Mustermann

[+] | [-]

Rechtliches

WAS IST ANONYMITÄT?

A|no|ny|mi|tät [gr.-nlat.] die; -: das Nichtbekanntsein, Nichtgenanntsein; Namenlosigkeit

Diese Definition nach Duden liefert Anhaltspunkte dafür, was Anonymität ausmacht: Die Identität einer oder mehrerer an einem anonymen Vorgang beteiligte Instanzen ist nicht bestimmbar, weil sie entweder

• den anderen beteiligten Instanzen nicht bekannt ist (Nichtbekanntsein),

• gegenüber den anderen beteiligten Instanzen nicht in Erscheinung tritt (Nichtgenanntsein) oder

• innerhalb des anonymen Vorgangs ohne erkennbaren Namen agiert (Namenlosigkeit).

Beispiele für anonyme Vorgänge sind jedem geläufig, wenn sie auch nur selten explizit als anonym empfunden werden. Einkäufe im Supermarkt erfüllen bspw. die Anforderung der Namenlosigkeit: Der Kunde wählt seine Ware aus und bezahlt sie an der Kasse mit Hilfe von Bargeld. Innerhalb dieses Szenarios ist es weder dem Inhaber des Supermarktes noch dem Hersteller der Ware oder dem "Bereitsteller" des Verrechnungsmittels "Geld" möglich herauszufinden, wer welche Ware wann und wo gekauft hat. Trotzdem bleibt bei einem Einkauf oder allgemeiner bei einem Bezahlvorgang immer erkennbar, dass eine Instanz (hier: der Kunde) an einem anonymen Vorgang beteiligt ist.

ANONYMITÄT IM TÄGLICHEN LEBEN

WAS MUSS FEHLEN, DAMIT IDENTITÄT ZUR ANONYMITÄT WIRD?

Im vorhergehenden Abschnitt wurde versucht, Anonymität positiv zu definieren: Anonymität ist gegeben, wenn Bedingung 1, Bedingung 2, ... , Bedingung n erfüllt ist. Anonymität kann aber auch durch das Fehlen von Identität definiert werden, was zur Frage nach Bedingungen für das Gegebensein von Identität führt oder anders gefragt: Wie viel muss man über eine Person wissen, damit sie nicht mehr als anonym bezeichnet werden kann?

Beschäftigt man sich mit dem Wesen der Identität, findet man nach (Marx, 1999) sieben Kategorien, die den Begriff der Identität bestimmen:

DER GESETZLICHE NAME Eine der stärksten Bedingungen für das Feststellen von Identität ist der gesetzliche Name einer Person. Auch wenn es viele Michael Schmidts gibt, gibt es nur einen Michael Schmidt als Sohn eines bestimmten Elternpaares, geboren an einem bestimmten Tag in einem bestimmten Jahr an einem bestimmten Ort. Der Name kann weiterhin Aufschluss über eine weitere Gruppenzugehörigkeit geben; Michael ist der Name einer männlichen Person, Schmidt ist ein üblicher deutscher Nachnahme, was zu der Vermutung führt, dass es sich bei der Person, deren Name Michael Schmidt ist, um einen männlichen deutschen Staatsbürger handelt. Die ausschließliche Verwendung des Vornamens zu Identifikation, wie sie bei einigen Berufsgruppen anzutreffen ist (Krankenhauspersonal, Bedienungen in Gaststätten etc.) kann zu einer teilweisen Anonymisierung führen.

ADRESSEN Namen zugeordnet sein können Adressen als weiteres Identifikationsmerkmal. In diese Kategorie fallen alle Adressen, die in einer beliebigen Form die Erreichbarkeit der betroffenen Person sicherstellen, d.h. neben der Wohnungsanschrift sind auch Adressen in Form von E-Mail-Accounts oder Telefonnummern gemeint.

