Internetrisiko: Aushebelung des Datenschutzes

So bleibt also gespeichert, wer wann welche Seiten aufgerufen, was er gesucht, gekauft, angesehen und hinterlassen hat, aber auch, welche Daten das Fitness­armband aufzeichnete, wer mit wem befreundet ist und wo man sich wann aufgehalten hat. Das mag einem nicht sehr wichtig vorkommen, kann aber Werbetreibende, Krankenkassen, Arbeitgeber, Geheimdienste und Übelmeinende einmal brennend interessieren.

Firewalls und Virenscanner verhindern in vielen Fällen, dass sensible Daten allzu leicht entwendet werden, aber gegen das größte Sicherheitsrisiko hilft keine Software: Die meisten Internetnutzer geben in Sozialen Netzwerken, Diskussionsforen und unverschlüsselten E-Mails allzu Persönliches freiwillig preis. Es werden unbekümmert intime oder peinliche Filme und Bilder ins Netz hochgeladen, um sie mit der eigenen Community zu teilen (nach dem „Shar­ing is caring“-Motto), ohne zu bedenken, dass sie sich in zehn Jahren beim Bewerbungsgespräch verhängnisvoll auswirken können. Bereits heute wird in Personalabteilungen regelmäßig im Web 2.0 recherchiert, und hier gilt: Es gibt keine zweite Chance auf einen ersten Eindruck. Was einmal im Netz gelandet ist – jeder unüberlegte Kommentar, jede Falschinformation und jedes „Gefällt mir“ –, kann kaum wieder entfernt werden. Zwar hat der Europäische Gerichtshof mit einem wegweisenden Urteil vom 13. Mai 2014 verfügt, dass Suchmaschinenbetreiber wie Google persönliche Links auf Antrag aus der Ergebnisliste entfernen müssen. Dennoch ist die Information selbst weiterhin im Netz vorhanden (und weiterhin zu finden). Nicht einmal Prominenten, die die besten Anwälteteams darauf angesetzt haben, ist es gelungen, Unerwünschtes wieder aus dem Netz zu entfernen, wie der Fall der 2014 aus Apples iCloud entwendeten, teilweise intimen Fotos von Hollywood-Schauspielerinnen zeigt. Etwas anders gelagert ist die Auseinandersetzung des Wrestlers Hulk Hogan mit dem Klatschportal Gawker, das einen Ausschnitt aus einem delikaten Sexvideo Hogans (angefertigt von einem Freund des Wrestlers) publiziert hatte. Mit finanzstarker Prozesshilfe durch den Milliardär Peter Thiel, selbst ein Gawker-Opfer, klagte Hogan das Portal im Juni 2016 in den Ruin: 140 Millionen Dollar muss Gawker an Hogan zahlen und hat Insolvenz angemeldet. Der Videoausschnitt ist damit aber auch nicht mehr zurückzuholen.

