von Google steht demnächst allerdings eine neue Gerichtsentscheidung an: Hier monierte der Verband, dass Google zu ungenaue Angaben über den Zweck der Datenverarbeitung macht.
Glatzner stellt auch infrage, ob AGB, die ausgedruckt 60 Seiten lang wären, überhaupt ausreichend informieren. Fürs Verständnis sinnvoll wären Informationen in verschiedenen Darreichungsformen, wie es der Vorschlag der EU-Datenschutzreform vorsieht: Der juristische Text wird in eine allgemeinverständliche Kurzversion übertragen, diese wiederum zu Symbolen verdichtet. Gegenwärtige Praxis ist hingegen, dass die Nutzer bei aller Skepsis die Datenschutzregelungen ungelesen per Klick akzeptieren.
Amazon: Kundendaten auf Vorrat
Auch ohne die neuen Deep-Learning-Methoden ist zumindest die Zweckbindung im Fall Amazon fraglich. Das Unternehmen speichert die Kundendaten zum Beispiel über Bestellungen unbegrenzt lange. Kunden, die sich dagegen wenden, wird bislang empfohlen, doch ein neues Konto einzurichten. Was aber mit den alten Daten passiert und ob diese im Hintergrund nicht doch wieder mit den neuen Daten verknüpft werden, ist nicht bekannt. Der für Amazon zuständige luxemburgische Datenschützer konnte dazu keine Stellungnahme geben, da er im Urlaub ist – und keinen sprechfähigen Stellvertreter hat. Der Berliner Datenschutzbeauftragte Alexander Dix, der unter anderem für den Online-Versandhändler Zalando zuständig ist, sagt jedenfalls: „Im kommerziellen Bereich kann man gegen eine so lange Datenspeicherung kaum etwas tun, wenn der Kunde ausreichend informiert ist und der Händler kein Monopol hat.“
Nach dem Urteil des Europäischen Gerichtshofs zur Vorratsdatenspeicherung könnte der unbefristeten Speicherung von Kundendaten bei Online-Händlern aber eventuell doch ein Riegel vorgeschoben werden. Der renommierte Frankfurter Datenschutzexperte Spiros Simitis jedenfalls vertritt die Position, dass das Urteil nicht nur für staatliche, sondern auch für private Datenspeicherungen gilt: „Das Gericht hat mit seiner Entscheidung einen Regelungsgrundsatz formuliert, der bei jeder Verarbeitung personenbezogener Daten bedacht werden muss, gleichviel also, ob sie im öffentlichen oder im nichtöffentlichen Bereich stattfindet.“
Simitis sagt: „Wenn der konkrete Kontext der Nutzung nicht bestimmt werden kann und man überdies Angaben hat, die durchaus in unterschiedlichen Zusammenhängen verarbeitet werden könnten, sind die in Betracht kommenden Bereiche exakt anzugeben. Und man muss sich zugleich dessen bewusst sein, dass eine Verwendung nur innerhalb einer bestimmten, verbindlich vorgegebenen, am Verarbeitungsziel orientierten Frist erfolgen kann.“ Das Urteil des Europäischen Gerichtshof erlaubt Speicherungsfristen zwischen einem halben Jahr und maximal 24 Monaten. Bislang gibt es allerdings keine Datenschutz-Aufsichtsbehörden, die Online-Shops entsprechend prüfen und die Frage im Zweifel von Gerichten klären lassen wollen. Eventuell ist daher der Gesetzgeber gefragt, für die Datenspeicherung durch private Stellen Regeln aufzustellen. Der Entwurf für die Datenschutz-Grundverordnung sieht aber nicht vor, die Datenspeicherung bei privaten Stellen zu befristen.
Aufsichtsbehörden schlecht gerüstet
Für die Kundendaten von Amazon ist trotz deutscher Niederlassung die luxemburgische Aufsichtsbehörde zuständig. Ihren Tätigkeitsberichten aus den letzten drei Jahren lässt sich keine Prüfung entnehmen. Die Behörde, die auch für andere große Dienstleister wie Ebay, Paypal oder Yapital zuständig ist, ist für große Prüfungen aber auch kaum ausreichend ausgestattet: Inklusive des Dienstherrn arbeiten gerade einmal 14 Personen für die Behörde. Damit lässt sie sich mit den Aufsichtsbehörden von einzelnen Bundesländern wie Bremen (16 Mitarbeiter) oder Hamburg (17 Mitarbeiter) vergleichen. Es dürfte aber weniger die problematische Datenschutz-Aufsicht sein, die die großen Konzerne an den beschaulichen Standort Luxemburg zieht. Er bietet vor allem steuerrechtliche Vergünstigungen.
