Pflaumensaft

EA bestätigt Spywarevorwurf teilweise – und keiner hats gemerkt.

Posted in Datenschutz, Electronic Arts by pflaumensaft on 4. November 2011

Gestern gab EA auf SPON eine Erklärung der technischen Hintergründe zu seiner Origin Software ab. EA versuchte die von vielen Nutzern beobachteten Programmabläufe bzw. „Scans“ die beim Start der Origin Software auftreten zu erklären.

Electronic Arts erklärt, was Origin tut.

Warum der Spiegel Redakteur es nicht als seine Aufgabe sah kritisch nachzuhaken, bleibt im unklaren. Klar ist jedoch, dass der Cheftechniker von Electronic Arts Deutschland hier mit Nebelkerzen nur so um sich geworfen hat. Aus diesem Grund möchte ich die technischen Erläuterungen von Electronic Arts im folgenden noch einmal genauer unter die Lupe nehmen und erklären, warum EA in dieser Stellungnahme den Vorwurf Origin sei Spyware in meinen Augen zumindest teilweise bestätigt.

Wer schlägt den Nagel in die Wand – der Hammer oder der Handwerker?

Zunächst versucht der Technikchef von Electronic Arts Deutschland die Schuld an den beobachteten „Scans“ auf Windows abzuschieben:

„Die Origin-Software scannt beim Start nicht selbst die Festplatte.“ Der Eindruck entstehe, weil Analyseprogramme wie Microsofts „Process Monitor“ eine Anfrage der Origin-Software an das Windows-Betriebssystem als Aktivität des EA-Programms darstellen. (…) „Die Software bittet Windows, ihr bestimmte Zugriffsrechte auf Verzeichnisse im Ordner C:Program Data zu geben.“

Diese Formulierung ist nicht falsch, erzählt aber dennoch nur die halbe Wahrheit.  Wie bereits ein Kommentator auf pcgames.de richtig anmerkt:

Windows stellt zahlreiche Werkzeuge zur Verfügung die die Programmierer nutzen können. Auch Datei- und Verzeichnisfunktionen. Von alleine machen diese Werkzeuge allerdings nichts. Und genauso wenig wie ein Handwerker davon spricht, daß er dem Hammer den Auftrag gibt den Nagel einzuschlagen spricht ein Programmierer davon, daß er das Betriebsystem beauftragt eine Datei zu suchen. Ein Programmierer schreibt ein Suchprogramm und benutzt dafür die Werkzeuge die ihm das Betriebssystem zur Verfügung stellt. Deshalb zeigt Process Monitor auch mit gutem Grund „Origin“ als ausführende Datei an und nicht „Windows-Prozess“. Denn „Origin“ hat hier den Hammer in der Hand.

Dem ist eigentlich nichts weiter hinzuzufügen. Es ist sprachlich durchaus korrekt zu sagen, daß „Origin“ die gezeigten Vorgänge durchführt, genauso wie es sprachlich korrekt ist zu sagen: Der Handwerker schlägt mit dem Hammer den Nagel ein. Oder: Erwin saugt mit dem Staubsauger die Wohnung.

Origin sucht nach EA Titeln – aber mit welchem Recht?

Im weiteren Verlauf des Artikels bestätigt der EA Techniker zumindest einen Teil des von vielen geäußerten Verdachts. Dieser lautete: Origin versucht herauszufinden welche Software ein Nutzer auf seinem Rechner installiert hat. Warum dies problematisch ist, kann man im folgenden Youtube Video sehen. Man achte darauf dass nicht wie von verschiedenen Medien berichtet behauptet wird, Origin würde DATEIINHALTE auslesen. Es geht um Dateinamen, Verzeichnisnamen und Dateiattribute:

Zumindest für EA Programme bestätigt EA diese Annahme zum Teil:

„Das Betriebssystem geht alle Verzeichnisse im Program-Data-Verzeichnis durch, um die Ordner zu finden, in denen EA-Spiele installiert sind.“ (…) Der Darstellung von EA zufolge fungiert Windows in dem Fall also wie ein Bürobote, der Akten im Archiv sucht. Das Betriebssystem liest als Bote im Auftrag der Origin-Software die Beschriftungen auf den Aktenordnern, schaut aber nicht in die Inhalte. Wenn das System eine der gesuchten Akten mit EA-Inhalten gefunden hat, markiert es sie, um beispielsweise die Installation von Aktualisierungen zu ermöglichen.

