Alle Jahre wieder veröffentlicht die Firma Xamit ihr Datenschutzbarometer

http://www.xamit-leistungen.de/studienundtests/index.php

Ist lustig zu lesen, sichert jede Menge Aufmerksamkeit, die in kürzester Zeit wieder verpufft. Dem Geschäftsmodell der Firma wird es aber nicht schaden. Das folgt dem Motto: Wir machen alles – außer Arbeit.

Endlich räumt mal jemand mit den FUD-Geschichten vom googelnden Personalchef auf, der seine Entscheidung anhand längst verjährter Partyfotos aus Studententagen fällt:

»Es ist noch nicht lange her, da wurden Bewerber vor Personalchefs gewarnt, die angeblich nichts Besseres zu tun hatten als von morgens bis abends nach verfänglichen Partyfotos und peinlichem Privatkram im Internet zu stöbern.
(…)
Jetzt zeigt eine Studie, dass der Alarm übertrieben war. Denn bisher interessieren sich die wenigsten Personalexperten für soziale Netzwerke.«

(sueddeutsche.de: Soziale Netzwerke – Der Spion schläft)

Plausibel waren diese Geschichten ohnehin nie. Partyfotos liefern einfach keine relevante Information über einen Bewerber.

Datenschützer nerven. Folgt man den Medienberichten der letzten Zeit, so scheint ihre Arbeit nur noch um grotesk Irrelevantes zu kreisen. Die langjährigen Lieblingsthemen: IP-Adressen als personenbezogene Daten und formale Nörgeleien an Google Analytics. Relevant ist das kaum und es interessiert auch keinen. Warum tun die Datenschützer das?

Vielleicht versuchen sie nur, mit einer Situation umzugehen, die sie zur Hilflosigkeit verdammt. An den Stellen, an denen es darauf ankäme, ist Datenschutz politisch nicht oder nur als formalistisches Deckmäntelchen gewollt. Eigentlich müssten sich Datenschützer mit Vorratsdatenspeicherung und Bankdatentransfer beschäftigen, aber auf diesen Gebieten werden sie von vornherein durch die Politik übergangen.

Ähnlich machtlos ist der Datenschutz gegenüber dem Gegenstand seiner Bemühungen, dem Bürger. Der macht von seinem Recht auf informationelle Selbstbestimmung Gebrauch: er unterschreibt fröhlich Verträge für Rabattkarten und hat zu Hause ein Trojanisches Pferd auf dem PC, das ihm beim Online-Banking zuschaut.

Das lässt den Datenschützern zwei Möglichkeiten. Sie könnten erstens das Scheitern der Idee Datenschutz eingestehen und ihre Ämter niederlegen. Was aber auch nur einen personellen Wechsel zur Folge hätte, ohne das Problem zu beseitigen. Oder sie können sich zweitens neue Betätigungsfelder suchen, die zwar nicht relevant sind, auf denen ihr Gegner aber nicht so haushoch überlegen ist wie im Kampf gegen die Politik. Diese Möglichkeit haben sie gewählt und deshalb beschäftigen sie sich mit Diskussionen über IP-Adressen als personenbezogene Daten, über Google Analytics und ähnliche Themen.

Vielleicht ist ihnen sogar bewusst, dass das eine Ersatzbefriedigung mit einem nur sehr vagen Realitätsbezug ist. Aber irgendwie müssen sie vor sich und der Welt rechtfertigen, Datenschützer zu sein. Die Alternative wäre das Eingeständnis, ein totes Pferd geritten zu haben, und das fällt keinem leicht. Auch wenn es nervt, menschlich verständlich ist das alles schon.

(Erweiterte Fassung eines Kommentars im Heise-Forum)

Ergänzung: Zur angeprangerten Nutzung der IP-Adresse für die Geolokalisierung  steuert User REPNZ im Forum noch diese schöne Bemerkung bei: »…wissen das auch “Angelica and Sheila from Offenbach”, die immer mal wieder mit mir “chatten” oder “daten” wollen?« Das ist eine sehr gute Frage, denn so ziemlich alles, was Google Analytics technisch anstellt, um Daten zu erfassen und auszuwerten, findet tausendfach an anderer Stelle auch statt, ohne dass es angeprangert würde.

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Statt der gefühlten Sicherheit hätte mich mal die forensischen Kennzahlen von nachgewiesenen oder angezeigten Delikten interessiert. Wenn man sich die Polizeiliche Kriminalstatistik für 2008 jedoch ansieht, dann stellt man bei der Wirtschaftskriminalität einen Rückgang fest. Seit 2007 steigt da nix mehr und auch 2008 ist der Wert um 3,8 Prozent gesunken. Dafür stieg die  Computerkriminalität  um 60 %, wobei hier vor allem Datenfälschung und Onlinebetrug über die Hälfte ausmachen. Wie hoch der unternehmerische Anteil an den Delikten liegt, ist unklar – oder ist jeder Kriminelle eine Ich-AG? Aber auch das Verhältnis zwischen Industrie- und Wirtschaftsspionage bleibt komplett ausgespart.

Vor wem muss ich mich denn jetzt mehr fürchten, vor China oder den lieben Kollegen? Und sind das immer ausländische Unternehmen oder wird auch innerhalb Deutschlands fleißig spioniert? Welche Firmen sind eigentlich besonders bedroht – nur Siemens oder auch Schlosserei Schmidt? Sind gewisse Branchen vielleicht besonders bedroht, oder ist das Bäckerhandwerk genauso gefährdet wie die Pharma-Industrie? Wie hat sich im Rahmen der Krise die Spionage durch eigene Mitarbeiter entwickelt? Hat eigentlich jedes Bundesland eine eigene Spionage-Abwehr? Auch das Saarland? Und machen die alle Filmchen und lustige Tests, bei denen jeder Absolvent gefährdet ist? Die Nähkästchen von Spionage-Abwehr/Verfassungsschutz haben hoffentlich mehr zu bieten als solch halbgare Awareness. Immerhin klärt einen die Info-Broschüre mal über die lustigen Namen der ausländischen Chefspione auf. Jetzt wo ich weiß, dass Zhong Chan Er Bu  aus China kommt und Guojia Anaquaanbu  aus Russland, da fühle ich mich schon viel sicherer.

Seen by some cctv-cameras in the backgrounds and a colleague at this year’s Infosecurity Europe in London – “Europe’s No. 1 dedicated security event”. Ah those security nerds just know no fear…

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
“Besondere Herausforderung” soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Während die Bundesregierung hofft, das Vertrauen ins Netz durch sichere Authentizifierung mit dem elektronischen Personalausweis zu stärken, predigen Kinder- und Jugendschützer das Gegenteil. Man möge im Netz gefälligst unter einem Phantasienamen auftreten und keinesfalls so, wie man wirklich heißt. Die offensichtlichste Folge dieses gerne beherzigten Tipps dürfte verstärktes Cyber-Mobbing sein, denn im Schutz der Pseudonymität pöbelt es sich gleich viel leichter. Ein Großteil der sozialen Selbst- und Fremdkontrolle fällt weg, wenn sich jeder von sich distanziert und unter einem Phantasienamen versteckt. Nicht umsonst ist die Diskussion um Reralnamen vs. Pseudonyme so alt wie das Netz.

Zuerst aber stellt sich die Frage, was denn eigentlich so schlimm daran ist, sich im Netz unter dem Namen zu bewegen, den man seit seiner Geburt trägt. Was, außer dem guten Gefühl, etwas getan zu haben, gewinnt man dadurch? Was kann mit im Netz passieren, wenn ich meinen Namen verrrate, das mir unter einem Pseudonym nicht passieren kann, und warum ist das Auftreten unter einem Pseudonym eine korrekte und sinnvolle Lösung des Problems?

Wie das Darmstädter Echo berichtet, hat die SEB-Bank in der Darmstädter Rheinstraße scheinbar vertrauliche Konto- und Schufa-Unterlagen unsachgemäß entsorgt. Sicher ist bislang nur eins, ein Filial-Mitarbeiter hat wilde Vermutungen zur Schuldfrage angestellt. Seine Vermutung: Die Putzfrau wars. Ist das jetzt sexistisch, dumm – oder beides?