ALPHANUMERISCHE SYMBOLE Häufig finden sich alphanumerische Symbole, die Personen zugeordnet sind: Personalausweisnummern für jeden Bürger der Bundesrepublik, der älter als 16 Jahre ist, Matrikelnummern für Studenten, Personalkennziffern für die Beschäftigten einer Firma. Auch wenn solche Symbolfolgen oft mit dem Ziel der Pseudonymisierung eingesetzt werden, haben sie etwas mit dem Namen einer Person gemein: sie bezeichnen genau eine Person wobei die Zuordnung umkehrbar eindeutig und grundsätzlich für jeden herstellbar ist.

PSEUDONYME Pseudonyme werden zum Schutz der Person vergeben, deren Identität nicht beliebigen Dritten bekannt werden darf, deren Identität über das Pseudonym jedoch einem bestimmten Personenkreis bekannt sein muss. Das Verwalten medizinischer Untersuchungsergebnisse ist ein Beispiel für diese Art der Pseudonymzuordnung: Der behandelnde Arzt muss alles über den Krankheitsverlauf des Patienten erfahren, ein unbeteiligter Dritter (z. B der Nachbar des Patienten) darf aus dem Pseudonym jedoch nicht auf die Identität der betroffenen Person schließen können. Auch wenn Pseudonyme aus alphanumerischen Symbolfolgen bestehen können, besteht ein Unterschied zwischen Pseudonym und Symbolfolge: Symbole, wie die Personalausweisnummer, werden zur eindeutigen Identifizierung eingesetzt und sind grundsätzlich in beide Richtungen zuzuordnen. Pseudonyme stellen dahingegen eine Einbahnstraße für die Zuordnung von Identität und Pseudonym her, die nur von einem kleinen, berechtigten Personenkreis "entgegen der Fahrtrichtung" genutzt werden kann.

VERHALTENSMUSTER Ungenannt sein ist nicht das gleiche wie unbekannt sein. Eine Identifizierung ist auch aufgrund von Verhaltensmustern möglich. Kaum jemand, der jeden Morgen um 07:00 Uhr mit der Straßenbahn zu seiner Arbeitsstelle fährt, kennt seine Mitfahrenden mit Namen oder anderen die Identität beschreibenden Kennzeichen. Es sind eben jene Personen, die das Verhaltensmuster "Benutzung der Straßenbahn Linie 66 um 07:00 Uhr" teilen. Auf den ersten Blick erscheint das kein besonders starkes Merkmal zur Identifizierung einer Person zu sein, tatsächlich sagen Verhaltensmuster jedoch eine Menge über die Identität einer Person aus. Menschen, deren Verhaltensmuster bekannt sind, werden vorhersagbar, was z. B bei der Verbrechensbekämpfung eine elementare Rolle spielt: Niemand kannte den echten Namen des Kaufhauserpressers mit dem Pseudonym Dagobert. Festgenommen wurde er jedoch u.a., weil seine Verbrechen aufgrund eines immer wiederkehrenden Verhaltensmusters vorhersagbar wurden.

SOZIALE KATEGORISIERUNG Identität kann eine soziale Kategorisierung beinhalten. Bei dieser Klassifizierung wird die einzelne Person nicht mehr von jenen unterschieden, welche die jeweilige Kategorisierung mit ihr teilen. Beispiele für solche gesellschaftlichen Kategorien sind die ethnische Zugehörigkeit, Religionszugehörigkeit, Mitgliedschaft in einem Verein, Anstellung in einer bestimmten Firma etc. Für eine soziale Kategorisierung ist es manchmal ausreichend, zu einer bestimmten Zeit an einem bestimmten Ort zu sein.