Mit welcher Chuzpe sich EA das Recht herausnimmt auf der Festplatte nach Electronic Arts Titeln zu suchen, verschlägt einem fast die Sprache. Man stelle sich vor, ein Elektronikhersteller nutze die Webcam eines PCs um sich in der Wohnung des Nutzers umzuschauen, ob er möglicherweise noch andere Geräte des gleichen Herstellers besitzt. Und würde, wenn er ertappt wird sich damit herausreden, er habe lediglich der Webcam den Auftrag erteilt einen Suchvorgang zu starten um Geräte seiner Marke zu finden, damit er dem Nutzer „Geräteupgrades“ anbieten kann. Wenn EA seinen Nutzern den Service bieten will auch ältere Titel zu aktualisieren, dann hat die Software dies dem Nutzer aktiv mitzuteilen und seine Erlaubnis einzuholen bevor es dem „Betriebssystem den Auftrag gibt“ nach EA Titeln zu suche.

Unklar bleibt in der Erklärung des EA Techniker wie die EA Titel überhaupt erkannt werden. Laut der Erklärung auf SPON geschieht dies anhand der Verzeichnis und Dateinamen. Trifft die Erklärung des EA Technikers zu, dann würde EA der Suchfunktion eine Liste mit Datei- und Verzeichnisnamen alter EA Titel übergeben und das Betriebsystem würde Treffer zurückmelden. Eine andere Möglichkeit der Suche besteht darin, daß die Suchfunktion alle gefundenen Datei- und Verzeichnisnamen zurückmeldet und erst dann ein Abgleich stattfindet.

Halten wir fest: EA gibt zu, daß Origin die Festplatte ungefragt beim Programmstart nach EA Titeln durchsucht. Damit ist der Spyware Vorwurf in meinen Augen teilweise bestätigt. Sebst wenn ein Nutzer ältere EA-Titel über „Origin“ bezogen und nicht im Laden gekauft hat, geht es Orgin nichts an ob der Nutzer das Spiel noch nutzt, oder zwischenzeitlich wieder deinstalliert hat.

Sollen wir Electronic Arts blind vertrauen?

Halten wir weiterhin fest: Electronic Arts hat in der inzwischen korrigierten Version der EULA versucht von seinen Nutzern das Recht zu bekommen, zu ermitteln welche Software installiert ist und wie diese genutzt wird:

„Du gestattest EA und seinen Partnern das Sammeln, Nutzen, Speichern und Übertragen von technischen und verwandten Informationen, die deinen Computer (einschließlich IP-Adresse), dein Betriebssystem, deine Nutzung der Anwendung (einschließlich erfolgreicher Installation und/oder Deinstallation), Software, Software-Nutzung und deine Hardware-Peripherie identifizieren, um die Bereitstellung von Software-Updates, dynamischen Inhalten, Produktunterstützung und anderen Diensten, einschließlich Online-Diensten, zu erleichtern. EA kann diese Daten ebenfalls in Verbindung mit personenbezogenen Informationen zu Marketingzwecken und zur Verbesserung seiner Produkte und Dienste nutzen.“ (Hervorhebungen von mir)

Electronic Arts hat im Spiegel Interview verklausuliert bestätigt, das Origin versucht EA Titel zu identifizieren, um dem Nutzer z.B.  Updates für ältere EA Titel anzubieten. Das Problem ist: Beim derzeitigen Verhalten der Software kann der Nutzer nicht unterscheiden ob sich Origin auf EA Titel beschränkt (was bereits schlimm genug ist) oder ob Origin doch mal kurz nachschaut welche Software  auch von Drittanbietern installiert ist.

