Nackt im Netz: Die Daten entblößen alles

Der Name verspricht Sicherheit: „Web of Trust“, Netz des Vertrauens heißt das kleine Programm, mit dem Nutzer angeblich Internetseiten auf ihre Sicherheit hin überprüfen sollen. Hunderttausende Menschen nutzen es. Doch wer die Browser- Erweiterung installiert, wird offenbar selbst zum Opfer: Das Programm zeichnet das untersuchte Surfverhalten der Nutzer auf und verknüpft die gespeicherten Daten zu einem Profil, das mit vielen anderen verkauft wird und leicht personalisiert werden kann, wie eine Recherche des Norddeutschen Rundfunks (NDR) ergeben hat. Dadurch lassen sich beispielsweise Rückschlüsse auf Krankheiten, sexuelle Vorlieben oder die finanzielle Situation ziehen, je nach Internetverhalten auch auf Lebensgewohnheiten, Tagesabläufe, Reisen oder Einkäufe von Nutzern.

Sind solche Programme legal?

Das Programm selbst vielleicht. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff betont aber, „dass personenbezogene Daten nur mit Einwilligung der Nutzer oder aufgrund eines Gesetzes an Dritte weitergegeben werden dürften. Fehlten diese Voraussetzungen, müssten die Daten anonymisiert werden, sodass eine Re-Personalisierung nicht oder nur mit sehr hohem Aufwand möglich sei,“ sagte sie dem Tagesspiegel.

„WOT“ weist zwar in den Allgemeinen Geschäftsbedingungen darauf hin, dass Daten an Dritte übermittelt werden – sie würden aber zuvor anonymisiert, heißt es auf der Website des finnischen Herstellers. Doch die Recherchen des NDR zeigen, dass eben genau dies nicht passiert ist. Das sei ein „Datenschutz-Super-Gau“ für die Betroffenen, sagte Konstantin von Notz, Vize-Fraktionschef und Sprecher für Netzpolitik der Grünen im Bundestag, dem Tagesspiegel. Die Enthüllungen würden „massive Versäumnisse bei der vermeintlichen Anonymisierung der Daten“ zeigen, da sie nachträglich deanonymisiert und zuordenbar gemacht worden seien.

Auch der Hamburger Datenschutzbeauftragte Johannes Caspar kritisierte das Vorgehen: Die Nutzer hätten der Datenweitergabe im Fall von „WOT“ nicht zugestimmt, eine massive Auswertung der Daten sei daher „nicht zulässig“. Mehr als 100 Millionen Mal wurde die Software nach Angaben des Herstellers allein bis November 2013 heruntergeladen.

Was wird alles gespeichert?

„WOT“ ist nicht die einzige Erweiterung, die Daten speichert. Überall, wo Daten zusammengeführt werden, können sie auch gebündelt weitergegeben, wieder ausgelesen und interpretiert werden: Das betrifft besonders Add-ons für Browser und Apps auf Smartphones und Tablets, die etwa Passwörter und Accounts verwalten – aber auch die Bündelung von Services und Anwendungen, etwa durch die zentrale Facebook-Authentifizierung, die Verknüpfung von Smartphone-Kontakten mit verschiedenen Programmen oder durch die Bündelung diverser Google-Angebote wie Suchen, Dokumenten, YouTube, Karten und Navigation in einem Nutzerkonto. Auch Einkaufsportale speichern natürlich die Einkäufe ihrer Kunden – und damit ihre Vorlieben.

Was ist neu an den Recherchen des NDR?

Dass Apps, Add-ons, Tracker und andere Programme persönliche Daten speichern, ist nicht neu – das müssen sie, um zu funktionieren. Auch dass mit Daten gehandelt wird, ist nicht neu. Neu und frappierend ist an dem aktuellen Fall, wie einfach diese Datenpakete offenbar zu kaufen, zu lesen und bis hin zu Tagesabläufen und Lebensplanungen konkreter Personen zu rekonstruieren sind.

Die Reporter haben zum Schein eine Firma für Datenhandel gegründet, der ein kostenloser „Probedatensatz“ mit den Surf-Daten von drei Millionen deutschen Internetnutzern aus dem vergangenen August angeboten wurde – das ist etwa ein Prozent des deutschen Internetverkehrs. So sollten sie für regelmäßige Datenlieferungen interessiert werden.

Wie wurden die Nutzer identifiziert?

