Wenn Seriennummern von Scheinen mit Zeit und Ort der Erfassung gespeichert und diese Daten verstärkt gesammelt werden, geht die Anonymität des Bargelds flöten.
Das ist mir tatsächlich gar nicht soooo wichtig. Ideal ist es natürlich nicht, aber ich nutze Bargeld hautpsächlich damit keine Profilbildung bei Geschäften möglich ist. Oder weniger. Jedenfalls sicher weniger als mit einer definitiven Kreditkartennummer, zu bestimmten Orten und Uhrzeiten eine genaue Liste von Dingen zu kaufen. Und dafür müssten die einerseits immer alle Scheine scannen und das machen sie an den Kassen nicht, und andererseits müssten die Daten von Geschäften und Banken zusammengeführt werden und das kann nominell auch nur der Staat. Das Ergebnis wäre bei mir das ich ungefähr an dem Ort wohne wo ich gemeldet bin (duh) hier zu einer lokalen Bank (duh) und zum Supermarkt gehe (duh).
Und da sind wir an einem Punkt angekommen, wo wir uns gegen den Staat nur mit demokratischen, legislativen oder judikativen Mitteln wehren können. Wenn jemand beim Verfassungsschutz meint, jemand müsste beobachtet und überwacht werden, passiert das auch. Die maximal umsetzbare Forderung ist das nicht alle immer und ohne Anlass überwacht werden, “weil man kann”.
Und vorher gibt es auch nochmal hundert andere einfachere Arten bestimmte Dinge zu überwachen.
Diese Art Rückverfolgung ist interessant wenn man irgendwo eine illegale Operation hochnimmt, da eine Menge Bargeld findet und gucken kann wo es zuletzt gescannt wurde, um ggf. Quellen und Verbindungen zu finden. Das finde ich nicht so schlimm wenn die Polizei das macht.
Es ist vor allen Dingen eben nicht eindeutig. Ein Schein den ich abhebe, kann auf 20 Wege an komische Orte kommen und belastet mich nicht wirklich. Wenn das als Beweis für irgendwas ausreicht, und sonst NICHTS notwendig ist um mir was anzuhängen, wars das mit dem Rechtsstaat sowieso schon und das manipulierte Gerichtsverfahren ist nicht das größte Problem mehr.
Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht umfassendes Bargeld-Tracking kritisch. Sie sagt: „Wenn Seriennummern mit Zeit und Ort der Erfassung gespeichert und diese Daten immer granularer gesammelt werden, verliert man die Anonymität des Bargelds.“
Das stimmt, aber es ist eben das “Wenn”, das sehe ich wenn es nur Bank, Geldtransporterfirmen, Polizei und Zoll interessiert, noch nicht so granular das es eine große Rolle spielt.
damit keine Profilbildung bei Geschäften möglich ist. Oder weniger. Jedenfalls sicher weniger als mit einer definitiven Kreditkartennummer, zu bestimmten Orten und Uhrzeiten eine genaue Liste von Dingen zu kaufen.
Hier muss ich mal mit eine Urban Legend aufräumen:
Die Geschäfte bekommen Deine Kreditkartennummer nicht, die bekommen nur eine gekürzte oder pseudonymisierte Nummer aus der Transaktion. Bei den Kreditkarten-Transaktionen wurde sehr stark darauf geachtet, dass die Händler eben keine direkten Kundendaten bekommen. Das geht von zufällig erzeugten Karten-IDs bis hin zu gehashten Kartennummern und verschlüsselten Transaktionsdaten.
Es ist nicht anonymisiert, nur pseudonymisiert, damit lassen sich bis zu einem gewissen Grad natürlich trotzdem noch Profile erstellen, und beim Kreditkartenherausgeber sind die Daten am Ende auch wieder einer Person zuzuordnen. Aber die Händler können aus den Daten erstmal nicht auf eine spezielle Person zurückrechnen.
