Mit Data Mining entlocken Unternehmen wie der Payback-Betreiber ihren Kunden unbemerkt lukrative Informationen. In Internet-Foren wie MySpace und StudiVZ stellen Millionen Nutzer ihr persönliches Profil sogar freiwillig zur Schau.
Christian K., 37 Jahre, aus dem angesagten Münchner Glockenbachviertel: Heute bei Apollo Optik eine fesche Sonnenbrille von Gucci gekauft. Dann schnell zum Drogeriemarkt dm reingesprungen und seiner Frau Monika, 43 Jahre, wie versprochen Intimpflege und Nachtcreme besorgt. Zu Hause für sie ein Parfüm im Online-Shop von Yves Rocher bestellt - um das Gewissen zu beruhigen. Denn seine 23-jährige Freundin Kati S. beglückte er gestern mit einem Strauß Rosen von Blume 2000 - auf dass die Buchung des Hotelzimmers bei NH Hotels für kommende Woche nicht vergebens sei. Unterwegs sein Cabriolet bei AraI noch eben mit dem Supersprit Ultimate 100 voll getankt. Trotzdem ist der Kontostand bei der ready bank immer noch im grünen Bereich.
Während all das geschieht, und ohne dass Christian K. auch nur die leiseste Ahnung davon hat, setzen ihm unbekannte Dritte seine Informationen zu einem aufschlussreichen Personenprofil zusammen.
Bereits jeder dritte deutsche Haushalt macht sich mit der Verwendung der Payback-Karte beim Einkaufen derart durchsichtig. Anhand der 18 Partnerunternehmen wie Aral, dm, Galeria Kaufhof, Obi, Linda Apotheken, Vodafone und Europcar, bei denen man mit der Karte Rabattpunkte sammeln kann, lässt sich ein genaues Konsum- und Bewegungsprofil des Einzelnen erstellen. Ort und Zeit des Einkaufs sowie Art und Preis der Waren werden exakt festgehalten. Ein hervorragendes Alibi-System - oder ein verräterisches Protokoll, je nach Sichtweise.
Von Unerfahrenheit oder Unwissenheit der Verbraucher kann indes keine Rede sein. Schon lange ist bekannt, dass Teilnehmer der sogenannten Kundenbindungssysteme freiwillig auf ihr "Recht auf informationelle Selbstbestimmung" verzichten. Laut einer Studie der MR&S Market Research & Services GmbH im letzten Jahr willigten 70 Prozent der Befragten in die Nutzung ihrer Daten zu Werbe- und Marktforschungszwecken ein. Bei den Themen "sorgfältiger Umgang mit den Daten" und "Einhaltung ~ aller gesetzlichen Bestimmungen" war das Vertrauen in Payback laut Studie sogar deutlich höher als in den Datenschutz generell in Deutschland.
Der Payback-Betreiber Loyalty Partner in München macht kein Geheimnis aus seiner "Datensucht". Klar ist, dass es für das Bonusprogramm nicht nötig wäre, die genauen Produktbezeichnungen zu speichern. Doch in den Hinweisen zum Datenschutz werden ausdrücklich die vermeintlichen Vorteile dieser Datenerhebung betont, wie die gezielte Versendung von Werbung. In den Datenschutzhinweisen des Konkurrenten Happy Digits heißt es, die Informationen seien bei Beschwerdefällen hilfreich.
Bereits mehrfach haben Datenschützer vor der mangelnden Transparenz und vor Verstößen gegen den Datenschutz der Sammelprogramme eindringlich gewarnt. "Ich habe bei einem Vortrag von definitiv unzulässigen Datenauswertungen bei Happy Digits erfahren. Als ich nachfragte, hieß es, ich hätte da etwas falsch verstanden", berichtet Thilo Weichert, Datenschutzbeauftragter am führenden deutschen Datenschutzzentrum Schleswig-Holstein in Kiel. Der Betreiber des Rabattsystems Payback bekam vom Verein FoeBud (Förderung des öffentlichen bewegten und unbewegten Datenverkehrs) bereits 2000 den ersten Big-Brother-Award, den "Oscar der Überwachung", verliehen.