Kryptologie-Nerds mit ausgeprägter Paranoia dürfte die Lösung nicht überzeugen, weil sie grundsätzlich niemandem trauen und jeder hinter ihnen her ist, aber die Idee ist trotzdem gut:

»Die PrivacyBox soll es in erster Linie Journalisten, Bloggern und anderen Publizierenden ermöglichen, eine vorratsdatenfreie (und auch anonyme) Kontaktmöglichkeit für Informanten anzubieten. Sie steht aber auch weiteren Interessierten offen.«

Die PrivacyBox stellt als Grundfunktion gerichtete anonyme Kommunikation über ein Web-Interface zur Verfügung. Der Empfänger ist nur durch ein Pseudonym gekennzeichnet, der Sender liefert seine Nachricht über ein Web-Formular ab. Krypto-Voodoo mit TOR und PGP ist optional möglich, wird aber nicht erzwungen. Das ist Sicherheit für normale Menschen. Wir brauchen mehr davon.

Der Schaden durch einen Angriff und der Gewinn des Angreifers sind weitgehend unabhängig voneinander. Dass ein Datensatz 57 Cent kostet, sagt deshalb wenig über den Schaden aus, den eine Datenpanne verursacht. Der ist vielleicht viel größer:

»Die durchschnittlichen Kosten einer Datenpanne lagen demnach in Deutschland 2008 bei etwa 112 € pro einzelnem Datensatz. Die Gesamtkosten einer Datenpanne beliefen sich bei den von Ponemon untersuchten Firmen stets im 6-7stelligen Bereich pro Ereignis.«

(Blog zur IT-Sicherheit:
Gibt es eine Rendite der IT-Sicherheit?)

Was heißt das nun? Steht dem Angreifer ein Hebel zur Verfügung, wenn er es vor allem auf den Schaden und nicht auf seinen Nutzen abgesehen hat? Oder dient dieser Hebel vor allem dem Verteidiger, der nur den geringen Gewinn des Angreifers unattraktiv machen muss, um einen viel höheren Schaden zu verhindern?

T5F

Datenwäsche:

»Offenbar dienen manche Gewinnspiel-Web-Sites dazu, illegal erworbene persönliche Daten zu legalisieren, ohne dass Rückschlüsse auf die wahre Identität des Eingebenden möglich sind.«

(WirtschaftsWoche: Ungewollte Abbuchungen: Erstes Opfer des Bankdatenskandals von Dezember 2008)

profilaktisch

(Ausnahmsweise mit Kontext: »Die Aufnahmen würden nur profilaktisch gemacht, um Beweismaterialien zu haben, sofern es zu Ausschreitungen komme,« zitierte das Darmstädter Echo einen Polizeisprecher zu Videoaufnahmen während einer Demonstration.)

DNS-Untersuchungen sind aus der Kriminalistik nicht mehr wegzudenken. Sie sind nützlich, denn sie helfen dabei, Spuren auszuwerten, die Täter nur schwer vermeiden können. Kein Zellmaterial an einem Tatort zu hinterlassen, ist schwer. Hinzu kommt die – theoretisch – hohe Aussagekraft des Spurenvergleichs, eines standardisierten Verfahrens mit geringer inhärenter Fehlerquote. Davon darf man sich allerdings nicht verführen lassen, dem Verfahren blind zu trauen. Auch DNS-Untersuchungen bieten keine Garantie der Fehlerfreiheit:

»Although best known for clearing the wrongfully convicted, DNA evidence has linked innocent people to crimes. In the lab, it can be contaminated or mislabeled; samples can be switched. In the courtroom, its significance has been overstated by lawyers or misunderstood by jurors.«

(The Risks Digest Volume 25, Issue 50:
The danger of DNA: It isn’t foolproof forensics (Dolan/Felch))

Die tatsächliche Fehlerrate im praktischen Einsatz dürfte deutlich höher liegen als die theoretische des Abgleichs. Dazu kommen mögliche Fehler an anderen Stellen, etwa in der Zuordnung von Spuren zur Tat. Nicht alles, was man an einem Tatort findet, hat auch mit der untersuchten Tat zu tun. Das gilt erst recht für Hautschuppen, Haare oder Zigarettenkippen mit Speichelresten, die auf alle möglichen Arten an einen Tatort geelangt sein können.

Ein Problem kann aus überschätzten DNS-Untersuchungen werden, wenn man damit in großen Grundmengen nach Tätern sucht, über die man sonst wenig weiß. Also bei Massengentests zum Beispiel, oder auch beim Einsatz großer DNS-Datenbanken. Ein Treffer in einer solchen Untersuchung kann weitere Ermittlungen rechtfertigen, aber er darf alleine nicht für  eine Verurteilung genügen.

Ergänzung 2008-01-15: Im Fall des Passauer Polizeichefs Mannichl zum Beispiel tappt die Polizei immer noch im Dunkeln – und sammelt in ihrer Verzeiflung rund um den Tatort Zigarettenkippen. Dabei weiß man vermutlich nicht einmal, ob der Täter überhaupt raucht.

Schön, dass wir das endlich empirisch geklärt haben. Siebenundfünfzig Cent kostet also ein Personendatensatz mit Bankverbindung.

»Die Bankdaten von rund 21 Millionen Menschen wurden Journalisten offenbar für knapp zwölf Millionen Euro angeboten.« (Welt Online)

Was folgt daraus? Als Wissenschaftler müssen wir uns das in Ruhe überlegen und dann auch noch prüfen, ob unsere Ideen richtig sind. Einige Überlegungen drängen sich auf:

1. Technischer Datenschutz lohnt sich nur dort, wo viele Datensätze gemeinsam vorliegen oder weitaus detailliertere Informationen gespeichert sind.
2. Wer mit  seinen Basisdaten – Name, Adresse, Telefonnummer, Geburtsdatum, Bankverbindung – so sorglos umgeht, wie wir das immer schon getan haben, liegt damit vollkommen richtig. Dass sich daran jemand 57 Cent verdient, können wir hinnehmen.
3. Aber (2) ist nur die halbe Wahrheit. Der Schaden des Opfers muss nicht proportional sein zum Gewinn des Angreifers. Über die Schäden wissen wir zu wenig.
4. Das macht aber nichts, denn (2) begrenzt den Aufwand für Gegenmaßnahmen: wir müssen den Aufwand pro Datensatz nur um höchstens 60 Cent (praktisch wohl weniger) erhöhen, dann lohnt sich die Sache nicht mehr.
5. Oder die Daten werden dann um 60 Cent teurer und sonst ändert sich nichts.
6. Aus dem Preis eines einzelnen Datensatzes oder der gesamten Sammlung können wir nicht schließen, wann sich die Nutzung der Daten lohnt. Dazu müssten wir wissen, was damit angestellt wird und welchen Gewinn es verspricht.
7. Die Umrechnung des Preises auf einzelne Datensätze muss nicht sinnvoll sein. Vielleicht liegt der Wert gerade in der Sammlung.

Und nun? Nun sind wir auch nicht schlauer als vorher. Kennt jemand ein Modell, mit dem wir einschätzen können, wie schlimm so ein Datenhandel ist und unter welchen Umständen er sich für wen lohnt?

Ergänzung 2009-01-19: Datendealer kommen mit einer kleinen Geldstrafe davon.

Klingt wie ein Widerspruch, ist aber keiner: wer in sozialen Netzen Informationen über sich preisgibt, verzichtet damit noch lange nicht auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung. Theoretisch jedenfalls, denn in der Theorie steht jedem die Kontrolle über die Verwendung seiner personenbezogenen Daten zu. Wieviel Kontrolle man jedoch als Nutzer in der Praxis behält, hängt davon ab, welche Möglichkeiten die verwendeten Plattformen bieten.

Unser Kollege Andreas Poller hat sich genau mit dieser Frage beschäftigt. Herausgekommen ist eine Studie, die Mechanismen zum Schutz der Privatsphäre in sieben Plattformen für soziale Netze untersucht. Angeschaut hat er sich die größten und bekanntesten Plattformen: myspace, facebook, studiVZ, wer-kennt-wen, lokalisten, XING und LinkedIn. Alle Kriterien und Ergebnisse sowie praktische Tipps für Nutzer gibt es hier:

Andreas Poller, Privatsphärenschutz in Soziale-Netzwerke-Plattformen, 124 Seiten.

Update 2008-09-27: Einige Blogreaktionen gibt es inzwischen auch, etwa bei Bräkling.de (sorry für die Linking Policy, die hat die Zentrale verbrochen), bei den Blogpiloten,in DOBSZAY’s Ansichten und Einsichten sowie im roloblog. Die vielen Hinweise auf die Golem- und Heise-Artikel und Weiterverbreitungen der Pressemitteilung zähle ich nicht einzeln auf, das kann Google besser.

Nicht alles, was plausibel klingt, ist auch richtig:

»Personaler schnüffeln immer und überall. Kaum liegt die Bewerbermappe auf dem Tisch, wird gegooglet, geyoutubt, geflickert, gefacebookt, gexingt, gelinkedint, gemyspacet, werden Spezialdienste wie Stalkerati, Technorati oder Yasni angesurft.