Das Electronic Arts dies vorhatte, geht aus den ursprünglichen EULA hervor. Das Origin das bereits tut, bestreitet Electronic Arts. Der Nutzer soll ihm das glauben. Weshalb der Nutzer Electronic Arts glauben soll, dass sie das was sie in ihrer EULA ursprünglich vorhatten nicht umgesetzt haben, bleibt das Geheimnis von EA. Die Gamer Community ist gut beraten darauf zu achten ob Electronic Arts die inzwischen versprochenen Software-Änderungen auch tatsächlich umsetzt.

Advertisements

Die Rückkehr der Datenleichen.

Posted in Datenschutz by pflaumensaft on 4. März 2010

Wie der Chaos Computer Club längst tote und begrabene Daten wieder zum Leben erwecken will und auch die Politik die Schaufel auspackt um längst verstorbene Datenleichen wieder auszugraben.  Warum diese Idee das Zeug dazu hat im datenschutzrechtlichen äquivalent zu Tschernobyl zu enden und ein eklatanter Verstoß gegen das Recht auf Informationelle Selbstbestimmung ist:

Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.

http://www.ccc.de/datenbrief

Wenn eine Firma, Behörde oder Institution personenbezogene Daten über jemanden erhebt, speichert oder übermittelt, muss der Betroffene regelmäßig über die über ihn gespeicherten Daten informiert werden.

Aus der bisherigen Holschuld – jeder Bürger kann bei Unternehmen Auskunft über die von ihm gespeicherten Daten Verlangen – soll eine Bringschuld der Unternehmen werden: D.h. diese sollen jährlich unaufgefordert den Bürger über die bei ihm gespeicherten Daten informieren. Das scheint auf den ersten Blick eine gute Sache zu sein. Das finden  auch der Innenminister Herr Thomas de Maizière und unsere Justizministerin Frau Leutheusser-Schnarrenberger,  sowie Gerd Billen, Chef des Bundesverbands der Verbraucherzentralen.

Denken wir die Idee des Datenbriefs mal an einem Beispiel konsequent zu Ende:

Herr Peter Müller ist 30 Jahre alt, Lehrer, seit einem Jahr verheiratet und Vater von Zwillingen. Studiert hat er in Münster, vor drei Jahren ist er nach Berlin gezogen, dort hat er seine Frau kennengelernt, nach der Geburt der Zwillinge stand ein erneuter Umzug an. Er kauft viel im Internet ein und schaut Filme im Internet. Seine Frau klagt seit der Geburt der Zwillinge öfter über Kopfschmerzen, deshalb hat Herr Müller vor kurzem sein Kundenkonto bei pornoglotzen24 wieder reaktiviert.

Im April begibt sich Herr Müller mit seinen Schülern auf eine zweiwöchige Studienfahrt nach Paris. Wie immer in seiner Abwesenheit bearbeitet Frau Müller die Post. Warum auch nicht – schließlich hat man ja keine Geheimnisse voreinander. Als Herr Müller von seiner Studienfahrt zurückkommt ist Frau Müller wieder zu Ihrer Mutter gezogen, die Zwillinge hat sie mitgenommen – dafür findet Herr Müller auf dem Küchentisch folgenden Datenbrief:

Absender:

pornoglozen24.de
Musterstr. 12
12345 Pornohausen

Ihr jährlicher Datenbrief

Sehr geehrter Herr Müller,

seit kurzem müssen wir Sie einmal jährlich über die bei uns gespeicherten Daten informieren. Folgende Daten haben wir über Sie zu Abrechnungszwecken bis zum Ende der gesetzlichen Aufbewahrungsfrist von 10 Jahren gespeichert:

23.03.2004 – 20:34 Durchgefickt und abgespritzt.
12.04.2004 – 19:23  Jetzt wird richtig schmutzig.
17.05.2004 – 14:55 Die Fickparade
12.08.2005 – 13:44 Gaylove – Die geilsten Hengste

Mit freundlichen Grüßen,

Ihr Team von pornoglotzen24

Herr Müller ist seit seiner Studienzeit Kunde bei pornoglotzen24. Die gesammelten Masturbationsprotokolle der letzten 10 Jahre auf einmal in den Händen zu halten war wohl zuviel für Frau Müller. Sie reicht die Scheidung ein.

Herr Müller hat sich kaum von seinem Schock erholt da klingelt das Telefon. Am Apparat ist Herr Meier von Computer Meier in Münster – Dort hat Herr Müller während seiner Studienzeit gejobt. Gelegentlich hat er sich dort auch mal Versandhausbestellungen hinschicken lassen:

„Hallo Herr Müller, bei uns sind einige Datenbriefe per EMail für Sie eingetroffen. Wir wußten nicht, daß diese für Sie persönlich sind, deshalb hat unsere Sekretärin sie geöffnet. Ich mail Ihnen die dann mal zu. Im Hintergrund hört Herr Müller lautes Kichern und 5 Minuten später erhält er unter anderem folgendes Email:

Absender: datenbrief@Lackundlederfetischversand.de
an: petermueller@meiercomputerladeninmuenster.de

Betreff: Datenbrief

Hallo Herr Müller,

seit sieben Jahren haben Sie nichts mehr von uns gehört, den Diskretion gehört zu unserem Geschäft. Seit kurzem sind wir aber gesetzlich verpflichtet Sie einmal jährlich über die bei uns gespeicherten Daten zu informieren.  Folgendes haben wir neben Ihrer Anschrift und Ihrer Email Adresse bei uns gespeichert:

Bestellung vom 14.02.2006
1 x Extrem Bondage Set, Bestellnummer 11234, 24,45 EUR
1 x Cockring mit Analkugel – 14,24 EUR

Mit freundlichen Grüßen,

Lackundlederfetischversand

PS: Beachten Sie unsere neuen Sonderangebote

Herr Müller erinnert sich – das ganze war ein Scherzgeschenk für seinen Freund Gustav zum Junggesellenabschied. Damals hat er wohl versehentlich seine Firmenemailadresse angegeben.

Herr Müller  beschließt seinen Kummer im Schnaps zu ertränken und macht sich auf den Weg zu seiner Stammkneipe. Leider hat er kein Bargeld mehr, deshalb geht er zum Geldauomaten. Er steckt seine Karte in den Schlitz – es erscheint die Meldung: „Verfügbarer Betrag 0 EUR.“ Herr Müller druckt seine Kontoauszüge aus und stellt fest, daß sein gesamtes Kontoguthaben verschwunden ist. Abgebucht von verschiedenen Online Casinos und Versandhäusern. Die Polizei wird später folgenden Verlauf rekonstruieren: Die Familie Müller war nach der Geburt der Zwillinge aus dem alten Wohnblock in eine neue Wohnung gezogen. Der Nachsendeantrag bei der Post lief nach einem halben Jahr aus. Inzwischen haben im alten Wohnblock in zahlreichen Wohnungen die Mieter gewechselt. Unter anderem ist Herr B. Trüger-Müller eingezogen und dieser erhält seit kurzem wäschekorbweise Post. Alles Datenbrief für Herrn Müller  Unter anderem hat Herr B. Trüger-Müller  folgenden Brief erhalten:

Absender:
Schlupfa Holding – Kreditauskunft

Sehr geehrter Herr Müller,

Ihr jährlicher Datenbrief ist da. Schaun Sie mal was wir alles über sie gespeichert haben. Sollten irgendwelche Angaben unrichtig sein oder fehlen, können Sie diese mit beiliegendem Formular ergänzen und korrigieren.