Bedenklich ist vor allem, dass Rabattdienstleister wie Payback branchenübergreifend agieren, meint Rüdiger Grimm, Professor für IT-Risk-Management an der Universität Koblenz-Landau. Dadurch werden die Kunden aus verschiedenen Blickwinkeln für viele Unternehmen kalkulierbar. Grimm hält die Rabattaktionen ohnehin für eine Illusion des Geldsparens und findet es richtig, dass solche Firmen mit dem Big-Brother-Award an den Pranger gestellt werden. Payback ja oder nein - das ist also schlichtweg eine Glaubensfrage.
Das Anliegen der Data Mining betreibenden Unternehmen ist es in erster Linie, aus den riesigen Datenbergen, seien es Geschäfts-, Adress- oder Kontodaten, potenziell nützliche Muster herauszuarbeiten - Regelmäßigkeiten, Beziehungen und Abweichungen. Das Tückische am Data Mining: Am Computer werden Daten zusammengefügt und ausgewertet, die der Einzelne in dieser Konstellation nicht preisgegeben hat und wovon er auch nichts weiß.
Bei der Cluster-Analyse werden die Daten in mehrere Klassen eingeteilt - etwa Kunden für gezielte Werbung nach ähnlichen Kaufinteressen sortiert. Die Entscheidungsbaum-Analyse funktioniert mit Fragen, auf die es nur Ja- oder Nein-Antworten gibt. Damit können Abweichungen gemessen und Kunden als Absprungkandidaten identifiziert werden. Das Warenkorbverfahren gibt Informationen darüber, welche Produkte zusammen gekauft wurden, und wie wahrscheinlich es ist, dass ähnliche Produkte gekauft werden. Alle Verfahren können zum Erstellen von Kundenprofilen und zur Prognose von Kaufverhalten dienen. Das macht sich auch der Online-Buchladen Amazon zunutze und liefert seinen Kunden Empfehlungen.
Nicht immer ist der Informationsfluss so offensichtlich. Manche Datenkanäle sind auch nur zu vermuten. Wer an einem modernem 24-Stunden-Automaten eine DVD ausleihen will, muss bei der Anmeldung neben seinen Kontaktdaten samt Telefonnummer, E-Mail-Adresse und Geburtsdatum auch Personalausweisnummer und Fingerabdruck hinterlassen. Schließlich soll der DVD-Automat seine Kunden rund um die Uhr wiedererkennen können. Mit seiner Unterschrift auf dem Anmeldeformular gibt der Kunde allerdings einen Freibrief für die Nutzung, Auswertung und Weitergabe der Daten an Dritte.
Der Anmeldung wird zudem ein unscheinbarer Stempel "Mitglied bei Creditreform" aufgedrückt. Das ist eine Unternehmensgruppe mit Sitz in Neuss, die in erster Linie im Forderungsmanagement, sprich Schuldeneintreibung, tätig ist. Klar: Wer ausgeliehene Filme nicht zurückbringt, muss zahlen. Doch auf der Liste der Tochterfirmen steht auch das ebenfalls in Neuss ansässige Marketingunternehmen microm Consumer Marketing. Es wirbt im Internet damit, typische Kundenprofile ermitteln und Zielgruppen "hausgenau" identifizieren und lokalisieren zu können.
Mittels statistischer Verfahren können Haushalte auf Wunsch nach Finanzen, Mediennutzung, Gesundheit und Freizeit klassifiziert werden. Darüber hinaus kann man im Angebot wählen zwischen Umzugsanalysen, Automobildaten (Was sagen Größe, Leistung und Marke des Wagens über seinen Halter?) und Milieu-Daten (Ist die Person eher traditionsverwurzelt, konsumbetont oder trendorientiert?).
Als Fundgrube stehen auch Adressen der Deutschen Post zur Verfügung. Die lässt die Daten aus Nachsendeaufträgen von der Post Adress GmbH vermarkten, die sich im Kleingedruckten die Einwilligung für die Datenweitergabe bestätigen lässt. Dieses Vorgehen sei zwar eine gängige Methode, sie mache die Einwilligung aber rechtlich unwirksam, betont Datenschutzexperte Thilo Weichert.
Große Unternehmen wie Daimler-Chrysler, die Deutsche Bank und die Verlage Axel Springer und Gruner & Jahr gehören zu den Kunden von microm. "Die meisten Unternehmen bringen einen großen eigenen Datenbestand mit, den wir zunächst prüfen und vorverarbeiten, bevor die Analyse beginnt. Er wird mit zusätzlichen Daten angereichert, beispielsweise mit Altersangaben, die per Vornamenanalyse ermittelt wurden", erklärt Rolf Küppers, Bereichsleiter Research and Solutions bei microm.
Eine Bank möchte beispielsweise wissen, welche Kunden Absprungkandidaten sind. Darauflin ermitteln die AnaIysten die Eigenschaften derer, die in den letzten Monaten gekündigt haben und erstellen daraus eine Prognose. "Da wir nach bestimmten Strukturen suchen, werden aus Datenschutzgründen die Adressen nur für die Zuordnung der Sachinformationen verwendet und anschließend wieder gelöscht", erklärt Küppers. Zudem würden bei der Analyse immer fünf Haushalte gemeinsam betrachtet, damit man nicht einzelne Personen ausfindig machen kann.
Dabei wird das Werkzeug für die Datensuche immer wichtiger, denn der weltweite Datenhaufen wächst und wächst. Erstmals wagte nun die International Data Corporation (IDC) eine Prognose, wie sich das digitale Datenvolumen auf der Erde entwickeln wird. Während das weltweite Datenvolumen 1999 noch zwei Exabyte (Milliarden Gigabyte) umfasste, waren es 2006 geschätzte 161 Exabyte. Die IDC sagt voraus, dass sich durch die tägliche Datenproduktion und -übermittlung beim Telefonieren, Fotografieren, Filmen, Internet-Surfen und Fernsehen die Datenmenge bis 2010 jedes Jahr mehr als verdoppeln wird.
Zu dieser Datenexplosion kommt es vor allem durch den Umstieg von analogen zu digitalen Informationen. Dazu trägt besonders das Internet bei. Und: Jeder, der surft, produziert nicht nur Daten, sondern hinterlässt auch überall verräterische Spuren. "Im Internet lassen sich mit automatisierten Verfahren besonders leicht Querverbindungen herstellen", weiß Rüdiger Grimm. Offenbar macht die - scheinbare - Anonymität im Netz übermütig.
Ob beim Online-Kauf, bei Gewinnspielen oder in Communitys: Überall geben User freimütig ihre E- Mail-Adresse und persönliche Daten an. In sogenannten Social-Network-Portalen wie MySpace, Xing und StudiVZ stellen sie ihre Identität mit Fotos und Textblogs sogar bewusst zur Schau und liefern damit fertige Soziogramme (die manch einen sogar den Job gekostet haben sollen).
Die Anbieter des internationalen Studenten-Netzwerks StudiVZ standen wegen Sicherheitslücken schon oft in der Kritik. Auch das E-Mail-System von Google, GMail, ist in Verruf geraten, Textinhalte zu speichern. Gerade wurde das Unternehmen vom Datenschutzgremium der EU, der Artikel-29- Cruppe, wegen unzulässiger Datenverarbeitung angegriffen. "Ich gehe davon aus, dass die Anforderungen des Telemediengesetzes, das im März in Kraft getreten ist, von 90 Prozent der großen Anbieter nicht erfüllt werden", schätzt Thilo Weichen. Doch für weitreichende Kontrollen fehlen den Datenschutzbehörden Kapazitäten.
Rüdiger Grimm geht das Problem von der anderen Seite an: "Eigentlich müssten die Betreiber solcher Webseiten eine Datenschutzausbildung haben." Und er zieht einen Vergleich: "Früher war jeder ein Arzt, der ein gutes Kräutchen hatte, doch heute gibt es dafür eben eine jahrelange Ausbildung."
