Datenjagd
Im sozialen Web 2.0-Theater sind persönliche Daten vogelfrei
Im Gefolge von Blogosphäre, MySpace- und Flickr-Welten rückt ein so genannter Datenschutz 2.0 in den Fokus. Der hat die Eigenschaft, nicht erwünscht zu sein. Freie Dienste, Bloggen und multimedialer Gestaltungsfreiraum sind wichtiger, man will sie nicht missen und für Gedanken um Datenhascher, die im Verborgenen arbeiten, hat man allein schon mal gar keine Zeit - man stellt ja ständig irgendwas online. Aber man sollte in Ruhe einen Blick auf die Vorgänge unter der bunten Oberfläche werfen: Aus dem Sinn ist nicht aus dem Web.
Riesenpublikum für das Mitteilungsbedürfnis, neuer Raum zur Identitätsexpansion und nie gekannte Freiheit zum Sehen und Gesehenwerden - diese Entwicklung ist unumkehrbar und eine Umkehrung auch nicht erwünscht. Die berauschende Freiheit ist aber nur die halbe Wahrheit. Wenn die andere Seite auf Unangenehmste in Erscheinung tritt, ist das Geschrei plötzlich groß, wenn zum Beispiel sexuelle Belästigung Minderjähriger oder Kinderpornographie ins Spiel kommt. Dabei sind "die Bösen" nicht immer so eindeutig zu verorten, jeder kann von jedem Informationen sammeln und zu einem Profil zusammenstellen, auch in schlechter Absicht. Wenn man's erlebt, ist es schon zu spät.
Alle Informationen von sich, jedes Bild und jeder Text, alle Nutzerdaten, die man in irgendeine Onlinemaske eintippt, sind digitale Daten und werden irgendwo gespeichert. Wo, ist einem in der Regel egal, und wer diese Daten noch abrufen kann außer dem imaginierten Zielpublikum, liegt hinter dem Erfahrungshorizont.
Das gilt nicht nur für arglose Chat-Kids, die mit freiwillig preisgegebenen Fotos und Hobbys gleichaltrigen und erwachsenen Böswilligen eine Steilvorlage liefern. Der Horizont im Internet ist unmöglich zu überblicken. Man muss sich im Klaren sein, was man preisgibt, denn auch die Verwertbarkeit der Daten ist unbegrenzt. Im Falle freiwilliger Daten: Wer sagt, dass meine Texte und Bilder nur zu dem von mir gedachten Zweck abgerufen werden? Wer sagt überhaupt, dass diese Daten immer freiwillig kursieren? Im Falle der Registrierung: Wer liest schon einmal die Datenschutzbestimmungen oder hinterfragt sie gar? Aber ist das wirklich alles egal?
Denn sie wissen nicht, was sie tun
Bloggen ist Geschmackssache, Blogs lesen auch, es hat sein Für und Wider. Zweifellos eröffnet es detaillierte und bisweilen tiefe Einblicke. Gerade Jugendliche und junge Erwachsene sind sehr großzügig mit ihren Berichten aus Arbeitswelt, persönlichen Erlebnissen und Befindlichkeiten. So mancher Blog (Beispiele sind aus Respekt nicht verlinkt) lässt tief blicken in Unsicherheiten und Seelenzustände. Man könnte prima Psychogramme anfertigen oder es ließen sich - ungefragt - Fallstudien ganzer Typen und Berufe anfertigen. Das lesen nicht nur Freunde, und auch nicht nur die bekannten 'Feinde' aus dem näheren Umfeld, so es welche gibt.
Wer hier Paranoia wittert, sehe sich zunächst die Tatsachen an. Unsichtbare Leser kann man sich nicht vorstellen, ein Grund warum die Motivation, einfach nicht mehr zu rauchen, nicht effektiv ist, denn das ist ein negatives Bild - stattdessen bräuchte man ein bildhaftes Substitut (frische Luft einatmen). So kann man sich auch nicht vorstellen, wen man im Internet alles "nicht sieht" - wer aber trotzdem mitliest. Man hat auch keinen Überblick, was eigentlich alles von einem im Netz in Umlauf ist.