ZERTIFIKATE UND BESTÄTIGUNGEN Mit dem Ziel der Identifizierung sowie dem Belegen einer Identität existieren Zertifikate bzw. Identitätsbeweise. Dies können Ausweisdokumente, Passwörter und Codes sein. Der Inhaber eines Zertifikats kann anhand der Bescheinigung als berechtigte oder unberechtigte Person identifiziert werden. Welche dieser sieben Bedingungen für das Bestimmen der Identität einer Person müssen vorhanden sein, damit man nicht mehr von Anonymität sprechen kann? Sicherlich kann der gesetzliche Name eine Person identifizieren. Genauso ist es möglich, eine Person anhand ihrer E-Mail-Adresse zu identifizieren. Wie sicher ist aber eine solche Identifizierung? Ein Gesprächspartner kann während einer Unterhaltung sehr einfach behaupten, er sei Herr Schmidt, glauben muss sein Gegenüber ihm das nicht. Eine E-Mail-Adresse der Form michael.schmidt@freenet.de ist schnell beschafft; mit der Person, die sie verwendet muss der Name allerdings nicht viel zu tun haben. Kurz und gut: Einzig die Bescheinigung bzw. das Zertifikat hat als Identitätsbeweis eine Chance, tatsächlich zu einer Authentisierung fähig zu sein. Dabei geht es darum zu beweisen, dass der Inhaber eines Identitätsnachweises tatsächlich derjenige ist, der er zu sein behauptet.

Abbildung 1: Graphische Darstellung der Senderanonymität GRAD DER ANONYMITÄT Im Jahr 1997 haben sich Michael Reiter und Aviel Rubin in (Reiter & Rudin, 1997) über diesen Aspekt der Anonymität in Zusammenhang mit Kommunikationsvorgängen Gedanken gemacht. Sie definieren als Instanzen innerhalb eines Kommunikationsvorgangs den Sender und den Empfänger und folgern daraus auf Eigenschaften der Sender- bzw. Empfängeranonymität. Senderanonymität bedeutet in diesem Zusammenhang, dass einem Beobachter des Kommunikationsvorgangs die Identität des Senders einer Nachricht nicht bekannt ist, die Identität des Empfängers sowie der Inhalt der übermittelten Nachricht jedoch bekannt sind oder sein können.

Abbildung 2: Graphische Darstellung der Empfängeranonymität Empfängeranonymität definiert sich analog als die Unkenntnis über die Identität des Empfängers, während die Identität des Senders sowie der Inhalt der Nachricht bekannt sind oder bekannt sein können. Der unbekannte Zuhörer, der das Gespräch zwischen Hr. Schmidt und seinem Gesprächspartner verfolgt, ohne dass beliebige Dritte Kenntnis von seiner Beteiligung an diesem Gespräch nehmen, genießt Empfängeranonymität.

Abbildung 3: Graphische Darstellung der Unverkettbarkeit  Ist es einem Außenstehenden weder möglich, den Sender einer Nachricht noch den Empfänger einer Nachricht zu ermitteln, sprechen Reiter und Rubin von Unverkettbarkeit.

Jede dieser Formen der Anonymität kann bis zu einem gewissen Grad realisiert sein. Die Formulierungen aus dem von (Reiter & Rudin, 1997) vorgestellten Schema erinnern bereits an die Anmerkungen zu den sieben Kategorien der Identität und sind in Abbildung 4 dargestellt.

Abbildung 4: Graphische Darstellung der Anonymität  Die beiden Extrema sind dabei die absolute Anonymität (1), d.h. ein unbekannter Dritter kann nicht feststellen, dass überhaupt kommuniziert wird und beweisbar entdeckt (6), d.h. mindestens ein Kommunikationspartner wird erkannt und kann eindeutig identifiziert werden. Eindeutig heisst in diesem Zusammenhang, dass die Identität des betreffenden Kommunikationspartners mit Hilfe einer Bestätigung / eines Zertifikats authentisch belegt werden kann, während im Bereich der absoluten Anonymität keine der sieben Identitätsmerkmale mehr erkennbar sein dürfen. Anhand der absoluten Formulierungen wird spürbar, dass sowohl das eine wie auch das andere Extrem in der Praxis nur schwer erreichbar ist.

Dazwischen wurden die folgenden Abstufungen eingeführt:

• außer Verdacht (2): Ein potentieller Zuhörer kann zwar erkennen, dass eine Nachricht gesendet wurde, alle innerhalb des Netzwerks vertretenen Kommunikationspartner kommen aber mit gleicher Wahrscheinlichkeit als Sender in Frage.

