Thomson Reuters Datenbank „World-Check“ im Zwielicht

Ausgabe 6-2017

Verschiedene Zeitungen berichten aktuell, dass die u.a. von vielen Banken und Regierungen eingesetzte Datenbank „World-Check“ von Thomson Reuters in Verdacht steht, viele Personen zu Unrecht als gefährlich einzustufen. Bekannt wurde diese Problematik durch kürzlich geleakte Datensätze. World-Check (https://risk.thomsonreuters.com/products/world-check) wird von vielen Finanzinstituten verwendet, um sich vor potenziell kriminellen Kunden schützen zu können. Laut der Produktbroschüre soll diese Datenbank Schutz vor politisch exponierten Personen (PEP) sowie Kriminellen und Terroristen bieten.

Auslöser dieses Vorfalls war ein Sicherheitsforscher, dem eine Kopie dieser Datensätze zugestellt wurde und der diese Datenpanne dann publik gemacht hat. Die Daten stammen dabei aus ca. Mitte 2014. (Quelle: https://www.reddit.com/r/privacy/comments/4q840n/terrorism_blacklist_i_have_a_copy_should_it_be/)

Die erhobenen Vorwürfe gegen diese Datenbank von Thomson Reuters sind dabei massiv. Nicht nur ist die dort geführte schwarze Liste mit ca. 2 Mio. Einträgen (Stand: 2014) voll mit falschen Angaben. Scheinbar gibt es eindeutige Hinweise auf rassistische Diskriminierungen und offensichtliche Verstöße gegen bestehende Datenschutzgesetze. Laut eigenen Angaben von Thomson Reuters arbeiten über 250 Analysten an der Datenbank. Jeden Monat werden ca. 25.000 neue Profile erstellt und 40.000 bestehende aktualisiert. Problematisch sind in erster Linie die für diese Aufgabe genutzten Quellen. Darunter sind Informationsressourcen, die man schwerlich als verlässliche und glaubenswürdige Quellen bezeichnen kann. Genannt werden neben der Online-Enzyklopädie Wikipedia auch einschlägige rechtsextreme, islamische und homophobe Webseiten. Thomson Reuters ist sich dieser Tatsache durchaus bewusst. Allerdings würden sie diese „Sekundärquellen“ auch entsprechend kennzeichnen. Zudem würden diese Angaben lediglich zur Überprüfung von anderen Informationen genutzt werden. Wie solche bewusst mit Falschinformationen vollgestopften Seiten zur Aufklärung von irgendwelchen Sachverhalten beitragen, erschließt sich dem unabhängigen Betrachter aber nicht. Inhalte, die allein zur Manipulation von Personen erstellt werden, um das eigene krude Weltbild zu manifestieren, sind einfach keine Informationen. Von daher sollte gänzlich in diesem Zusammenhang auf die Nutzung solcher Quellen verzichtet werden.

