Datenhunger Amazon, Terror-Abwehr und der Staatsschutz

Amazon verkauft nicht nur viele Bücher, sondern ist auch sehr an den Daten der Käufer interessiert. Doch nicht nur der Datenhunger der Unternehmen wächst, auch der des Staates: Gerät hier der Datenschutz unter die Räder?

Von Michael Voregger


Mächtig hungrig: Amazons Erfolgsrezept beruht darauf, möglichst viel über seine Kunden zu erfahren

Mächtig hungrig: Amazons Erfolgsrezept beruht darauf, möglichst viel über seine Kunden zu erfahren

Die Meldung sorgte vor einigen Monaten für einiges Aufsehen: Amazon, hieß es da, plane, auch die Daten von Menschen zu sammeln, die durch Amazon-Kunden beschenkt werden. Auch Informationen, die Kunden in Besprechungen über Bücher oder CD's von sich preisgeben, möchte das Unternehmen künftig genauer unter die Lupe nehmen und den schon gespeicherten Profildaten seiner Kunden hinzufügen. "Nach amerikanischem Datenschutzverständnis ist das nicht grundsätzlich ein Rechtsverstoß", sagt Dr. Ulrich Dammann vom Bundesbeauftragten für den Datenschutz in Bonn.

Ein Patent auf entsprechende Analysemethoden wurde Amazon.com kürzlich erteilt. Es spielt dabei keine Rolle, ob jemand schon bei Amazon registriert ist oder nicht. Der Buchversender könnte damit das Verhalten seiner Kunden auch beim Verschenken besser verstehen und ihnen Vorschläge für entsprechende Präsente machen. Wenn der Anlass ermittelt ist, kann der Kunde bei jedem Geburtstag erinnert und zum Einkauf aufgefordert werden. Neukunden wiederum könnte man so mit passenden Angeboten empfangen - als "alte Bekannte" so zu sagen.

Bei dem Internet-Buchhändler gibt man sich ungewohnt auskunftswillig und weist alle Ambitionen in diese Richtung weit von sich. "Das 'gift giving patent' wurde von Amazon im April 2000 eingereicht und im April 2005 genehmigt", bestätigt Christine Höger, Pressesprecherin bei Amazon Deutschland. Das aber bedeute keineswegs, dass es auch zur Anwendung komme: "Amazon hat keinerlei Pläne, die in dem Patent beschriebene Technologie einzusetzen. Als die Patentanwendung im Jahr 2000 geschrieben wurde, versuchten wir, soweit wie möglich in die Zukunft zu blicken und haben sehr viele unterschiedliche Anwendungen entwickelt, mit denen wir unseren Kunden hilfreich bei der Produktauswahl zur Seite stehen können."

Schon jetzt werden mächtig viele Daten gesammelt: In Deutschland boomt der Einkauf im Netz, und Amazon liegt dabei weit vorn. Allein im letzen Jahr stieg die Zahl der Online-Shopper hier um zwei Millionen. Nach einer Studie der Gesellschaft für Konsumforschung gingen 46 Prozent der Deutschen zwischen 14 und 49 Jahren im letzten Jahr über das Web einkaufen. Bei diesen 25,2 Millionen Menschen liegt Amazon bei der Beliebtheit auf dem zweiten Platz hinter Ebay. Beide sind US-Unternehmen: Wie sicher sind da die Daten?

"Safe Harbor"

"Den Schutz persönlicher Daten bei Amazon garantiert ein Abkommen zwischen der Europäischen Union und den USA", sagt Manfred Illgenfritz von der für Amazon zuständigen bayerischen Datenschutzaufsichtsbehörde. "'Safe Harbor' soll sicherstellen, dass keine Daten zum Beispiel an staatliche Stellen weitergegeben werden."

Eigentlich gestattet die europäische Datenschutzrichtlinie keine Übertragung in andere Länder, die über kein vergleichbares Datenschutzniveau verfügen. Das gilt insbesondere für die USA, da dort keine umfassenden gesetzlichen Regelungen existieren. Das Abkommen jedoch ermöglicht es europäischen Unternehmen, personenbezogene Daten legal in die USA zu übertragen.

Safe Harbor beruht dabei auf einer Selbstauskunft der betreffenden Unternehmen und einer Kontrolle der Einhaltung der Regeln: Amerikanische Unternehmen können sich - gegen Registrierung und Gebühr - selbst das nötige Zertifikat ausstellen und sich so zu einem sicheren Hafen erklären. Die US-Aufsichtsbehörde FTC (Federal Trade Commission) kann dann nach den Regeln des Abkommens Verstöße ahnden, in denen der Missbrauch von Daten nachgewiesen wird.

"Policy" statt Gesetz

Doch wenn in den USA ein einheitlicher, rechtlicher Rahmen fehlt, der den Umgang mit Kundendaten vorschreibt, wie erfährt man dann überhaupt, wie das Unternehmen mit diesen umgeht? US-Firmen erklären in ihren "privacy policies", wie sie mit gesammelten Daten umgehen wollen. In der Regel bekommt der Kunde diese zu Gesicht, wenn er sich für einen Service anmeldet. Ob er sie auch liest vor dem bestätigenden Klick, steht auf einem anderen Blatt.

