Das Internet der Dinge: Datenschutz auf der Kippe?
Smartphones und mobile Apps gelten momentan als besonders breites Einfallstor für Datensammler, die Spuren und Interessen der NutzerInnen verfolgen. Die Datenschutzpolitik ringt noch um Antworten, wie KonsumentInnen vor übertriebener Datenverwertung im (mobilen) Internet geschützt werden können. Dabei zeichnen sich bereits neue kritische Trends ab. Immer mehr Firmen bieten – mit Sensoren ausgestattete und dem Internet verbundene – Geräte an, die noch tiefere Einblicke in unser Leben erlauben. Die AK hat sich in einer bei Cracked Labs – Institut für kritische digitale Kultur – beauftragten Studie kritisch mit diesem Trend auseinandergesetzt.
Selbst verursachter Datenexibitionismus
Hippe Vorhut dieser Entwicklung sind „Wearables“, also z.B. Fitnessarmbänder, mit denen sich KonsumentInnen im Dienste ihrer Gesundheit nicht nur selbst überwachen, sondern auch FacebookfreundInnen und Firmen Daten über Puls, Schlaf, Gewicht u.v.m. liefern. Mit dem „Internet der Dinge“ verwirklicht sich gerade eine Vision, die für Datenschützer eher ein Alptraum ist: alle Gegenstände vom Auto über die Kleidung bis zur Zahnbürste sind ins Internet integriert und so mit einer eigenen „Identität“ versehen. Entsprechend frühzeitiges Risikobewusstsein und mehr vorsorglicher Schutz für KonsumentInnen durch den (EU-) Gesetzgeber und Datenschutzbehörden sind nötig.
Vielfältigste Anwendungsfelder
Die digitale Überwachung unseres Alltagsverhaltens hat mit Smartphones und Apps noch nicht ihren Höhepunkt erreicht. Die Zahl der Daten, die KonsumentInnen Datensammlern selbst bereitstellen, nimmt laufend zu: E-Book-Reader übertragen Daten zum Leseverhalten an Unternehmen. Vernetzte Fernseher liefern Angaben über die angesehenen Filme. Mit Fitness-Trackern und anderen Wearables vermessen KonsumentInnen zugunsten von Schönheitsidealen und Verhaltensänderungen ihre sportliche Bewegung, Alkohol und Nikotinkonsum und Ernährung. Allein die Website quantifiedself.com listet 500 Angebote zur Vermessung der eigenen Körperfunktionen und zur „Optimierung des Selbst“ auf. Für 2018 werden 80 Millionen verkaufte Geräte und 30 Mrd Dollar Umsatz in diesem Bereich vorhergesagt.
Sensible Daten im Überfluss
Aber es geht noch wilder: Biometrische Kopfhörer, T-Shirts und Büstenhalter messen den Puls. Intelligente Zahnbürsten melden Zahnputzaktivitäten via Bluetooth auf das Smartphone. Mit einer App können Putzprogramme eingestellt und das Putzverhalten ausgewertet werden. Ein US-Forscherteam hat Gesundheitssensoren entwickelt, die sich wie entfernbare Tattoos auf die Haut drucken lassen. Der Prototyp misst Temperatur und ausgeübte Kräfte. Sensoren in Socken werten Schrittzahl und Geschwindigkeit aus, aber auch, wie jemand beim Laufen den Fuß abrollt. Die „intelligente Gabel“ registriert die Gabelnutzungen pro Mahlzeit. Die Daten werden via Bluetooth eine App übertragen, die dabei helfen soll, langsamer zu essen und gesünder zu leben. Spire heißt ein Gerät, das eng am Körper getragen über eine App Atemmuster, Stress-Niveau und Stimmung auswertet. Der „Baby Monitor“ ist im Strampelanzug eingebaut, vermisst Schlaf, Atmung, Aktivität, Position und Hauttemperatur.
Auch Google ist mit dabei
Der 2014 von Google übernommene Hersteller „Nest Labs“ produziert ein Raumthermostat mit WLan-Funkschnittstelle und Bewegungssensoren, das in Kombination mit einer zentralisierten App das Alltagsverhalten der BewohnerInnen überwacht und die Temperatur entsprechend regelt. Brillen wie Google Glass besitzen u.a. Minicomputer, Funkschnittstellen, Kamera und GPS. Mit Hilfe des ins Sichtfeld eingeblendeten Bilds können Informationen über die Umwelt eingeblendet werden. Dazu muss das Gerät in der Lage sein, Objekte und Personen zu erkennen und daraus Schlüsse zu ziehen.
