Gestern erwähnt Barbara Wimmer auf Twitter, dass ihr Ausweis beim Abholen eines Post-Pakets gescannt wurde. Heute veröffentlicht der jeder Datenschutzdiskussion nicht abgeneigte MacLemon ebenfalls einen Dialog mit einem Postbeamten, der keine Antwort auf die Frage nach einer diesbezüglichen Datenschutzerklärung abgeben konnte. Eine Google-Suche offenbart nur einen Eintrag in den NÖN und einen Blogbeitrag von Victoria Strobl. Ich bin gespannt, was morgen und in den nächsten Tagen zum Thema veröffentlicht wird, denn was hier ohne auflagepflichtige Datenschutzerklärung passiert, ist bedenklich. Doch worum geht es?
Die Post benötigt, um die Identität des Abholenden feststellen zu können, bestimmte, durch ein offizielles Dokument beglaubigte Daten. Bis Ende September wurden diese Daten – laut dem einzigen Zeitungsbericht dazu: Name, Ausweisart und Ausweisnummer – händisch notiert. Seit Oktober wird der gesamte Ausweis gescannt, wobei angeblich Fotos und andere personenrelevante Daten „nicht eingelesen“ würden.
Nicht eingelesen? Wohl kaum, denn der Scan muss zwangsläufig das gesamte Dokument speichern, bevor andere Operationen mit den Daten durchgeführt werden. Entweder werden sie mittels OCR extrahiert (was passiert allerdings mit den restlichen Daten?) oder aber – und davon gehe ich bei den Erfahrungen, die ich bislang mit solchen Neuerungen gemacht habe, aus – die Daten bleiben vollständig gespeichert und die Post verpflichtet sich lediglich rechtlich, die anderen durch den Scan des Dokuments verfügbar gemachten Datensätze nicht zu verwenden. So, wie sich auch Facebook rechtlich dazu verpflichtet, bestimmte Daten nicht zu verwenden. Oder Google, Twitter, Microsoft und die NSA.
„Nicht zu verwenden“ wird dann nämlich zweckgegeben ausgelegt, und der Zweck wird in dem Fall die Identitätsfeststellung sein. Die „Restdaten“ meines gescannten Ausweises werden also nicht für die Identitätsfeststellung verwendet, aber vielleicht für eine Werbekampagne eines Bonitätsprüfungsunternehmens? Oder womöglich für eine Krankenversicherung, ein Marketingunternehmen oder eine staatliche Agentur, die auch für die Absenderadressen des Pakets bezahlt, welche natürlich anonymisiert, aber durchaus in einem zeitlichen Zusammenhang ausgeliefert werden? Erschreckend.
Ich will hier kein Götzenbild verschwörungstheoretischer Fantasien malen, sondern nur die aus den bisherigen Berichten über das Mit-Füßen-Treten von datenschutzrechtlichen Bestimmungen gewonnenen Erfahrungen auf zukünftige Verwendungszwecke von Restdaten anwenden. Und was haben wir aus all den Problemen der letzten Monate gelernt? Rechtliche Zusagen sind im Vergleich zur technischen Unmöglichkeit ein schwammiges Gewäsch; denn wo es keine Daten gibt, können auch keine Daten in die falschen Hände gelangen. Und nirgendwo wird das deutlicher als bei Fragen zum Datenschutz.