Diese Sensibilisierung war Motivation des Vortrags "Ego-Striptease: Ich zeig Dir, wer Du bist" auf dem 23c3 Ende Dezember 2006 (einen zur Not erträglichen wmv-Mitschnitt dieses Vortrags gibt es - natürlich - bei Google).
Auch ganz normales Surfen hinterlässt Spuren, und nicht bewusst dürfte im Allgemeinen sein, dass selbst verschlüsselte Datenübertragungen beim Surfen durch ihre Muster Auskunft über den Surfer geben (so genannte Traffic-Analyse). Inzwischen gibt es Angebote zum Beispiel der Firma Jaxtr, die Telefon- und Festnetztelefonate über das Internet durch einfaches Anklicken auf Portalen oder in E-Mails möglich machen und in Blogs, MySpace etc. integriert werden sollen. Solche kostenfreien VoIP-Dienste sollen mit Premiumdiensten finanziert werden - und mit Werbung. Die Finanzierung durch Werbung gilt für jeden kostenfreien Anbieter von Webspace, egal ob für Blogs, Bilder oder Mailaccounts. Und was braucht man für effektive Werbung? Nutzerprofile.
Datentotale
Beim Tracking King Google zum Beispiel sind alle dazu benötgten Daten gespeichert. Laut der Datenschutzerklärung (Privacy Policy) von Google werden Daten folgendermaßen gesammelt und verwendet:
Wir können die Daten, die Sie unter Ihrem Account angeben, mit Daten von anderen Google-Services oder anderen Unternehmen kombinieren, um unser Angebot für Sie und die Qualität unserer Services zu verbessern. Für bestimmte Dienste geben wir Ihnen die Möglichkeit, diese Kombination von Daten abzulehnen. ... Wir setzen Cookies ein, um die Qualität unseres Service durch Speichern von Benutzer-Präferenzen, die Verfolgung von Benutzer-Trends und die Suchmethodik der Benutzer zu speichern. ...
Wir bieten bestimmte Services in Verbindung mit anderen Websites an. Personenbezogene Daten, die Sie diesen Websites zur Verfügung stellen, können an Google gesendet werden, um den Service auszuführen. ...
Google kann Links in einem Format einrichten, das uns die Möglichkeit gibt, zu verfolgen, ob diese Links genutzt wurden. ... Wir können personenbezogene Daten verarbeiten, um unsere Dienste bereitzustellen, können jedoch solche Daten auch für Dritte und nach deren Anweisungen verarbeiten.
Woher kommen all diese Daten? Für jede Seite, die man besucht, werden auf dem Server, auf dem diese Seite liegt, in einem Logfile gespeichert, mit welcher IP-Adresse, mit welchem Browser und Betriebssystem die Seite angefordert wird, sowie der Name der angeforderten Website und die Uhrzeit. Wenn man auf einer Website Accountdaten eingibt, speichert diese ebenfalls der Server und beim Nutzer werden verschiedene Cookies gespeichert. Das sind kleine Datenpakete, die der Browser bei neuen Klick auf die Website an den Server sendet und die die gespeicherten Daten referenzieren. So wird zum Beispiel eine Session (alles zwischen Login und Logout) ermöglicht, bei der man mehrere Seiten anklickt oder sogar die Seite verläßt, und doch eingeloggt bleibt. Cookies werden auch benutzt, um personalisierte Angebote bereit zu stellen oder um möglichst individuelle Werbung zu präsentieren. Cookies werden dauerhaft gespeichert und ermöglichen Wiedererkennen.