Meinungsäußerungen, Hobbies, Vorlieben, Neigungen – kein noch so kleines Detail in der Vita eines Kandidaten bleibt ihnen verborgen, alles wird gesammelt und in einem so genannten B-Profil ausgewertet, so der gängige Medien-Tenor. Doch ist dem wirklich so? (…)«

(FAZjob.NET: Karrieresprung: Bewerber googeln – oder lieber doch nicht?)

Selbstverständlich interessiert sich kein Mensch für die Studentenpartyfotos im Netz, und falls wider Erwarten eine Firma ihre Personalauswahl auf solche Kindereien stützt, möchte man dort nicht arbeiten. Reputationsmanagement durch Löschen dürfte sich deshalb in der Regel erübrigen und ganz dumm wäre es, im Netz überhaupt keine Spuren zu hinterlassen.

Das soll keine Einladung zum sorglosen Umgang mit sich selbst im Netz sein. Aber unrealistische Bedrohungsszenarien sind selten die Grundlage eines brauchbaren Sicherheitskonzeptes und wer sich von Angst lähmen lässt, wo andere etwas tun, der kann nur verlieren.

Jetzt tun wir mal etwas völlig Beklopptes, denn damit rechnen sie nicht. Musterklagen sind für Weicheier und bloggende Anwälte. Ich bin weder das eine noch das andere, dafür aber gelernter DDR-Bürger. Was uns, respektive dem Bundeszentralamt für Steuern, das nachfolgende Schreiben beschert:

Bundeszentralamt für Steuern
An der Küppe 1
53225 Bonn

Widerspruch gegen die Zuteilung einer Identifikationsnummer nach § 139b AO

Sehr geehrte Damen und Herren,

mit Schreiben vom … teilen Sie mir die persönliche Identifikationsnummer … zu. Gegen diese Zuteilung lege ich Widerspruch ein.

Begründung:

Ich war von meiner Geburt am … bis zum Inkrafttreten des Vertrages zwischen der Bundesrepublik Deutschland und der Deutschen Demokratischen Republik über die Herstellung der Einheit Deutschlands Bürger der Deutschen Demokratischen Republik. Während dieser Zeit hatte ich meinen einzigen Wohnsitz ohne Unterbruch auf dem Staatsgebiet der Deutschen Demokratischen Republik.

Die Deutsche Demokratische Republik hat ab dem 1. Januar 1970 allen ihren Bürgern eine eindeutige Identifikationsnummer zugeteilt, die sogenannte Personenkennzahl (PKZ). Mir wurde nach meiner Geburt die persönliche Identifikationsnummer … zugeteilt.

Artikel 19 des Vertrages zwischen der Bundesrepublik Deutschland und der Deutschen Demokratischen Republik über die Herstellung der Einheit Deutschlands bestimmt: „Vor dem Wirksamwerden des Beitritts ergangene Verwaltungsakte der Deutschen Demokratischen Republik bleiben wirksam.” Um einen Verwaltungsakt handelte es sich zweifellos bei der Zuteilung einer lebenslang gültigen persönlichen Identifikationsnummer durch die Behörden der Deutschen Demokratischen Republik.

Die persönliche Identifikationsnummer … wurde mir zu keinem Zeitpunkt vor dem 3. Oktober 1990 durch eine dazu berechtigte Behörde der Deutschen Demokratischen Republik entzogen. Die persönliche Identifikationsnummer … wurde mir auch zu keinem Zeitpunkt nach dem 2. Oktober 1990 durch eine dazu berechtigte Behörde der Bundesrepublik Deutschland entzogen.

§139b (1) AO bestimmt: „Eine natürliche Person darf nicht mehr als eine Identifikationsnummer erhalten.”

Die Zuteilung der persönlichen Identifikationsnumemr … steht mithin im Widerspruch zum geltenden Recht, da mir bereits zum Zeitpunkt meiner Geburt die persönliche Identifikationsnummer … zugeteilt und nachfolgend nicht entzogen wurde.

Mit freundlichen Grüßen

Sven Türpe

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

Manche Leute haben Angst vor Google. Weil Google Daten sammelt und versucht, daraus so viel über uns zu lernen, dass Google-Werbung besser funktioniert als andere. Mir fällt das schwer, weil ich zielgerichtete Werbung für einen Mythos halte. Google gibt mir Recht:

Oder habe ich einen Cyberwar verpasst?