Der hier präsentierte Fall unterscheidet sich im Kern nicht von den bereits bekannten Untersuchungen zu zweifelhaften Schufa-Einträgen, fehlerhaften Creditreform-Inhalten und falschen oder erfundenen Daten von anderen Auskunfteien. Grundsätzlich ist es zwar für Finanzinstitute und auch für andere Unternehmen unverzichtbar, weiter auf solche Bonitäts- und Personendatenbanken kommerzieller Informationsanbieter zu setzen. Schließlich sind die rechtlichen Anforderungen an die Eröffnung von Bankkonten oder bei der Vergabe von Krediten in den letzten Jahren deutlich restriktiver geworden. Auf der anderen Seite wird der Wahrheitsgehalt solcher Verzeichnisse kaum in Zweifel gezogen, was z.B. für fälschlich verdächtigte Personen weitreichende Folgen haben kann. Deshalb sollte nie vergessen werden, dass nur richtige Informationen auch relevante Informationen sind. Für Mitarbeiter im Bereich Compliance und Kreditprüfung muss daher gelten nicht nur auf eine Quelle zu setzen, sondern auch weitere Informationsressourcen zu Rate zu ziehen, die alle vollständig unabhängig voneinander sind. Ironischerweise empfiehlt Thomson Reuters selbst auch weitere Überprüfungen vorzunehmen, wenn man World-Check benutzt. Von daher sind auch Information Professionals gefordert, die Qualität besonders von Daten aus kommerziellen Datenbanken zu hinterfragen. Die fortlaufende und regelmäßige Prüfung von abonnierten Datenbanken auf ihre inhaltlichen Qualitäten, Quellen und Auswahlkriterien muss zu einer Standard-Routine für Informationsabteilungen werden, falls dies überhaupt schon gemacht wird. Wenn man bedenkt, dass die Nutzungsgebühr der World-Check-Datenbank bis zu 1 Mio. US$ pro Jahr beträgt, wird augenscheinlich, wie wichtig eine Verifizierung von solchen digitalen Datensammlungen ist. Die Anbieter und Produzenten von sensiblen Bonitäts- und Personendatenbanken müssen von den Kunden stärker in die Verantwortung genommen werden, um die bestehenden Qualitätskriterien bei der Erstellung solche Inhalte zu überdenken, zu verbessern und vor allem auch transparenter zu machen. Die Meldungen über falsche Einträge haben in den letzten Jahren jedenfalls deutlich zugenommen. Verschiedene Studien haben in diesem Zusammengang ergeben, dass teilweise bis zu 50 % der Einträge fehlerhaft sind. Solche Datenbanken als Grundlage für Entscheidungen zu nutzen ist dann aber eigentlich sinnlos, und wahrscheinlich sogar gesetzwidrig.

Ergänzend zum Problem der mangelnden Datenqualität von gewissen Informationsprodukten, wird zunehmend ein weiteres Problem akut, von dem auch vermehrt kommerzielle Informationsanbieter betroffen sind: mangelhafter Datenschutz. In der Ausgabe 3/2017 von Library Essentials haben wir über den Fall von Dun & Bradstreet berichtet, wo Millionen von Kundendaten öffentlich zugänglich gewesen sind. Aktuell wurde im UpGuard-Blog berichtet, dass auch Millionen von Kundendaten von DowJones öffentlich im Internet herunterladbar waren. Insgesamt soll es sich um 2,2 Mio. Datensätze handeln, die Kundendaten wie Namen, Adressen, Kontoinformationen, E-Mail-Adressen und die letzten vier Ziffern von Kreditkarten-Nummern beinhalten. Betroffen sind die Abonnenten von bekannten DowJones-Publikationen wie „The Wall Street Journal“ und „Barron's“. Außerdem sind die Kunden der in Finanzinstituten oft genutzten Datenbanken-Suite „Dow Jones Risk and Compliance“ betroffen. Insgesamt ist dies ein betrüblicher Mix aus schlechter Datenqualität sowie mangelhafter Sorgfalt beim Umgang mit privaten Kundendaten, die hier nicht nur die zwei führenden Informationsanbieter Thomsons Reuters und DowJones offenbaren. Die zunehmende Anzahl dieser negativen Ereignisse wirft insgesamt ein schlechtes Licht auf die Informationsbranche. So setzen kommerzielle Informationsanbieter die vermeintlichen Vorteile ihrer exklusiven Informationsprodukte und Datenbanken gegenüber der vermeintlich „ungenauen“, kostenfreien Konkurrenz aus Google, Wikipedia und Co. relativ leichtfertig aufs Spiel.

Quelle:

O'Sullivan, Dan: „Cloud Leak: WSJ Parent Company Dow Jones Exposed Customer Data“, Blogbeitrag vom 17. Juli 2017, https://www.upguard.com/breaches/cloud-leak-dow-jones

Schlagwörter:

Bonitätsprüfung, Compliance, Datenbank, Datenqualität, Finanzinstitute, Thomson Reuters

Mehr zum Thema:

Die Kommentare sind geschlossen.