Home / How-To / Sicherheit
How-To

Nutzerdaten: Das 70-Milliarden-Dollar-Fallobst

Sie glauben, Sie können im Internet unterwegs sein, ohne etwas von sich preiszugeben - weil Sie bei keinem der gängigen Netzwerke wie Facebook, Twitter und Google angemeldet sind? Sie irren sich!
Ulrich Kühn
Von Ulrich Kühn
PC-WELT
Eine Halle in Facebooks Serverpark: Hier könnten auch Ihre Daten liegen
Image: Mark Zuckerberg/Facebook

In dem kürzlich erschienenen, sehr lesenswerten Buch „ Chaos Monkeys “ beschreibt Antonio Martínez seine Erfahrungen als Unternehmensgründer und leitender Mitarbeiter im Zusammenhang mit dem Werbegeschäft von Silicon-Valley-Größen wie Twitter, Google und Facebook.

Online-Werbung erklärt er darin wie folgt: Geld wird zu Bytes und Pixeln in Form von Anzeigen, die ein Fünkchen Aufmerksamkeit in den Köpfen der Nutzer erzeugen, und diese verwandelt sich, vermittelt durch eine Reihe weiterer Klicks und Bytes, zurück zu Geld. Entscheidend dabei ist, dass der zweite Geldbetrag relevant höher ausfällt als der erste.

In Anbetracht dieser simplen Zusammenhänge stellt sich die Frage, wie ein Konzept, das kaum schwerer zu verstehen ist als das Feilbieten von Fallobst am Straßenrand einem Unternehmen wie Google jährlich nahezu 70 Milliarden Dollar in die Kassen spülen kann.

Die Antwort zu dieser Frage und der Schlüssel zum Erfolg all der Unternehmen, die ihre Dienste den Nutzern kostenlos anbieten und dafür fleißig deren Daten sammeln, ist genau dies: Es sind die Daten der Nutzer.

Hierbei lohnt es sich, genauer hinzusehen.

Welche Daten sind es, die die Unternehmen interessieren?

Welche davon sind bedenklich, welche harmlos?

Gibt es überhaupt harmlose Daten?

Dürfen die Unternehmen das eigentlich?

Und nicht zuletzt: Was kann ich selbst dagegen tun?

Googeln ist für die meisten ein alltäglicher Vorgang – so alltäglich und vertraut, dass kaum einer Gedanken darauf verwendet, was dabei genau passiert und auf welcher Grundlage die angezeigten Suchergebnisse ermittelt werden. Viele gehen wie selbstverständlich davon aus, dass die Ergebnisliste eine Art objektive, neutrale Sicht auf die im Internet verfügbaren Inhalte darstellt, angereichert mit ein paar meist wenig hilfreichen Werbeanzeigen.

Doch dies ist nicht der Fall.

Google steckt viel Energie in die algorithmische Anpassung der Suchergebnisse auf Grundlage der verfügbaren Daten über den Suchenden. „Relevantere Ergebnisse und Empfehlungen“ nennt sich dies in Google-Sprech, und es ist ein Segen für Nutzer wie Unternehmen zugleich. Der Google-Nutzer findet so hoffentlich schneller zum gesuchten Internetangebot (wer geht schon auf die zweite Google-Seite?), und Google ist und bleibt für die überwiegende Mehrheit die Suchmaschine der Wahl (mit einem Marktanteil von über 90 Prozent in Deutschland).

Doch es bedeutet, Daten über den Nutzer zu sammeln, und zwar möglichst viele und über einen möglichst langen Zeitraum. Dass dies für registrierte und angemeldete Nutzer von Gmail oder Google+ wunderbar funktioniert, leuchtet unmittelbar ein. Schließlich kennt Google diese Personen mit all den Informationen, die sie freiwillig bereitstellen oder die sie mithilfe der Google-Dienste verarbeiten.

Im Moment stehen unsere Daten und unsere Kommunikation bei den Unternehmen vor allem für die Verbesserung von Algorithmen der Künstlichen Intelligenz hoch im Kurs. Wer bei dieser künftig die Nase vorn hat, wird der Platzhirsch bleiben – oder werden.

Kein Wunder, dass Google bei seiner neuen Chat-App „Allo“ die Ende-zu-Ende-Verschlüsselung nicht mehr wie ursprünglich angekündigt als Standard, sondern sie nur noch optional auf expliziten Nutzerwunsch anbietet (und ihren Anteil damit vermutlich auf einen sehr niedrigen Prozent- oder gar Promillebereich drückt). Denn aus wirksam verschlüsselten Daten kann selbst ein Technologie-Gigant wie Google nur noch wenige Schlüsse ziehen.

Gleiches gilt für Facebook, Xing, Twitter, Apple, Whatsapp und vergleichbare Anbieter. Sie kennen uns häufig seit langer Zeit und besser als selbst nahestehende Mitmenschen (laut einer Studie genügen nicht einmal zehn Facebook-Likes, damit dieses Netzwerk eine bessere psychologische Einschätzung über uns bekommt als der durchschnittliche Arbeitskollege; nach knapp 300 Likes kann Facebook es sogar mit dem Einfühlungsvermögen des Ehepartners aufnehmen .

Dies ist einerseits erschreckend, sollte aber andererseits heutzutage niemanden mehr ernsthaft verwundern. Wir zahlen einen Preis dafür, dass man uns mit Diensten wie Facebook beschenkt. Ob der Preis zu hoch ist, muss jeder für sich entscheiden.

Auch über all die unzähligen Smartphone-Nutzer lassen sich Daten problemlos sammeln . Dafür sorgen die einheitlichen Ökosystene der jeweiligen Plattformen mit ihren Play- und App-Stores, ihren Geräte- und Werbe-IDs und ihrem reichen Schatz an Profilinformationen sowie Realweltverbindungen des Nutzers in Form von Adressbüchern und Anruflisten.

Doch was passiert, wenn ich ein anonymer, unbekannter, (aktuell) nicht angemeldeter Internetsurfer bin – nur irgendein unbeschriebenes Blatt unter Millionen anderen? Dann, so sollte man annehmen, handelt der Anbieter eines Internetdienstes notgedrungen blind und neutral.

Kaum eine Illusion könnte größer sein. Unter der Überschrift „Daten, die wir aufgrund Ihrer Nutzung unserer Dienste erhalten“ teilt Google in seiner Datenschutzerklärung u.a mit: „Wir erfassen Informationen über die von Ihnen genutzten Dienste und die Art Ihrer Nutzung beispielsweise dann, wenn Sie sich ein Video auf Youtube ansehen, eine Website besuchen, auf der unsere Werbedienste verwendet werden, oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.“ Anschließend werden u.a. diese Daten genannt, die in diesem Zusammenhang gemeint sind:

  • Das Modell der verwendeten Hardware, die Version des Betriebssystems, die IP-Adresse, eindeutige Gerätekennungen und Applikationsnummern.
  • Einzelheiten zu der Art und Weise, wie die Dienste (beispielsweise durch Suchanfragen) genutzt wurden.
  • Cookies, über die der Browser eindeutig identifiziert werden kann.
  • Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit der Anfragen und Referral-URL.
  • Informationen über das Mobilfunknetz einschließlich der Telefonnummer.
  • Telefonieprotokoll-Informationen wie Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
  • Standort mittels GPS oder Informationen über nahe gelegene Geräte, WLAN-Zugangspunkte oder Mobilfunkmasten
  • Vom Nutzer angescrollte Bereiche, Mausbewegungen des Nutzers und Interaktion mit Anzeigen

Wer den Eindruck hat, dies wäre invasiv, liegt gewiss nicht falsch. Doch es geht noch invasiver.

Mittlerweile existieren Techniken, mit denen Anbieter nahezu jeden Browser eindeutig wiedererkennen können – und damit ist nicht der einzelne Browsertyp gemeint, Firefox, Chrome oder Edge, sondern jede einzelne Softwareinstallation auf einem bestimmten Laptop, Tablet oder Smartphone. Und das alles ohne Cookies, denen viele Nutzer mittlerweile skeptisch gegenüberstehen und in ihren Browsereinstellungen Fesseln anlegen.

„Device Fingerprinting“ heißt diese Technik, und sie versucht, den Browsern sämtliche Informationen zu entlocken, derer sie habhaft werden kann. Kein Detail, so scheint es, ist unwichtig, und jedes kleine Stück trägt seinen Teil dazu bei, das Puzzle zu vervollständigen – sei es die Bildschirmgröße, die Liste der installierten Schriftarten oder bestimmte grafische Muster, die für den Nutzer unsichtbar hinterlegt werden.

Ziel ist es, den Nutzer wiederzuerkennen, wenn er das Angebot ein paar Tage später erneut besucht, und zwar möglichst sogar dann, wenn er dies mit einem anderen seiner Geräte tut. „Cross Device“ bzw. „Cross Screen“ nennt sich diese modernste Form des Online-Marketings, die nochmals höhere Konversionsraten (Käufe pro Besucher) verspricht, da sie den Nutzer erreicht, mit welchem seiner Geräte auch immer er aktiv ist.

Ist all das relevant für den Datenschutz? Allerdings!

Zwar werden die Erfinder und Betreiber solcher Techniken nicht müde, auf die angebliche Anonymität der von ihnen erstellten Profile zu verweisen. Doch wie kann ich anonym sein, wenn mir ein eindeutiges Kennzeichen wie ein unsichtbarer Schatten in alle Ecken des Internet folgt? Wer Geräte eindeutig identifizieren kann, hat wenigstens indirekt auch deren Nutzer aus der Masse der anderen Nutzer individualisiert und kann permanent Informationen über ihn verdichten, sogar ohne dass dieser es merkt oder auch nur erahnt.

Verschiedene europäische Datenschutzbehörden, darunter für Deutschland der Hamburgische Datenschutzbeauftragte , haben formale Verfahren gegen Google eingeleitet, nachdem das Unternehmen im Jahr 2012 erklärt hat, künftig über alle seine zahlreichen Dienste hinweg eine weitgehende Profilbildung aller Nutzer vorzunehmen, seien sie angemeldet oder nicht. Eine rechtliche Grundlage hierfür bestand nach Auffassung der Aufsichtsbehörden in großen Teilen nicht.

Nach einigem Zögern entschied Google sich zu einem deutlichen und in Anbetracht des 70-Milliarden-Dollar-Werts der Nutzerdaten kühnen Schritt: Es stellte all die kritisierten Datensammlungen unter den Vorbehalt der Einwilligung des Nutzers. Seitdem sehen wir beim googlen noch über dem ersten Suchergebnis Einwilligungshinweise und verfügen über erweiterte Steuerungsmöglichkeiten, mit denen der Nutzer den Umfang der Datensammlung in gewissem Umfang bestimmen und vorhandene Daten löschen lassen kann.

Das deutsche Verfahren ist noch nicht abgeschlossen, da Google bislang nicht belegen konnte, ob bzw. wie sich die eingebauten Steuerungsmöglichkeiten tatsächlich auf die gespeicherten Daten auswirken. Ein Schritt in die richtige Richtung ist es allemal, da es Bewusstsein für die Datenschutzaspekte weckt und dem Nutzer Kontrolle zurückgibt – nicht nur in Hinblick auf die Frage, ob für ihn eine andere Suchmaschine mit weniger Sammelleidenschaft für Nutzerdaten nicht die bessere Wahl wäre.

Ein bekannter Cartoon aus der Frühzeit des Internets zeigt einen Hund, der einen PC bedient und seinem Artgenossen erklärt: “Im Internet merkt niemand, dass du ein Hund bist” .

Diese Zeiten sind lange vorbei. Heute gilt: „Im Internet ist niemand ein unbeschriebenes Blatt“. Denn ob ich es will oder nicht, mit jedem Aufruf einer Internetseite, mit jedem meiner Klicks von hier nach dort sprudeln Daten über mich und mein Surfverhalten an Anbieter, Werbenetzwerke und Tracking-Dienste. Bei weitem nicht in allen Fällen geht es dabei datenschutzgerecht zu, und die Datenschutzaufsichtsbehörden sind schon aus Kapazitätsgründen nur in wenigen Fällen in der Lage, unzulässigem Treiben Einhalt zu gebieten.

Im Jahre 2016 würde sich der Bildschirm des Cartoon-Hundes über kurz oder lang mit Anzeigen für Hundefutter füllen. Wer weiß – einem surfenden Hund könnte das womöglich sogar gefallen.

vgwort

Ulrich Kühn ist der stellvertretende Hamburgische Datenschutzbeauftragte