Auch bei einem normalen Besuch einer Website werden Cookies gespeichert. Ein einfaches Aufrufen der Seite www.haus.de bringt Cookies ein mit den Namen "NGUserID", "POPUPCHECK", "hau_usr" und "otp_typ". So schnell wird man zum wiedererkennbaren User, da braucht man sich nicht erst anzumelden. Weitreichender sind aber die beiden Cookies, die nicht von der Seite www.haus.de gesetzt werden, sondern von folgender URL auf der gleichen Website.
Mediaplex und Doubleclick.net sind Firmen für Onlinewerbung. Während die vier Cookies von haus.de sich mit einer Laufzeit bis März 2007 bescheiden, sind diese Werbungscookies bis Juni 2009 gültig. Bis dahin wird jedes Mal, wenn diese Firmen mit einer Seite zusammenarbeiten, die ich besuche, Informationen über mein Surfverhalten gesammelt, ohne dass ich auf irgendwelche Banner klicke. Übrigens speichert die Seite www.tierschutz.de nur zwei Cookies auf dem Rechner, die enden, wenn ich die Seite verlasse. Bei Bild.de hingegen bekomme der Surfer satte 13 Cookies verpasst. Es kommt also auch darauf an, welche Seiten man besucht.
Bild.de läuft als Subdomain von t-online.de. T-Online wiederum hat ein Suchfeld von Google integriert. Irgendwann landet man immer wieder bei Google. Es liegt auf der Hand, dass ein so umfassendes Seitennetzwerk wie Google, das sich fast ausschließlich über Werbeeinnahmen finanziert, in Bezug auf Surfverhalten und Nutzerprofile ein Schlaraffenland darstellt.
Blogs mischen hierbei mit: Auch unabhängige Bloganbieter wie Blogger.de verkaufen ihren PageRank. Bei kulando.de wird Suchmaschinenoptimierung als Feature ausgewiesen, also mit seinem Blog bei Google gefunden zu werden. In einer Blogosphäre wie bei Blogger.de oder kulando.de kommt leicht Kuschelstimmung auf: Die Betreiber sind selbst Vollblutblogger auf ihren eigenen Plattformen, sind nicht kommerzorientiert, es wird sogar gespendet und von den Bloggern Geld gesammelt, um zum Beispiel für die Plattform einen neuen Server zu erwerben. Das verführt zu der Illusion von Privatsphäre. Aber die Blogosphäre ist keine Privatsphäre, sondern unbeschränkte Öffentlichkeit.
Google is watching you
Moralische Fragen sind gar nicht nötig (Is Google evil?), denn es geht um Fakten. In Amerika wurden im Dezember 2006 rund 47% der amerikanischen Suchanfragen bei Google gestellt, dahinter folgten Yahoo mit 28,5% und Microsoft mit 10,5%. Für deutsche Suchanfragen beobachtete das Webbarometer von WebHits.de in Frankfurt/M. Anfang Februar 2007 Google einen Anteil von 87% an 39.800 ausgewerteten Suchergebnissen, dahinter folgt wieder Yahoo mit 3,3% und Microsoft mit 2%. Das Archiv der Ur-Newsgroup Usenet beim Deja News Research Center mit über 500 Millionen Postings kaufte Google 2001, seitdem wird es unter dem Namen Groups.Google weiterführt. Google kaufte im Jahr 2002 den Bloganbieter Blogger.com aus San Francisco, damals schon mit Nutzerzahlen im sechsstelligen Bereich. Interessantes Potenzial gewann Google auch wieder im August 2006 durch den Kauf einer Firma, die auf automatische Gesichtserkennung in Bild und Film spezialisiert ist. Im November 2006 übernahm Google YouTube. Google hat die bekannte Bilder-Suche, aber auch eine Video-Suche und sogar eine Blog-Suche. Wer will es leugnen: Google is watching you, beziehungsweise: Google is watching your data.