Die Datensätze wurden nach eindeutigen, einfach personalisierbaren Erkennungsmerkmalen durchsucht – das können Twitter- oder Facebook-Accounts sein oder Benutzerkennungen von Einkaufs- oder Reiseportalen. Von solchen Ankern ausgehend konnten die Journalisten alle Internetseiten verfolgen, die die identifizierten Nutzer im Monat August besucht haben – und daraus wie in einem Puzzle immer mehr zu einem Bild von den Betroffenen zusammenfügen. So lieferten zum Beispiel Anfragen an die Fahrplanauskunft der Deutschen Bahn ein Reiseprofil, eine Daten-Cloud führte direkt zu den dort gelagerten Dokumenten einer Familie, die Reporter konnten konkrete Einkäufe ebenso nachlesen wie die laufenden Ermittlungen eines Polizisten per E-Mail. Insgesamt wurden mehr als 50 Personen identifiziert – darunter Journalisten, Politiker und Richter.

Was ist mit den Daten der anderen drei Millionen gelieferten Profile?

Die Reporterin des Fernsehberichtes im Magazin „Panorama“ hat erklärt, sie habe die Daten nach der Recherche komplett gelöscht. Bei den Händlern dürften sie aber noch verfügbar sein und auch weiter verkauft werden – und viele andere mehr.

Wie kann man sich gegen eine Nutzung oder gar Veröffentlichung seiner Daten wehren?

Sind Daten einmal im Umlauf, kann man sich faktisch als Einzelner kaum dagegen zur Wehr setzen: Man müsste die einzelnen Inhaber der Daten konkret auffordern, sie zu löschen. Dann dürfte man allerdings vielen Geschäftsbedingungen der Programm- und Geräteanbieter auch nicht zustimmen; damit wären die dann aber nicht benutzbar.

Zur Prävention gehören Datensparsamkeit und Datenbewusstsein: Was man selbst gar nicht erst digitalisiert, erzeugt auch keine Datenspuren. Wer aufs Internet fürs Einkaufen, Chatten, Telefonieren, für Unterhaltung und Information, Bankgeschäfte oder Reiseplanungen nicht verzichten will, sollte seine Aktivitäten in notwendigerweise persönliche Anliegen mit Klarnamen und anonymisierte Aktionen trennen, die man mit Pseudonymen durchführt. Wer dafür zwei getrennte Browser verschiedener Anbieter nutzt, verwischt seine Datenspur noch etwas mehr – getrennte oder regelmäßig wechselnde IP-Adressen verstärken diesen Effekt, ebenso wie mehrere wechselnde Geräte oder die Nutzung von Geräten durch mehrere Personen; das war und ist ein großer Vorteil von Internet-Cafés.

Die Digitalisierung des Alltags erfordert so etwas wie einen digitalen Umweltschutz: Dazu gehört, dass sich jeder umweltbewusst verhält – vor allem aber eine stringente Gesetzgebung und die effektive Verfolgung von Gesetzesbrüchen durch den Staat. Netzpolitiker fordern auch immer wieder eine Art Tüv für Software.

Ist Anonymität überhaupt noch möglich?

„Das Netz vermeiden zu wollen oder zum Technikfeind zu werden, ist sicher keine Alternative. Viele Nutzer sollten aber ihr Bewusstsein dafür schärfen, dass das, was sie im Netz machen oder an Informationen preisgeben, Folgen haben kann“, erklärt Florian Glatzner, Digitalexperte bei der Verbraucherzentrale Bundesverband (VZBV). Auch Konstantin von Notz sagt: „Verzicht zu predigen, kann jedoch keine politische Antwort sein. Wir brauchen endlich klare gesetzliche Vorgaben und einen effektiven Schutz der Bürgerinnen und Bürger.“ Denn Menschen hinterlassen nicht nur digitale Spuren, wenn sie Websites aufrufen, sondern beispielsweise auch, wenn sie ihr Smartphone benutzen, Smart-Home-Lösungen installieren oder künftig in selbst fahrende Autos steigen.

Viele Produkte haben Cookies installiert, mit denen nachverfolgt werden kann, wann und wie der Nutzer sie nutzt. „So lange dies anonym erfolgt, ist das legal“, erklärt Glatzner. Wenn solche Daten aber personalisiert werden, „ist das keine Lappalie, sondern illegal“, betont er. Man kann Cookies auf seinen Rechnern deaktivieren oder nach Gebrauch löschen. Es dürfte auch sinnvoll sein, möglichst wenige Add-ons und Apps zu nutzen, die überhaupt Daten erheben und analysieren. Denn erst Gelegenheit macht Diebe, das ist wie in der analogen Welt. Sich komplett anonym durchs Netz zu bewegen, sei für Laien jedoch kaum möglich und auch wenig praxistauglich, meint Glatzner. Geprüfte Anbieter und Tipps sind beispielsweise auf Seiten der gemeinnützigen und vom Bundesjustizministerium geförderten Seite Mobilsicher.de zu finden die an der NDR-Recherche beteiligt war - oder bei der Electronic Frontier Foundation, einer amerikanischen Nichtregierungsorganisation, die über Grundrechte im digitalen Zeitalter informiert.

