Geld 4.0, Teil 2: Kryptowährungen und Facebooks Libra

Schauen wir uns heute mal einen weiteren Trend rund ums digitale Geld an: Der Bitcoin ist medial in den letzten Wochen etwas durch Facebooks geplante neue Kryptowährung „Libra“ verdrängt worden. Hin und wieder geistern auch Meldungen durch die Medien, dass Länder wie Iran oder Venezuela eigene staatliche Kryptowährungen einführen wollen.

Wie sieht es hier mit dem Datenschutz aus? Kryptowährungen basieren meist auf der Blockchain-Technologie. Obwohl Bitcoin und die Blockchain technisch so konzipiert sind, dass Anonymität oder vielmehr Pseudonymität in einem Höchstmaß garantiert werden, bietet die systemimmanente Publizität aller jemals getätigten Transaktionen das Potenzial für einen Datenschutz-GAU: Eine Transaktion besteht eigentlich nur aus kryptischen Zahlen- und Buchstabenkombinationen. Das sind sogenannte verhashte öffentliche Schlüssel. Transaktionen finden in Bitcoin nur zwischen öffentlichen Schlüsseln und ohne einen Zwischendienstleister wie eine Bank statt. Die Funktionsweise von Bitcoin kann insoweit mit Bargeld verglichen werden.

Aber der Mensch neigt zu Bequemlichkeit und Unachtsamkeit – und genau diese Faktoren sind gefährlich:  Wenn man für alle seine Transaktionen nur ein „Konto“ benutzt oder aber seine(n) öffentliche(n) Schlüssel kommuniziert, macht das alle Kontobewegungen – auch rückwirkend für die Vergangenheit – unwiderruflich publik. Alle Transaktionen (d.h. die verhashten Schlüssel) sind nämlich online öffentlich einsehbar. Und aus den Transaktionen einer Person kann man viel ableiten: Regelmäßige große Zahlungseingänge werden wohl vom Arbeitgeber kommen. Damit ist das Gehalt einer Person quasi öffentlich einsehbar. Wer vom gleichen Schlüssel Geld bekommt, ist wohl auch dort angestellt usw. Die Gefahr einer Zuordnung ist letztlich höher als vielen bewusst ist. Und das beginnt schon beim Erwerb von Bitcoins, wenn man mit sich mit E-Mail-Adresse und klassischen Kontodaten registriert.

Außerdem widerspricht der Grundsatz, dass alle Bitcoin-Transaktionen öffentlich einsehbar sind, der DSGVO, die jedem Nutzer das Recht auf Löschung und Berichtigung der eigenen Daten einräumt. Die Blockchain funktioniert aber eben genau dadurch, dass keine Daten gelöscht oder verändert werden können. Es gibt ja auch keinen „Besitzer“ der Blockchain, der wegen Datenschutzverletzungen abgemahnt werden könnte.

Wie sieht es nun mit Facebooks geplanter Kryptowährung Libra aus? Sie soll zwar erst nächstes Jahr kommen, falsche Händler bieten Libra aber schon jetzt an. Das deutsche Bundesfinanzministerium sieht in Libra ein Risiko für die staatliche Hoheitsgewalt, da ein „Wettbewerb“ zwischen staatlicher und privater Währung ausbreche und letztliche das Geld-Monopol des Staates in Frage gestellt werde.  Facebook verspricht, mit Libra das Einkaufen und Geldüberweisen im Internet so einfach wie das Versenden einer Textnachricht zu machen. Experten trauen dem Konzern aus dem Silicon Valley zu, das Finanzsystem auf den Kopf zu stellen – weil Geldtransfers zwischen Personen und zwischen Ländern schneller und günstiger werden dürften.