Auch die zweitgrößte Suchmaschine und Internetplattform Yahoo! ist inzwischen auf den Web 2.0-Zug aufgesprungen. Im März 2005 kaufte es die persönliche Bilddatenbank Flickr.com, Ende 2005 übernahm es del.icio.us, wo Bookmarks der Öffentlichkeit zur Verfügung gestellt werden, und im Februar 2006 brachte es eine eigene Blogplattform an den Start. Interessant ist Yahoos neueste Anschaffung von Januar 2007: Die Blogger-Community MyBlogLog.com löst die Einbahnstraße auf, dass Blogleser und Websitebesucher sehr viel über die Leute wissen, deren Sites sie lesen, diese Leute aber wenig von ihnen wissen:
You probably know a ton about your favorite bloggers - what they think about the subjects they write about, maybe some of their work and life history... you may even know what toothpaste they use. But how much do you know about all the other people who read their blogs? And how much do they know about you?[...] Readers can become friends with other people who read your favorite blogs. See what else they're reading. Check out their MySpace and Friendster profiles and view their Flickr photostreams. Authors can learn more about their readers individually and as a group. What do they like and what are they ignoring? What are they reading elsewhere on the Web?
Das nur fünfköpfige Unternehmen aus Florida weist in seiner Datenschutzerklärung teils vage, teils aber mit einem anschaulichen Beispiel darauf hin, welche Daten es von den Nutzern speichert und wofür es die Cookies benutzt. Man mag sich aufgehoben fühlen. Mit der Übernahme durch Yahoo ist die Datenschutzerklärung von MyBlogLog aber außer kraft gesetzt und die von Yahoo gilt. In der Datenschutzerklärung von Yahoo heißt es ganz ähnlich wie bei Google, dass Nutzerdaten gesammelt und genutzt und an Partnerunternehmen weitergegeben werden, zum Beispiel um sinnvoll Werbung zu schalten. Die Abnehmer für Daten von MyBlogLog-Nutzern werden durch diese Übernahme mit einem Schlag zu einem Millionenpublikum.
Wie dicht diese Daten von vornherein gestrickt sind, zeigt ein Bericht von Simon Stich, Gründer und Mit-Autor des Multi-Autoren-Weblogs 1000ff - Neue Medienwill. Er schreibt:
Als Admin sieht man eine Vorschau auf aktuelle Besucher- und Page-View-Statistiken. Ein Klick auf eben diese führt zu einer Seite, auf der die Statistiken aufgeschlüsselt werden nach "Where Readers Came From", "What Readers Viewed" und "What Readers Clicked". Das ersetzt zwar nicht den "richtigen" Counter, bietet aber einen schönen Überblick über Besucherklickverhalten. Leider liefert der Free-Account keine tagesaktuellen Zahlen, die Statistiken sind mindestens von gestern. Pro-Account-Besitzer dürfen sich über in Echtzeit aktualisierte Daten freuen und bekommen die zusätzlichen Spalten "What My Members Clicked on Other Sites Today" und "My Members' Other Popular Communities" serviert.
Na und?
Man muss sich im Klaren darüber sein, dass Datenhandel existiert. Im kriminellen Extremfall sind das Kreditkartendaten oder gecrackte Mailaccounts, die ungeniert über die Mattscheibe rieseln. Im halblegalen Fall ist das der Adresshandel. Die umfassenden Einsatzbereiche in jeder beliebigen Datenschutzerklärung lassen ahnen, dass ziemlich viele Leute an die Daten herankommen können, die man bei Google, Yahoo & Co. eingibt, sowie in den entsprechend untergeordneten Blogging-Plattformen - und das sind nicht nur die Daten, die man sowieso im Telefonbuch findet.