Welche anderen großen Pannen hat es zuvor gegeben?

Ein weiteres Risiko für Online-Nutzer neben der Weitergabe von Kundendaten ist der mitunter unzureichende Schutz dieser Daten vor Hackerangriffen. Einer der schwersten Fälle von Datendiebstahl ereignete sich vor fünf Jahren bei verschiedenen Diensten des Sony-Konzern. Betroffen waren seinerzeit 77 Millionen Daten von Nutzern des Playstation Networks und des Musik- und Videodienstes von Sony. Etwas später musste das japanische Unternehmen einräumen, dass weitere 24 Millionen Datensätze von Online-Spielern bei einem Hackerangriff erbeutet wurden. Bei dem neuerlichen Beutezug verschafften sich die Eindringlinge aus einer „veralteten Datenbank“ Informationen zu über 20<TH>000 Kreditkarten und Bankkonten. Für Sony und seine Kunden endeten die schlechten Nachrichten damit jedoch nicht. Einen Monat später wurde bekannt, dass sich eine Hackergruppe Zugang zur Kinofilm-tochter Sony Pictures verschafft hatte und dort an eine Millionen persönliche Nutzerdaten gelangte. Der bis dato wohl größte Datendiebstahl wurde jedoch vor nicht einmal zwei Monaten bekannt. Kriminelle hatten die Daten von mindestens einer halben Milliarde Nutzer des US-Konzerns Yahoo erbeutet, musste das Unternehmen zugeben. Der Angriff war schon zwei Jahre zuvor erfolgt, war aber erst jetzt entdeckt worden.

Reichen die Datenschutzgesetze nicht aus?

Voßhoff erklärte dem Tagesspiegel, dass sie „mangels rechtlicher Zuständigkeit“ die NDR-Recherchen nicht überprüfen könne. Sie fordert aber eine bessere Durchsetzung der Gesetze: „Die Einhaltung der Regeln sollte strengen Kontrollen und Sanktionen unterliegen.“ Die ab dem 25. Mai 2018 geltende Datenschutzgrundverordnung der EU stelle dazu erste Weichen.

Konstantin von Notz reicht das nicht: „Nein, um unsere Datenschutzgesetze und die Durchsetzung klarer rechtlicher Vorgaben ist es derzeit nicht gut bestellt“, meint von Notz. Daran trage auch die Bundesregierung erhebliche Mitschuld, die in den vergangenen Jahren „nichts unternommen“ habe, den Grundrechtsschutz effektiv zu sichern: „Hierfür hätte sie sich mit der datensammelnden Wirtschaft anlegen müssen.“ Stattdessen habe sie „jahrelang auf Selbstverpflichtungen gesetzt – und ist damit krachend gescheitert“, kritisiert er. Bestehende gesetzliche Regelungen zur Anonymisierung und Löschung von Daten würden nur „absolut unzureichend beachtet und kontrolliert werden“.

Das sieht Ulrich Kelber, Parlamentarischer Staatssekretär aus dem Bundesministerium der Justiz (BMJV) und für Verbraucherschutz anders: „Bei den Beratungen des neuen EU-Datenschutzrechts haben wir uns für eine Stärkung der Verbraucherrechte im Internet eingesetzt“, sagte er dem Tagesspiegel. „Mit der EU-Datenschutzgrundverordnung haben wir die Sanktionen verschärft, die Unternehmen müssen bei Verstößen wie illegalem Datenhandel künftig Bußgelder in erheblicher Höhe befürchten.“ Um die Praxis des Profilings, Trackings und des Datenhandels genauer zu beleuchten, hat das BMJV eine Studie ausgeschrieben. Damit soll der konkrete Datenschatten ermittelt werden, den Verbraucher hinterlassen.

Der Tagesspiegel kooperiert mit dem Umfrageinstitut Civey. Wenn Sie sich registrieren, tragen Sie zu besseren Ergebnissen bei. Mehr Informationen hier.