Datensammler im Internet

Der sperrige Begriff der informationellen Selbstbestimmung beschreibt das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Ursprünglich galt es – ähnlich wie beim Datenschutzgesetz aus den 1970er-Jahren –, den Bürger vor dem Staat zu schützen. Inzwischen sammeln längst auch andere die Daten: Direkt-Marketing- und Call- Center-Firmen, aber auch Online-Provider, E-Commerce-Unternehmen sowie Betreiber von Online-Communitys und Suchmaschinen. Davon aber bekommen die meisten Verbraucher gar nichts mit und geben oft ganz arglos persönliche Daten preis, die ohne ihr Wissen gesammelt, gespeichert und ausgewertet werden.

Als größter Datensammler weltweit arbeitet – von der breiten Öffentlichkeit völlig unbemerkt – der Suchmaschinenbetreiber Google. Das Internet-Unternehmen aus dem kalifornischen Mountain View speichert auf Hunderttausenden Computern digitale Daten, die alle diejenigen hinterlassen, die sich der Suchmaschine des Datenkraken bedienen oder im Videoarchiv von YouTube stöbern. Wer auf Googles Web-Browser Chrome vertraut, gewährt dem Unternehmen weitere Einblicke in sein Privatleben, weil das System bei der Installation jedem Nutzer eine eigene Identifikationsnummer zuordnet, die zusammen mit den angesteuerten Internet-Inhalten gespeichert wird (siehe Artikel „Google Chrome: Gefährliches Geschenk?“ im medienforum. magazin 2/2008). Das Anklicken von Nachrichten bei Google News oder eine Routensuche bei Google Maps geben weitere Auskünfte über persönliche Interessen etc.

Google startet Behavioral Targeting

Neun von zehn Suchvorgängen deutscher Internet-Nutzer erfolgen mithilfe der Google-Eingabemaske und hinterlassen über die IP-Nummer der einzelnen Online-Anschlüsse Spuren, aus denen sich Verbraucherprofile gewinnen lassen. Bislang argumentierte das Google-Management stets, diese Daten seien anonymisiert und erforderlich, um zukünftige Suchvorgänge zu optimieren. Noch in diesem Jahr aber soll bei Google und YouTube damit begonnen werden, für alle Nutzer individuell auf ihre vermeintlichen Interessen abgestimmte Werbung (Interest Based Ads) zu platzieren.

Sämtliche Suchanfragen werden bei Google neun Monate lang gespeichert. Das ermöglicht bei der Werbung eine optimale Zielgruppenansprache, was in der Branche als Behavioral Targeting bezeichnet wird (siehe Artikel „Webmining und Behavioral Targeting“ im medienforum.magazin 2/2007). Einem Vorstoß von Microsoft, Daten künftig nur noch ein halbes Jahr lang zu speichern, mochte sich Google bei Gesprächen mit der EU-Kommission Ende 2008 nicht anschließen.

Google ist überall dabei

Google sammelt nicht nur die Informationen aus Suchanfragen. Wer den E-Mail-Service Google Mail (GMail) verwendet, gewährt – wenn auch anonymisiert – freiwillig Einblicke in die Inhalte seiner persönlichen Post, sodass ihm zu bestimmten Schlüsselbegriffen unaufgefordert Werbeangebote zugestellt werden können. Eine GMail-Adresse ist seit Anfang Februar auch Voraussetzung für alle, die das neue T-Mobile-Smartphone G1 (siehe Artikel „Digitaler Datentransport im Handy- Sektor“) umfassend nutzen wollen. Erst nach Eingabe der Google-Benutzerdaten ist die automatische Synchronisation mit den Online-Services von Google möglich (Terminkalender, Adressbuch, elektronisches Postfach usw.). Zugleich können über den erforderlichen Google-Account auch die Online-Nutzerzahlen gesteigert werden.

Wer sein G1-Handy zum ersten Mal einschaltet, wird auf dem Display mit dem Hinweis „Sie brauchen nur ein Google-Konto“ begrüßt. Anschließend weiß Google nicht nur, wer wann was online erledigt, sondern kennt dank des im Smartphone integrierten GPS-Systems jeweils auch den Standort der Eigentümer des G1-Smartphones. „Google to Go“ wird so zur Mischung aus Online-Freund und Online-Agent.

Digitale Spurensuche

Benutzer von Googles neuer Smartphone-Applikation Latitude können sehen, wo sich gerade andere G1-Besitzer aufhalten, falls sie sich auch für diesen Service entschieden haben. Da passt es gut, dass Google Maps und Google Street View den Erdball komplett zu erfassen versuchen. Jeder Google-Anwender flaniert so durch ein riesiges Schaufenster, das der Werbebranche jederzeit darüber Auskunft geben kann, wer wann wo welche Bedürfnisse haben könnte. Die Daten dazu liegen auf Servern in den USA.

Was viele nicht wissen: Wer bei Google personalisierte Angebote nutzt, hat durchaus die Chance, seine Daten selbst zu löschen. Das aber ist nicht ganz einfach. Google Chrome bietet sogar ein Inkognito-Fenster an, das Surfen erlaubt, ohne digitale Spuren zu hinterlassen. Und wer künftig nur Werbebotschaften aus bestimmten Bereichen erhalten will, der soll über einen Ads Preferences Manager (www.google.com/ ads/preferences) einzelne Interessenkategorien anpassen oder entfernen können.

Datenfutter für die Serverparks

Selbst wer aus Datenschutzgründen systematisch alle Google- Dienste meidet, entkommt dem Marktführer nicht. Die Software Google Analytics liefert nämlich Website-Betreibern gratis Auskünfte und IP-Adressen aller Nutzer, die deren Homepage aufsuchen. Natürlich werden auch diese Informationen in den riesigen Serverparks von Google gespeichert.