Natürlich kann der Kunde mithelfen, sich zu identifizieren und eine Kreditkarte zuordnen zu lassen, wenn er bspw. beim Einkauf parallel zur Karte noch Kundenkarten/-apps nutzt, die ihn anderweitig identifizierbar machen. Aber das ist dann seine eigene Entscheidung, da können die Kreditkartenfirmen nichts dafür.
Das ist alles nicht überprüfbare closed source auf fremden Geräten zu denen ich keinen Zugang hätte, selbst wenn ich wissen würde wie man sowas auditiert.
Ich kann mir keinen Prozess vorstellen der das tatsächlich gewährleisten könnte.
(Von GNU Taler war ich beeindruckt als ich davon gelernt hab, das würde ich nutzen).
Aber interessante Info! Ich glaube gerne das das die offizielle Position aller Beteiligten ist.
Ich hab in dem Bereich schon zu tun gehabt, nicht als Terminalhersteller, aber als Integrator, und auch dort müssen die Geräte am Ende die Einhaltung der Standards nachweisen. Und solche Dinge wie die Pseudonymisierung der Kartennummer gehört da klar mit dazu und das wird bereits durch das Kartenterminal gemacht, die echte Nummer verlässt niemals das Terminal in verwertbaren Form.
Natürlich sind die meisten Hersteller in dem Bereich nicht Open Source unterwegs, aber bzgl. der Überprüfbarkeit halte ich OSS eh für überbewertet, denn realistisch werden nur die wenigsten Codeteile jemals von mehr als einer handvoll Leuten angeschaut.
Wie gesagt, es wird auch nicht anonymisiert, es bleibt also immer ein Restrisiko. Aber die oft befürchtete Annahme, dass jeder Händler, bei dem man seine Karte in den Schlitz steckt, sofort alle persönlichen Daten bekommt, ist einfach nicht richtig.
Dieses “wenn das als Beweis ausreicht” finde ich bei digitaler Forensik immer so gruselig. Ich meine, kann doch keiner mehr nachvollziehen, was Phase ist.
Polizei beschlagnahmt meine Geräte, macht sich nicht mal die Mühe nachzuschauen, was da drauf ist, sondern behauptet einfach das war voll mit Kinderpornos, Bombenanleitungen, Bestellungen von waffenfähigem Plutonium. Wie beweise ich denn das Gegenteil?
Jaaaa…
Das ist mir tatsächlich gar nicht soooo wichtig. Ideal ist es natürlich nicht, aber ich nutze Bargeld hautpsächlich damit keine Profilbildung bei Geschäften möglich ist. Oder weniger. Jedenfalls sicher weniger als mit einer definitiven Kreditkartennummer, zu bestimmten Orten und Uhrzeiten eine genaue Liste von Dingen zu kaufen. Und dafür müssten die einerseits immer alle Scheine scannen und das machen sie an den Kassen nicht, und andererseits müssten die Daten von Geschäften und Banken zusammengeführt werden und das kann nominell auch nur der Staat. Das Ergebnis wäre bei mir das ich ungefähr an dem Ort wohne wo ich gemeldet bin (duh) hier zu einer lokalen Bank (duh) und zum Supermarkt gehe (duh).
Und da sind wir an einem Punkt angekommen, wo wir uns gegen den Staat nur mit demokratischen, legislativen oder judikativen Mitteln wehren können. Wenn jemand beim Verfassungsschutz meint, jemand müsste beobachtet und überwacht werden, passiert das auch. Die maximal umsetzbare Forderung ist das nicht alle immer und ohne Anlass überwacht werden, “weil man kann”.
Und vorher gibt es auch nochmal hundert andere einfachere Arten bestimmte Dinge zu überwachen.
Diese Art Rückverfolgung ist interessant wenn man irgendwo eine illegale Operation hochnimmt, da eine Menge Bargeld findet und gucken kann wo es zuletzt gescannt wurde, um ggf. Quellen und Verbindungen zu finden. Das finde ich nicht so schlimm wenn die Polizei das macht.
