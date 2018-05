Igor Steinle

Berlin (MOZ) Die kommerzielle Beobachtung im Internet kennt keine Grenzen. Im Gespräch mit Igor Steinle erklärt Datenschutz-Experte Christian Bennefeld, wie Tracking-Dienste genau vorgehen, um persönliche Profile von Internet-Nutzern anzufertigen.

Herr Bennefeld, was für Daten werden im Netz gesammelt?

Alle Daten, die wir beim Surfen hinterlassen. Tracker sind Programme, die unser Surfverhalten verfolgen. Alleine Google Analytics, der Tracker von Google, ist auf über 80 Prozent der Webseiten platziert. Das heißt: Google sieht alles, was ich im Internet mache. Dadurch verdichten sich die Datenspuren, die aufgelesen werden, zu einem Profil.

Was für Informationen befinden sich in dem Profil?

Wenn Sie zum Beispiel regelmäßig linkspolitische Nachrichten lesen und sich für Geldanlage-Produkte interessieren, kann man daraus ableiten, welchem politischen Spektrum sie angehören und dass Sie gut situiert sind. Es geht aber auch um hochsensible Daten: Den Wohnort, Bewegungsprofile, welche Medikamente man zuletzt gesucht hat. Wenn Sie sich erotische Anregungen geholt haben, auch um Ihre sexuellen Vorlieben. Wirklich alle Details Ihres Lebens werden festgehalten.

Werden die Daten denn mit unserem Klarnamen gespeichert?

Wenn Sie zum Beispiel ein Facebook-, Amazon-, oder Google-Konto haben, dann können diese Dienste die Daten natürlich mit ihrem Klarnamen verbinden. Andere Tracking-Dienste im Internet verwenden ein Pseudonym, häufig einen sogenannten Hash. Das ist eine mathematische Ableitung aus der E-Mail-Adresse oder Mobilfunknummer, die Sie zur Anmeldung verwenden. Das ist dann die ID, unter der die meisten Dienstleister Ihre Daten erfassen.

Wo ist denn das Problem, wenn die Daten pseudonymisiert sind?

Die Uni Hamburg hat vor kurzem die originalen E-Mail-Adressen, Telefonnummern und IP-Adressen aus pseudonymen Daten herausgerechnet. 43 Prozent der E-Mail-Adressen wurden mit einem üblichen PC innerhalb von 24 Stunden errechnet. Das ist eine komplett neue Erkenntnis, eine Brandbombe! Denn Datenschützer gingen bisher davon aus, dass dies unmöglich ist.

Reicht es denn nicht einfach aus, verschiedene E-Mail-Adressen und Browser zu verwenden?

Man kann dem nicht so einfach entkommen. Die ID eines Gerätes wird ebenfalls zum Beispiel über Apps ausgelesen, und die ist für jedes Gerät eindeutig.

Wer hätte denn ein genaues Interesse daran, die Pseudonyme zurückzurechnen, und wozu?

Jedes Unternehmen, das mit Ihnen Geschäfte machen und beispielsweise ihre Bonität bewerten will. Wenn Sie etwa häufig an Online-Glücksspielen teilnehmen, könnte das Ihre Aussichten auf einen Kredit verschlechtern.

Wie werden Profildaten denn verkauft?

Große Händler wie Acxiom oder Oracle verkaufen sie milliardenfach. Meistens fängt es mit einer Größenordnung von etwa 100 000 Datensätzen an. Man kann zum Beispiel Profile von allen Männern aus Hamburg zwischen 30 und 35 mit höherer Kaufkraft anfordern. Die bekommt man in Deutschland dann in pseudonymisierter Form als Hash. Da das ein Industriestandard ist, können Sie Werbung für diese Profile dann auf allen möglichen Seiten hochladen. In den USA erhalten Sie die Profildaten sogar komplett mit Namen und Anschrift.

Was machen Dienste wie Google und Facebook mit unseren Daten?

Sie verkaufen sie nicht. Deswegen war das Facebook-Leck auch ein solcher Skandal. Man kann bei Ihnen Werbung für passende Zielgruppe platzieren.

Ist das aber nicht alles sehr gut für mich als Verbrau-cher?

Wenn ich zu meinem Bäcker reinkomme und der gleich weiß, was ich möchte, ist das prima. Was ich aber nicht so prima finde ist, wenn er mir auch eine Fußpilz-Salbe empfiehlt. Dasselbe gilt fürs Internet. Heute haben wir das Problem, dass massenweise webseitenübergreifende Profile gebildet werden. Was da stattfindet, ist eine Komplettüberwachung durch wenige zentralisierte Dienste.