Keine Angst vor Data Mining
Artikel erschienen in Swiss IT Magazine 2002/31
Das Internet bietet seinen Nutzern in Sekundenschnelle Zugang zu zahlreichen Informationen und Dienstleistungen. Bei jeder Bewegung im Netz fallen aber auch Datenspuren an, die bei den Anbietern leicht nachvollzogen und gespeichert werden können. Immer mehr Firmen sammeln solche Daten in einer unternehmensweiten Datenbank (Data Warehouse), um mit ausgeklügelten Techniken der Künstlichen Intelligenz (Data Mining) neue personenbezogene Informationen über die aktuellen und künftigen Einkaufsgewohnheiten potentieller Kunden zu gewinnen. Die firmeninternen Daten werden dabei kontinuierlich und gezielt mit Daten von Adresshändlern, Partnerunternehmen oder öffentlich zugänglichen Registern ergänzt und angereichert. Jeder einzelne Kunde soll individuell angesprochen und entsprechend beeinflusst werden können. Der Direktbetroffene verliert dadurch immer mehr die ihm in der Bundesverfassung zugesicherte Souveränität über seine persönlichen Daten.
Dass bei der Auswertung von Kundendaten mit Data Mining auch zahlreiche Gesetzesnormen missachtet werden, wissen die wenigsten. Gemäss Schweizer Datenschutzgesetz (DSG) dürfen Personendaten nämlich nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Der Zweck muss näher bestimmt und für die betroffene Person eindeutig klar sein. Beim Data Mining, wo Datenbestände in selbstlernender und automatisierter Weise nach unbekannten Zusammenhängen durchforstet werden, scheint das per definitionem nicht möglich. Selbst Data Miner können nicht im voraus sagen, welche neuen personenbezogenen Informationen entdeckt werden, geschweige denn, dass die Betroffenen dazu ihre Einwilligung geben könnten.
Aus diesem Grund ist die Speicherung von Personendaten im Data Warehouse auf Vorrat für noch nicht bestimmte Verarbeitungszwecke grundsätzlich unzulässig. Auch die gesetzliche Anforderung nach der Datenrichtigkeit kann das Data Mining, wo die gesammelten Personendaten in ganz neue Kontexte gesetzt und mit neuen Attributen in Verbindung gebracht werden, kaum erfüllen. Der Kontextverlust ursprünglich erhobener Personendaten kann zu Falschaussagen führen oder zu solchen, die gar nicht mehr als richtig oder falsch taxiert werden können, wie beispielsweise die Prognose, dass Herr Muster seinen Vertrag mit einem Telekommunikationsunternehmen mit einer Wahrscheinlichkeit von 80% innerhalb von 15 Monaten kündigt. In einem solchen Fall kann Herr Muster nicht einmal sein Recht zur Berichtigung von falschen Personendaten wahrnehmen.
Data Mining ist auch aus wettbewerbsrechtlicher Sicht problematisch. Gemäss Art. 3 lit. h UWG handelt unlauter, wer den Kunden durch besonders aggressive Verkaufsmethoden in seiner Entscheidungsfreiheit beeinträchtigt. Wer dank der frühzeitigen Feststellung von Verhaltensänderungen mit Hilfe von Data Mining massgeschneiderte Offerten und Angebote zum passsenden Zeitpunkt unterbreitet, kann damit seine Kunden in ihrer Entscheidung manipulieren. Die besondere Aggressivität dieser Art von Werbung zeigt sich nicht so sehr in der persönlichen und massgeschneiderten Ansprache als in der fortlaufenden Kundenbeobachtung. Schliesslich kann das Auswerten von Kundendaten mit Data Mining auch aus der Sicht des Strafrechts heikel sein - insbesondere, wenn personenbezogene Data-Mining-Analysen gegenüber den Betroffenen absichtlich verheimlicht werden. In einem solchen Fall könnte gemäss Art. 146 Abs. 1 StGB der Tatbestand des Betruges in Form eines unechten Unterlassungsdeliktes erfüllt sein.
Anbieter, denen der Schutz der Privatsphäre ihrer Kunden ein echtes Anliegen ist, tun gut daran, eine sogenannte Privacy Policy ins Netz zu hängen, wo man die Besucher präzise und transparent darüber informiert, wie und für welche Zwecke deren Daten tatsächlich verwendet werden. Schwammige Angaben wie "für Marketingzwecke" sagen nichts aus und sollten vermieden werden. In besonders sensiblen Gebieten empfiehlt sich die Ausarbeitung einer internen Sicherheits-Policy, in der die Kompetenzen im Umgang mit Kundendaten geregelt werden, sowie die Unterzeichnung einer Vertraulichkeitserklärung durch die Mitarbeitenden. Dass die Wirksamkeit des Datenschutzrechts mittels datenschutzfreundlichen Technologien (PET) wie Verschlüsselung oder anonyme Nutzung von Systemen verstärkt werden muss, versteht sich von selbst. Eine weitere Möglichkeit, auf legale Art und Weise an Verbraucherinformationen zu gelangen, sind Prämiensysteme oder Kundenkarten nach Vorbild der Cumulus-Card.
Neben verstärkter Kundenbindung entsteht so nämlich eine einfache und mit dem Datenschutzrecht vereinbare Möglichkeit, detaillierte Kundeninformationen zu erheben und zu verarbeiten. Dass schliesslich auch der Gesetzgeber gut daran täte, die
Vorschriften an die neuen Technologien anzupassen, ist eine andere Geschichte.