Es ist vor allen Dingen eben nicht eindeutig. Ein Schein den ich abhebe, kann auf 20 Wege an komische Orte kommen und belastet mich nicht wirklich. Wenn das als Beweis für irgendwas ausreicht, und sonst NICHTS notwendig ist um mir was anzuhängen, wars das mit dem Rechtsstaat sowieso schon und das manipulierte Gerichtsverfahren ist nicht das größte Problem mehr.
Das stimmt, aber es ist eben das “Wenn”, das sehe ich wenn es nur Bank, Geldtransporterfirmen, Polizei und Zoll interessiert, noch nicht so granular das es eine große Rolle spielt.
Hier muss ich mal mit eine Urban Legend aufräumen:
Die Geschäfte bekommen Deine Kreditkartennummer nicht, die bekommen nur eine gekürzte oder pseudonymisierte Nummer aus der Transaktion. Bei den Kreditkarten-Transaktionen wurde sehr stark darauf geachtet, dass die Händler eben keine direkten Kundendaten bekommen. Das geht von zufällig erzeugten Karten-IDs bis hin zu gehashten Kartennummern und verschlüsselten Transaktionsdaten.
Es ist nicht anonymisiert, nur pseudonymisiert, damit lassen sich bis zu einem gewissen Grad natürlich trotzdem noch Profile erstellen, und beim Kreditkartenherausgeber sind die Daten am Ende auch wieder einer Person zuzuordnen. Aber die Händler können aus den Daten erstmal nicht auf eine spezielle Person zurückrechnen.
Natürlich kann der Kunde mithelfen, sich zu identifizieren und eine Kreditkarte zuordnen zu lassen, wenn er bspw. beim Einkauf parallel zur Karte noch Kundenkarten/-apps nutzt, die ihn anderweitig identifizierbar machen. Aber das ist dann seine eigene Entscheidung, da können die Kreditkartenfirmen nichts dafür.
Das ist alles nicht überprüfbare closed source auf fremden Geräten zu denen ich keinen Zugang hätte, selbst wenn ich wissen würde wie man sowas auditiert.
Ich kann mir keinen Prozess vorstellen der das tatsächlich gewährleisten könnte.
(Von GNU Taler war ich beeindruckt als ich davon gelernt hab, das würde ich nutzen).
Aber interessante Info! Ich glaube gerne das das die offizielle Position aller Beteiligten ist.
Überprüfbar ist relativ. Die Beteiligten sind verpflichtet durch PCI-DSS (https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard) und das wird auch auditiert und zertifiziert.
Ich hab in dem Bereich schon zu tun gehabt, nicht als Terminalhersteller, aber als Integrator, und auch dort müssen die Geräte am Ende die Einhaltung der Standards nachweisen. Und solche Dinge wie die Pseudonymisierung der Kartennummer gehört da klar mit dazu und das wird bereits durch das Kartenterminal gemacht, die echte Nummer verlässt niemals das Terminal in verwertbaren Form.
Natürlich sind die meisten Hersteller in dem Bereich nicht Open Source unterwegs, aber bzgl. der Überprüfbarkeit halte ich OSS eh für überbewertet, denn realistisch werden nur die wenigsten Codeteile jemals von mehr als einer handvoll Leuten angeschaut.
Wie gesagt, es wird auch nicht anonymisiert, es bleibt also immer ein Restrisiko. Aber die oft befürchtete Annahme, dass jeder Händler, bei dem man seine Karte in den Schlitz steckt, sofort alle persönlichen Daten bekommt, ist einfach nicht richtig.
Dieses “wenn das als Beweis ausreicht” finde ich bei digitaler Forensik immer so gruselig. Ich meine, kann doch keiner mehr nachvollziehen, was Phase ist.
Polizei beschlagnahmt meine Geräte, macht sich nicht mal die Mühe nachzuschauen, was da drauf ist, sondern behauptet einfach das war voll mit Kinderpornos, Bombenanleitungen, Bestellungen von waffenfähigem Plutonium. Wie beweise ich denn das Gegenteil?