Die Em­pö­rung ging ges­tern durch die Pres­se (SWR3, Heise, Golem) und di­ver­se Blogs (z.B. Lu­na­tic Frin­ge, Law­blog, Mit­ter­nachts­hacking): Eine Mut­ter be­such­te eine Bank­fi­lia­le, um dort im Foyer vom Geld­au­to­mat Geld ab­zu­he­ben; ihre drei­jäh­ri­ge Toch­ter habe dabei mit Hun­de­kot, der an ihren Schu­hen kleb­te, den ge­flies­ten Vor­raum ver­schmutzt. Durch Ab­gleich der Vi­deo­auf­zeich­nun­gen, der Uhr­zeit und den Trans­ak­tio­nen des Geld­au­to­ma­ten wurde die Adres­se der Mut­ter fest­ge­stellt, die dar­auf­hin für die Rei­ni­gung eine Rech­nung er­hielt. In einem ak­tua­li­sier­ten Be­richt der Stutt­gar­ter Nach­rich­ten heißt es in­zwi­schen, es habe sich dabei nicht um Hun­de­kot ge­han­delt, viel­mehr habe das Kind seine Not­durft auf den Boden ver­rich­tet. Der Fall wird nun von der Auf­sichts­be­hör­de für Da­ten­schutz un­ter­sucht.

Egal, wie sich der Vor­fall zu­ge­tra­gen hat: In jedem Fall finde ich es haar­sträu­bend, daß für sol­che Ge­ring­fü­gig­kei­ten mit sol­chen Ge­schüt­zen auf­ge­fah­ren wird. Die Gren­ze ist aber er­schre­ckend nied­rig an­ge­setzt: Die Stutt­gar­ter Nach­rich­ten schrei­ben, daß "Laut Ge­setz (ist) das aber nur zu Zwe­cken der Straf­ver­fol­gung er­laubt" sei. Eine Un­ter­gren­ze für die Schwe­re der Straf­tat gibt es of­fen­sicht­lich nicht - im Ge­gen­satz zur land­läu­fi­gen Mei­nung, die Vi­deo­über­wa­chung in Ban­ken diene ein­zig der Ver­fol­gung von Bank­räu­bern.

Auch möch­te ich an­mer­ken, daß die­ser Ab­gleich durch­aus feh­ler­an­fäl­lig sein kann: Man stel­le sich einen be­leb­ten Vor­mit­tag vor, an dem meh­re­re Frau­en ge­ra­de am Geld­au­to­mat an­ste­hen. Der Ab­gleich zwi­schen Vi­deo­ma­te­ri­al und Kon­to­trans­ak­ti­on er­folg­te über die im Über­wa­chungs­vi­deo ein­ge­blen­de­ten Uhr­zeit. Was aber, wenn die Uhr zwi­schen Über­wa­chungs­ka­me­ra und Bank­sys­tem nicht syn­chron waren? Wer re­gel­mä­ßig einen Blick auf die Uhr sei­nes hei­mi­schen PCs wirft, der weiß, wie leicht diese mal um ei­ni­ge Mi­nu­ten falsch gehen kann. We­ni­ge Mi­nu­ten rei­chen aber aus, um die fal­sche Per­son ins Vi­sier der Bank zu brin­gen.

Die mei­ner Mei­nung nach er­schre­ckends­te Aus­sa­ge stammt aber vom Lei­ter der Auf­sichts­be­hör­de für Da­ten­schutz selbst. Die­ser schätzt näm­lich das Ri­si­ko für die Häu­fig­keit sol­cher Vor­fäl­le als sehr ge­ring ein:

"Einen ähn­li­chen Fall kenne ich nicht, und die Kom­bi­na­ti­on aus Vi­deo­bild, Uhr­zeit und Kun­den­da­ten ist auch nur in Ban­ken ge­ge­ben."

Oh my nood­les! Wie kann man nur so un­glaub­lich naiv sein? Die selbe Kon­stel­la­ti­on an Daten fällt an vie­len wei­te­ren Stel­len an: Viele Läden über­wa­chen - aus Angst vor Raub­über­fäl­len und Dieb­stahl - ihren Kas­sen­be­reich mit Vi­deo­ka­me­ras. Der Ab­gleich kann dann über die Daten aus Be­zah­lun­gen mit­tels EC-Kar­te oder den Ein­satz der all­seits be­lieb­ten Bo­nus­kar­ten (Pay­back, etc.) er­fol­gen.
Glei­ches gilt auch für den vi­deo­über­wach­ten ÖPNV, wenn das Ti­cket mit­tels eines Han­dy-Be­zahl­sys­tems oder einer Ra­batt­kar­te (Bahn­card!) ge­tä­tigt wurde; auch beim Kauf von Bahn­fahr­kar­ten über das In­ter­net läßt sich der Da­ten­ab­gleich her­stel­len (über den 2D-Bar­code auf der Karte läßt sich auf den Käu­fer zu­rück­schlie­ßen) - so­fern die Daten auf dem Hand­ge­rät des Kon­trol­leu­ers ge­spei­chert blei­ben.
Die Liste läßt sich be­lie­big fort­set­zen... das Tüp­fel­chen auf dem i ist die Stra­fe, die den Un­ter­neh­men im Falle eines Ver­ge­hens gegen die Da­ten­schutz­richt­li­ni­en droht: "Im Fall eines Ver­sto­ßes gegen die Be­stim­mun­gen würde die Be­hör­de eine Be­an­stan­dung aus­spre­chen, also eine förm­li­che Rüge. Kos­ten würde die nichts"... im Falle der Bank dürf­te der PR-Scha­den hin­rei­chend groß sein, aber all­ge­mein be­trach­tet ist (mo­ne­tär ge­se­hen) der Schutz der per­sön­li­chen Daten Null Euros wert. Na danke...