Datenhandel:Plötzlich nackt im Netz

Datenhandel: Unternehmen verkaufen die Browser-Verläufe von Internetnutzern (Symbolbild).

Unternehmen verkaufen die Browser-Verläufe von Internetnutzern (Symbolbild).

(Foto: imago stock&people)

Alle Suchwörter, alle Webseiten, der Browser-Verlauf eines ganzen Monats steht zum Verkauf. Unser Autor erlebte, wie das ist, wenn die eigenen Daten zur Ware werden.

Von Dirk von Gehlen

1616

Best of SZ.de 2016 - immer zum Jahresende sammeln wir die Lieblingsgeschichten der Redaktion, die am häufigsten von Lesern weiterempfohlen wurden. Diese Geschichte ist eine von ihnen. Alle lesen...

Im Rahmen einer Recherche gelangten Reporter des NDR an Datensätze von drei Millionen Deutschen, die gewerbsmäßig verkauft werden. Mit dabei auch der Internet-Fußabdruck unseres Autors, der sich auf einmal #nacktimnetz wiederfand - so der Titel der NDR-Recherche.

Es geht in diesem Text nicht um mich. Dass es ausgerechnet meine gesamte Internet-Historie aus dem August 2016 war, die verkauft wurde, ist Zufall. In diesen verkauften Daten kann ich nun nachlesen, welche Webseiten ich ansurfte, welche Begriffe ich suchte und sogar minutengenau, welche Reiseverbindungen mich interessierten (dank einer Nachlässigkeit der Deutschen Bahn). Man sieht darin, was mich beschäftigte, wann ich zur Arbeit ging und wohin ich reiste. Diese Daten stammen aus dem Webbrowser, den ich nutze, sie fügen sich zu einem Bild, das mich digital nackt dastehen lässt - und all das kann man kaufen.

Die Informationen finden sich in einem Datensatz, der als Produktprobe verschickt wurde. Reporter des NDR haben diese angefordert - getarnt als Scheinfirma, die mit Internet-Profilen Geschäfte machen will. Sie bekamen Internet-Spuren von drei Millionen Menschen, die im August von deutschen IP-Adressen aus im World Wide Web surften. Das entspricht etwa einem Prozent des deutschen Internet-Verkehrs. Und dort, wo diese Probe abgeschickt wurde, gibt es mehr: Noch mehr Daten über noch mehr Menschen, die diesem Treiben vermutlich niemals zustimmen würden.

Formaljuristisch gesehen sind diese Daten pseudoanonym. Man kann also in den verkauften Daten zunächst nicht nach einem Klarnamen suchen, sondern nur nach einer Nummer, hinter der sich das Profil eines bestimmten Browsers verbirgt. Wenn man nun zum Beispiel die Seite analytics.twitter.com/user/dvg/home in den Daten findet, kann man sicher sein, dass es sich um jemanden handelt, der Zugang zu meinem Account @dvg hatte, denn man kann die Seite nur mit Passwort aufrufen.

In anderen Netzwerken sind diese Seiten ein wenig besser geschützt als bei Twitter, aber auch hier gilt: Wenn man eine solche Seite in den Daten gefunden hat, hat man ziemlich sicher auch den Besitzer des Accounts, der vermutlich auch seinen Klarnamen auf der Seite eingetragen hat. Von diesem Moment an sind die Daten mit einer konkreten Person verbunden - und alles andere als anonym.

Glaubt man den Händlern, die die Datenproben verschickt haben, ist es nur ein Zufall, dass auch Ihre Daten nicht dabei waren bzw. dass Sie nicht davon erfahren haben, dass auch Ihre Daten gehandelt werden. Denn es spricht einiges dafür, dass auch diese irgendwo da draußen liegen - und verkauft werden.

Nichts gelernt von Edward Snowden?

Mitte Oktober fand ich mich also plötzlich in folgender Situation wieder: Eine Reporterin vom NDR schrieb mir, dass ihr ein Datensatz vorliege, den sie mit meinem Namen in Verbindung bringen kann. Ob mich das interessiere?

Ich las die Mail zweimal, klickte sie weg und machte sie dann sofort wieder auf. Ob mich das interessiert? Die Frage ist berechtigt. Es ist gar nicht so lange her, da schickte Edward Snowden uns mit seinen Enthüllungen quasi allen eine solche Mail. Er wies uns darauf hin, dass sich die freien und demokratischen Regierungen von der Idee des Fernmeldegeheimnisses verabschiedet haben. Er machte uns klar, dass unverschlüsselte Mails maximal so sicher sind wie Postkarten und dass anlasslos und massenhaft Profile über uns angelegt werden, wenn wir uns im Netz bewegen.

Drei Jahre später kann man schon mal fragen, ob uns das überhaupt interessiert. Denn eine wirkliche Reaktion sind wir als Gesellschaft immer noch schuldig. Snowdens Enthüllungen stellten so etwas wie den größten anzunehmenden Unfall für das Internet dar. Doch ein wirkliches Aufbegehren vergleichbar der Umweltbewegung nach dem Super-GAU von Tschernobyl hat noch immer nicht stattgefunden.