Punkt 1, Absatz 1, der Datenschutzerklärung von Ebay Deutschland:
"Ich willige ein, dass die eBay International AG, Helvetiastrasse 15 - 17, CH-3005 Bern, Schweiz, meine personenbezogenen Daten erhebt und an die eBay Inc., 2145 Hamilton Avenue, San Jose 95125, USA, übermittelt."

So sollte den deutschen Nutzern des Auktionshauses Ebay immer klar sein, dass sie mit der Bestätigung der Allgemeinen Geschäftsbedingungen auch in die "privacy policy" einwilligen. In dieser Erklärung heißt es zunächst einmal unter Punkt 1, Absatz 1, dass alle Daten in die US-Zentrale übermittelt werden dürfen. Damit ist noch lang nicht garantiert, dass sie wirklich nur dort gespeichert werden.

Datenweitergabe auf Verlangen

Erst vor zwei Jahren haben Äußerungen von Joseph Sullivan, Leiter der Ebay-Abteilung "law enforcement and compliance", für großes Aufsehen gesorgt. Danach mussten die staatlichen Stellen nur ein Fax oder eine Mail schicken, um an die gewünschten Kundendaten zu kommen. Etwa ein Jahr nach dem Abkommen zu "Safe Harbor" wurden die Grundsätze des Datenschutzes in den USA durch die Anschläge vom 11. September grundlegend geändert. Fortan bestimmte die innere Sicherheit den Umgang mit personenbezogenen Daten und der "Patriot Act" regelte die Einschränkung der Bürgerrechte.

Bei Amazon sieht man da keinen grundsätzlichen Gegensatz zur deutschen Praxis. "Amazon.com und Amazon.de haben sehr strikte Standards, wenn es um den Schutz von Kundendaten geht", erklärt Christine Höger. "Die Möglichkeit der US-Regierung, Amazon.com zur Preisgabe von Kundendaten zu zwingen, unterscheidet sich nicht von dem Recht, welches die deutsche Regierung innehat, um ähnliche Information von Firmen in Deutschland zu erhalten."

Tatsächlich?

In den USA dürfen staatliche Stellen im Namen der Terrorabwehr von allen Unternehmen und Institutionen Auskunft darüber verlangen, was ihre Kunden tun und ihre Daten abfragen. Dazu ist kein offizieller Durchsuchungsbefehl notwendig und man benötigt auch keinen belegbaren Tatverdacht. Für die Erlaubnis ist ein von der Öffentlichkeit abgeschottetes Bundesgericht zuständig und die Beschlüsse können nicht von anderen Gerichten überprüft werden. "Amazon.com verlangt grundsätzlich eine gültige gerichtliche Vorladung, ehe der Anfrage nach Kundendaten von Seiten einer Strafverfolgungsbehörde nachgegangen wird", beharrt Christine Höger.

Bisher gibt es kaum Erkenntnisse, wie oft Amazon oder Ebay mit Anfragen staatlicher Stellen bedacht werden. "Als übliche Verfahrensweise kann das nicht lange verborgen bleiben. Es kann natürlich sein, dass es interne Fahndungshinweise sind und das man Schwerpunkte macht", sagt Dr. Ulrich Dammann. "Ich habe einen Betroffenen gebeten, mir die Erlaubnis zu geben, diesen Fall zu verfolgen, aber habe sie nicht bekommen."

Bisher ist nur der Fall einer Bundesbürgerin pakistanischer Herkunft bekannt geworden, die im Oktober 2003 nicht in die USA einreisen durfte. Die Grenzbeamten wussten dabei auffallend viele Einzelheiten über ihr Kaufverhalten bei Amazon.

Im letzten Jahr sollte die Europäische Kommission dem Parlament in einem ersten Bericht über die Ergebnisse von Safe Harbor berichten. Dazu ist es bisher nicht gekommen, und auch beim Besuch einer Delegation des amerikanischen Handelsministeriums vor wenigen Wochen spielte das Abkommen keine Rolle. "Wir gehen dieser Frage auch im Zusammenhang mit dem Flugdatenabkommen nach", sagt Dr. Ulrich Dammann. "Wir haben dazu keine Kenntnisse, und darauf warten wir eigentlich. Ein Bericht zum Abkommen ist in Vorbereitung. Es wird im Herbst dazu eine Veranstaltung geben mit der EU, den Datenschützern und dem amerikanischen Handelsministerium, der Federal Trade Commission".

Das starke Gefälle in der Qualität des Datenschutzes zwischen der EU und den USA hält das Thema Datentransfer weiter auf der Tagesordnung. Durch die anhaltenden terroristischen Aktivitäten wird die Begründung für den staatlichen Zugriff weiter frei Haus geliefert. Die gängige Praxis und die schwach ausgeprägten Kontrollmöglichkeiten sollten jedermann zu denken geben, wem er persönliche Daten überlässt.



© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.