Schlupfa Kundennummer: 124242424

Name: Peter Müller
Geburtsdatum: 01.01.1980
Anschrift: Musterstr. 12 – 12345 Berlin
Sonstige und frühere Anschriften: Musterstr 555 – 232424 Münster
Kreditinstitute:
Kontonummer 1234567  – Sparbank Münster
Kontonummer 1232424 – Kreischschparkasse Berlin
Kreditkarte: Fleesa – Kartennummer 2323542424
Ihr Schlupfa Kreditscore: 98,33 %

Mit freundlichen Grüßen,

Ihre Schlupfa

Mit den Daten von Peter Müller ging Herr B. Trüger-Müller dann auf Einkaufstour und spielte ausgebig in verschiedenen Online Kasinos. Außerdem hat er im Namen von Herrn Peter Müller von der Möglichkeit die Daten zu korrigieren und zu ergänzen ausgiebig Gebrauch gemacht. Das war übrigens auch der Grund weshalb Herr Müller keinen Leasingvertrag für ein neues Auto bekommen hat und sein Kreditscore bei der Schlupfa zwischenzeitlich auf 12,5% gesunken ist. Das war natürlich nicht der einzige Datenbrief der bei B. Trüger-Müller einging.  Vom ehemaligen Hausarzt weiß Herr B. Trüger-Müller, daß Peter Müller am 20.02.2003 wegen Fußpilz in Behandlung war.

Herr Müller geht nicht in die Kneipe, sondern geht nach Hause, übergießt die drei Wäschekörbe Datenbriefe die während der letzen zwei Wochen eingetroffen sind mit Benzin, zündet sie an und hängt sich anschließend an seiner Krawatte auf.

Der Datenbrief wird in verschiedenen Varianten diskutiert:

Variante 1: Alle Unternehmen und Behörden müssen alle über die Bürger gespeicherten Daten per Post verschicken

Ein Ziel des Datenbriefs soll ja sein, Datenspeicherung möglichst teuer zu machen. Dies ließe sich am ehesten mit einem Postversand erreichen

Probleme:

  • nur ein Teil der Unternehmen hat überhaupt eine aktuelle Adresse an die die Daten geschickt werden können. Ein großer Teil der Datenbriefe wird daher nicht an die jeweils aktuelle Anschrift gesendet sondern z.B:
    – an die Anschrift der Eltern
    – an frühere Anschriften, z.B. ins Studentenwohnheim
    – an Ex-Frauen, Ex-Männer und Ex-Lebenspartner
    – an irgendwelche anderen Anschriften die man einmal angegeben hat:  Freunde, Firmenadressen usw.
    d.h. hochsensible und persönliche Daten von Millionen von Menschen werden auf Gut Glück quer durch Deutschland versandt. Ein großer Teil wird wohl nicht beim bestimmungsgemäßen Empfänger landen
  • insbesondere die kleinen und mittleren Unternehmen können sich einen Versand per Brief nicht leisten. Ein kleiner Internetshop mit täglich 10 Neukunden hat nach 10 Jahren Daten von ca. 36500 Kunden gesammelt. Geht man von Kosten von nur einem Euro pro Datenbrief aus (Personal, Porto, Briefpapier, Toner, Briefumschläge), ergibt das 36500 EUR. Das dürfte wohl in etwa dem entsprechen was dem Shopbetreiber jährlich nach Abzug der Steuern zum Leben bleibt. D.h. er kann seinen Laden dicht machen.
  • um die Kosten zu senken und die Briefeflut möglichst gering zu halten, wird der Versand der Datenbriefe wahrscheinlich von Dienstleistungsunternehmen übernommen werden. D.h. die Unternehmen werden die gesammelten Daten elektronisch per Schnittstelle an spezielle Dienstleister senden, die dann einmal jährlich alle übermittelten Datenbriefe gesammelt in einem großen Paket an die Bürger verschicken. D.h. alle Daten die bisher dezentral bei Unternehmen gespeichert sind, werden zukünftig bei wenigen Dienstleistern zentral zusammengeführt.
  • auch die Unternehmen die bisher mit den gesammelten Daten gar nichts anfangen, werden zukünftig gezwungen diese aufzubereiten und die Daten aus unterschiedlichen Quellen im Unternehmen zusammenzuführen. Liegen z.B. Emails und Serviceanfragen bisher nur im Emailkonto vor, müssen diese jetzt den einzelnen Kunden zugeordnet werden. Zukünftig müssen alle Daten jedes Kunden im Unternehmen zentral gespeichert und für den Massenversand abrufbereit gehalten werden.
  • der Datenbrief verursacht für die Unternehmen Kosten und muss refinanziert werden. Dies könnte z.B. geschehen durch:
    – Beilage von Werbung des eigenen Unternehmens oder Dritten
    – Verkauf der Daten
    – Preiserhöhungen
  • die Datenbriefe enthalten persönliche und sensible Daten in komprimierter Form. Die meisten Privatpersonen verfügen nicht über einen Shredder, der Großteil der Datenbriefe wird unzerkleinert und lesbar im Altpapier landen.
  • auch die Unternehmen die Kundendaten bisher nicht nutzen oder verarbeiten, werden zukünftig dazu gezwungen diese aufzubereiten. Dadurch steigt der Wert der Daten, der Handel mit Daten wird daher zukünftig zunehmen.