Bei diesen Aussagen sind Datendiebstahl oder Pannen noch gar nicht berücksichtigt. Top of the Pop in Sachen legale Datenschnüffelei ist das am 18. Januar 2007 verabschiedete Telemediengesetz, nach dem Tele- und Mediendienstanbieter auch für vorbeugende Maßnahmen zur Gefahrenabwehr Nutzerdaten herausgeben müssen. Klar: Wenn alles gut geht, betrifft uns alle das nicht, uns 'Guten', nicht wahr? Aber es erscheint doch ausgesprochen ratsam, auch unschuldig nicht auf die falsche Seite der Justiz zu geraten, denn allein mit Webeinkäufen, Surftouren und die täglicher Kommunikation können Profile erstellt werden, die zukünftig stigmatisierend wirken.
Sie haben aus Interesse daran, wie schlimm es eigentlich damit steht, mal nach Kinderpornographie gesurft? Schnell auswandern. Nein, aber Machtlosigkeit gegen diese Art von Profiling wurde schon 2005 attestiert. Man wird nicht immer so eindeutig unschuldig sein, wie in diesen Fällen, und sogar der Bundesdatenschutzbeauftragte warnt inzwischen vor der Überwachungsgesellschaft.
Natürlich schauen wir auch mal ins Internet
Schnitt, andere Szene: Googeln Arbeitgeber nach Bewerbern? "Nein", schließt das eine Unternehmenssprecherin für die Daimler-Chrysler AG aus: "Wir bekommen viel zu viele Bewerbungen, Google ist da für uns kein Instrument." Daimler Chrysler hat eine eigene Berufsakademie mit mehrstufigem Auswahlverfahren, bei Bewerbungen gibt es Interviews und Assessmentcenter.
Sörge Drosten, Head of Advanced Technology Practice und Partner der Kienbaum Executive Consultants GmbH, bejahte das hingegen ganz spontan: "Natürlich schauen wir auch mal ins Internet." Man sei sich natürlich im Klaren, dass die Leute ein Privatleben haben und schaue nicht auf alles kritisch: "Wir nehmen ja nicht alles krumm." Wenn da Bilder von Alkoholleichen auftauchen, wäre das aber schon "weniger günstig". In erster Linie schaue man nach Referenzen und Artikeln, auch nach der Berichterstattung über den Kandidaten, ob er zum Beispiel irgendwo hinausgeworfen wurde. Besonders bevor man jemanden an einen Kunden weiterempfiehlt, schaut man nach dem "Bild, das von jemandem entsteht". Ausschlusskriterien wären hier Fundstücke, die "super peinlich sind oder im Zusammenhang mit einer Partei wie der NPD". Auf die Frage, ob zum Beispiel bestimmte Blog-Offenbarungen als "super peinlich" gelten würden, schränkte er ein:
Das kommt bei unserem Klientel weniger vor. Private Blogs sind eher etwas für die Leute zwischen 25 und 30, bei Führungskräften und hochqualifizierten Ingenieuren über 30 spielt das keine Rolle.
Wieder Schnitt, Alltag. Eine befragte Internetnutzerin weiß:
Du hast im Netz schnell keine Kontrolle mehr, was mit Deinem Kram passiert.
Vor mehreren Jahren gab sie ihre persönlichen Daten bei einer Plattform für Zimmervermittlung ein. Als Kontaktmöglichkeit, die nur für registrierte Benutzern zu sehen war, nannte sie ihren vollen Namen und eine Handynummer. Bis vor einem guten Jahr erschien diese Suchanzeige, die die diversen Angaben über Vorlieben und finanzielle Grenzen enthielt, auf den ersten drei oder vier Seiten bei Google, wenn man ihren Namen googelte. Die Dame erhielt Stöhn-Anrufe auf dem Handy. Erst nach großer Mühe per E-Mail und Telefon wurde das Gesuch endlich entfernt.
Ein anderer Internetnutzer unterscheidet zwischen wirklichem Mehrwert und bloßem Datensammeln. Die Wunschliste bei Amazon zum Beispiel sei okay, denn die lege man wissentlich an. Aber "Immer, wos angeblich "bequemer" für den Nutzer wird, läuten bei mir die Alarmglocken."