Arbeits(markt)bezogener Geräteeinsatz
Neben derartigen Freizeit-Gadgets haben Entwickler auch Arbeitsprozesse im Auge: Das US-System Theatro ermöglicht die Ortung von Angestellten und bietet die Auswertung von deren Verhalten, Produktivität und Bewegungsmuster an. Beinahe alle Fitness-Apps, die Leistungen messen, setzen auf das Konzept der „Gamifikation“, also auf den Einsatz von spieltypischen Elementen in spielfremden Zusammenhängen zur Beeinflussung der Verhaltensweisen der NutzerInnen sowie zur Steigerung von Beteiligung und Engagement. Auf der Website des Fitness-Trackers Fitbit werden Angebote für Arbeitgeber, Versicherer und Gesundheitsbranche wie folgt beworben: „Erzielte Fortschritte im Laufe der Zeit anhand zuverlässiger Daten messen“, woraus „weniger Krankheitstage“ und „höhere Mitarbeiterproduktivität“ resultierten. Auch in Deutschland wurden zwecks Förderung von erwünschtem Verhalten Fitness-Tracker eingesetzt: 2013 hat das Jobcenter Brandenburg 15 langzeitarbeitslose Hartz-IV-EmpfängerInnen mit Schrittzählern ausgestattet. Ziel war das „spielerische“ Erreichen von 270.000 Schritten……
Versicherungsrabatte als Anreiz
„Werbung ist zum nativen Geschäftsmodell für das Internet geworden. Ich denke, dass Versicherung zum nativen Geschäftsmodell für das Internet der Dinge wird“, sagt der Software-Entwickler Tim o’Reilly, der den Begriff des Web 2.0 salonfähig gemacht hat. Überwachungsboxen im Auto zeichnen rund um die Uhr das Fahrverhalten auf und übertragen z.B. Beschleunigungswerte an Versicherungen, die die Höhe der Prämienzahlung von den gemessenen Daten abhängig machen. Unter Schlagwörtern wie „vernetztes Auto“ oder „Smart Car“ wird die Entwicklung seit Jahren vorangetrieben. Weltweit wurden bereits 95 Angebote für Privatkunden registriert, die meisten davon in den USA, Italien, Frankreich und Spanien. Auch ein deutscher Versicherer bot ab 2013 befristet einen Tarif an, bei dem eine Messbox im Auto eingebaut werden muss. Aus den aufgezeichneten Rohdaten wird ein Risikoprofil errechnet. Wer risikoarm fährt, bekommt einen 5 prozentigen Rabatt auf seine Prämie. Der beigezogene Dienstleister nennt sein Produkt „Riskmanager“ und wirbt auch gleich für weitere Einsatzgebiete: „Arbeitsbezogene Fahrten und Alleinarbeit zählen zu den größten unkontrollierten Risken“. Große US-Versicherer (wie United Health, Humana oder Cigna) bieten ihren KundInnen Programme an, bei denen von Wearables gemessene Fitnessziele mit Einkaufsgutscheinen belohnt werden.
Und wo bleibt da der Datenschutz?
Als zentraler Treiber für das Internet der Dinge gelten Anreize zur Verhaltensänderung, zB gesündere Lebensweise oder die effizientere Nutzung von Gütern. Diese Entwicklung wirft zahllose Fragen in Bezug auf die Privatsphäre und Überwachungsgelüste auf. Informationen über das Privatleben können noch intensiver ausgebeutet werden. Wenn alle Alltagsaktivitäten überwacht werden, wächst das Ausmaß der Bildung von Personenprofilen weiter und wird soziale, ökonomische und politische Kämpfe verstärken. Falsche Schlussfolgerungen aus den Datenmengen haben negative Auswirkungen auf Einzelne. Auch eine Verweigerung der Teilnahme am „Internet der Dinge“ kann Konsequenzen haben: Wenn keine Daten über eine Person vorhanden sind, schätzen Unternehmen das Risiko für eine Kundenbeziehung unter Umständen als zu hoch ein.
Umfangreiche Nutzer-Dossiers
Wozu dienen diese Daten, die KonsumentInnen Firmen (zum Teil unbewusst, zum Teil freiwillig, zum Teil gezwungenermaßen, weil es keine datensparsamen Alternativen gibt) frei Haus liefern? Vor allem dem Marketing, Datenhandel und Personenbewertungen. Denkbar wird damit auch eine ausgeklügelte Preisdiskriminierung: Große internationale Online-Shops zeigen KonsumentInnen auf Basis von deren Online-Verhalten, Standortinfos und der benutzten Geräte verschiedene Produkte an -oder aber gar die gleichen Produkte zu unterschiedlichen Preisen. Eine US-Versicherung entwickelt Krankheitsprognosen aus den Daten über das Konsumverhalten. Eine US-Werbefirma analysiert die Emotionen von Onlinespielern, um gezielt in Momenten zwischen Begeisterung und Frustration wirksame Werbung zu schalten. Wie das möglich ist? Studien belegen z.B., dass sich emotionale Zustände aus Rhythmus und Dynamik des Tippens auf der Tastatur erkennen lassen.
Was ist zu tun?
Das Vertrauen vieler NutzerInnen in digitale Kommunikationstechnologien ist bereits angekratzt. Auch das World Economic Forum hat schon 2012 festgehalten, dass dieser Mangel an Vertrauen in Bezug auf persönliche Daten eine Bedrohung für die digitale Wirtschaft ist. Aktuell klafft eine Lücke zwischen Datenschutzrecht und Praxis. Recht wird oft nicht durchgesetzt, die Kontrollbehörden haben nicht ansatzweise genügend Ressourcen. Die geltenden Datenschutzgesetze bieten keine Antworten auf digitale Risiken. Datenschutzkritische Trends müssen frühzeitig erkannt werden. Die Gestaltung von datenschutzrelevanten Geschäftsideen darf nicht allein den Unternehmen überlassen werden. Gesetzgeber und Kontrollbehörden müssen frühzeitig schützend eingreifen, wenn eine Aushöhlung des Datenschutzes droht. Vorsorgliche Risikoanalysen und weitaus strengerer Datenschutz für datenhungrige Geräte sind nötig. Regulierung und Forschung haben bspw. sicherzustellen, dass für die Betroffenen Datenflüsse und Datennutzung auf einfache Weise sichtbar werden. Daten sind sobald als möglich zuverlässig zu anonymisieren. Auch das Wettbewerbsrecht muss öfter ins Spiel kommen, wenn über unfaire oder quasimonopolistische Praktiken Datenberge in die Höhe wachsen.