© fotolia

Netzpolitik
07/16/2013

PRISM: Verwirrung um erfasste Daten

Es sei ausgeschlossen, dass mit PRISM personenbezogene Daten österreicherischer Staatsbürger erhoben werden, hieß es vergangene Woche seitens des US-Botschafters. Doch ist das wirklich so? Datenschützer bezweifeln dies, denn auch sogenannte Metadaten können personenbezogen sein und in Metadaten steckt außerdem viel mehr an Informationen, als vielerorts bekannt ist.

"Auch Metadaten können personenbezogen sein. Wenn wir beispielsweise miteinander telefonieren, handelt es sich dabei um personenbezogene Daten, denn es können Rückschlüsse auf unsere Personen getroffen werden", erklärt Max Schrems, Jurist und Datenschützer der futurezone. Vergangene Woche hatte der US-Botschafter dem österreichischen Innenministerium

, dass im Rahmen von PRISM ausschließlich Metadaten erhoben und verarbeitet werden, aber keine personenbezogenen Daten. "Das ist Schlichtweg eine Falschaussage", kritisiert Schrems. "Es kommt drauf an, was und wie es gespeichert wird."

Andreas Krisch, Datenschutzexperte und Wirtschaftsinformatiker, erklärt das anhand eines Beispiels: "Auch wenn beim Autokennzeichen nicht der Name der Person dabei steht, der das Auto gehört, handelt es sich dabei um indirekt personenbezogene Daten, die dem Datenschutzgesetz unterliegen."

"Personenbezogene Daten sind es beispielsweise immer dann, wenn es möglich ist, dass die Daten rückgeführt werden können. Bei der Telefonnummer kann etwa der Anschlussinhaber ermittelt werden, bei der IP-Adresse kann klar herausgefunden werden, wann wem eine IP-Adresse zugeordnet worden ist (mit Ausnahmen)", sagt Krisch.

"Halbwahrheiten und Falschinformationen"
Die Aussage des US-Botschafters deutet Krisch folgendermaßen: "Es dürfte keine Zuordenbarkeit zu konkreten Personen möglich sein. Doch welchen Wert hätten derartige Informationen für Geheimdienste? Es ist nicht bekannt, dass dadurch ein Mehrwert geboten wird."

Mario Wieser, Spitzenkandidat der österreichischen Piratenpartei, bezeichnet das, was unter dem Deckmantel der "Aufklärung" an die mediale Öffentlichkeit gelangt, als "eine einzige Suppe an Halbwahrheiten und Falschinformationen." Die Piratenpartei hat dazu ein "Factsheet" veröffentlicht, das neben dem Metadaten-Problem noch weitere verwirrende Punkte rund um PRISM ans Tageslicht bringt.

Entgegen der Aussage des US-Botschafters erklärt der deutsche Innenminister

, USA, dass auch Kommunikationsdaten von PRISM erfasst würden. Aus den Slideshows von Edward Snowden, die im "Guardian" veröffentlicht worden sind, zu PRISM geht außerdem hervor, dass auch inhaltliche Daten wie E-Mails, Chatnachrichten, Videos, Fotos, gespeicherte Dateien, VoIP-Telefonate oder Dateitransfers sowie Profildetails von sozialen Netzwerken sowie Metadaten inhaltlich von der NSA bezogen werden können.

"Umfassende Aufklärung ist notwendig"
"Diese Diskussion ist, sowie sie geführt wird, der Sache nicht sehr zuträglich. Ich erwarte mir eine ernsthafte, absolute Aufklärung", so Wieser. "Statt Verwirrung zu stiften und Beschwichtigungsversuche zu unternehmen, sollte man das Thema ernst nehmen." Auch Krisch wünscht sich, dass die irreführenden Aussagen, ob jetzt Kommunikationsdaten oder Metadaten von PRISM erfasst werden, noch tatsächlich aufgeklärt werden. "Es ist nach wie vor eine umfassende Aufklärung notwendig. Das Innenministerium sollte mit der österreichischen US-Botschaft auf jeden Fall noch einmal Rücksprache halten, was das betrifft."

