Datenschutz bei sozialen Netzwerken mangelhaft
Die Stiftung Warentest hat bei ihrer bislang größten Untersuchung zum Datenschutz Facebook, Myspace & Co. ein schlechtes Zeugnis ausgestellt. Acht von zehn der geprüften Gemeinschaften zeigten große Mängel bei der Datensicherheit.
Die Stiftung Warentest hat bei ihrer bislang größten Untersuchung zum Datenschutz Facebook, Myspace & Co. ein schlechtes Zeugnis ausgestellt. Acht von zehn der geprüften sozialen Netzwerken zeigten "deutliche" oder "erhebliche" Mängel bei der Datensicherheit oder dem Schutz der Privatsphäre der Nutzer. Vor allem bei den analysierten Online-Gemeinschaften mit Sitz in den USA bleibe der europäische Ansatz des informationellen Selbstbestimmungsrechts "auf der Strecke", monierte Hubertus Primus, Bereichsleiter Publikationen der Institution. So setze das US-Netzwerk LinkedIn etwa ein 68 Jahre gültiges Browser-Cookie. Außerdem informiere es nicht über die Speicherdauer von IP-Adressen. Für Primus ist damit klar: "Das ist schlicht Vorratsdatenspeicherung."
Für die Analyse, die in der April-Ausgabe der Zeitschrift "test" erscheint, haben die Prüfer zehn Netzwerke ausgewählt. Darunter waren zunächst alle deutschsprachigen Plattformen mit mehr als 100.000 Nutzern pro Tag. Dazu gehören Schüler- und StudiVZ aus dem Holtzbrinck-Verlag, Lokalisten, wer-kennt-wen und Jappy. Dazu kamen die US-Netzwerke Facebook und MySpace sowie das Business-Netzwerk Xing und sein US-Pendant LinkedIn.
Die Ergebnisse der Tests bezeichnete Primus als "sehr durchwachsen". Besonders der Stand der Datensicherheit sei "schlecht". So hätten nur sechs der Probanden eine Einwilligung für einen "Hackerangriff mit Erlaubnis" gegeben. Alle US-Netzwerke sowie Xing hätten ihre Zustimmung verweigert, was zur Abwertung dieser Portale wegen "fehlender Transparenz" geführt habe. Von den bereitwilligen Seiten hätten Jappy, wer-kennt-wen und Stayfriends ein "mangelhaft" in diesem Punkt kassiert. Bei den VZ-Netzen und den Lokalisten habe es gerade mal für ein "ausreichend" gereicht. Als besondere Datenschutzlücke bemängelte Primus, dass beim mobilen Einloggen Nutzername und Passwort unverschlüsselt übertragen würden. Hier müssten die Anbieter "dringend" nachbessern.
Mit besseren Beurteilungen konnten vor allem die VZ-Portale und Jappy mit "sehr gut" und Xing mit "gut" bei der Beachtung von Verfügungs- und Nutzerrechten punkten. Hier wurde etwa gemessen, ob der Anwender Eigentümer seiner Daten bleibt, ob Verwertungsrechte an Anbieter übergehen und wie die Persönlichkeitsrechte gewahrt werden. Das Abschneiden erklärte Primus auch mit der Abmahnaktion des Bundesverbands der Verbraucherzentalen (vzbv) im vergangenen Jahr. "Mangelhaft" erhielten an dieser Stelle Facebook und MySpace. Dort bestehe ähnlich wie bei LinkedIn ein "grundsätzlich anderes Verständnis von Datenschutz" als auf dem alten Kontinent, kritisierte Primus. Es gelte der Deal: "Wir stellen Euch das Netzwerk zur Verfügung, ihr gebt uns dafür eure Daten, die wir zu Geld machen". Wenn dabei Informationen der Nutzer auch an Dritte im außereuropäischen Ausland weitergeben würden, sei damit "dem Missbrauch Tür und Tor geöffnet". Dies sei etwa bei Facebook bei beliebten Spielen wie Farmville oder Mafia Wars der Fall. Darüber hinaus behalte sich der US-Anbieter die geistigen Eigentumsrechte an allen Beiträgen und Inhalten der Nutzer vor.
Das konkrete Testvorgehen erläuterte Untersuchungsleiter Holger Brackemann. Demnach agierten die Prüfer mit "verdeckten Mitgliedschaften" und heuerten ein externes Institut für die "Hackerangriffe" an. Trotz der Affäre um die leichte Auslesbarkeit von Nutzerdaten bei SchülerVZ hätten sich dabei auch dort noch Schwachstellen etwa bei der mobilen Nutzung gefunden. Bei Jappy habe sich auch die verschlüsselte Nutzung der konventionellen Website als unsicher herausgestellt. So sei ein Auto-Log-in mit unzureichender Verschlüsselung angeboten worden. Der Server habe dabei die Anmeldeversuche nicht begrenzt, sodass das Verfahren für einen "Brute Force"-Angriff und das maschinelle Ausprobieren von Log-in-Daten anfällig gewesen sei. Diese Schwachstelle habe der Betreiber nach der Information durch Stiftung Warentest inzwischen behoben. Aber auch bei StayFriends, wer-kennt-wen und Lokalisten habe es Probleme mit dem Passwortschutz gegeben.
Die Voreinstellung zum Datenschutz bezeichnete Brackemann vor allem bei Facebook als mangelhaft. Das Portal habe hier "eine 180-Grad-Wende zum Negativen hingelegt" und mache persönliche Informationen zunächst für alle zugänglich. Der Nutzer müsse dies erst über ein schwer auffind- und bedienbares Menü nachträglich ändern. Auch den Ansprüchen zur Achtung von Persönlichkeitsrechte sei kein Netzwerk bei drei untersuchten Fällen gerecht geworden. So sei auf eine eingespielte Statusnachricht mit Mobbing-Charakter und eine Protestmeldung des betroffenen Nutzers nicht angemessen reagiert worden. Zudem hätten die drei US-Netzwerke auf eine Bitte zur Auskunft über die gespeicherten Nutzerdaten "fast komplett versagt".
Insgesamt seien die Portale "nicht kostenlos", betonte Brackemann. So würden die personenbezogenen Angaben zumindest für die Schaltung verhaltensbasierter Werbung verwendet. Neun der Communities seien in diesem Feld aktiv. Nur fünf davon erlaubten dem Betroffenen aber, diese Funktion abzuschalten. Allein SchülerVZ verzichte ganz auf diesen Ansatz. Generell müssten die Anbieter ihre Maßnahmen zum Datenschutz und zur Sicherstellung von Transparenz deutlich verbessern. Auch "der Vollzug der Datenschutzgesetze" müsse verstärkt werden. Auch der Nutzer trage eine Eigenverantwortung und müsse sich etwa bewusst machen, dass einmal freigegebene Daten praktisch nicht mehr gelöscht werden könnten. Selbst wen man sein Profil abstelle, lebten die gemachten Angaben "in Kommentaren, Foren oder Suchmaschinen weiter". Es sei daher ratsam, Privates und Berufliches zu trennen und Pseudonyme einzusetzen.
Primus appellierte zudem an die Politik, dem vzbv die Möglichkeit einzuräumen, per Verbandsklage gegen ausgemachte Missstände vorzugehen. Dafür müsse der Datenschutz als Verbraucherschutzrecht ins Unterlassungsklagegesetz aufgenommen werden. Zugleich schloss er nicht aus, dass die Warentester selbst künftig für die externe Kommunikation bei sozialen Netzwerken aktiv würden. Man sei nicht "prinzipiell" gegen die Plattformen, aber "gegen die gegenwärtigen Rahmenbedingungen". Diese seien "mit überschaubaren Mitteln" zu verbessern. (jo)