• wahrscheinlich unschuldig (3): Ein möglicher Zuhörer hat einen Verdacht, dass eine Nachricht von einem bestimmten Kommunikationspartner im Netzwerk gesendet wurde, es ist aber mindestens genauso wahrscheinlich, dass dieser es nicht war. Die Wahrscheinlichkeit für die Zuordnung von Kommunikationspartner im Netzwerk und gesendeter Nachricht beträgt max. 50%.

• vielleicht unschuldig (4): Die Wahrscheinlichkeit, dass ein Kommunikationspartner im Netzwerk der Absender einer bestimmten Nachricht ist, beträgt mehr als 50% und weniger als 100%. In (Reiter & Rudin, 1997)nicht mehr erläutert wird die Bedeutung des Anonymitätsgrads entdeckt. Auf den bisher verwendeten Argumenten aufbauend wird deshalb hier definiert:

• entdeckt (5): Ein Kommunikationspartner im Netz ist als Sender oder Empfänger einer Nachricht identifiziert worden, seine Identität kann jedoch nicht mit Hilfe eines Zertifikats authentisch belegt werden. Diese aus dem englischen Sprachraum übernommene Terminologie ist jedoch teilweise irreführend bzw. in der deutschen Übersetzung nicht treffend. Beim Grad außer Verdacht (2) kommen gemäß Definition z. B alle Kommunikationspartner gleich wahrscheinlich als Sender oder Empfänger einer Nachricht in Betracht. Der Begriff außer Verdacht suggeriert jedoch, dass alle Kommunikationspartner gleich wahrscheinlich nicht in Betracht kommen. Aus diesem Grund wird, unter Beibehaltung der Bedeutung der einzelnen Stufen, eine für die weitere Betrachtung zweckmäßigere Benennung der Skala des Anonymitätsgrades vorgenommen: • (1) unmöglich zuzuordnen

• (2) nicht zuzuordnen

• (3) möglicherweise zuzuordnen

• (4) wahrscheinlich zuzuordnen

• (5) zuzuordnen

• (6) sicher zuzuordnen.

Eine Anwendung dieser Abstufung für die Bewertung von Anonymisierungsverfahren besteht darin, dass jeder Nutzer eines Anonymisierungsverfahrens für sich entscheiden kann, ob die erreichte Anonymität für den jeweiligen Anwendungszweck ausreichend ist. Reicht es bspw. für einen Bezahlvorgang bzw. den vorausgegangenen Vorgang des Einkaufens einer Ware über das Internet aus, dass diese Vorgänge dergestalt anonymisiert werden, dass sie den Grad möglicherweise zuzuordnen erreichen, um das Erstellen von Kundenprofilen zu verhindern, gibt es bei anderen Aktivitäten klare Vorgaben, die eine vollständige, nach der verwendeten Skala, absolute Anonymität erfordern. Solche Aktivitäten werden z. B durch geheime und anonyme Wahlen repräsentiert, bei denen gesetzliche Vorgaben in Form von Bundes- und Landeswahlgesetzen die Anonymität der beteiligten Instanzen vorschreiben.

Für die heutige Zeit typische Kommunikationsvorgänge im Internet lassen sich, auf den ersten Blick überraschend, nur mit dem Attribut zuzuordnen versehen. Der Besuch eines Internet-Shops beginnt meist mit der Übermittlung eines Cookie, auf jeden Fall wird aber die IP-Adresse des Kunden ermittelt und gespeichert. Über diese Adresse sowie Zuordnungslisten des verwendeten Internet Service Providers ist die Identität des Kunden meist eindeutig festzustellen. In den folgenden Abschnitten sind einige Kommunikationsvorgänge dargestellt sowie hinsichtlich ihrer Anonymität bzw. der erreichbaren Anonymität bewertet. Vorausgesetzt wird dabei immer, dass die Ermittlung der Identität des für die Kommunikation notwendigen Endgerätes ausreicht, um den Benutzer und damit den eigentlichen Kommunikationspartner innerhalb eines Netzwerks festzustellen. 