Ein weiteres Problem ist, dass sich die Aufsichtsbehörden über ihre Tätigkeiten nicht austauschen. Leiten etwa Bayerns Datenschützer Beschwerden über Amazon.de nach Luxemburg weiter, erfahren sie nichts über den weiteren Fortgang. „Nach derzeitigem Recht entscheiden die nationalen Datenschutzbehörden hier exklusiv“, sagt der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Auch wenn verschiedene Unternehmen eng zusammenarbeiten, könnte eine Kooperation sinnvoll sein. Etwa wenn Zalando mit Sitz in Berlin die Bonitätsauskunft Bürgel mit Sitz in Hamburg verwendet. „Eine Absprache bei Kontrollen durch verschiedene Aufsichtsbehörden bei kooperierenden Unternehmen ist wünschenswert, aber keine gängige Praxis“, sagt Marit Hansen, stellvertretende Leiterin der schleswig-holsteinischen Landesdatenschutzbehörde.
Wie die Zusammenarbeit der Behörden auf europäischer Ebene verbessert werden kann, soll ebenfalls in der kommenden Datenschutz-Grundverordnung geregelt werden. Doch die Regeln dafür sind noch im Ministerrat strittig. Derzeit arbeiten die Aufsichtsbehörden allein beim Thema Suchmaschinen zusammen. Eine engere Zusammenarbeit ist auch im Falle von Datenlecks geplant. Derzeit formiert sich eine Arbeitsgruppe „Data Breach“, an der sechs europäische Aufsichtsbehörden teilnehmen sollen. Luxemburg ist allerdings nicht dabei, obwohl es erst jüngst vom Datenleck bei Ebay betroffen war. Ebay hatte offenbar zuerst die Öffentlichkeit über den Hackerangriff informiert, statt ihn umgehend an die Aufsichtsbehörde zu melden. Ein Bußgeld soll es dafür bislang nicht zahlen.
Zügelloses Scoring, doch Datenschützer genügsam
Auch in einem anderen Bereich halten sich die Aufsichtsbehörden zurück: Seit 2009 können sie auch mathematisch-statistische Scoring-Verfahren überprüfen, deren rechtliche Grundlage Paragraf 28b des Bundesdatenschutzgesetzes bildet. Mit der zunehmenden Bedeutung von Online-Geschäften werden Scoring-Verfahren immer bedeutender für die Betroffenen.
Scoring
Beim Scoring geht es allgemein darum, ein bestimmtes Risiko oder andere Werte in einer mathematischen Kennzahl auszudrücken, dem Score. Scoring-Verfahren werden besonders von Auskunfteien verwendet, die die Kreditwürdigkeit von Kunden bestimmen. Es gibt aber auch Scores zum Beispiel für Marketing-Maßnahmen im Online-Bereich. Dafür werden nicht nur Kundendatenbanken verwendet, sondern auch soziodemografische Daten und Nutzungsdaten aus sozialen Netzwerken.
Bislang ist von einer erfolgreichen Prüfung der Auskunfteien auf ihre Scoring-Verfahren aber nichts bekannt. Der Hessische Datenschutzbeauftragte etwa hat die Schufa bis heute nicht selbst geprüft. Die Schufa legte dem Regierungspräsidium Darmstadt – der damaligen Aufsichtsbehörde – eigene Gutachten vor, die die Behörde akzeptierte. Bis heute genügt ihr die Auskunft, dass die Schufa die Statistik-Software „SPSS“ einsetzt. Eigene Untersuchungen will sie jedoch nicht erstellen.
