Wie privat ist Surfen im privaten Modus wirklich? Die Frage beschäftigt nun auch ein Bundesgericht im kalifornischen San Jose. Dort haben drei Privatpersonen über die Kanzlei Boies Schiller Flexner Sammelklage gegen den US-Konzern Google eingereicht. Die fordert pro Kläger 5000 Dollar, insgesamt könnte es um fünf Milliarden Dollar gehen. Der Vorwurf: Google habe Nutzer unrechtmäßig ausgespäht - während die darauf vertrauten, im sogenannten Inkognito-Modus gut vor Überwachung geschützt zu sein.
Im Inkognito-Modus können Nutzer von Googles Browser Chrome nach Angaben das Unternehmens "privat" surfen. Wer das Inkognito-Fenster öffnet, könne sicher sein, dass sein "Browserverlauf, Cookies oder Websitedaten oder in Formulare eingetragene Informationen" nicht gespeichert werden, heißt es im Web-Support des Browsers. Die Kläger behaupten, Google versuche bewusst, seine Nutzer in die Irre zu führen. Das Unternehmen würde auch in dieser Einstellung Suchverläufe und andere Informationen mitverfolgen, anhand derer sich Menschen identifizieren ließen. Die Kläger sehen darin eine gezielte Verletzung der Privatsphäre.
Missverständnis statt Irreführung
Thorsten Strufe, Professor für IT-Sicherheit am Karlsruher Institut für Technologie, bezweifelt, dass es sich bei Googles Darstellung um strategische Irreführung handelt. Seiner Meinung nach ist der Grund für das Problem ein Missverständnis: Die Formulierung "Inkognito-Modus" oder "privates Surfen" werde von vielen Usern so ausgelegt, dass ihre Online-Aktivitäten weder beobachtet noch gespeichert oder weiterverarbeitet würden. Ein Trugschluss, für den Google selbst keine Verantwortung tragen will. Ein Sprecher des Unternehmens erklärt, der Browser weise bei jedem Öffnen eines Inkognito-Fensters darauf hin, dass Klicks und andere Eingaben zwar nicht im eigenen Browser gespeichert würden, Webseiten aber dennoch Daten erfassen könnten.
Zum Teil stimmt die Annahme der Nutzer: Wer "privat" surft, hinterlässt - im Browser und auf dem eigenen Gerät - keine Spuren. Im Inkognito-Modus werden Cookies und andere Aktivitätsprotokolle auf dem Gerät des Nutzers gelöscht, sobald die Browser-Sitzung beendet wird. Das kann ein Vorteil sein, wenn sich mehrere Personen in einem Haushalt oder am Arbeitsplatz einen Computer teilen und sie sensible Recherchen wie etwa über Krankheitssymptome lieber für sich behalten wollen. Oder für Menschen, die online ein Geschenk für den Partner kaufen, und nicht möchten, dass der beim nächsten Einloggen auf ähnliche Angebote aufmerksam gemacht wird. Schließlich merkt sich Werbetracking-Software, welche Produkte von einem Anschluss aus gesucht oder gekauft wurden und bietet dann immer wieder ähnliche Produkte an.
Inkognito, aber nicht unbeobachtet
Doch auch im Inkognito-Modus fließt immer noch eine Menge Daten. "Websites setzen natürlich ganz normal Cookies, haben Zugriff auf Session- und Local Storage und können Browser Fingerprinting oder die IP-Adresse der Nutzerin zur Identifikation benutzen", sagt der Hamburgische Beauftragte für Datenschutz, Johannes Caspar. Tracking-Instrumente wie Google Analytics oder Google Ad Manager erfassen zudem Webseiten-übergreifend Daten zum Online-Verhalten einzelner Personen, unter anderem, um ihnen dann gezielt Werbung anzuzeigen. Mit anderen Worten: Google weiß, wo der Nutzer im Netz war, wie lange er sich dort aufgehalten hat, was ihn interessiert und in vielen Fällen auch, wer er ist. Die Kombination aus unterschiedlichen Bewegungsdaten, die online über ihn erfasst werden, ermöglicht eine solche Identifikation sogar, wenn keine konkrete IP-Adresse von der Person erfasst wird. Das haben Thorsten Strufe und sein Forschungsteam am KIT erst kürzlich in einer Studie ermittelt. Viele Webseiten arbeiten mit einem sogenannten Generalisierungsverfahren, bei dem einzelne identifizierbare Daten, wie etwa die IP-Adresse, abgeändert werden. Das soll einerseits Analysen ermöglichen, andererseits Einzelpersonen anonymisieren. Durch die vielen Zusatzinformationen wie jene, die Trackingdienste erfassen, ist dieser Mechanismus aber leicht zu umgehen, Nutzer werden wieder identifizierbar.
Eine Frage der Transparenz
Das eigentliche Problem sehen Strufe und sein Kollege Jörn Müller-Quade nicht darin, dass Google Nutzer mit dem Inkognito-Modus täuschen könnte, sondern darin, dass es generell an Transparenz mangelt. "Ob die da Cookies benutzen oder nicht ist ein technisches Detail, aber nicht das, was mich interessiert. Mich interessiert, wofür meine Daten genutzt werden", sagt Müller-Quade, Leiter der Arbeitsgruppe Kryptographie und Sicherheit am KIT.
Denn die Datenschutz-Grundverordnung (DSGVO) der EU verpflichtet zur sogenannten Zweckbindung und zur informierten Zustimmung. Personenbezogene Daten dürfen demnach nicht wahllos erhoben und verarbeitet werden. Menschen müssen im Vorfeld darüber informiert werden, welchem Zweck die Daten dienen sollen (zum Beispiel nur der Analyse von Besuchen einer Webseite oder für zielgerichtete Werbung). Gerade die großen internationalen Konzerne böten keine ausreichende Transparenz in dieser Frage, sagt Müller-Quade. Dadurch sei die geforderte "informierte Zustimmung" gar nicht möglich.
Wer Wert darauf legt, in seinen Online-Aktivitäten tatsächlich weitgehend unerkannt zu bleiben, dem empfiehlt Thorsten Strufe den Tor-Browser, der keine eindeutig zuordenbaren Nutzerdaten an Trackingdienste oder Server besuchter Webseiten schickt. In gängigeren Browsern wie Firefox oder Opera sollte man die Browser-Standardeinstellungen beibehalten. So lässt sich verhindern, dass dort vorgenommene Veränderungen etwa durch Programminstallationen oder individuelle Anpassungen des Designs Rückschlüsse auf den Nutzer ermöglichen. In Kombination mit speziellen Datenschutz-Add-Ons (wie anonymoX) sowie regelmäßigem Löschen der Cookies kann das helfen, anonym zu bleiben.