Variante 2: Die Datenbriefe enthalten nicht die über den Bürger konkret gespeicherten Daten selbst sondern nur die Art der gespeicherten Daten.  D.h. der Kunde bekommt nur die Mitteilung, daß ein Unternehmen eine Bankverbindung gespeichert hat, nicht aber welche.

Probleme:

  • dies löst nicht das Problem, daß unbefugte dritte Einsicht in das Privatleben der Bürger erhalten können. Herr Peter Müller junior möchte sicherlich nicht, daß sein Vater Herr Peter Müller senior auch nur die Information erhält, daß er Kunde bei pornoglotzen24 war. Und das Jahre nachdem Herr Müller von zu Hause augezogen ist. Und Frau Anne Mustermann möchte sicherlich nicht, daß Ihre Nachmieterin mit gleichem Nachnamen –  Frau Petra Mustermann erfährt, daß Sie Kontakt zur „Beratungsstelle Kinderwunsch am KKH Mohabit“ hatte.
    Wie hat der CCC doch in seinem Gutachten zur Vorratdatenspeicherung auf Seite 3 festgestellt: „Verbindungsdaten können aussagekräftiger als Inhaltsdaten sein (…)“

Variante 3: Die Datenbriefe werden per EMail versandt oder die gespeicherten Daten werden im Internet auf einem Portal zum Abbruf bereitgehalten und die Kunden per E-Mail darüber informiert wo sie die Daten abrufen können.

Probleme:

