Tracking-Daten brauchen mehr Schutz

Um einen besseren Einblick in die Bewegungsströme der Deutschen zu erhalten, hat sich das Robert Koch-Institut mehrmals Handydaten von der inzwischen aus anderen Gründen geschlossenen Telekom-Tochter Motionlogic besorgt. Und verschiedene Telekommunikationsanbieter wollen ihre Erkenntnisse zu ihren Nutzern ebenfalls den EU-Behörden bereitstellen. Der Location Based Marketing Association e.V. (LBMA e.V.) sieht dieses Vorgehen kritisch.

Denn der Verband weist darauf hin, dass eine ausreichende Anonymisierung der übermittelten Daten technisch nach wie vor fraglich ist. Allein durch die Telekom-Daten haben die Forscher bereits Einblicke in die Bewegungen von 46 Millionen Kunden erhalten, wobei nach Unternehmensangaben zumindest das individuelle Tracking einzelner Nutzer nicht möglich sein soll. Selbst wenn dies in diesem Fall stimmt, lassen sich die Daten nach Bundesländern und sogar Kreisen filtern, was einer Art ungesunden „Wettkampf“ Vorschub leistet. In einigen Regionen Deutschlands versuchen sich die Landkreise bereits jetzt darin zu überbieten, wer seine Bevölkerung am besten im Griff hat – was zu Stigmatisierungen bestimmter Einwohner führt.

Anzeige

Schon deshalb muss man mit entsprechenden Daten sehr sensibel umgehen. Zudem sollte genau beobachtet werden, welche Organisationen, Behörden oder gar Unternehmen wann welche Informationen auf Basis von Nutzer-Tracking erhalten, um das enorme Missbrauchspotential zu minimieren.

Potentielle Datenschleuder

Wie schnell es hier zu Problemen kommen kann, zeigt das Pan-European Privacy-Preserving Proximity Tracing-Projekt (PEPP-PT), in dessen Rahmen eine Covid-19-Tracking-App entstehen soll. Das dort verwendete ROBERT-Protokoll kann nach aktuellem Stand die vom Nutzer zur Verfügung gestellten Daten allerdings kaum schützen. Denn aufgrund seines zentralen Ansatzes wird primär darauf vertraut, dass der Empfänger der Daten schon nichts Unrechtes mit ihnen anstellt – die technischen Absicherungen dagegen lassen zu wünschen übrig.

Aufgrund von fehlender Transparenz und Offenheit haben sich die Schweizer EPFL sowie die ETH Zürich mittlerweile von PEPP-PT zurückgezogen. Sie setzen nun auf die ebenfalls paneuropäische Initiative DPT3, bei der die Daten dezentral gespeichert werden.