Viele Großbanken verfolgen jede Kartentransaktion ihrer Kunden und verkaufen diese Informationen an Dritte.
Wenn Sie in den USA leben, stehen die Chancen gut, dass Ihre Bank jedes Mal ein wenig mehr über Sie erfährt, wenn Sie etwas mit einer Debit- oder Kreditkarte kaufen. Sie kennen bereits Ihre Konsumgewohnheiten – Ihre Lieblingsläden, wie oft Sie essen gehen, ob Sie mit dem Auto oder dem Bus zur Arbeit fahren, wie oft Sie in den Urlaub fahren, und so weiter.
Banken auf der ganzen Welt verkaufen seit langem anonymisierte, aggregierte Daten über das Kaufverhalten der Kunden an andere Unternehmen. Das war in unserem Heimatland Norwegen bisher nicht der Fall.
Anfang dieser Woche gab Norwegens größte Bank DNB bekannt, dass sie mit dem Verkauf von Informationen über Kundentransaktionen wie Karten- oder Zahlungslösungen, Geolokalisierung, Geschlecht und Alter beginnen wird.
Der Vivaldi-Sicherheitsexperte Yngve Pettersen (@TechieNotNetie) ist besorgt darüber, wie die Daten aufgeschlüsselt werden:
„Die Daten, die Ihre Bank hat, sind sehr sensibel. Je nachdem, wie dies umgesetzt wird, kann es zu Problemen kommen. Stellen Sie sich vor, Sie kaufen Medikamente mit Ihrer Karte oder bezahlen Krankenhausrechnungen. Selbst wenn Sie gerade etwas im Kiosk des Krebskrankenhauses an aufeinanderfolgenden Tagen gekauft haben, könnte das etwas verraten.“
Darüber hinaus sagt Yngve, dass einige Daten aus der Statistik herausgefiltert werden sollten:
„Es sollte eine Schwelle geben. Filter sollten sicherstellen, dass nur Daten darüber gezeigt werden, was viele Menschen gekauft haben, und nicht, was eine einzelne Person gekauft hat. Wenn zu wenig Leute etwas kaufen, wird es einfach, den Käufer zu identifizieren.“
Es gab schon mehrere Fälle, in denen „anonyme“ Daten deanonymisiert wurden. Yngve fügt hinzu:
„Es ist nicht so wahrscheinlich, dass statistische Daten verwendet dazu werden, eine Person aufzuspüren, aber Sie können Aufschluss über andere Sachen geben, wenn sie mit anderen Daten verknüpft werden.“
Für den Vivaldi-Gründer Jon von Tetzchner (@jonsvt) geht es weniger darum, identifiziert zu werden, als vielmehr darum, was mit den Daten gemacht werden kann:
„Facebook und Google verwenden diese Daten, um offline getätigte Einkäufe zu verfolgen und sie in online gesehene Anzeigen zu integrieren. So kann der Werbetreibende nicht wissen, wer Sie sind, aber sie wissen, was Sie kaufen und wie Sie kaufen. Das kann (z. B.) dafür genutzt werden, Sie während einer politischen Kampagne zu beeinflussen.“
Diese Praxis ist umso alarmierender, als Facebook und die Datenfirma Cambridge Analytica immer wieder von Skandalen heimgesucht wurden. Für Jon von Tetzchner stellt dies eine rutschige Piste dar:
„Hierbei gibt es keinen Begriff von Privatsphäre, nur das Recht zu spionieren. Das ist das, was wir in Norwegen nicht wollen.“
Julien Picalausa (@neartothesky) möchte wissen, was die Banken genau freigeben wollen:
„Im Allgemeinen ist es schwierig, Datensätze so freizugeben, dass sie es nicht erlauben, Profile zu erstellen. Es ist etwas überraschend, dass sie es planen, obwohl sie der GDPR unterliegen. Es ist anzunehmen, dass Bankkunden dies bereits in langen, undurchsichtigen Geschäftsbedingungen vorab akzeptiert haben. Ich würde definitiv nicht bei einer Bank bleiben wollen, die möglicherweise meine Daten verkauft.“
In Norwegen ist die Verwendung von Kreditkarten weit verbreitet. Das bedeutet, dass es möglich ist bei vielen Kunden 100% der Einkaufsgewohnheiten zu verfolgen und zu verkaufen.
Die neuen „Touch only“-Karten mit ihrer automatischen Zahlung von kleinen Beträgen machen die Kartenzahlung noch einfacher und liefern den Banken noch detailliertere Informationen.
Das Problem ist, dass das alles nicht einmal illegal ist. Jon von Tetzchner sagt:
„Dies ist ein weiteres Beispiel dafür, warum die Verwendung von Daten geregelt werden sollte. Die Banken sollten kein Recht dazu haben, dies zu tun.“
* * *
Das Buch “Weapons of Math Destruction: How big data increases inequality and threatens democracy” von Cathy O’Neil diskutiert die Nutzung solcher Daten in den USA.