Auf dem Vormarsch ist die Personenerkennung. Für Facebook war es nur ein kleiner Rückschlag, dass auf Druck von Datenschützern die automatische Gesichtserkennung in Europa Anfang 2013 deaktiviert werden musste. Zuvor waren Fotos beim Upload automatisch mit getaggten Fotos abgeglichen worden, was außerhalb Europas aber weiter praktiziert wird. Russische Programmierer haben den Ball aufgenommen und Anfang 2016 für das russische Facebook-Pendant VK.com (früher VKontakte) die App FindFace entwickelt, die Fotos – etwa Schnappschüsse aus der Disco – blitzschnell mit Fotos der 200 Millionen Nutzer abgleicht: Die Trefferquote soll über 70 Prozent betragen. Sofort wurde die App genutzt, um Pornodarstellerinnen zu identifizieren und mit Shitstorms zu überziehen. Die Entwickler dienen ihren Algorithmus inzwischen dem russischen Staat an, der alle Überwachungskameras mit der Software FaceN ausstatten könnte. So ließen sich Verbrecher, aber natürlich auch Regimegegner leichter aufspüren. Geheimdienste setzen ähnliche Programme längst ein, nur scheint FaceN effizienter zu sein. Facebook indes weiß auch ohne Gesichtserkennung viel über die Gewohnheiten seiner Nutzer, kennt deren Freunde, Interessen und Bewegungsprofile (Standortdaten werden getrackt), hört – vorerst angeblich nur in den USA – Gespräche über das Mikrofon des Handys mit und verfügt nach eigenen Angaben über eine Technologie, die Personen via Kleidung, Körperhaltung und soziales Umfeld identifiziert. Generell muss man bedenken, dass man Unternehmen, die Soziale Netzwerke oder ähnliche Angebote betreiben, in der Regel die kommerzielle Nutzung aller übertragenen Daten – also auch der Fotos beispielsweise – überträgt. Die privaten Informationen sind die Währung, mit der man für die Nutzung der Software „zahlt“: „Daten sind das neue Öl“ lautet ein oft gebrauchter Vergleich. Zur Nutzung gehört auch der Weiterverkauf. Noch geht es dabei in erster Linie um Werbezwecke. Die Netzwerke profitieren auch davon, dass sich viele Geräte, Profile und Betriebssysteme selbstständig synchronisieren. Manche Handy-Apps etwa gleichen die auf Rechnern gespeicherten Kontakte mit Facebook-Freundeslisten ab. Hierdurch und auf viele andere Weisen gelangen auch Daten von Personen zu Facebook, die dort gar nicht selbst registriert sind.

Sicher sind Daten im Netz fast nie. Durch Hackerangriffe werden sie bei Onlinediensten oder Institutionen oft paketweise abgegriffen. Im Sommer 2016 mussten gleich zwei große Netzwerke – das erwähnte VK.com in Russland und das Karrierenetzwerk LinkedIn (soeben für 26 Milliarden Dollar von Microsoft gekauft: Der Preis dürfte die Bedeutung der Karrieredaten widerspiegeln) – einräumen, dass bei wenige Jahre zurückliegenden Attacken jeweils über hundert Millionen Nutzerdaten gestohlen wurden. Im Juni 2016 wurde auch die Deutsche Telekom Opfer eines Großangriffs. Auf dem Schwarzmarkt erzielen heute übrigens nicht mehr Kreditkartennummern Höchstpreise: Für Gesundheits-IDs wird laut Antivirussoftware-Hersteller McAfee zehnmal mehr gezahlt. Und dafür muss oft nicht einmal das IT-System einer Krankenkasse gehackt, sondern bloß eine Cloud angezapft werden, in die Nutzer von Fitnessarmbändern (Wearables) und Fitness-Apps ihre Daten hochladen. Jeder dritte Deutsche benutzt laut einer Erhebung des Bundesjustizministeriums vom Februar 2016 solche Geräte oder Programme. Die Krankenkassen sind aber stark an diesen Daten interessiert, um gesunde Kunden gezielt werben und solche mit körperlichen Problemen frühzeitig aussortieren zu können.

