Goodcoin – Verlässlicher Datenschutz für Bonus- und Zahlungssysteme

Das Goodcoin-Projekt war ein dreijähriges Forschungsvorhaben mit dem Ziel, ein datenschutzfreundliches Bonuspunkte- und Kundenbindungssystem zu entwickeln. Trägerin des Projektes war die Humboldt-Universität zu Berlin; die Begleitforschung erfolgte in Kooperation mit dem Humboldt-Institut für Internet und Gesellschaft sowie der Bonsum UG.

Interessenkollision durch Technikgestaltung auflösen

Bonus- bzw. Treuepunktesysteme sind ein Werkzeug, um das Kaufverhalten zu analysieren und umfassende Profile der Käuferinteressen zu erstellen. Auf dieser Basis möchte der Handel dann personalisierte Angebote und eine individuelle Ansprache potenzieller Interessenten erreichen. Um die Interessen der Konsumentinnen und Konsumenten nach informationeller Selbstbestimmung mit den Wünschen des Handels in Einklang zu bringen, erforschte das Projekt “Goodcoin” ein leistungsfähiges, aber anonymes Bonuspunktesystem.

Ziel war es, die Erstellung von Konsumprofilen durch eCommerce-Anbieter zu verhindern. Dennoch sollten Anbieter das Konsumverhalten statistisch auswerten können, um neue Markttrends zu bestimmen und frühzeitig ihre Angebotsstruktur darauf auszurichten. Im Projekt wurden zudem Möglichkeiten erforscht, wie datenschutzfreundliche Produktempfehlungssysteme realisiert werden können, um Kundinnen und Kunden damit auch eine digitale Beratung zu den Produkten anzubieten.

In technischer Hinsicht wurden Algorithmen entwickelt, mit denen anonyme Bonuspunkte und Einkaufsstatistiken erzeugt werden können.

Dabei basiert die Erzeugung der Bonuspunkte auf einem Modell einer digitalen Währung mit blinden Signaturen in einem Dreiparteiensystem, bestehend aus Kundinnen, Händlern und der Goodcoin-Betreiberin. Nach jeder Transaktion bei teilnehmenden Händler erhalten die Kundinnen Bonuspunkte, die zu einem späteren Zeitpunkt wieder als Zahlungsmittel eingesetzt werden können. Die Ergebnisse wurden unter [1] publiziert.

Nachdem innerhalb des Projektes für die Erzeugung anonymer Einkaufsstatistiken zunächst geplant war, mit probabilistischen Datenstrukturen zu arbeiten, wurde dies verworfen, nachdem sich diese als zu ungenau herausstellten, um eine individuelle Ansprache zu ermöglichen, und umgestellt auf die Erforschung eines Korrelationsanalyseverfahrens. Da derartige Verfahren zu diesem Zeitpunkt nur für unverschlüsselte Datenbanken existierten, wurden zu dessen Umsetzung zwei neue Lösungskonzepte erarbeitet. Die Ergebnisse wurden unter [2] publiziert.

Die juristische Begleitforschung konzentrierte sich auf die Bewertung des Bezahl- sowie des Statistikmoduls.

Es stellte sich heraus, dass die vom Goodcoin-Projekt geplante Systemstruktur hinsichtlich des Bezahlmoduls den Anforderungen des Zahlungsdiensteaufsichtsgesetzes unterworfen ist, da es sich bei den Bonuspunkten um E-Geld im Sinne des § 1 Abs. 2 S. 2 dieses Gesetzes handelt. Weniger eindeutig fiel aber die juristische Analyse des Statistikmoduls aus. Ziel war es, durch die Systemarchitektur nicht nur eine Anonymität im technischen, sondern auch im rechtlichen Sinne sicherzustellen, zum einen deshalb, um den regulatorischen Anforderungen der DS-GVO zu entgehen, als auch aus dem Grund, da diese die Anonymisierung als eine geeignete Garantie für die Rechte und Freiheiten der Betroffenen behandelt. Als problematisch stellte sich dabei heraus, dass der Anonymitätsbegriff im Datenschutzrecht gegenüber den (vielen) technischen Anonymitätsbegriffen autonom ist und nicht auf ein spezifisches außerrechtliches Konzept Bezug nimmt. Ferner konnte auch nicht auf einen ausgearbeiteten Ansatz für die Überprüfung eines informatischen Systems auf die Erfüllung rechtlicher Anforderungen zurückgegriffen werden, da ein solches innerhalb der Rechtswissenschaften nicht existiert. Zurückgegriffen werden musste daher in dieser Hinsicht auf eine rechtsfremde Methode, die der Systementwicklung entstammt: die der Validierung. Als Prüfungsgegenstand kommt dann nicht ein konkretes technisches System in Betracht, sondern dessen abstrakte Darstellung auf der Ebene der Spezifikation, welche dann im Wege einer semantischen Analyse mit rechtlichen Anforderungen abgeglichen werden kann. Dabei stellte sich heraus, dass der Rechtsbegriff der Anonymisierung derzeit noch an nicht behebbaren Inkonsistenzen leidet, der einen abschließenden Vergleich mit technischen Anonymitätskonzepten verunmöglicht. Die Forschungsergebnisse in diesem Bereich wurden insoweit unter [3] und [4] veröffentlicht.

Literatur

[1] S. Brack, S. Dietzel, and B. Scheuermann, “ANONUS: Anonymous Bonus Point System with Fraud Detection,” in 2017 IEEE 42nd Conference on Local Computer Networks (LCN), 2017, doi: 10.1109/lcn.2017.50. Available: https://doi.org/10.1109/lcn.2017.50

[2] S. Brack, R. Muth, S. Dietzel, and B. Scheuermann, “Recommender Systems on Homomorphically Encrypted Databases for Enhanced User Privacy,” in LCN’ 19: Symposium of the 44th IEEE Conference on Local Computer Networks, 2019, doi: 10.1109/LCNSymposium47956.2019.9000668. Available: https://doi.org/10.1109/LCNSymposium47956.2019.9000668

[3] J. Hölzel, “Anonymisierungstechniken und das Datenschutzrecht,” Datenschutz und Datensicherheit – DuD, vol. 42, no. 8, pp. 502–509, Jul. 2018, doi: 10.1007/s11623-018-0988-z. Available: https://doi.org/10.1007/s11623-018-0988-z

[4] J. Hölzel, “Differential Privacy and the GDPR,” European Data Protection Law Review, vol. 5, no. 2, pp. 184–196, 2019, doi: 10.21552/edpl/2019/2/8. Available: https://doi.org/10.21552/edpl/2019/2/8

[5] S. Brack, J. Hölzel, B. Scheuermann, and S. Dietzel, “Goodcoin: Starker Datenschutz für Bonus- und Zahlungssysteme; Teilvorhaben: Algorithmenentwicklung und juristische Begleitung : Abschlussbericht,” [Humboldt-Universität zu Berlin], 2018 [Online]. Available: https://www.tib.eu/suchen/id/TIBKAT:1671924894/