Unabhängig von Sicherheitslücken sind Rückverfolgungen im Internet problemlos möglich. Zum Beispiel beim Online- Shopping: Zunächst erhält der Webserver beim Einkauf nur die Informationen über das gekaufte Produkt. Dem lässt sich aber der Benutzername zuordnen, mit dem der Käufer eingeloggt ist. Und für den musste er sich zuvor mit seiner bürgerlichen Identität, sprich Name und Adresse, registrieren. "Diese Daten sind hinterlegt und im Handumdrehen zusammengesetzt". weiß Grimm. Rechtlich sind die Daten zwar voneinander getrennt: Die technischen Daten fallen unter das Telekommunikalionsgesetz, die Bewegungsdaten - also die Registrierungs-, Vertrags- und Kaufdaten - unter das Telemediengesetz. "Doch organisatorisch werden die Daten oft nicht getrennt", erklärt der IT-Sicherheitsexperte.
Auch auf der nächsten Ebene sieht Grimm Handlungsbedarf, denn: "Was passiert schon, wenn der Datenschutz verletzt wird? Man zeigt die Verdächtigen an und muss selbst Zeugen beschaffen - das führt oft nicht weit." Er bemängelt das Kontrollwesen in Deutschland: "Solange die betrieblichen Datenschützer den Vorständen unterstellt sind, können sie nicht unabhängig agieren."
Doch Datenschutz hin oder her, die Datenautobahn verbreitert sich unaufhaltsam. Derzeit arbeitet das Internet-Konsortium W3C an einer Standardisierung unterschiedlicher Datenformate im Internet, um es barrierefrei zu machen. Bald sollen weltweit Zugangsprotokolle und Verzeichnisse aller Internet- Seiten vereinheitlicht werden. Obwohl in diesem "Semantischen Web" dann noch leichter Daten und Informationen verknüpft werden können, befürwortet Grimm diese Entwicklung. "Das ist weniger eine technische als vielmehr eine kulturelle Frage: Die Menschen müssen lernen, mit dem Medium umzugehen", meint der Experte. Nur wer gewisse Sicherheitsvorkehrungen treffe, könne sich unbesorgt im Web tummeln.
Vor einer Verteufelung der technischen Methoden warnt auch Michael May vom Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme (lAIS) in Sankt Augustin: "Man muss klar zwischen erlaubten Datensammlungen und deren Missbrauch unterscheiden", erklärt der Leiter der Abteilung Knowledge Discovery. Er hat sich auf das Spatial Data Mining spezialisiert, bei dem Datensätze mit geografischen Informationen verknüpft werden.
Dafür interessieren sich einige Unternehmen. Im Auftrag des Fachverbands Außenwerbung hat May in allen deutschen Städten mit mehr als 50000 Einwohnern ermittelt. wie viele Menschen bestimmte Straßenabschnitte passieren, und damit die Reichweite der dort platzierten Plakatwände bestimmt. "Dieser Frequenzatlas ermöglicht erstmals eine Preisbestimmung, die ähnlich präzise ist wie bei Print und Fernsehen", erklärt der Informatiker.
Auch Mediziner nutzen das Data Mining als Informalionsquelle. Seit 2001 werden am Sylvia Lawry Centre for Multiple Sclerosis Research in München Daten von Patienten mit Multipler Sklerose (MS) aus der ganzen Welt zusammengetragen. "Fast alle großen Pharmafirmen haben sich vertraglich verpflichtet, uns ihre Heiligtümer, die Patientendaten, zur Verfügung zu stellen", freut sich der wissenschaftliche Direktor Martin Daumer. Die Daten wurden wichtig, als die klinische Forschung in eine Sackgasse geriet. "Es war nicht länger vertretbar, MS-Patienten, die an Placebo-Studien teilnahmen, über Jahre zumindest teilwirksame Medikamente vorzuenthalten", erklärt Daumer. Mittlerweile sind in der Datenbank die Krankheitsverläufe von etwa 30000 MS-Patienten festgehalten. Die Daten ersetzen nicht nur die Placebo-Studien, sie haben auch zu etlichen neuen und wirksameren Untersuchungs- und Behandlungsmethoden geführt.
Eine große Hilfe war Data Mining auch bei Herzuntersuchungen von Babys: Anhand von zehn Millionen archivierten kindlichen Herzschlägen wurde die Spanne der normalen Herzfrequenz von Kleinkindern ermittelt. Dabei stellte sich heraus, dass die normale Herzfrequenz um einige Herzschläge höher liegen kann, als die Experten bislang annahmen. Ein Beweis dafür, dass es manchmal gut ist, so viel aus den Daten herauszukitzeln wie irgend möglich.