Neben der Selbstentblößung und dem Angriff von Kriminellen gibt es im Netz als dritte Gefahr noch die staatliche Überwachung. Das betrifft nicht nur undemokratische Staaten wie China, wo gegängelte Internetnutzer Re­strik­tio­nen wie die „Great Firewall“ sogar ziemlich effektiv zu um­gehen gelernt haben. In Deutschland machte im Jahr 2011 der Chaos Computer Club den Quellcode des „Bundes­trojaners“ publik. Bei diesem Programm zum Ausspionieren und Fernsteuern von Computern handelt es sich um sogenannte Govware (von government, deutsch: Regierung). Die Rechtsgrundlage ist umstritten. Eingesetzt wurde der Trojaner durch Landes- und Bundesbehörden laut offiziellen Angaben in einigen Dutzend Fällen. Um eine ganz andere Dimension der Überwachung handelt es sich bei dem seit 2007 bestehenden, lange streng geheimen und – wie man heute weiß – nahezu grenzenlosen Überwachungsprogramm Prism des amerikanischen Geheimdienstes NSA, dessen Existenz die Washington Post und der britische Guardian dank des Whistle­blowers Edward Snowden im Juni 2013 aufdecken konnten. Kurz darauf wurde die ähnlich resolute Überwachung des Internetverkehrs durch den britischen Geheimdienst GCHQ öffentlich, der unter anderem systematisch Unterseekabel anzapft. Dass der deutsche Bundesnachrichtendienst BND, wie im Zuge der Aufklärung des Skandals herauskam, am Abhören befreundeter Staaten beteiligt war, macht die Sache nicht besser. Gesammelt wird bei der digitalen Überwachung durch Geheimdienste nahezu alles von allen: E-Mails, Videos, Fotos, Chat-Inhalte, Telefonverbindungen und so gut wie sämtliche Informationen aus Sozialen Netzwerken. Die systematisch angezapften Internetfirmen AOL, Apple, Facebook, Google, Microsoft und Yahoo haben seit dem Sommer 2013 immer wieder erklärt, Opfer der NSA-Spionage zu sein, nicht Kollaborateure. Der NSA-Justiziar Rajesh De erklärte allerdings bereits im März 2014, die Sammlung der Daten sei mit vollem Wissen dieser Konzerne geschehen. Geändert hat sich seither nichts. In den USA wurden nur kosmetische Verbesserungen (etwa bei der Telefonüberwachung von Inländern) durchgesetzt. Und die Bundesregierung möchte die meisten der aufgeflogenen Überwachungsaktivitäten nun einfach per Gesetz legalisieren und noch ausweiten. Dazu dient zum einen das im Juni 2016 im Schnellverfahren durch das Parlament gewinkte neue Anti-Terror-Paket, zum anderen ein neues BND-Gesetz.

Wie schützen?

Gegen geheimdienstliche Überwachung kann wenig ausgerichtet werden, solange man Onlinedienste weiter nutzen möchte. Verschlüsselungen sind möglich, aber aufwendig und nicht immer effektiv. Im übrigen Onlineleben jedoch gilt: Achten Sie auf Datenschutzangaben in den Allgemeinen Geschäftsbedingungen, und geben Sie generell nichts preis, was einmal gegen Sie verwendet werden kann. Das klingt radikal, ist aber der einzig wirksame Schutz – und selbst dann werden noch genügend Daten über Sie im Umlauf sein. Daher scheint es auch geboten, allzu private Fotos oder Videos generell nicht weiterzugeben, auch nicht an Freunde: Es ist immer möglich, dass man sich zerstreitet, und dann hat der ehemalige Freund oder die ehemalige Freundin ein Druckmittel in der Hand. Das gilt auch für die Anwendung Snapchat: Obgleich die Bilder sich hier automatisch zerstören sollen, sind viele von ihnen im Netz aufgetaucht. Machen Sie sich zudem mit den Schutzmöglichkeiten in Sozialen Netzwerken vertraut: Oft sind kritische Funktionen abschaltbar, aber fast immer im Opt-out-Verfahren, das heißt, dass die Voreinstellung „alles zulassen“ lautet.

Nach der europäischen Datenschutzrichtlinie hat übrigens jeder das Recht auf eine Kopie der Daten, die ein Unternehmen über ihn speichert. Grundsätzlich gilt das auch für Soziale Netzwerke. Der Marktführer Facebook bietet dazu ein eigenes Download-Tool an. Kritiker bemängeln jedoch, dass hier nur ein kleiner Teil der gespeicherten Informationen sichtbar ist. Die crowdfinanzierte Initiative „Europe versus Facebook“ rät daher allen Personen – nicht nur Facebook-Nutzern –, ein Auskunftersuchen über die personenbezogenen Daten an Facebook zu richten, gleich gefolgt von einer Beschwerde an die zuständige irische Datenschutzbehörde und einer Eingabe bei der Europäischen Kommission. Musterschreiben gibt es auf europe-v-facebook.org. Hinter dieser Initiative steckt übrigens der junge österreichische Jurist Maximilian Schrems, der mit seiner Klage vor dem Europäischen Gerichtshof im Oktober 2015 schon das Safe-Harbor-Abkommen zwischen der EU und den USA zu Fall brachte: Europäische Daten dürfen nur noch unter Auflagen in den USA gespeichert werden.