Datenschrott von ChoicePoint & Co.
Neuer Datendiebstahl in den USA
Die Kette der Datendiebstähle reißt in den USA nicht ab. Neben den US-Datensammelfirmen ChoicePoint sowie LexisNexis und der Bank of America, bei der noch immer nicht mit letzter Sicherheit geklärt ist, ob Daten gestohlen wurden oder „nur“ auf mysteriöse Art verloren gingen, hat es nun die Datenbank der US-amerikanischen Schuhladenkette DSW Shoe Warehouse erwischt. Kriminelle Hacker brachen in eine Datenbank der Handelskette ein und entwendeten vermutlich mehr als 100.000 Sätze mit sensiblen Kundendaten. In den USA ist mittlerweile eine heftige politische Diskussion über verschärfte gesetzliche Vorschriften entbrannt, um Daten, die bei kommerziellen Datensammlern gespeichert sind, besser zu schützen und im Falle eines Einbruchs den Schaden durch Identitätsdiebstahl für die Betroffenen so gering wie möglich zu halten. Es wird u. a. gefordert, dass die Datenhändler gesetzlich verpflichtet werden sollen, Betroffene umgehend zu informieren.
ChoicePoint vertauschte Daten
Schäden entstehen dem einzelnen Bürger aber nicht nur, wenn Daten in die falschen Hände geraten, sondern auch dann, wenn die gespeicherten persönlichen Daten schlicht und ergreifend falsch sind. Dass es sich hierbei nicht um die übertriebene Sorge übereifriger Datenschützer handelt, belegt der Fall Kenneth Schustereit, den das US-Magazin wired kürzlich schilderte. Im Alter von 18 Jahren beging Schustereit ein Vergehen, das mit einer Jugendstrafe von 51 Tagen geahndet wurde. Noch dreißig Jahre später befand sich dieses Vergehen in eben jenen Datensätzen, die die Firma ChoicePoint über ihn angelegt hatte und an sämtliche Arbeitgeber verkaufte, bei denen sich Schustereit bewarb und die sich bei ChoicePoint gegen Bares über seine Lebensumstände erkundigt hatten. Aus dem leichten Vergehen und den 51 Tagen Jugendarrest war auf wundersame Weise obendrein ein Verbrechen geworden, für das Schustereit angeblich sieben Jahre Gefängnis bekommen hatte. So jedenfalls stand es in den Datensätzen, die ChoicePoint angelegt hatte. Nur durch Zufall erfuhr Schustereit von diesen falschen Angaben: Er wunderte sich zwar, dass er bei seinen Bewerbungen trotz blendender Arbeitszeugnisse reihenweise Ablehnungen kassieren musste. Aber erst der Hinweis einer Firma auf die (fehlerhafte) ChoicePoint-Auskunft offenbarte ihm den Grund dafür. Dabei stellte er fest, dass ChoicePoint seine Daten mit denjenigen einer anderen Person gleichen Namens vertauscht hatte.
Kein Einzelfall
Kenneth Schustereit ist laut wired kein Einzelfall. Folgt man einem 2004 veröffentlichten Bericht der National Association of State Public Interest Research Groups, dann sind beispielsweise rund 79 Prozent der Daten, die Auskunft über die Kreditwürdigkeit einer Person geben sollen, fehlerhaft. In den USA gibt es ein Gesetz, nach dem sich Arbeitgeber über die Lebensumstände eines Bewerbers in einem Bewerbungsverfahren offiziell nur dann erkundigen dürfen, wenn der Betreffende zustimmt. Doch gibt es keine Kontrollinstanz, die dafür sorgen könnte, dass dieser Fair Credit Reporting Act auch tatsächlich eingehalten wird. Arbeitgeber können die gewünschten Auskünfte stillschweigend einholen und bei Ablehnung des Bewerbers andere Gründe vorschieben. Datenbroker sind nämlich nicht verpflichtet, den Betroffenen mitzuteilen, dass und an wen sie seine Daten verkauft haben.
Datenschrott zu korrigieren ist zu teuer
Eine weitere Frage, die im Zusammenhang mit den Datenhandelsfirmen immer wieder gestellt wird, ist, wie falsche Daten erkannt und korrigiert werden können. Denn die Betroffenen haben keinerlei Recht, ihre eigenen Datensätze einzusehen. Ihre Daten werden als Waren wie jedes andere Produkt auch gehandelt. Wer wissen möchte, wie ChoicePoint über ihn „denkt“, der muss sich seine eigenen Daten bei der Firma kaufen. Ein kostenloses Einsichtsrecht existiert nicht. Wird nun ein fehlerhafter Datensatz etwa bei ChoicePoint entdeckt und sogar korrigiert, heißt es für den Betroffenen noch längst nicht Entwarnung. In den USA gibt es mittlerweile eine Vielzahl kleinerer und größerer Datenbroker mit jeweils eigenen Datenbanken, sodass es praktisch unmöglich ist, überall eine Datenkorrektur zu bewirken. Hinzu kommt, dass die Datenbroker selbst offenbar kein Interesse daran haben, ihren Datenschrott zu berichtigen. Erfahrungsberichte von Betroffenen zeigen, dass sie bei dem Versuch, falsche Daten korrigieren zu lassen, bei den Datenhändlern immer auf Widerstand gestoßen sind. Datenbroker wollen eben nur verkaufen. Die Überprüfung einzelner Datensätze auf Richtigkeit bedeutet zusätzlichen Arbeitsaufwand. Die Daten müssten aufwändig nachrecherchiert, alle Angaben per Hand von einem Sachbearbeiter überprüft werden. Das kostet Zeit und Geld. Der nötige Aufwand steht für die Datenhändler in keinem Verhältnis zum Ergebnis. Ein bestimmter Prozentsatz falscher Daten gehört eben zum Geschäft. Das Schicksal der Betroffenen interessiert die Händler nicht.
Ein gewisser Prozentsatz Datenschrott gehört zum Geschäft
Falsche Daten können eine Vielzahl von Ursachen haben. Die Datenbroker selbst weisen jede Schuld zum Beispiel für falsche Vorstrafeneinträge weit von sich. „Wir sind nicht im Geschäft, um die Identität der Einzelnen zu überprüfen. Alles, was wir machen, ist, die Daten, die uns von den Gerichten geliefert werden, zu speichern“, erklärt Craig Kessler vom Datenbroker Backgroundchecks.com. Schuld hätten im Übrigen die Gerichte, die vielfach nicht mehr die Sozialversicherungsnummern von Verurteilten mitteilen würden, sondern nur noch deren Namen. Und bei Namen könne es eben zu Verwechslungen kommen. Davon kann der US-Amerikaner Ron Peterson gleich mehrere (Klage-)Lieder singen: Auskünfte von Backgroundchecks.com machen ihn in Florida zu einer weiblichen Prostituierten (namens Ronnie Peterson), in Texas zum inhaftierten Mörder, in New Mexico zum Hehler und im US-Bundesstaat Nevada zum Sittlichkeitsverbrecher.
Zurück zur News-Übersicht