»Wenn du öffentliche Videos einstellst, vergewissere dich, dass sie nichts enthalten, was Fremden Aufschluss darüber geben könnte, wer du bist oder wo du wohnst. Gib persönliche Daten wie deine Telefonnummer oder Postanschrift NIEMALS an andere Nutzer weiter. Achte auf Dinge wie Nummernschilder auf Autos oder Außenaufnahmen deines Hauses, die vielleicht im Hintergrund eines Videos zu sehen sind und Fremden dabei helfen können, dich zu finden.«

(http://de.youtube.com/t/safety)

Die taz meint es ernst. Heute ist Manfred Kriener dran, und wie gestern schon seine Kollegin Ulrike Herrmann schreibt er die Titelseite mit Unsäglichem voll:

»Unumstößlich ist: Die Daten wurden weder gestohlen noch gelöscht, sie befinden sich alle unversehrt auf dem Zentralcomputer der Bank. Stehlen kann man aber nur, was nachher nicht mehr da ist. Der Zumwinkel-Vorwurf der “Hehlerei” geht also ins Leere. Dies war kein Datenklau, sondern eine Datenkopie. Womöglich hat ein Bankangestellter nur eigene Dateien kopiert.«

Na dann ist ja alles gut. Freuen wir uns also auf den Bundestrojaner, denn nach einer Online-Durchsuchung müssen wir nicht monatelang auf die Rückgabe unseres Rechners warten. Das ist doch toll, oder? Und überhaupt, sind ja nur Daten, und die sind auch gar nicht richtig weg, wenn sie jemand stiehlt.

Schade, dass ich kein Abo habe, dafür würde ich es glatt kündigen. Oder auch nicht, denn sobald sie nicht selbst sprechen, kommt doch wieder Vernunft ins Blatt. So wie in diesem Leserbrief, dessen Autor sich ähnliche Gedanken machte wie ich gestern, oder im Interview mit Dieter Wedel, dem man genügend Raum lässt, das Ganze schöner auszudrücken. Gerade noch mal die Kurve gekriegt, würde ich sagen.

Wie oft lasen oder hörten wir diesen Satz: »Datenschutz darf kein Täterschutz sein.« Dann protestierten wir jeweils, wenigstens kurz und in Gedanken, und fühlten uns uns gut, weil wir es ja besser wussten. Datenschutz sei Ausdruck unseres Persönlichkeitsrechts, stehe jedem zu und setze dem Staat Schanken, die wir nicht angetastet sehen wollten. Nie und nimmer, unter gar keinen Umständen, nicht mal gegen Kinderpornonaziterroristenverbrecher. Schäuble war böse, denn er wollte uns übrwachen, und wir waren gut, denn wir waren dagegen. Bis uns jemand einen Fall auf den Leib schneiderte:

»In Deutschland wird die Geheimniskrämerei als Persönlichkeitsrecht missverstanden.«

Das schreibt Ulrike Herrmann in der taz, die wir doch eben noch auf unserer Seite wähnten. Und ein Stück die Zeitung runter legt Sven Giegold nach:

»Zudem muss das steuerliche Bankgeheimnis gelockert werden, so dass Kapitaltransfers ins Ausland systematisch überprüft werden können, ohne dass erst ein Anfangsverdacht vorliegen muss.

(…)

Schließlich könnten wir von Australien lernen: Dort werden die Daten von Kreditkarten aus Steueroasen genutzt, um Steuerflüchtlingen auf die Schliche zu kommen.«

So schlecht ist Überwachung wohl doch nicht, aber selbstverständlich nur gegen die richtigen Verbrecher. Was uns das lehrt: Grundrechte gelten universell, bis wir uns auf einen Gegner geeinigt haben, den wir jetzt aber wirklich echt böse finden. Für den gelten sie nicht mehr, denn jetzt haben wir einen höheren Zweck. Das Entwurfsmuster funktioniert bei jedem, nur den Anlass muss man anpassen.

PS: Und wärend ich das schreibe, schnappen sie einen Datenschützer, der mit einer BND-Agentin verheiratet sein und Steuern hinterzogen haben soll. Das ist so bizarr, das kann man sich gar nicht ausdenken.