Selbst wenn "nur" Metadaten erfasst werden sollten, sind diese keinesfalls harmlos und müssen entsprechend geschützt werden. E-Mail-Metadaten enthalten beispielsweise Informationen, wer wem wann geschrieben hat. Sowohl Absender, Adresse, als auch der Zeitpunkt und über welchen Server die E-Mails verschickt wurden, lässt sich dadurch ermitteln. Dadurch kann man ganz einfach feststellen, wie oft ein Nutzer mit einem anderen kommuniziert und daraus Schlussfolgerungen ziehen.

Was mit Metdaten alles möglich ist
Mit Immersion gibt es jetzt auch ein Projekt des MIT, mit dem die Möglichkeiten, die sich durch die Auswertung von Metadaten ergeben, wie sie der US-Geheimdienst NSA und auch europäische Geheimdienste in großem Stile sammeln, anhand von Gmail-Konten dargestellt werden. Binnen weniger als einer Minute wird aus dem Gmail-Konto ein Beziehungsgeflecht ermittelt, welches in einem Netzwerkdiagramm dargestellt wird - man sieht also genau, wer mit wem vernetzt und wann kommuniziert hat.

"Man kann aus Metadaten definitiv sehr viel herauslesen und bekommt ein sehr großes Bild von einem Menschen", sagt Wieser von der Piratenpartei. So hat der Mathematiker Vincent Blondel von der Université Catholique im belgischen Löwen beispielsweise in einer Studie herausgefunden, dass vier Datensätze aus Anrufen genügt haben, um Bewegungen von 95 Prozent der Anrufer nachzuzeichnen.

EU-Datenschutzreform: Pseudonymisierung
Deshalb sind Metadaten auch in der EU-Datenschutzreform ein heißes Thema, wenn auch nur indirekt. In zahlreichen Abänderungsvorträgen der EU-Parlamentarier sowie im Entwurf der Justiz- und Innenminister im EU-Rat, kommt der Begriff der "pseudonymisierten Daten" vor. "Je nach Argumentationslinie wären auch Metadaten pseudonymisierte Daten", erklärt Krisch. Der Plan dabei ist, die Schutzstandards für diese Datenkategorie abzuschwächen. "Das wäre recht problematisch", meint Krisch.

Schrems erklärt, warum das so ist: "Jede Datenbank heutzutage läuft über Primärschlüssel. Kundendatenbanken von Telekomunternehmen würden beispielsweise als pseudonymisiert gelten, weil die Kunden über ihre Kundennummer gespeichert werden und nicht mit dem Namen." Nachteile für Nutzer würden soweit gehen, dass das Grundrecht auf Datenschutz gänzlich ausgehebelt werden könnte und man sogar auf sein Recht auf Auskunft verzichten müsste.

"In diesem Ausmaß wäre es allerdings nicht verfassungskonform", glaubt Schrems. "Das Problem ist aber, dass man in der Praxis nicht einmal das Gegenteil beweisen können wird." Daher wünschen sich Krisch und Schrems nicht nur Aufklärung im Fall von PRISM, sondern auch, dass das Problem mit den Metadaten auch in der EU-Datenschutzverordnung sauber - und nicht zum Nachteil der einzelnen Nutzer geregelt wird. Wie dieser Kampf um die Klausel der "pseudonymisierten Daten" ausgehen wird, ist unklar.

Mehr zum Thema

  • PRISM: Auch Kommunikationsinhalte überwacht
  • US-Botschafter bestätigt Existenz von PRISM
  • EU-Datenschutzreform als "große Chance"
  • Heimische Vorratsdaten für Diebstahlsdelikte
  • PRISM: EU-Parlament setzt Kontrollgremium ein