fluter: Die Nachrichten über gestohlene Kundendaten häufen sich. Zuletzt musste der Fahrdienstvermittler Uber einräumen: Hacker haben 57 Millionen Kundeneinträge erbeutet und dafür Schweigegeld kassiert. Warum sind Kundendaten so wertvoll?

Nicola Jentzsch: Zunächst sollte man verstehen, dass es bei Schweigegeldzahlungen nicht immer um die gestohlenen Daten selbst geht. Durch den Datendiebstahl wird eine Firma mit einer ihrer Sicherheitslücken konfrontiert. Die gestohlenen Daten sind der Beweis für den Erfolg des Angriffs. Unter Umständen lässt sich durch die Daten der Angriff besser nachvollziehen.

Sind die Kundendaten einer Firma nicht auch deshalb wertvoll, weil man sie möglicherweise an die Konkurrenz verkaufen kann?

Mir sind keine Fälle bekannt, in denen gestohlene Daten an die Konkurrenz verkauft wurden. Es kann sich aber durchaus lohnen, Daten auf dem Schwarzmarkt an andere Kriminelle zu verkaufen. Dies ist dann der Fall, wenn mit den Daten Identitätsdiebstahl betrieben werden kann, wie dies mit Kreditkarteninformationen möglich ist. Das Geschäftsmodell ist dann nicht Erpressung, sondern Betrug. Auf Basis der gestohlenen Daten können Konten unter falschem Namen eröffnet oder Finanztransaktionen unter falscher Identität getätigt werden.

Was können Hacker mit anderen persönlichen Daten wie Adresse, Telefonnummer oder E-Mails anfangen?

jentzsch.jpg

jentzsch (Foto: Sebastian Heise)
Dr. Nicola Jentzsch leitet den Bereich Datenökonomie beim Think Tank
 „Stiftung Neue Verantwortung“ in Berlin (Foto: Sebastian Heise)

Es kommt auf das Land an. Zwischen den USA und Deutschland gibt es beispielsweise Unterschiede, was gesetzliche Regulierungen und Dokumentationspflichten angeht. In Deutschland kann man mit gestohlenen Marketingprofilen nicht unbedingt den großen Reibach machen. Das liegt daran, dass Firmen mit guter Unternehmenspraxis ihre Daten nach Herkunft katalogisieren. Das müssen sie, um gegenüber Datenschutzbehörden nachweisen zu können, woher ihre Daten stammen. Sie täten sich als Unternehmen also keinen Gefallen, wenn sie ihre Daten illegal auf dem Schwarzmarkt erwerben. In den USA wird Datenschutz laxer gehandhabt. Dort können Unternehmen auch Daten einer Person verkaufen, ohne deren Herkunft nachzuweisen. In Deutschland gilt ein grundsätzliches Verbot, persönliche Daten zu sammeln – mit dem Erlaubnisvorbehalt, dies unter bestimmten gesetzlichen Bedingungen doch tun zu dürfen.

Die EU-Länder haben vergangenes Jahr ihre Datenschutzgesetze mit der neuen Datenschutz-Grundverordnung vereinheitlicht – und auch verschärft. Ab Ende Mai müssen alle Firmen, die ihre Angebote an EU-Bürger richten, für erlittenen Datendiebstahl haften und Notfallpläne bei Datenklau vorweisen. Sind die Unternehmen darauf vorbereitet?

Seit Monaten ist in Unternehmen hektische Aktivität festzustellen, was die Umsetzung der EU-Datenschutz-Grundverordnung in die Unternehmenspraxis angeht. Natürlich versuchen Unternehmen, die Vorgaben zum Stichtag umzusetzen. Inwieweit dies Notfallpläne einschließt, ist schwierig zu beurteilen. Meines Erachtens wird mit der neuen Verordnung der Datenschutz nicht sehr viel strenger.

Warum nicht?

Zum Beispiel mussten Firmen schon unter der EU-Datenschutzrichtlinie von 1995 den Schutz der personenbezogenen Daten garantieren. Die neue Datenschutz-Grundverordnung führt zwar ein einheitliches Schutzniveau in ganz Europa ein und erhöht die Bußgelder bei Verstoß. Die Möglichkeit, sich gegen den Missbrauch seiner Daten zu wehren, gab es aber schon vorher. Erinnern Sie sich an die Klage des Studenten Max Schrems gegen Facebook!

