Am vergangenen Donnerstag gab der Hamburger Datenschutzbeauftragte Johannes Caspar empört eine Pressemitteilung heraus, wonach Google Street-View-Fahrten auch zum Scannen von WLAN-Netzen nutze. Die Meldung schaffte es sogar am gleichen Tag in die 20-Uhr-Tagesschau. Zahlreiche Online-Medien berichteten (u. a.: Heise, SpOn, TGS).

Inzwischen hat Konrad Lischka bei Spiegel Online einiges an der Caspar-Kritik gerade gerückt. Er zitiert beispielsweise den Informatikprofessor Andreas Pfitzmann:

Wenn nicht Google der Anlass wäre, würde sich niemand drüber aufregen. Und die durch Google verursachten Datenschutzprobleme in anderen Gebieten sind weit relevanter. Aus meiner Sicht ist das eine ziemlich fehlgeleitete Diskussion.

Und Frank Rieger vom CCC twitterte:

#Streetview / #WLAN-Aufregung leider prototypisch für den ärmlichen Zustand der deutschen Digitaldebatte. Gibt genug echte Probleme…

Damit ist im Kern schon gesagt, dass Caspars Darstellung nicht unbedingt hilfreich war.

Ich möchte mich des Themas trotzdem noch einmal kurz annehmen – weil ich glaube, dass hier ein grundsätzliches Missverständnis von einigen staatlichen Schutzbeauftragten in Sachen Daten festgestellt werden kann.

Dazu möchte ich noch einmal die Presseerklärung von Caspar durchgehen. Er schreibt:

Damit erhärtet sich der Verdacht, dass die Fahrten für Google Street View in den letzten Jahren nicht nur zur Aufnahme von Straßenansichten, sondern auch zur flächendeckenden Erhebung und Speicherung gerade auch der von privaten Haushalten betriebenen WLAN-Netze genutzt wurden.

Auf Nachfrage von Spiegel Online – und in ähnlicher Form auch gegenüber Carta – räumt Caspar nun ein, dass derartige WLAN-Kartografien gar “nicht anmeldepflichtig” seien.

Das muss man sich kurz klar machen: Ein staatlich berufener Datenschützer geht in Anklagemanier gegen eine angebliche Verheimlichung durch ein Privatunternehmen vor – und der Anlass ist dabei eingestandenermaßen noch nicht einmal anmeldepflichtig.

Caspar erklärt weiter:

Nach gegenwärtigen Erkenntnissen ist davon auszugehen, dass neben der örtlichen Erfassung, dem Verschlüsselungsstatus der Geräte, der weltweit eindeutigen MAC-Adresse auch der vom Betreiber vergebene Name (sog. SSID) gespeichert wurde. Bei letzterer verwenden Privatpersonen nicht selten ihre Klarnamen oder andere auf sie hinweisende Informationen.

Carta hat Caspar gefragt, ob ihm Informationen über die Häufigkeit vorliegen würden, in der Privatpersonen ihre Klarnamen als SSID angeben – was also “nicht selten” in der Formulierung der Pressemitteilung bedeute?

Caspar erklärte daraufhin gegenüber Carta, dass ihm dazu keine konkreten Daten vorliegen würden:

Die statistische Häufigkeit der Verwendung von Klarnamen von Privatpersonen bei der SSID lässt sich aus unserer Sicht nicht mit konkretem Zahlenmaterial belegen. Dass diese verwendet werden, ist jedoch nicht zweifelhaft. Im Übrigen ist gerade in weniger dicht besiedelten Gebieten eine Rückführbarkeit von WLAN-Daten auf Adressen und damit auf Personen auch ohne online casino Klarnamen möglich. Damit liegen auch hier personenbezogene Daten vor, die den Anwendungsbereich des Datenschutzgesetzes eröffnen.

Im Klartext: Caspar hat keine Zahlen, aber er argumentiert rein formaljuristisch, dass bereits die anekdotische Kenntnis davon, dass einzelne ihren Namen als Netzwerknamen angeben, sowie die erhöhte Zuordbarkeit in ländlichen Gebieten ausreicht, um SSID-Kennungen grundsätzlich als personenbezogene Daten anzusehen.

Hier wird Datenschutz ganz offensichtlich wie ein absolutes Recht behandelt – es gibt keine Abwägung, keine Frage von Angemessenheit – selbst der geringste begründete Verdacht, es könnte sich um personenbezogene Daten handeln, löst bei Caspar Datenschutzalarm aus. Dies zeigt auch folgende Antwort von Caspar an Carta:

Als Datenschutzbeauftragter muss ich zunächst vom Worst-Case-Szenario ausgehen, was alles mit den Daten gemacht werden kann: Man stelle sich nur vor, es würde eine Karte mit allen offenen W-LAN-Netzen in Deutschland veröffentlicht. Dies wäre eine öffentliche Einladung zum Schwarz-Surfen für alle erdenklichen kriminellen Zwecke.

Caspar ist folglich im Worst-Case-Modus unterwegs. Eine Abwägungsentscheidung zwischen gesellschaftlichem Nutzen der Technologie und ihrer datenschutzrechtlichen Problematik scheint er nicht seinem Metier zuzurechnen. Caspar will nur Datenschutzrechte durchsetzen – und zwar am besten total. Die Tendenz, Datenschutz totalitär zu setzen, ist da nicht mehr weit.

Wenig zimperlich geht Caspar folgerichtig mit den betroffenen Unternehmen um. Obwohl eine kleine Recherche bereits gezeigt hätte, dass ein Unternehmen namens Skyhook bereits seit Jahren ähnliches ohne Intervention deutscher Datenschützer unternimmt, hielt er es für angemessen, Google nach Verstreichen einer Frist von einer Woche öffentlich für “rechtswidriges Scannen” an den Pranger zustellen.

Wir hatten Google gebeten, genauere Auskunft über die W-Lan-Kartografierung zu erhalten. Nachdem das Unternehmen sich eine Woche nicht klar geäußert hatte, sahen wir uns gezwungen, in die Öffentlichkeit zu gehen.

Die Datenschutzbeauftragten sind staatlich berufene Aufseher. Immer weniger hat man das Gefühl, sie würden der Versuchung widerstehen, sich wie moralische Instanzen mit quasirichterlicher Autorität aufzuspielen. Caspars Reaktion wirkt rückblickend wenig souverän und überhastet. Und viele Medien haben Caspar vorschnell und ohne großes Nachfragen wahrscheinlich zu viel Platz eingeräumt.

P.S.: Nachfrage:

Wieso gibt Peter Schaar dem ZDF Interviews und sogar Einschätzungen zu einem Thema, für das er als Bundesdatenschutzbeauftragter offenbar gar nicht zuständig ist?

Siehe auch auf Carta:

• Christian Heller: Die Ideologie Datenschutz
• Christoph Kappes: Google-Bashing: Zur politischen Ökonomie einer Suchmaschine
• Jan Krone: Vorratsdaten und die Logik der Datenkollektivierung: Für eine gesellschaftliche Kultur des Datenschutzes