„Personenbezogene Daten sind keine frei verfügbaren Rohstoffe, auf die die Privatwirtschaft nach Gutdünken zugreifen kann“, sagte der Bundesdatenschutzbeauftragte Peter Schaar im März, als das neue Datenschutzgesetz diskutiert wurde. Die Wirklichkeit sieht zumindest im Internet anders aus. So versuchte etwa Facebook Anfang Februar eine Klausel aus den Nutzungsbedingungen zu entfernen, die gewährleistet, dass der Anbieter keine Rechte mehr an den Inhalten von Netzwerkmitgliedern hat, nachdem diese ihren Account gelöscht haben. Stattdessen sollte eine „unbefristete Lizenz“ eingeführt werden. Erst der Protest vieler Nutzer, die mit dem Ausstieg aus der Community drohten, führte schließlich dazu, dass Facebook einen Rückzieher machte.

Facebook will fast alles

„Als wir anfingen, überraschte es uns wirklich, wie viele private Informationen die Menschen auf der Website freiwillig preisgeben wollten“, berichtet Facebook-Gründer Mark Zuckerberg gern (siehe Artikel „Kommunikation in Communitys“ im medienforum.magazin 2/2007). Tatsächlich verleitet die Illusion der Intimität noch immer allzu viele Mitglieder von sozialen Netzwerken, im Internet Privates preiszugeben. Die Einträge der 175 Millionen Facebook- Nutzer sowie der Fans von MySpace, studiVZ, Lokalisten, Linkedin oder Xing laden zum Datamining, also dem systematischen Anlegen von Verbraucherprofilen durch das Sammeln von personalisierbaren Fakten im Internet, nahezu ein.

Mit dem Anlegen von Inhalten bei Facebook erteilen Nutzer zum Beispiel „dem Unternehmen automatisch eine unwiderrufliche, übertragbare, vollständig bezahlte, weltweite Lizenz“ für das Verwenden, Bearbeiten und Weitergeben von Benutzerinhalten „für kommerzielle, Werbe- oder sonstige Zwecke“. Von informationeller Selbstbestimmung kann da kaum noch eine Rede sein.

Kritik der Datenschützer

Als das Fraunhofer Institut für Sichere Informationstechnologie (SIT) im vergangenen Jahr die wichtigsten Online-Gemeinschaften untersuchte, stellten die Forscher fest, dass viele Daten auch nach ihrer Löschung noch im Internet zu finden waren. Keine der getesteten Plattformen konnte die Datenschützer restlos überzeugen. Manchmal mussten sogar Anmeldedaten unverschlüsselt verschickt werden, oder es wurden viel zu viele persönliche Daten abgefragt. Problematisch ist dieser Umstand vor allem, weil soziale Netzwerke insbesondere bei Jugendlichen sehr beliebt sind, denen es beim Thema Datenschutz an Problembewusstsein mangelt.

Methoden, sich davor zu schützen, dass Daten über die eigene Online-Nutzung in fremde Hände geraten, werden nur von wenigen eingesetzt. So arbeiten nach Angaben des Branchenverbandes Bitkom in Deutschland nur etwa 55 Prozent der Internet- Nutzer mit einer Firewall, die den externen Datenverkehr überwacht. Wer unerkannt online surfen möchte, kann auch Spezial-Software einsetzen: Sogenannte Anonymizer- Programme verschleiern die eigene IP-Nummer. Dabei geben sich zwischengeschaltete Proxy-Server selbst als Absender der Daten aus. Allerdings verzögert sich dadurch der Aufbau von WWW-Seiten. Eine andere Lösung bietet die Gratis-Software TorPark, die auf einen USB-Stick kopiert werden muss und dann bei Nutzern des Browsers Firefox als Privacy Dongle die eigene Datenspur verwischt.

E-Mails und Passwörter in Gefahr

Viele Surfer im Netz wähnen sich unbeobachtet, werden aber genau unter die Lupe genommen. Die größten Risiken gehen alle ein, die ungesichert über WLAN-Hotspots das Internet nutzen. In solchen Fällen können Hacker sogar Passwörter oder E-Mails abfangen. Das Verschlüsseln von E-Mails ist zwar möglich, vielen aber noch immer zu kompliziert oder umständlich, weil es zuvor den Austausch von Sicherheitscodes verlangt. Sicherheitssoftware arbeitet in diesem Bereich nämlich meist über Systeme, bei denen Sender und Empfänger über passende Schlüssel verfügen müssen.

Im Bereich der E-Mails könnte schon bald vieles besser werden: Das Bundesinnenministerium lässt für die elektronische Post zurzeit den neuen Standard De-Mail entwickeln. Das Verfahren soll schon im nächsten Jahr zur Verfügung stehen, um online amtliche Benachrichtigungen, Rechnungen oder Verträge rechtssicher verschicken zu können, ohne dabei auf das aufwendige Verfahren digitaler Signaturen zurückgreifen zu müssen. De-Mail-Nutzer benötigen keine Software, sondern müssen sich nur auf einer speziellen Homepage registrieren und zum Beispiel bei einer Bankfi liale per Personalausweis authentisieren. Anschließend sollen sich Daten über individuell zugewiesene E-Mail-Adressen automatisch verschlüsselt und integritätsgeschützt verschicken lassen. Als Verbindung werden wie beim Online-Banking SSL-Systeme (Secure Sockets Layer) eingesetzt.

Dr. Matthias Kurp