Infobox 1:
Infobox 2:
Eine Frau, die Tamara heißt und heute in Deutschland lebt, ist im Schnitt 38 Jahre alt. Das lässt sich mithilfe der Vornamenanalyse herausfinden. Dafür hat das Marketingunternehmen microm die Altersverteilung aller Tamaras ermitteln, deren Geburtsdatum bekannt ist - und auch deren Wohnort. So ist eine Tamara im Osten meist älter (44 Jahre) als im Norden (36 Jahre), Westen (35 Jahre) oder Süden (34 Jahre). Auch Stadt-Land-Unterschiede können in die Analyse mit einfließen. Viele Unternehmen wollen das Alter ihrer Kunden wissen, um gezielt Werbung machen zu können.
Infobox 3:
Firewall und Antiviren-Programm
Jeder Rechner, der mit dem Internet verbunden ist, sollte eine Firewall und ein Antiviren-Programm haben. Kostenlose Programme sind sogar oft besser als kostenpflichtige. In Deutschland ist "AntiVir" (www.free-av.de) verbreitet, das einen guten Schutz vor Viren, Würmern und Trojanern bietet. Als kostenlose Firewall ist das Programm "Sunbelt Personal Firewall" zu empfehlen (www.sunbelt- software.com).
Entfernen von Spyware
Spyware heißen Programme, die persönliche Daten eines PC-Benutzers "ausspionieren" und an Dritte weitergeben. Es gibt gute, kostenlose Software, die diese Schnüffelprogramme findet und entfernt, zum Beispiel "Spybot - Search & Destroy" (www.safer-networking.org/de) und "AdAware" (www.lavasoft.de). Empfehlenswert ist der Einsatz mehrerer Programme, da nicht jedes alle Schädlinge findet.
Schutz vor Browser-Manipulation
Besonders bei älteren Browser-Versionen besteht die Gefahr, dass ein Lesezeichen, das zum Beispiel zum Online-Banking-Portal führt, manipuliert und mit einer anderen Seite verlinkt wird. So können Benutzername und Passwort an potenzielle Betrüger übermittelt werden. Solche Browser-Attacken, auch Hijacking genannt (von englisch "to hijack", "entführen"), werden durch unachtsames Surfen sowie aktive Elemente wie Java-Applets oder ActiveX-Komponenten ermöglicht. Diese Elemente lassen sich zwar deaktivieren, sie sind aber für manche Webseiten unerlässlich. Daher empfiehlt sich eine Browser-Einstellung, bei dervor der Ausführung von aktiven Elementen gefragt wird, ob man sie zulassen will.
Cookies regelmäßig löschen
Cookies sind Dateien, die Informationen über besuchte Webseiten auf der Festplatte des Computers speichern. Sie ermöglichen zum Beispiel bei Online-Shops das Ablegen von Produkten im Warenkorb. Mithilfe von Cookies werden daher Informationen über das Surfverhalten gespeichert, die sich für gezielte Werbung nutzen lassen. Ist das nicht gewünscht, sollte man Cookies entfernen. Bei modernen Browsern lässt sich einstellen, dass die Cookies nach jeder Sitzung automatisch gelöscht werden.
Infobox 4:
Internet
Wer keine unaufgeforderte Werbung erhalten möchte, kann sich in die "Robinsonliste" eintragen lassen: www.robinsonliste.de
Das kostenlose Buch "99+1 TIpps zum Datenschutz fürVerbraucher" gibt es bei den Beratungsstellen der Verbraucherzentrale Schleswig-Holstein: www.verbraucherzentrale-sh.de
Übersichtsseite "Ins Internet - mit Sicherheit" des Bundesamts für Sicherheit In der Informationstechnik: www.bsi-fuer-buerger.de
Liste von Dnline-Shops. die sich zum sicheren Umgang mit Daten verpflichtet haben: www.trustedshops.de
Cornelia Varwig
Bild der Wissenschaft, Leinfelden-Echterdingen, 01. August 2007
Original: http://www.bild-der-wissenschaft.de/bdw/bdwlive/heftarchiv/index2.php?object_id=31119574