Die Schufa weist darauf hin, dass der Gesetzgeber nicht thematisiert habe, welche Merkmale in den Scorewert einfließen dürfen. Nach den gesetzlichen Vorgaben dürfen Geo- und Adressdaten über die Kunden jedoch nur bis zu 50 Prozent darin einfließen – das wäre zu prüfen. Recherchen des NDR ergaben, dass diese Daten noch immer eine gewichtige Rolle spielen.
Hamburg will Scoring bei Auskunftei Bürgel prüfen
Ähnlich zurückhaltend zeigt sich auch Baden-Württembergs Datenschützer, der für die Auskunftei „Infoscore“ zuständig ist. Auch er hat das Auswertungsverfahren bislang nicht geprüft. Die erste Prüfung solcher Art dürfte daher wohl der Hamburgische Datenschutzbeauftragte vornehmen: Er prüft zurzeit das Scoring-Verfahren der Auskunftei Bürgel. Der Sprecher der Behörde räumt jedoch ein: „Es ist fraglich, ob wir derzeit personell der Lage sind, die behauptete Wissenschaftlichkeit unter mathematisch-statistischen Aspekten eigenständig zu überprüfen. Bestehende Zweifel müssen – die finanziellen Mittel vorausgesetzt – gegebenenfalls durch Einholung eines externen Gutachtens einer Klärung zugeführt werden.“
Als Stolperstein erweist sich im Moment aber ein vor wenigen Monaten ergangenes Urteil des Bundesgerichtshofs, das den Auskunfteien erlaubt, Scoring-Formeln als Geschäftsgeheimnis zu behandeln und den so ermittelten Score gleichzeitig unter den Schutz der Meinungsfreiheit stellt. Die Auskunfteien lehnen es ab, externe Untersuchungen für die Aufsichtsbehörden erstellen zu lassen. Das Risiko, dass Geschäftsgeheimnisse verraten werden könnten, erscheint ihnen trotz Vertraulichkeits-Vereinbarungen noch zu hoch; auch Strafen dafür könnten das Risiko nicht mildern.
Diese Blockadehaltung der Auskunfteien könnte nun wiederum die Hamburger Datenschützer ausbremsen. Das letzte Wort ist aber noch nicht gesprochen: Das Bundesverfassungsgericht soll sich nun mit dem BGH-Urteil befassen und darüber befinden, ob die Grundrechte auf Meinungsfreiheit und informationelle Selbstbestimmung ausreichend abgewogen wurden.
Fazit
Den europaweit tätigen Unternehmen im Onlinehandel stehen die Aufsichtsbehörden heute nahezu blind gegenüber. Das liegt auch am institutionellen Geflecht der Datenschutz-Aufsicht in Deutschland und Europa: Beschwerden werden an die zuständige Behörde weitergeleitet, aber ein Rückkanal fehlt. Aus den Erfahrungen anderer Behörden lässt sich auf diese Weise nicht lernen. Dabei wäre es wichtig, dass Aufsichtsbehörden auch ohne eine konkrete Kundenbeschwerde prüfen, ob bestimmte Geschäftsmodelle rechtskonform sind. Die Kunden selbst dürften schließlich nur in wenigen Fällen durchschauen, wann Rechtsverstöße möglich sind.
Die Datenschützer führen auch nur in Ausnahmefällen gemeinsame Kontrollen durch, die den komplexen Geschäftsmodellen begegnen könnten. Sie besitzen auch keine Infrastruktur, um solche gemeinsamen Kontrollen zu planen und durchzuführen. Die europäischen Datenschutz-Reform stockt derweil im Ministerrat, wo die Diskussionen intransparent sind. So ist nicht klar, inwieweit Verbesserungsvorschläge zum „Profiling“ und die Rechtsprechung des Europäischen Gerichtshofs überhaupt aufgegriffen werden.
Die Herausforderungen an den Datenschutz, die sich mit „Big Data“ und neuen Auswertungsmethoden wie Deep Learning stellen, sind offenbar zu hoch. Die Aufsichtsbehörden zeigen sich schon herkömmlichen Techniken wie dem Scoring nicht gewachsen. Auch fünf Jahre nach der entsprechenden Gesetzesänderung haben sie es nicht geschafft, das Gesetz tatsächlich anzuwenden. Offenbar sind sie nicht nur personell und fachlich unterbesetzt, sondern auch unwillig, schärfere Kontrollen vorzunehmen.