Unter dem Stichwort «Datenschutz» kursieren viele Missverständnisse und falsche Behauptungen. Die populärsten auf einen Blick – mit der jeweiligen Richtigstellung.
1. Ich schütze mich gegen Informationslecks in E-Mails mit einem Disclaimer, der den Empfänger verpflichtet, Stillschweigen über den Inhalt der Mails zu bewahren, auch wenn diese nicht für ihn bestimmt waren.
Diese Disclaimer sind allenfalls als Information nützlich, haben aber keine rechtlich bindende Wirkung für jeglichen Empfänger. Die Verantwortung für unbeabsichtigt veröffentlichte Informationen liegt beim Dateneigner.
2. Der gesamte E-Mail-Verkehr könnte leicht verschlüsselt werden.
Das trifft theoretisch zu. In der Praxis funktioniert es deshalb nicht, weil die Seite des Adressaten die Verschlüsselung ermöglichen muss: Der Standard für Verschlüsselung und digitale Signatur ist das asynchrone Verfahren. Es basiert auf zwei Schlüsseln. Der eine dient zum Verschlüsseln und ist öffentlich. Einmal verschlüsselte Mitteilungen können nur noch vom (richtigen) Adressaten mit seinem privaten Schlüssel geöffnet werden. Die Schlüsselpaare werden von Zertifikatsstellen herausgegeben, die bei diesem erstmaligen Vorgang den Inhaber amtlich identifizieren.
3. Wenn der Staat jeder Person ein Schlüsselpaar aushändigen würde, wären Verschlüsselung und digitale Signatur Alltag.
Auch das ist theoretisch richtig und wird von der Eidgenossenschaft mit der SuisseID angestrebt. Sie ist aber umstritten, weil ihre Anwendung komplex ist und gleichzeitig der Druck auf die Anwender, sich im Internet bei jeder Gelegenheit zu identifizieren, erhöht würde.
4. Eigene unproblematische Personenfotos im Internet zu veröffentlichen, bietet langfristig kein Datenschutzproblem, weil sie ausser in Verbindung mit einer Bildlegende nicht identifizierbar sind.
Im Gegenteil: Porträtfotos reichen inzwischen aus, um biometrische Gesichtsdaten anzulegen. In Verbindung mit einem Namen kann das Bild ausreichen, um maschinenerkennbare Profile anzulegen: Googles Onlinebildbearbeitung Picasa wendet ebenso wie Apple-Programme Gesichtserkennung an. Dabei werden dem Dienst sogar die Daten Dritter übermittelt. Ein ähnliches Problem besteht in der Markierung von Personenfotos in Facebook.
5. Einkaufsdaten einer Person oder eines gemischten Haushalts sagen wenig bis nichts über die Menschen aus.
Mit modernen Data-Mining-Algorithmen und Statistikwerten lassen sich aus solchen Daten intimste Informationen über die Personen des Haushalts, ihre Einkommen, ihren Lebensstil, Krankheiten und Verhaltensweisen herauslesen. Die Analyse grosser Datenmengen ist seit Jahren ein Hauptinteresse der Verkaufsindustrie, die damit ihre Lager-, Auslieferungs- und Präsentationsmethoden optimieren kann. Für die Daten interessieren sich aber auch Versicherungsgesellschaften und Kreditinstitute.
6. Wenn meine Passwörter nichts mit meinen Lebensdaten zu tun haben, sind sie sicher.
Leider grundfalsch. Ein handelsüblicher Computer errechnet alle 10 000 Möglichkeiten einer vierstelligen Pin in weniger als einer Tausendstelsekunde. Die fast 57 Milliarden Kombinationen eines Passworts mit sechs Stellen, das aus Ziffern, Gross- und Kleinbuchstaben (62 Zeichen) besteht, hat er in 27 Sekunden berechnet. Sind es acht solche Stellen, dann dauert der Vorgang bereits 28 Stunden.
7. Wenn ich Facebook nicht nutze, weiss Facebook nichts über mich.
Seit März 2012 gelten die AGB von Facebook auch für Nichtnutzer. Denn selbst wenn Sie niemals auf der Website von Facebook sind, kann das Unternehmen Ihren Weg im Internet verfolgen: Jede Website, auf welcher der «Like»-Knopf von Facebook eingebunden ist, meldet jeden Zugriff auch an Facebook. Hierzulande sind diese Funktionen von Facebook, Twitter und auch Google Plus deswegen meist so in Websites eingebunden, dass der Nutzer sie zuerst aktivieren muss.
8. Urheberrechtsinhaber können mich aufgrund der IP-Adresse identifizieren und Klage erheben.
Das Bundesgericht hat entschieden, dass das gezielte heimliche Ausforschen von IP-Adressen, um damit vermutete Urheberrechtsverletzer zivilrechtlich zu belangen, nicht erlaubt ist. Eine IP-Adresse darf auf Basis des geltenden Gesetzes nur verwendet werden, um im Rahmen eines Strafverfahrens einen Urheberrechtsverletzer zweifelsfrei zu ermitteln. Erst dann sind auch zivilrechtliche Forderungen möglich.
9. Die neue 13-stellige AHV-Nummer ist absolut sicher und einmalig.
Nach Schätzungen der Zentralen Ausgleichsstelle des Bundes haben rund 200 000 Personen in der Schweiz mehr als eine Nummer erhalten, während 10 000 bis 20 000 Personen sich eine identische Nummer teilen. Ursache sind Pannen im System bei der Vergabe der Nummern – und menschliche Fehler.
10. Mein Arbeitgeber kann meine E-Mails und meinen Internetgebrauch jederzeit detailliert anschauen
Dass er könnte, trifft wahrscheinlich zu – aber er darf nicht. Die Auswertung von Informations- und Kommunikationsmitteln wie Telefon, E-Mail, Internet, Fax ist nur zulässig, wenn ein konkreter Missbrauchsverdacht besteht und keine Klärungsmethoden in Fragen kommen, welche die Persönlichkeitsrechte weniger betreffen. Permanente Überwachungssysteme zur Verhaltenskontrolle sind gemäss Arbeitsrecht verboten.
11. Telekommunikationsfirmen können all meine SMS lesen oder den Behörden aushändigen.
Das ist (derzeit) nicht richtig: Die Kurznachrichten werden auf den Systemen des Dienstanbieters nur gerade so lange gespeichert, bis sie an den Adressaten ausgeliefert werden konnten (PDF). Im Normalfall sind das wenige Sekunden. Danach werden sie gelöscht. Vor externen Lauschern schützt das allerdings nicht.
Artikelgeschichte
Erschienen in der gedruckten TagesWoche vom 05.07.13