Die Empörung ging gestern durch die Presse (SWR3, Heise, Golem) und diverse Blogs (z.B. Lunatic Fringe, Lawblog, Mitternachtshacking): Eine Mutter besuchte eine Bankfiliale, um dort im Foyer vom Geldautomat Geld abzuheben; ihre dreijährige Tochter habe dabei mit Hundekot, der an ihren Schuhen klebte, den gefliesten Vorraum verschmutzt. Durch Abgleich der Videoaufzeichnungen, der Uhrzeit und den Transaktionen des Geldautomaten wurde die Adresse der Mutter festgestellt, die daraufhin für die Reinigung eine Rechnung erhielt. In einem aktualisierten Bericht der Stuttgarter Nachrichten heißt es inzwischen, es habe sich dabei nicht um Hundekot gehandelt, vielmehr habe das Kind seine Notdurft auf den Boden verrichtet. Der Fall wird nun von der Aufsichtsbehörde für Datenschutz untersucht.
Egal, wie sich der Vorfall zugetragen hat: In jedem Fall finde ich es haarsträubend, daß für solche Geringfügigkeiten mit solchen Geschützen aufgefahren wird. Die Grenze ist aber erschreckend niedrig angesetzt: Die Stuttgarter Nachrichten schreiben, daß "Laut Gesetz (ist) das aber nur zu Zwecken der Strafverfolgung erlaubt" sei. Eine Untergrenze für die Schwere der Straftat gibt es offensichtlich nicht - im Gegensatz zur landläufigen Meinung, die Videoüberwachung in Banken diene einzig der Verfolgung von Bankräubern.
Auch möchte ich anmerken, daß dieser Abgleich durchaus fehleranfällig sein kann: Man stelle sich einen belebten Vormittag vor, an dem mehrere Frauen gerade am Geldautomat anstehen. Der Abgleich zwischen Videomaterial und Kontotransaktion erfolgte über die im Überwachungsvideo eingeblendeten Uhrzeit. Was aber, wenn die Uhr zwischen Überwachungskamera und Banksystem nicht synchron waren? Wer regelmäßig einen Blick auf die Uhr seines heimischen PCs wirft, der weiß, wie leicht diese mal um einige Minuten falsch gehen kann. Wenige Minuten reichen aber aus, um die falsche Person ins Visier der Bank zu bringen.
Die meiner Meinung nach erschreckendste Aussage stammt aber vom Leiter der Aufsichtsbehörde für Datenschutz selbst. Dieser schätzt nämlich das Risiko für die Häufigkeit solcher Vorfälle als sehr gering ein:
"Einen ähnlichen Fall kenne ich nicht, und die Kombination aus Videobild, Uhrzeit und Kundendaten ist auch nur in Banken gegeben."
Oh my noodles! Wie kann man nur so unglaublich naiv sein? Die selbe Konstellation an Daten fällt an vielen weiteren Stellen an: Viele Läden überwachen - aus Angst vor Raubüberfällen und Diebstahl - ihren Kassenbereich mit Videokameras. Der Abgleich kann dann über die Daten aus Bezahlungen mittels EC-Karte oder den Einsatz der allseits beliebten Bonuskarten (Payback, etc.) erfolgen.
Gleiches gilt auch für den videoüberwachten ÖPNV, wenn das Ticket mittels eines Handy-Bezahlsystems oder einer Rabattkarte (Bahncard!) getätigt wurde; auch beim Kauf von Bahnfahrkarten über das Internet läßt sich der Datenabgleich herstellen (über den 2D-Barcode auf der Karte läßt sich auf den Käufer zurückschließen) - sofern die Daten auf dem Handgerät des Kontrolleuers gespeichert bleiben.
Die Liste läßt sich beliebig fortsetzen... das Tüpfelchen auf dem i ist die Strafe, die den Unternehmen im Falle eines Vergehens gegen die Datenschutzrichtlinien droht: "Im Fall eines Verstoßes gegen die Bestimmungen würde die Behörde eine Beanstandung aussprechen, also eine förmliche Rüge. Kosten würde die nichts"... im Falle der Bank dürfte der PR-Schaden hinreichend groß sein, aber allgemein betrachtet ist (monetär gesehen) der Schutz der persönlichen Daten Null Euros wert. Na danke...