In einem anderen Fall wurde jemand über verschiedene Listen im Usenet identifiziert. In der einen schaltete er unter seinem Klarnamen ebenfalls ein Wohnungsgesuch, in der anderen, Jahre später, recherchierte er für einen Artikel, allerdings unter Pseudonym. Andere Usenet-Nutzer zählten eins und eins zusammen: Das Medium, in dem der Artikel erschien, der Ort, in dem damals die Wohnung gesucht wurde und der der Sitz des Mediums ist, den Klarnamen und das Pseudonym. Das machte in diesem Falle nichts. Es ist aber ein kleines Beispiel für Personen-Tracking.
Was tun?
Will man nicht, dass Google die eigene Site erfasst, kann man sie von Google ausschließen lassen, man kann auch nur einzelne Seiten oder Bilder für Google sperren. Man muss aber der Verantwortliche der betreffenden Internetseiten sein, um in das root-Verzeichnis des Website-Servers zu gelangen. Andernfalls muss man sich an den Webmaster wenden. Die Google Privacy FAQs sollte man sich mal ansehen, ebenso Suchroboter aka Webcrawler und Webbugs. Eine Softwareauswahl, darunter auch Freeware, zum Kontrollieren von Cookies sowie eine ausführliche FAQ (englisch) findet man bei cookiecentral.com. Wie die offiziellen Datenschutzsorgen und parlamentarischen Aktivitäten aussehen, erfährt man im virtuellen Datenschutzbüro. Und wer mit seinen detaillierten Auskunftsrechten jetzt in die Offensive gehen will, dem sei ein Blick auf Thoms Fassung von Framsters freundlichem Folterfragebogen empfohlen.
Als eindeutig verlässliche Anonymisierungssoftware zum Surfen gelten derzeit das Programm TOR der Electronic Frontier Foundation (EFF) gehandelt und JAP, eine Entwicklung mit Unterstützung der Deutschen Forschungsgemeinschaft. Weitere Anonymisierungsdienste sind zum Beispiel The Cloak oder Guardster. Man sollte sich aber im Klaren sein, dass Anonymisierungssoftware nicht voll respektiert wird, und so ein Schuss auch nach hinten losgehen kann. Ganz neu Ende Januar 2007 verkündete IBM außerdem die Anonymisierungssoftware Identity Mix, die es zum Beispiel ermöglicht mit Pseudonymen im Web einzukaufen. Die Software spendierte das Unternehmen seinem Open Source Projekt Eclipse Higgins, ein Identitätsmanagmenttool unter dem Dach der Eclipse Foundation. Bei der Electronic Frontier Foundation sind außerdem Tipps und Tools zum anonymen Bloggen bereitgestellt.
Zum Abschluss bringen die angenehm ehrlichen Hinweise von Dirk Olbertz, Betreiber des Blogrankings Blogscout.de und Anbieter von Blogger.de, die Sache mit dem Datenschutz stellvertretend auf den Punkt:
Allein das Vorhandensein einer AGB oder Privacy Policy sollte euch kein "gutes Gefühl" geben. Das gilt nicht nur für Blogscout.de, sondern für alle Dienste da draußen, die kostenlos angeboten werden. Schaut euch hier um, lest im Blog nach und macht euch anderweitig "schlau", ob ihr mir eure Daten und ein stückweit auch euer Blog anvertrauen wollt. Ich versuche, so ehrlich wie möglich zu sein, aber was ich gut finde, muss für einen anderen noch lange nicht akzeptabel sein. Also entscheidet für euch selbst, ob Blogscout.de ein vertrauensvoller Partner sein kann, oder nicht. Dabei helfen euch auch keine AGB oder eine Privacy Policy, die keinerlei rechtliche Relevanz haben.
Und wenn man die Nase jetzt gestrichen voll hat, kann man auch die Flucht nach vorne antreten. Man sollte sich nur nicht über Anrufe wundern.