Verkauf von Daten: Fragen an @DeutschePostDHL und Antworten – “Bitte haben Sie Verständnis, dass wir darüber hinaus keine O-Töne dazu abgeben”

Laut Bams erfasst Post Direkt rund 20 Millionen Häuser mit rund 34 Millionen Haushalten.

Antwort der Post: Unsere Tochtergesellschaft vermarktet rund 46 Mio. Consumer-Adressdaten unter den Voraussetzungen des Ausnahmetatbestandes der transparenten Nutzung gem. § 29 BDSG. D. h. die Adressdaten werden nicht an das werbungtreibende Unternehmen übermittelt, sondern ausschließlich an Lettershops. Das werbungtreibende Unternehmen erfährt nicht, welche Adressaten angeschrieben werden.

Laut Broschüren-Text von Post Direkt können Parteien ihre Wählerpotenziale zielgenau lokalisieren und ansprechen. Wie zielgenau sind die Daten?

Deutsche Post Direkt verfügt über microdialog, eine mikrogeografische Datenbank, in der u.a. zur Vermeidung der Erfassung von Einzelpersonen auf der Basis von durchschnittlich 6,6 Haushalten geografisch festgelegte Mikrozellen gebildet werden. Die microdialog-Datenbank ist streng getrennt von anderen Datenbanken, die bspw. Adressdaten enthalten. In Kooperation mit der dimap GmbH wurden in Bezug auf die einzelnen Mikrozellen mögliche Parteienaffinitäten als Wahlwahrscheinlichkeitswerte aus den amtlichen statistischen Wahlergebnissen auf Stimmbezirksebene berechnet. Diese Berechnungen basieren ausschließlich auf der jeweils gesamten Mikrozelle und nicht auf einzelnen konkret bestimmbaren Wohnadressen.

Unter den 20 Millionen Häusern sind sicherlich auch Einfamilienhäuser. Wie werden diese Daten präsentiert?

Die Mikrozelle ist die kleinste aggregierte Raumbezugseinheit, welche die Anforderungen des Datenschutzes erfüllt. Demzufolge müssen Merkmale aus Mittelwerten von Echtinformationen gebildet werden, so dass sich ein Merkmal nie eindeutig einer einzelnen Person oder einem einzelnen Haushalt zuordnen lässt. Die Ableitung von Merkmalen erfolgt bei Deutsche Post Direkt für mindestens sechs und durchschnittlich 6,6 Haushalte. Die Größe einer Mikrozelle hängt bei microdialog von der Größe der einzelnen Gebäude ab. Besitzt ein Gebäude mindestens sechs Haushalte, so bildet das Gebäude eine eigene Mikrozelle. Besitzt ein Gebäude weniger Haushalte, erfolgt ein Zusammenschluss mit benachbarten Gebäuden.

Laut Broschüre besitzt Post Direkt Daten zu 85 Prozent aller Haushalte in Deutschland. Dazu zählen Angaben zu Kaufkraft und Bankverhalten. Wie ermitteln Sie diese Daten?

Die mikrogeografische Datenbank microdialog beinhaltet statistische Daten: soziodemografische, Konsum- und Strukturdaten sowie Informationen zu Gebiet und Region, zu bestimmten Branchen und Typologien zu Lebenseinstellungen. Die Daten werden auf Mikrozellebene mit durchschnittlich 6,6 Haushalten aggregiert. Mit Hilfe von Wahrscheinlichkeitsaussagen wird ermittelt, welche Zielgruppenmerkmale in der Mikrozelle vertreten sind. Ob diese statistischen Näherungswerte, z. B. in Bezug auf ein bestimmtes Kaufverhalten, tatsächlich auf Personen in der Mikrozelle zutreffen, ist unbekannt. Die microdialog-Datenbank enthält keinen Personenbezug und unterliegt nicht dem BDSG. Die mikrogeografischen Informationen sind streng von den Vermietsubstanzen getrennt. Insoweit erfolgt keine Speicherung von statistischen Wahrscheinlichkeitsaussagen zusammen mit personenbezogenen Adressdaten. Jeweils einmalig für den speziellen Kundenauftrag wird ausschließlich auf der Mikrozellebene eine Selektion durchgeführt und dieses Ergebnis dann mit den vorhandenen Adressdaten befüllt. Hieraus wird am Ende dieses Prozesses eine reine Adressdatei ohne weitere Merkmale erstellt. Die Selektion auf Mikrozellebene wird wieder gelöscht. Dabei sind die personenbezogenen und statistischen Daten sowohl von Deutsche Post Direkt als auch von dem werbungtreibenden Unternehmen stets getrennt voneinander zu speichern. D. h. ein Datensatz mit personenbezogenen Daten darf nicht gleichzeitig auch die statistischen Merkmale beinhalten. Die statistischen Informationen zur Kaufkraft stammen vom Statistischen Bundesamt. Die statistischen Daten zum Bankverhalten stammen von Marktforschungsunternehmen.