Auch peinliche Informationen müssen geschützt sein

Auch ich habe mein Verhalten im Netz kaum geändert seit Snowdens Enthüllungen. Ich habe angefangen, meine Mails zu verschlüsseln (was einfacher ist als die meisten denken), habe den sicheren Signal-Messenger auf meinem Smartphone installiert und benutze beides sogar manchmal. Das reicht aber natürlich nicht. Das weiß ich - und als ich die Mail von der NDR-Kollegin ein drittes Mal las, wurde aus dieser abstrakten Sorge, die ich seit Sommer 2013 hatte, eine sehr nahe, sehr persönliche Angst vor dem Super-GAU: Welche Informationen werden da über mich gehandelt? Ist etwas Peinliches dabei? Habe ich etwas zu verbergen?

Die Antwort ist einfach: Schon diese Frage zu stellen, ist falsch. Egal, ob ich meinen Browser-Verlauf peinlich finde oder nicht - es sollte nicht möglich sein, dass jemand Handel mit meinen Daten treibt und andere damit indirekt in die Lage versetzt, diese Daten (oder auch nur die Behauptung, etwas in diesen Daten gefunden zu haben) gegen mich zu verwenden.

Ein gesellschaftlicher Skandal

1949 wurde im deutschen Grundgesetz ein Grundrecht festgehalten, das damals noch Briefgeheimnis genannt wurde. Es gab keine Browser und keinen Internetverkehr. Aber das grundrechtlich fundierte Verbot des Abhörens, Aufbewahrens und Verwertens von privaten Botschaften sollte selbstverständlich auch Kommunikation im Netz einschließen - völlig egal, wie sich der Inhalt anfühlt, wenn er plötzlich öffentlich gemacht wird.

Snowden hat das mal so auf den Punkt gebracht: "Wer behauptet, er interessiere sich nicht für Privatsphäre, weil er nichts zu verbergen habe, verhält sich genau wie jemand, der sagt, Meinungsfreiheit sei ihm egal, weil er nichts zu sagen hat."

Es interessiert mich also nicht nur persönlich, was man in den Daten finden kann. Denn ich halte es nicht nur aus privaten Gründen für falsch, dass Browser-Plug-ins ungeprüft verbreitet werden können. Ich bin nicht nur persönlich nicht damit einverstanden, dass Twitter und Xing Seiten vorhalten, über die man wie beschrieben Nutzerdaten rückverfolgen kann. Aber vor allem halte ich es für einen gesellschaftlichen Skandal, dass all diese Nutzerdaten überhaupt abgehört, aufbewahrt und verwertet werden.

Wir brauchen einen digitalen Umweltschutz

Schuld an diesem Bruch des offenbar nur sprachlich zum Fernmeldegeheimnis modernisierten Grundrechts sind in dem Fall, den der NDR aufgedeckt hat, offenbar kleine Erweiterungen im Webbrowser. Diese sogenannten Add-ons wie "Web of Trust" versprechen dem Nutzer zum Beispiel, Werbung auszublenden oder Surfen im Netz sicher zu machen. In Wahrheit haben sie direkten Zugriff auf alle Tätigkeiten, die ein Nutzer im Browser vornimmt. Wie sogenannte Keylogger, ein Überwachungsinstrument, können sie alles mitschreiben, was der Nutzer im Browser macht. Und manche Add-ons machen auch gar kein Geheimnis daraus, dass sie diese Daten verkaufen. Denn die Profile, die man daraus erstellen kann, sind hochattraktiv - vor allem für die Werbeindustrie.

Ich lösche also alle meine Browser Add-ons, ich werde in Zukunft so oft es geht verschlüsselt mailen, ich werde unterschiedliche Browser nutzen, um zum Beispiel mein Bankkonto nicht mit der gleichen Software zu bedienen wie meine Social-Media-Accounts - und ich werde versuchen, wachsamer zu sein. Ob das reicht?

An dem Tag, an dem die Reporterin vom NDR in die Redaktion der SZ kam, um mir meine Daten zu zeigen, war übrigens Edward Snowden in der Redaktion zugeschaltet. Während ich in meinem Büro Webseite für Webseite verfolgte, was ich im August im Netz getan hatte, sprach Snowden einige Stockwerke höher über Überwachung und Maßnahmen dagegen: "Ich kann Tipps geben, wie ihr eure Kommunikation schützen könnt", sagte er, "aber das ist ein Kampf, den ihr so nicht gewinnen könnt. Ihr müsst ihn auf den Titelseiten führen."

Was er meint: Man kann etwas tun gegen das Datensammeln, aber wirksam wird es einzig auf der politischen Ebene. Dabei geht es um die Frage, wie die Gesellschaft zu einem digitalen Umweltschutz findet. Es ist an der Zeit, dass Politiker (deren Daten sich übrigens ebenfalls in den Datensätzen fanden, die die NDR-Reporter bekamen) die Bedeutung des Themas erkennen - und konsequent angehen. Hier braucht es dringend gesetzliche Vorgaben. Man muss klären, auf welcher Grundlage diese Daten gehandelt werden. Man muss überprüfen, wieso die Pseudonymisierung der Daten gebrochen werden konnte und natürlich muss man sich fragen, warum niemand die Software überprüft und sichert, mit der wir uns im Netz bewegen.

Als Einzelner kann und sollte man sich umweltbewusst verhalten, eine Energiewende hingegen ist nur politisch möglich. Für mich persönlich ist dafür jetzt gerade ein ganz guter Zeitpunkt, aber wie gesagt: Dieser Text handelt gar nicht von mir.

NDR Zapp berichtet an diesem Mittwoch um 23.20 Uhr über diesen Fall.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: