Datenschutzbeauftragter in Sorge über Begehrlichkeiten nach Suchanfragen

Das US-Justizministerium hat nach Ansicht des Bundesdatenschutzbeauftragten Peter Schaar mit seinem Auskunftsersuchen nach umfangreichen Protokolldaten zu Suchanfragen von Anbietern wie Google oder Yahoo eine sehr problematischen Präzedenzfall geschaffen. Mit der Herausgabe der begehrten Informationen würden erstmals sehr persönliche und sensible Datenprofile in die Hände der US-Behörden gelangen.

Als besonders prekär erachtet es Schaar in diesem Zusammenhang, dass immer weitere Bereich des elektronischen Lebens der Bürger von Wirtschaftsanbietern erfasst und die dabei entstehenden Datenschatten damit letztlich immer wieder auch vom Staat angefordert werden. Er kritisiert daher erneut den Beschluss des EU-Parlaments zur Vorratsdatenspeicherung, da diese gerade die Verknüpfung von IP-Adressen mit Nutzeridentitäten bezwecke und mit diesem Instrument auch Suchanfragen einzelnen Personen leichter zugeordnet werden könnten.

Schaar sieht mit dem Fall auch die Notwendigkeit gegeben, neu über die Rückverfolgbarkeit und Überwachbarkeit in der digitalen Welt zu diskutieren. Über die konkreten Auswirkungen des Vorstoßes der US-Justiz sprach c't mit dem Datenschützer.

c't: Google soll auf Geheiß des US-Justizministeriums erstmals umfangreiche, über bis zu zwei Wochen zurückreichende Suchanfragenhistorien für Strafverfolgungszwecke herausrücken. Um was genau geht es in diesem Fall?

Peter Schaar: Im Rahmen des US-amerikanischen Jugendschutzrechts wird seit längerem darüber diskutiert, inwieweit Heranwachsende Zugang zu verbotenen Materialien bekommen und wie man das verhindern kann. Das US-Justizministerium hat Suchmaschinenbetreiber aufgefordert, die Suchanfragen für einen mehrere Wochen umfassenden Zeitraum generell zu übermitteln. Dieses Ersuchen ist derzeit Gegenstand einer gerichtlichen Überprüfung. Die Suchanfragen werden bei Google und anderen Suchmaschinen offensichtlich gespeichert. Ich gehe auch davon aus, dass die IP-Adressen, von denen aus diese Anfragen ausgelöst werden, sowie die angesprochenen URLs registriert werden. Das bedeutet, dass die Suchanfragen letztlich auf einzelne Nutzer zurückführbar sind und in die Verfügungsgewalt von Justizbehörden gelangen können. Ich halte dies für sehr problematisch. Es bedeutet, dass die Betroffenen auf ihre Suchstrategien und ihre Interessensgebiete hin überwachbar werden.

c't: Inwieweit geraten auch deutsche Nutzer mit hinein ins Visier der US-amerikanischen Strafverfolgungsbehörden?

Schaar: Ich gehe davon aus, dass es nicht nur um amerikanische Nutzer geht, sondern um alle Suchanfragen, die über Google und andere in den USA beheimatete Suchmaschinen abgewickelt werden. Das bedeutet, dass die weltweit erfolgenden Suchanfragen Gegenstand solcher Untersuchungen werden, natürlich auch die deutschen. Sie haben heute vermutlich schon genauso gegoogelt wie ich – das ist im Zweifelsfall schon interessant, welche Informationen man da gewinnen kann, und zwar sowohl in Bezug auf die Suchresultate als auch über Interessen und Suchstrategien der Nutzer.

c't: Google ist in letzter Zeit in die Kritik geraten, weil die Kalifornier sehr viele Daten von den Nutzern über eine lange Zeit hinweg speichern. Verschärfen derlei Praktiken die Situation oder handelt es sich um ein Problem aller Suchmaschinen?

Schaar: Es wird darüber berichtet, dass einzelne Suchmaschinenanbieter der Behördenanfrage schon nachgekommen sind. Die Rede ist beispielsweise von Yahoo. Ich gehe davon aus, dass die meisten Suchmaschinenbetreiber Zugriffsprotokolle führen, die letztlich diese Auskunftserteilung ermöglichen. Da werden auch die IP-Adresse des suchenden Rechners und der Inhalt der Suchanfrage protokolliert.

c't: Sind das schon personenbezogene und damit besonders schützenswerte Daten beziehungsweise was lässt sich daraus alles ablesen?

Schaar: Man muss zum einen fragen: Was sind die Inhalte, die dort offenbart werden? Das zweite ist die Frage, inwieweit die Daten einzelnen Personen zugeordnet werden können. In den Suchanfragen wird normalerweise nicht direkt der Name des Nutzers gespeichert. Im Hinblick auf den Umfang der Informationen muss man sich bewusst machen, dass jeder eingegebene Suchbegriff Bestandteil der URL der Suchanfrage ist. Das verrät sehr viele Erkenntnisse über das Interessensprofil des Nutzers. Es beschränkt sich nicht nur auf Kinderpornographie oder sonstige Gebiete, die als illegal zu bezeichnen sind. Letztlich sind gerade bei solchen generellen Protokolldaten, wie sie bei den Suchmaschinenbetreibern geführt werden, auch zum Beispiel politische, literarische, sexuelle, religiöse oder kommerzielle Interessen nachvollziehbar. Etwa ob und mit welchem Kontext nach bestimmten Personen gesucht worden ist.

c't: Dazu kommen die gespeicherten IP-Adressen.

Schaar: Die IP-Adressen sind nur dann auf den Einzelnen zurückzuführen, wenn der Internetzugangsanbieter persönliche Informationen dazu vorhält. Es besteht beispielsweise in Verbindung mit Flatrates gar nicht die Notwendigkeit, die dynamisch vergebene IP-Adresse auf Dauer aufzubewahren. Insofern stellt sich die Frage, wie lange die Zuordnung von IP-Adresse und Nutzer möglich ist. In diesem Zusammenhang muss man aber auch berücksichtigen, dass vom Europa-Parlament die Einführung einer generellen und verdachtsunabhängigen Vorratsdatenspeicherung beschlossen wurde. Diese beinhaltet auch die Zuordnung von IP-Adressen zu bestimmten Nutzern. Im Bundestag wird momentan noch darüber debattiert, inwieweit die bisherige Empfehlung aufrecht erhalten werden soll, wonach eine solche generelle Vorratsdatenspeicherung abzulehnen ist. Mitte der Woche wurde das Thema im Europa-Ausschuss angesprochen und es wird auch in den nächsten Wochen weiterhin Gegenstand von Beratungen im Bundestag sein. Dabei geht es darum, ob die Bundesregierung im Ministerrat der Richtlinie zustimmen soll.

c't: Der Trend geht aber dazu, gewaltige Datenlager zu schaffen, auf welche die Sicherheitsbehörden dann immer wieder erweiterte Zugriffsrechte fordern und in der Regel auch erhalten.

Schaar: Das ist das, was mich so beunruhigt. Es wird ja immer gesagt, die bei der Vorratsdatenspeicherung vorgehaltenen Verkehrsdaten würden keinerlei Rückschlüsse auf den Inhalt der Internetnutzung oder der sonstigen Kommunikation zulassen. Diese These lässt sich schon bei der herkömmlichen Telekommunikation hinterfragen. Wenn ich also beispielsweise bei einer Suchtberatungsstelle anrufe, so ist dies ein Hinweis darauf, dass ich gegebenenfalls ein Suchtproblem habe. Beim Internet ist es noch viel schwieriger, zwischen dem reinen Verkehrsdatum und dem Inhalt zu trennen. Gerade die Suchanfragen machen ja deutlich, dass die Nutzungsdaten kombiniert mit der Identifikation über die IP-Adressenspeicherung zu sehr weitgehenden Profilen des Einzelnen zusammengestellt werden können. Die Speicherung von URLs ist zwar nicht Gegenstand der EU-Richtlinie zur Vorratsdatenspeicherung, aber es ist durchaus Praxis vieler Inhalte- und Service-Anbieter, dass die Adresse mitgeloggt wird.

c't: Dazu kommt, dass die erweiterten Webdienste von Suchmaschinenanbietern personalisiert sind und ein spezielles Einloggen erfordern. Für das Management dieser Dienste werden in der Regel Cookies mit langer Speicherdauer verwendet, die gleichzeitig dann auch zur Personalisierung von Informationen zu den eigentlichen Suchmaschinenanfragen dienen können.

Schaar: Cookies erleichtern es, die verschiedenen, zeitlich auseinander liegenden Suchvorgänge und Nutzungen weiterer Dienste zusammenzuführen und mit dem einzelnen Nutzer zu verbinden. Damit wird das Problem zusätzlich verschärft. Ich empfehle ganz generell, die Geltungsdauer von Cookies zu begrenzen. Man sollte sie entweder als reine Session-Cookies definieren oder zumindest täglich einmal löschen. In vielen Browsern lässt sich das inzwischen einstellen und automatisch erledigen.

c't: Gibt es zu dem Begehr der US-Regierung bereits vergleichbare Anfragen in Europa oder handelt es sich um einen Präzedenzfall?

Schaar: Ein solches generelles Auskunftsersuchen über sämtliche Suchanfragen ist mir bisher nicht bekannt geworden aus Europa. Es gibt aber in der Tat viele Fälle, in denen Zugriffsprotokolle beschlagnahmt worden sind. Häufig ging es dabei um Ermittlungen bei Internetdelikten. Klar ist, dass diese Protokolle umso interessanter werden für die Strafverfolgungsbehörden und gegebenenfalls auch andere Behörden, wenn mit Hilfe der Vorratsdatenspeicherung gesichert ist, dass die Informationen auf den einzelnen Nutzer zurückgeführt werden können. Im Unterschied zu den Verkehrsdaten, die von Telekommunikationsanbietern gespeichert werden, ist es durchaus fraglich, ob die von einem Inhalteanbieter gespeicherten Daten überhaupt vom Fernmeldegeheimnis geschützt sind.

c't: Von der Geburt des Überwachungsstaates aus der digitalen Technik ist seit langem die Rede. Fügt der Fall mit den Suchmaschinendaten den Befürchtungen der Datenschützer eine neue plastische Dimension hinzu?

Schaar: Ich hoffe, dass den Bürgern damit klar wird, wie wichtig der Datenschutz in der digitalen Welt ist. Aus meiner Sicht handelt es sich um ein alarmierendes Signal, dass die umfangreichen Nutzungsstatistiken, die geführt werden, gerade bei einem Weltmarktführer wie Google, Gegenstand von solchen doch sehr allgemeinen Auskunftsersuchen werden. Ich denke, da müssen sich die Internetgemeinde und die Gesellschaft insgesamt darüber klar werden, inwieweit eine solche Nachvollziehbarkeit des elektronischen Verhaltens, das ja auch immer weitere Lebensvorgänge umfasst, erstrebenswert ist und wie weit die Überwachung gehen soll. (jk)