Was heißt denn Wohnsituation? Was heißt Wohnumfeld?

Dazu gehören statistische Strukturinformationen wie Straßentyp, Anteil Neubauten oder Kaltmiete.
Zudem werden Daten von Behörden hinzugezogen. U.a. vom Kraftfahrt Bundesamt und vom Katasteramt. Welche Daten ruft Post Direkt von diesen Institutionen ab?
Vom Kraftfahrtbundesamt stammen statistische Informationen wie PKW-Leistungsklasse und -Altersklasse, Motorraddichte, gewerbliche PKW und LKW. Auf Basis einer Kooperation mit der Bezirksregierung Köln vermarktet Deutsche Post Direkt Geokoordinaten, die ebenfalls keinen Personenbezug besitzen.

Wie werden diese Daten mit den 20 Millionen Häusern verbunden?

Die statistischen Daten der microdialog Datenbank liegen auf unterschiedlichen Aggregationsebenen vor (z. B. Straßenabschnitt) und werden in Bezug auf die einzelnen Mikrozellen (s. o.) berechnet. Mit Hilfe von Wahrscheinlichkeitsaussagen wird ermittelt, welche Zielgruppenmerkmale in der Mikrozelle vertreten sind. Ob diese statistischen Näherungswerte, z. B. in Bezug auf ein bestimmtes Kaufverhalten, tatsächlich auf Personen in der Mikrozelle zutreffen, ist unbekannt. Die microdialog-Datenbank enthält keinen Personenbezug und unterliegt nicht dem BDSG. Die mikrogeografischen Informationen sind streng von den Vermietsubstanzen getrennt. Insoweit erfolgt keine Speicherung von statistischen Wahrscheinlichkeitsaussagen zusammen mit personenbezogenen Adressdaten. Jeweils einmalig für den speziellen Kundenauftrag wird ausschließlich auf der Mikrozellebene eine Selektion durchgeführt und dieses Ergebnis dann mit den vorhandenen Adressdaten befüllt. Hieraus wird am Ende dieses Prozesses eine reine Adressdatei ohne weitere Merkmale erstellt. Die Selektion auf Mikrozellebene wird wieder gelöscht. Dabei sind die personenbezogenen und statistischen Daten sowohl von Deutsche Post Direkt als auch von dem werbungtreibenden Unternehmen stets getrennt voneinander zu speichern. D. h. ein Datensatz mit personenbezogenen Daten darf nicht gleichzeitig auch die statistischen Merkmale beinhalten.

Wie setzt sich eine so genannte Mikrozelle zusammen?
s.o.

Greift Post Direkt auf Datenbanken der Post zurück?

Die für die Deutsche Post geltenden Spezialvorschriften (Postdienste-Datenschutzverordnung) erlauben die werbliche Nutzung von Daten der am Postverkehr Beteiligten nur bei Vorliegen einer Einwilligung. Der Adressspezialist Deutsche Post Direkt vermarktet eigene, auf der Grundlage des BDSG zulässig erhobene Adressbestände; die Daten stammen nicht aus dem Postdienstleistungsbereich der Deutsche Post. Deutsche Post Direkt vermarktet personenbezogene Daten nach den Regelungen der §§ 28, 29 Bundesdatenschutzgesetz (BDSG) bzw. zukünftig auf Basis der Interessensabwägungsklausel gem. Art. 6 (1) f. DSGVO. Das BDSG und die DSGVO regeln u. a., unter welchen Voraussetzungen personenbezogene Adressdaten, z. B. Namen und Anschriften, erhoben, verarbeitet und zu werblichen Zwecken genutzt werden dürfen. Darüber hinaus vermarktet Deutsche Post Direkt statistische Daten, Geodaten, postalische Daten etc. ohne Personenbezug, die nicht in den Geltungsbereich des BDSG fallen. Die Tätigkeit der Deutsche Post Direkt ist bei der zuständigen Aufsichtsbehörde, dem Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, angemeldet. Die Aufsichtsbehörde hat sich das Geschäftsmodell auch vor Ort bei der Deutsche Post Direkt vorstellen und erläutern lassen. Es erfolgten keine Beanstandungen.

Warum gilt hier die Opt-out-Regel und nicht Opt-in?

Das Bundesdatenschutzgesetz bezieht sich auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Mit dem Inkrafttreten der BDSG-Novelle am 1. September 2009 wurde die zuvor geltende Widerspruchslösung aufgehoben. Stattdessen ist grundsätzlich eine Einwilligung des Betroffenen erforderlich, wenn dessen Daten zu Werbezwecken verwendet werden. Es gibt einige Ausnahmen vom Einwilligungsvorbehalt, eine davon ist die sogenannte „Transparente Nutzung“, d. h. die Nutzung von Adressdaten zur Bewerbung fremder Angebote ist erlaubt, wenn aus dem Werbemittel die für die Nutzung verantwortliche Stelle hervorgeht: Der Empfänger des Mailings muss über die Möglichkeit des Werbewiderspruchs informiert werden. Aus dem Werbemittel muss zusätzlich hervorgehen, dass der Listeigner die für die Nutzung der Daten verantwortliche Stelle ist.

Soweit die Antworten der Post-Sprechers Dirk Klasen. Ein Live-Interview ist zur Zeit nicht möglich: “Bitte haben Sie Verständnis, dass wir darüber hinaus keine O-Töne dazu abgeben”, schreibt Klasen. Da gibt es wohl noch Diskussionsbedarf zur Verortung der Mikrozelle und vielen anderen Dingen. Habt Ihr Anregungen für Nachfragen?

Ich arbeite das jetzt durch und werde morgen oder übermorgen nachfassen.

Advertisements

EU-Datenschutz #DSGVO Und täglich grüßt der Bußgeld-Bescheid – Unternehmen schlecht vorbereitet

Bußgeld-Jagd bald auch im Netz

In weniger als einem Jahr drohen Unternehmen in Deutschland Millionen-Bußgelder, wenn sie die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Doch immer noch gibt jedes fünfte IT- und Digitalunternehmen (19 Prozent) an, sich noch gar nicht mit dem Thema beschäftigt zu haben. Und nur jedes Dritte (34 Prozent) hat zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen und 5 Prozent wollten oder konnten keine Angaben machen. Und hier wurden Technologie-Unternehmen vom Branchenverband Bitkom befragt. In anderen Branchen sieht das wohl noch schlechter aus. Im vergangenen Herbst hatten in einer Bitkom-Umfrage 32 Prozent der Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen angegeben, sich noch nicht mit der DSGVO beschäftigt zu haben, 12 Prozent war das Thema überhaupt nicht bekannt.

Wenn es um die Verschlüsselung von Daten geht, sieht die Gemengelage noch schwieriger aus:

„In den elf Kapiteln und 99 Artikeln stehen allerhand Verordnungen, doch besonders interessieren dürften die Unternehmen neue Strafen. Denn die DSGVO fordert von Organisationen, Datenlecks oder Sicherheitslücken innerhalb von 72 Stunden zu melden“, schreibt die FAZ.

Sonst könne es Geldstrafen von bis zu vier Prozent des Jahresumsatzes geben.

„Das Bayerische Landesamt für Datenschutzaufsicht etwa listet in seinen Richtlinien schon mögliche Bußgelder von bis zu 10 Millionen Euro auf. Es sei denn, Unternehmen können nachweisen, dass ihre Daten verschlüsselt wurden und die Schlüssel dafür geschützt wurden“, so die FAZ.

Der Handlungsdruck sei groß:

„Von den mehr als neun Milliarden Datensätzen, die seit dem Jahr 2013 verloren gingen oder gestohlen wurden, waren nur vier Prozent verschlüsselt. Das ergab der sogenannte ‚Breach Level Index‘ des IT-Sicherheitsanbieters Gemalto zuletzt, der rund um die Welt Sicherheitslücken auflistet“, erläutert die FAZ.

Und die Verschlüsselung ist alles andere als trivial.

„Sonst würde jeder Cloud-Anbieter alle Daten verschlüsseln. Das passiert aber noch nicht. Nutzer kennen das von ihren E-Mails. Es gibt seit Jahren kostenlose Programme, um seine Kommunikation abzusichern, nur nutzt das kaum jemand. Denn es ist anstrengend und nervt“, so die FAZ.

Allmählich werde die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen, warnt der Bitkom-Verband. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – „dies setzt aber eine aktive Beschäftigung mit dem Thema voraus“, sagt Susanne Dehmel, Bitkom-Geschäftsleiterin Vertrauen und Sicherheit.

Mit dem System IBM Z soll die Verschlüsselung umfassend möglich sein. Das teilte IBM gestern der Presse mit. IBM Z sei in der Lage, mehr als 12 Milliarden verschlüsselte Transaktionen pro Tag auszuführen. Punktlandung.

Siehe dazu auch die CIO-Kurator-Story: Kryptografie und herumliegende Schlüssel: Aktuelle End-to-end-Verschlüsselung

DSGVO: Diese Änderungen kommen auf dein Online-Business zu

Datensparsamkeit zu Lasten des Mittelstandes #vdav17 @tj_tweets

Die CDU will der Wirtschaft eine weiterreichende Verarbeitung von Daten erlauben und so Geschäftsmodelle nach dem Vorbild des Silicon Valley ermöglichen, berichtet der Spiegel. Die Partei wolle „unser Land zum bürger- und unternehmerfreundlichen digitalen Deutschland weiterentwickeln“. Darauf drängen die Netzpolitiker in einem Strategiepapier, das dem SPIEGEL vorliegt.

Datensparsamkeit könne heute nicht mehr die generelle Verhaltensleitlinie sein. Denn sie reduziere Chancen für neue Produkte, Dienstleistungen und Fortschrittsmöglichkeiten.

Vor allem ist es widersprüchlich. Facebook und Co. sammeln Daten ohne Ende und steigern ihre Einnahmen, Firmen in Deutschland und Europa reguliert man mit strengen Auflagen und stärkt damit die Vorherrschaft der großen Player im Netz.

War auch Thema beim Branchentreff der Auskunfts- und Verzeichnismedien.

Die Geister des Heiko Maas: Gesetzes-Stumpf, der neue Triebe zeugt #VDS

Totalüberwachung

Die „Vorratsdatenspeicherung“ wird vom Bundesjustizminister Heiko Maas in Orwellscher Neusprech-Machart als „Mindestspeicherpflicht“ betitelt. Das ist nachvollziehbar, weil der SPD-Politiker irgendwie noch seinen Arsch retten sein Gesicht wahren will. Aus dieser Nummer wird er als Ex-Gegner der VDS allerdings so einfach nicht mehr herauskommen. Das wusste schon der olle Goethe:

Und sie laufen! Naß und nässer
Wird’s im Saal und auf den Stufen.
Welch entsetzliches Gewässer!
Herr und Meister! hör mich rufen! –
Ach, da kommt der Meister!
Herr, die Not ist groß!
Die ich rief, die Geister,
Werd ich nun nicht los.

Oder in den Worten von Christoph Kappes: GESETZES-STUMPF, DER TRIEBE ZEUGT

Jede Diskussion über den Umfang der erhobenen Daten sei viel zu kurz gesprungen.

„Warum soll die Speicherung von Handydaten bei Telefonaten inklusive der Geoposition erlaubt sein, Voice-Over-IP (Skype etc.) aber nur, wenn es eine Anschlussteilnehmernummer gibt? Warum sind Daten von SMSen zu speichern, nicht aber von Whatsapp? Was macht Telefonate gefährlicher als andere Kommunikationsformen? Wir sehen: Hier wird ein Gesetzes-Stumpf geschaffen, auf dessen Platte, sobald ein wenig Moos gewachsen ist, neue Sprosse wachsen werden. Der Stumpf ist eigens dazu aufgestellt. Gerade hinter der offenkundigen Lückenhaftigkeit der Regelung sieht man die nächsten Bedarfe schon hervorlugen. Ist in der Geschichte der Bundesrepublik Deutschland jemals ein Grundrechtseingriff, der mit Sicherheitsbedürfnissen begründet wurde, offiziell zurückgebaut worden? Auch der ehrenwerte Hinweis auf den Richtervorbehalt und schwere Straftaten als Tatbestandsvoraussetzung ist wieder zu juristisch gedacht; sind die Daten einmal in der Welt, steht zu befürchten, dass sie auch angezapft werden – und dies keineswegs nur vom ‚ausnahmsweise‘ durch den Richter ermächtigten Organ.“

Ich würde sogar noch einen Schritt weitergehen. Der unvollständige Gesetzes-Stumpf und seine Triebe rechtfertigen in kleinen Schritten eine Überwachungspraxis, die in den Sicherheitsapparaten schon längst praktiziert wird – eine Vermutung, die mir von Insidern gesteckt wurde. Es ist für das Bundesinnenministerium und die Sicherheitsbehörden sehr praktisch, dass es beim Einkauf des Staates Sonderformen des Vergaberechts gibt, die einer strengen Geheimhaltung unterliegen. Da können Aufträge freihändig vergeben werden und keine Sau schert sich darum. Es wird von Sicherheitsbehörden das Feinste vom Feinen an Überwachungstechnologie gekauft und Aufträge für Schnüffelsoftware vergeben, ohne sich in der Öffentlichkeit rechtfertigen zu müssen. Die Etats kann man in den Haushaltsplänen nur erahnen – mehr nicht. Ein nettes Aufgabenfeld für Hacker 😉

Beim Staatstrojaner habe ich das über fragdenstaat.de durchgespielt und ein nettes Versteckspiel des BMI ausgelöst. Da können alle Beteiligten das Unschuldslamm spielen. Am Schluss meiner Anfragen antwortete das BMI:

„Der Anspruch auf Zugang zu amtlichen Informationen nach dem Informationsfreiheitsgesetz des Bundes besteht nur, soweit die Informationen der Bundesbehörde auch tatsächlich vorliegen.“

Soll wohl heißen, was nicht auf meinem Schreibtisch liegt, davon weiß ich auch nichts. Wie würden es Staatsbeamte einordnen, wenn bei mir zu Hause eine Durchsuchung stattfindet und ich leugne, etwas von der gesuchten Sache zu wissen. Und es im Zimmer nebenan gefunden würde. Ich könnte sagen: In das Zimmer gehe ich nie, ist nicht mein Zuständigkeitsbereich. Ich tippe, dass ich Ärger bekommen und mir niemand glauben würde.

In seiner Analyse kommt Christoph Kappes zu einem trefflichen Resümee: Der Staat zündelt mit dem Feuer, gekleidet in einem Feuerwehranzug.

Oder in meinen bescheidenen Worten: Staatliche Institutionen agieren als Wolf im Datenschutz-Schafspelz.

Siehe auch:

BMJ: Neue Vorratsdatenspeicherung soll Standortdaten komplett speichern.

Geheime Referatsgruppe: Wir präsentieren die neue Verfassungsschutz-Einheit zum Ausbau der Internet-Überwachung.

Edward Snowden und das Versagen des Staates beim Datenschutz: Auf wen sich Unternehmen nicht verlassen sollten #Mittelstandslounge

Meerkat

Interessanter Vortrag von Rechtsanwalt Matthias Lachenmann in der Cebit-Mittelstandslounge zu den Herausforderungen von Unternehmen im Datenschutz. Sehr offen auch seine Reaktion auf meine Frage, ob man dem Staat in irgendeiner Weise noch vertrauen könne bei den Lippenbekenntnissen zur Sicherheit im Netz.

Lachenmann ist übrigens Mitherausgeber des Fachbuches „Formularhandbuch Datenschutzrecht“. Es vermittelt mittelständischen Unternehmen, Konzernen und Startups notwendige Kenntnisse im Datenschutz:

„Bei Nichteinhaltung drohen Bußgelder, Klagen, Abmahnungen und Reputationsschäden durch öffentliche Berichterstattung. Zwar besteht darüber allgemeine Kenntnis, dennoch mangelt es oft an der Umsetzung der datenschutzrechtlichen Normen“, heißt es im Infotext.

Demnächst wird es dazu mit dem Rechtsexperten ein Autorengespräch geben via Hangout on Air.