  • auch Email Adressen ändern sich. Neue Email Adressen kommen dazu, alte werden gelöscht oder dem eigenen Zugriff entzogen. Zum Beispiel Firmenemailadressen nach dem Wechsel des Arbeitsplatzes. Oder durch Tippfehler werden E-Mail Adressen falsch eingegeben. Herr Peter Müller hat zum Beispiel bei einer Bestellung vor zwei Jahren versehentlich die Email Adresse: peter.mueller@example.com eingegeben statt peter_mueller@example.com. Die Adresse peter.mueller@example.com wurde vor einem halben Jahr an Herrn Peter Müller aus Düsseldorf vergeben. Dieser erhält nun auch die Datenbriefe, bzw. die Zugangsdaten für den Abbrufserver. D.h. auch bei dieser Lösung wird ein Großteil der Datenbriefe seinen Empfänger nicht erreichen, oder den falschen Empfänger ereichen.
  • nicht jedes Unternehmen hat zwangsläufig eine E-mail Adresse des Kunden. D.h. viele Unternehmen müssen zumindest einen Brief per Post verschicken, der dann die Zugangsdaten für das Informationsportal enthält. Mit den oben aufgeführten Konsequenzen.
  • auch die Email oder Portallösung verursacht immense Kosten für die Unternehmen. So werden wohl gerade kleinere und mittlere Unternehmen die Emails nicht selbst versenden und auch die Informationsserver nicht selbst betreiben, sondern externe Dienstleister beauftragen. D.h. die bisher dezentral über die Republik verstreuten Daten werden zentralisiert und zusammengeführt. Im Vergleich zu den hier zentral gespeicherten Daten wird das ELENA System der Bundesregierung ein Witz.
  • geht man davon aus, daß alle Unternehmen ihre Daten selbst verwalten muss jeder Bürger zukünftig hunderte von Zugangsdaten zu hunderten von Informationsportalen verwalten.
  • auch bei dieser Variante werden die Unternehmen versuchen die Kosten zu refinanzieren. Entweder durch den Verfauf der gezwungenermaßen aufbereiteten Daten. Oder durch Werbefinanzierung. Oder durch Preiserhöhungen.

Zusammenfassung: Die Verpflichtung zur  unaufgeforderte Zusendung oder auch nur Bereithaltung von gespeicherten Daten wird nicht zu einem mehr an Datensicherheit sondern zu einem massiven Anstieg der Datenunsicherheit führen und mehr neue Probleme verursachen als lösen. Die Zentralisierung der Daten wird zunehmen, auch Unternehmen die bisher die Daten ihrer Kunden nicht weiterverarbeiten werden zukünftig dazu gezwungen.

Die ersten Dienstleister stehen übrigens schon in den Startlöchern:
http://www.pressebox.de/pressemeldungen/human-inference-gmbh-1/boxid-327869.html

Über jeden Bundesbürger sind bei Unternehmen, Ärzten und Behörden zahlreiche Daten gespeichert. Die Unternehmen müssen diese Daten speichern, denn es gibt in Deutschland Aufbewahrungsfristen. Diese betragen in der Regel 10 Jahre. D.h. ein Versandhandelsunternehmen speichert zum Beispiel Name und Adresse, welche Waren bestellt wurden, wohin diese geliefert wurden, von welchem Konto der Rechnungsbetrag abgebucht wurde usw. Was machen die Unternehmen mit den Daten? 99% der Unternehmen – insbesondere die kleineren und mittleren Unternehmen: Gar nichts. Die Daten ruhen in Frieden im Buchhaltungsprogramm oder im Internetkundenkonto. Ich selbst habe im Laufe der letzen Jahre bei über hundert verschiedenen Versandhändlern bestellt. Bücher, Jacken, Unterhosen, Socken, Krawatten, Computer und Zubehör, Möbel usw. Zum Teil wurden die Waren an meine eigene Anschrift geliefert, zum Teil an meine Arbeitsstelle. Ich habe diese Waren über die verschiedensten E-Mailkonten bestellt. Leichtsinnigerweise auch über Firmenemailkonten. Da ich keine Newsletter abonniert habe und die Bestellungen gelöscht habe, dachte ich die Sache wäre damit erledigt. Ich bin mehrmals umgezogen, habe bei den Umzügen einen Nachsendeauftrag für ein halbes Jahr gestellt. Meine neue Adresse habe ich eigentlich nur dort bekanntgegeben wo langfristige Vertragsbindungen bestehen, d.h. bei Telefongesellschaften, Banken und Behörden. Nicht einmal meinen ehemaligen Hausärzten habe ich meine neue Anschrift bekannt gegeben – wozu auch.