 

Bundesdatenschutzgesetz

§ 3 Weitere Begriffsbestimmungen

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

§ 3a Datenvermeidung und Datensparsamkeit

Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Teledienstedatenschutzgesetz

§ 4 Pflichten des Diensteanbieters

(6) Der Diensteanbieter hat dem Nutzer der Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

§ 6 Nutzungsdaten

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Teledienste Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 4 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. (Volkszählungsurteil/Recht auf informationelle Selbstbestimmung)

1. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

2. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig.

Mediendienstestaatsvertrag

§ 13 Datenschutzrechtliche Pflichten des Anbieters

(1) Der Anbieter hat dem Nutzer die Inanspruchnahme von Mediendiensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(4) Nutzungsprofile sind nur bei Verwendung von Pseudonymen zulässig.

Unter einem Pseudonym erfaßte Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) In Erwägung der Gründe

(9) Die Mitgliedstaaten, die betroffenen Anbieter und Nutzer sowie die zuständigen Stellen der Gemeinschaft sollten bei der Einführung und Weiterentwicklung der entsprechenden Technologien zusammenarbeiten, soweit dies zur Anwendung der in dieser Richtlinie vorgesehenen Garantien erforderlich ist; als Ziele zu berücksichtigen sind dabei insbesondere die Beschränkung der Verarbeitung personenbezogener Daten auf das erforderliche Mindestmaß und die Verwendung anonymer oder pseudonymer Daten.

Artikel 6 Verkehrsdaten

(1) Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.

Wann kann dies gelten:Abwehr von Beobachtung / Überwachung unkonkret, generell, allgemein, Rasterfahndung, Vorratsdatenspeicherung, Analyse sozialer Netzwerkdienste und Weblogs, Marktforschuung, Imageanalyse (Verhinderung negativer PR für Firma und Produkt) Profile und Muster Sammlung von Daten und Informationen, die man einer Person zuordnen kann, zu einem bestimmten Zweck (Re-)Kombinierung von Daten und Informationen, Auswertung -> Persönlichkeitsprofil Interessens- und Bedarfsprofil Beziehungsprofil Verhaltens- und Gewohnheiten-Muster Bewegungsprofile Identifizierung Zuordnung von Daten / Inhalten / Informationen, Aktionen zu einer bestimmten Person, deren persönliche Daten bereits bekannt sind (Name, Adresse, Geschlecht, Alter usw.) Schutz vor Sanktionen Benachteiligung, Verfolgung bei Offenbarung öffentlichkeitswürdiger Inhalte, die der eigentliche Produzent und Eigentümer der Inhalte geheim halten will Auf Vorurteilen und Voreingenommenheit basierte Reaktionen aufgrund bereits bestehendem Bekanntheitsgrad einer Person Aüßerung von Meinungen, die auf eine breite Ablehnung stoßen, da sie nicht von der Mehrheit geteilt werden und zu Belästigung und Pranger führen Status und Kategorisierung als Verdächtiger, weil man einem Muster / Raster enstpricht Ausnutzung der Profilinformationen für "social Engineering" Wegfall der Neutralität zukünftiger & potentieller Arbeitgeber aufgrund gefällter Vorurteile / Beurteilungen, die auf erstellten Online-Profilen basieren Freie Meinungsäußerung / Redefreiheit / Informationsfreiheit Whistleblower Weitergabe von Informationen, über die stillschweigenede Vereinbarungen oder offizielle Anordnungen bezüglich ihrer Nichtverbreitung oder Thematisierung bestehen Erhalt von Informationen, ohne Verdacht zu erregen und nachträglich bei der Informationsbeschaffung behindert zu werden Informationelle Selbstbestimmung; Inanspruchnahme von Beratung zur Bewältigung persönlicher Krisen und Probleme und zur Lösung von Konflikten mit anderen Personen oder Institutionen