Dennoch stehen 71 Prozent der Deutschen Libra skeptisch gegenüber. 64 Prozent vertrauen Zentralbanken als Herausgeber von Währungen, aber nur vier Prozent vertrauen privaten Großunternehmen. Besonders kritisch ist, dass Facebook ja mittels WhatsApp, Instagram und Facebook auch webseitenübergreifend bereits Milliarden von Daten sammelt – beinahe die Hälfte der Weltbevölkerung ist bei mindestens einem der Dienste aktiv. Finanzdaten sind da wohl genau das Puzzlestück, das dem Konzern noch fehlt, um den ultimativ gläsernen Nutzer zu schaffen.

Der Präsident der Bundesbank hält Libra aber durchaus für attraktiv. Und das, obwohl die US-Verbraucherschutzbehörde FTC erst im Juli eine Strafe in Höhe von fünf Milliarden US-Dollar gegen Facebook verhängt hat. Diese Summe mag zwar zunächst hoch klingen, aber Facebooks Umsatz beläuft sich pro Jahr auf über 50 Milliarden US-Dollar, Mark Zuckerbergs Privatvermögen sogar auf über 70 Milliarden US-Dollar und die Strafe kann außerdem über 20 Jahre hinweg gestaffelt gezahlt werden – also effektiv „nur“ 250 Millionen Dollar pro Jahr. Das ist die höchste jemals verhängte Strafe im Datenschutz-Bereich.

FTC begründete seine Entscheidung nämlich damit, dass Facebook seine Nutzer darüber getäuscht hätte, inwieweit sie die Verwendung der eigenen Daten kontrollieren könnten – entgegen wiederholter Versprechen des Konzerns. Die Behörden ermitteln im Nachgang zum Datenskandal um Cambridge Analytica. Damals hatte der Entwickler einer Umfragen-App von ihm gesammelte Nutzerdaten von 87 Millionen Kunden an die Datenanalyse-Firma weitergeleitet, um ihre Entscheidung bei der Präsidentschaftswahl zu beeinflussen.

Im Winter diesen Jahres war außerdem bekannt geworden, dass Facebook viele Millionen Nutzerpasswörter in Log-Files unverschlüsselt gespeichert hat und sie somit für über 20.000 Facebook-Mitarbeiter quasi frei zugänglich waren. Das ist besonders brisant, weil man sich mittels seines Facebook-Accounts auch bei vielen anderen Diensten anmelden kann. So gewähren die Daten potentiell auch den Zugriff auf weitere ggf. sehr sensible Daten, etwa aus Gesundheits-Apps. Facebook-Nutzer sollten daher regelmäßig ihr Passwort ändern. Der Bundesdatenschutzbeauftragte Ulrich Kelber kommentiert: „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr.“

Facebook musste nun infolge der Ermittlungen in den USA auch zustimmen, einen „unabhängigen“ Datenschutz-Ausschuss einzurichten. Aber das Gremium soll nur ein Mal im Quartal tagen und auch wenn die Mitglieder des Gremiums unabhängig sein sollen – ihr Aufseher könnte dennoch Mark Zuckerberg selbst sein. Immerhin kann er die Mitglieder aber nicht selbst auswählen und auch nicht feuern. Dies geht nur mit einer „Super-Mehrheit“ im Verwaltungsrat, um Zuckerbergs Kontrolle wenigstens etwas einzuschränken. Jetzt soll Zuckerberg auch persönlich dafür haften, dass Facebook sich an geltende Datenschutz-Richtlinien hält. Es bleibt zu hoffen, dass – falls Libra trotz aller Bedenken eingeführt werden darf – sich Facebook hier an geltende Gesetze hält.

Zu guter Letzt noch eine kleine Datenschutz-Meldung, für die Facebook mal ausnahmsweise nicht verantwortlich ist: In letzter Zeit erlebte die sogenannte „FaceApp“ einen großen Hype. Sie malt aus, wie man im Alter aussehen könnte. Trotz des Namens wird sie aber nicht von Facebook bereitgestellt, sondern stammt aus Russland. Zur Benutzung der App muss man quasi alle Daten seines Smartphones gegenüber den App-Entwicklern freigeben – also lieber: Finger weg!