Unternehmen sollten längst gelernt haben, offen mit diesem Problem umzugehen, denn die Frage ist nicht, ob sie gehackt werden, sondern vielmehr wann

Schrems konnte vor dem Europäischen Gerichtshof durchsetzen, dass ihn die irische Datenschutzbehörde gegen die Datenpraxis bei Facebook verteidigen muss. Auch wurde festgestellt, dass das EU-Schutzniveau für personenbezogene Daten in den USA nicht garantiert werden kann. Davon abgesehen aber denke ich nicht, dass sich wirklich etwas an der Praxis der datenbasierten Geschäftsmodelle der Firmen ändern wird. Die Grundlagen der Datenverarbeitung, zum Beispiel die Einwilligung, sind quasi dieselben geblieben.

Immerhin zwingt die neue Verordnung Unternehmen dazu, einen Datendiebstahl umgehend zu melden. Der Hack bei Uber hätte daher nie so lange geheim bleiben können.

Ja, nach der neuen EU-Verordnung hätte Uber die Behörden und Betroffenen über den Datendiebstahl informieren müssen. Die mehr als kritikwürdige Krisenkommunikation sagt schon viel über die mangelnde Transparenz bei solchen Hackerangriffen aus. Unternehmen sollten längst gelernt haben, offen mit diesem Problem umzugehen, denn die Frage ist nicht, ob sie gehackt werden, sondern vielmehr wann.

Wenn sich die Firmen nicht vor Hacks schützen können: Was bedeutet das für den User? Wieder Kontoüberweisungen ausfüllen statt Onlinebanking?

Als Nutzer wissen Sie nur: Es ist sicher, dass nichts sicher ist. Bei welchen Anbietern ihre Daten geschützt sind und bei welchen nicht, können Sie als Kunde kaum beurteilen. Man kann höchstens darauf spekulieren, dass große Firmen möglicherweise mehr Geld in den Schutz ihrer Daten stecken können. Aber auch bei großen Firmen gilt: Wenn sie wertvolle Daten besitzen, kann es auch sie treffen.

Firmen sind aber nicht nur Opfer von Datenklau. Sind Google, Facebook & Co. nicht selbst hinter möglichst vielen personenbezogenen Daten her? Hier sind wir Kunden nicht besorgt. Im Gegenteil: Wir rücken unsere Daten bereitwillig heraus. Wie erklären Sie sich das?

Für den Einzelnen ist es so gut wie unmöglich, zu kontrollieren, bei welchen privaten und beruflichen Kontakten die eigene Nummer im Telefonbuch steht

Das darf man nicht vermischen. Auf der einen Seite haben wir einen Einbruch in das Sicherheitssystem einer Firma, bei welchem illegal Daten entwendet werden. Das andere ist die freiwillige Entscheidung einer Person, einen Onlinedienst zu nutzen. Problematisch ist, dass der Nutzer nicht weiß, wie die Daten ausgewertet und ökonomisch verwertet werden. Er ist auch nicht darüber informiert, wie umfangreich die Datensätze sind, die innerhalb eines Unternehmens miteinander verknüpft werden. Und es ist Nutzern nicht klar, dass ein Internetunternehmen sogar offline Daten über sie zukauft, wie dies Facebook in den USA macht.

Firmen scheinen aber zunehmend auch über Unbeteiligte Daten zu sammeln. Wenn eine Person beispielsweise kein WhatsApp nutzt, ist es trotzdem wahrscheinlich, dass WhatsApp deren Telefonnummer hat, weil die Firma auf die Telefonbücher sämtlicher WhatsApp-Nutzer zugreift – ohne die Zustimmung der einzelnen im Adressbuch gespeicherten Personen.

Diese Praxis halte ich für sehr problematisch, insbesondere weil dies von einem marktbeherrschenden Unternehmen mit sehr vielen Nutzern vorgenommen wird. Eigentlich müsste jeder WhatsApp-Nutzer von all seinen Kontakten im Adressbuch eine Einwilligung für die Datenweitergabe an WhatsApp einholen. So hat es 2017 zumindest das Amtsgericht Bad Hersfeld entschieden. Das macht natürlich niemand. Für den Einzelnen ist es so gut wie unmöglich, zu kontrollieren, bei welchen privaten und beruflichen Kontakten die eigene Nummer im Telefonbuch steht. Vielmehr sollte diese Praxis der Datenerschließung von Haus aus komplett abgestellt werden.

Weiterführende Links zu den Themenkomplexen „Vorratsdatenspeicherung“ und „Datenschutz im Netz

Illustration: Bureau Chateau, Jannis Pätzold