Ich selbst gehe mit meinen Daten sparsam um. Wenn ich im Internet bestelle lese ich mir die AGB durch, die Datenschutzbestimmungen der Webseiten und achte darauf nicht versehentlich in die Weitergabe meiner Daten einzuwilligen. Ich bin nicht so dämlich und beteilige mich an Gewinnspielen bei denen man in die Zusendung von Werbung oder gar Telefonwerbung bzw. die Weitergabe der Daten  an Dritte einwilligt.

Insofern hält sich die Belästigung mit an mich adressierter Werbung in Grenzen: Alle paar Monate erhalte ich einen Werbebrief für Konsumentenkredite, gelegentlich Werbung von einem Möbelhaus bei dem ich mir eine Kundenkarte aufschwatzen ließ und in der Vergangenheit auch mal unerwünschte Telefonanrufe – in der Regel von Telefongesellschaften die mich zum Wechsel animieren wollen. Die einzigen Werbemails von DEUTSCHEN Unternehmen habe ich selbst bestellt. Spammails von deutschen Unternehmen sind sowieso selten, denn wer in Deutschland unaufgefordert Werbemails versendet kann sich auf kostspielige Abmahnungen gefasst machen.  Mein Eindruck ist aber: Die Mehrzahl der Unternehmen gibt keine Daten weiter und geht halbwegs verantwortungsvoll mit den gespeicherten Daten um. Werbebriefe sind selten geworden – wozu auch – Newsletter sind billiger – aber Newsletter von deutschen Unternehmen lassen sich mit einem Mausklick wieder abbestellen. Von den meisten Unternehmen mit denen ich Kontakt hatte habe ich nie wieder etwas gehört. Dennoch ist mir bewusst daß bei zahlreichen Unternehmen Daten über mich gespeichert sind

Und bisher dachte ich: Meine Daten ruhen in Frieden.

Irrtum: Wenn es nach dem Chao Computer Club geht werden diese Datenleichen bald wieder zum Leben erweckt. Geht es nach dem CCC und einigen Politikern gehen demnächst folgende Daten auf Sendung: ärztliche Untersuchungsberichte, alte längst vergessene Versandhausbestellungen, Bankverbindungen, alte und neue Steuerbescheide und so weiter. Der größte Teil dieser Datensendungen wird mich allerdings nicht erreichen, da ich zwischenzeitlich mehrmals umgezogen bin. Wenn ich Glück habe gehen die Datenbriefe als unzustellbar zurück, wenn ich Pech habe werden die Briefe an mir unbekannte Dritte ausgeliefert. Per Email und per Post.

Datenschutz ist wichtig. Auch das Recht bei Unternehmen auf ANFORDERUNG eine Übersicht über die gespeicherten Daten zu erhalten ist wichtig. Wer den Eindruck hat, daß ein Unternehmen mit seinen Daten Schindluder treibt, hat ein Recht auf Auskunft. Wer von einer Telefongesellschaft mit Werbeanrufen belästigt, muss auf NACHFRAGE erfahren können woher das Unternehmen diese Daten hat und welche Daten das Unternehmen gespeichert hat.

Die unaufgeforderte Zusendung eines Datenbriefs, per Email oder per Post ist in meinen Augen jedoch ein eklatanter Verstoß gegen das Recht auf informationelle Selbstbestimmung. Sollte ein Unternehmen auf die Idee kommen meine persönlichsten Daten per Brief oder Email unaufgefordert durch die Gegend zu senden oder diese auf einem Server im Internet zum Abruf bereitzustellen werde ich juristisch dagegen vorgehen. Sollte Unternehmen und Behörden dazu gesetzlich verpflichtet werden, werde ich eine Verfassungsbeschwerde prüfen.

Ich habe ein Recht darauf darüber zu bestimmen was mit meinen Daten geschieht. Und niemand hat das Recht ohne mein ausdrückliches Einverständnis meine persönlichsten Daten unaufgefordert auf Reisen zu schicken.