D A T E N S C H U T Z
Verdatet und verkauft
Die Angst vor dem Missbrauch persönlicher Daten droht den E-Commerce zu blockieren. Die Wirtschaft ist alarmiert
Von Gunhild Lütge
Alles schien perfekt geplant: Straßensperren, mannshohe Zäune und ein riesiges Aufgebot von Polizisten sorgten für die Sicherheit der Konferenzbesucher. Nur an eines hatte man nicht gedacht: an einen elektronischen Angriff. Prompt brachen Hacker in den zentralen Rechner des diesjährigen Weltwirtschaftsforums in Davos ein - und spionierten persönliche Daten der angereisten Prominenz aus samt deren Kreditkartennummern.
Solche und andere spektakuläre Fälle geben einem Thema Auftrieb, das längst für tot erklärt wurde: Datenschutz. Ausgerechnet in der Informationsgesellschaft schien das Bürgerrecht nicht mehr gefragt. Jetzt aber droht die Angst vor dem Missbrauch persönlicher Daten die Zukunftsmärkte rund ums Internet zu blockieren. Die Wirtschaft ist alarmiert. Datenschützer basteln an neuen Konzepten.
Das Problem: Wer persönliche Daten ins Netz gibt, per Mausklick einkauft oder sich im World Wide Web informiert, hinterlässt jede Menge Spuren. Die neuen Informationstechnologien ließen den Menschen "gläserner, berechenbarer und manipulierbarer werden", warnt der Bundesdatenschutzbeauftragte Joachim Jacob in seinem gerade präsentierten Bericht. Lawrence Lessig, der in den USA als einer der besten Experten für Rechtsprobleme in der High-Tech-Industrie gilt, entwarf jüngst ein noch düstereres Bild: "Wirtschaft und Staat arbeiten zusammen, um unsere Wege durch das Netz besser aufspüren und nachzeichnen zu können. Potenziell ist das eine Gefahr für Demokratie und Freiheit."
Was das für den oft ahnungslosen Netznutzer bedeuten kann, beschreibt das amerikanische Wirtschaftsmagazin BusinessWeek eindringlich so: "Zunächst werden Sie sich nur über eine Kleinigkeit ärgern: eine Flut von überflüssiger Werbung. Dann aber folgt das eigentliche Problem: Unternehmen, die ihre Kunden genau kennen, können sie auch gezielt diskriminieren. Wenn man beispielsweise herausfindet, dass Sie nicht zu den Kaufkräftigsten gehören, lassen sie Sie einfach in der Hotline hängen, selbst wenn Sie ein berechtigtes Anliegen haben. Oder Sie werden als Kunde irgendwann gar nicht mehr akzeptiert. Noch schlimmer: Möglicherweise basiert die Diskriminierung auf falschen Angaben, die von Ihnen gespeichert sind."
Außerdem muss jeder damit rechnen, ins Visier von Datenjägern zu geraten. Sie haben sich darauf spezialisiert, das Internet zu durchforsten, um persönliche Profile zu erstellen - im Auftrag und gegen gutes Geld, versteht sich. Wie einfach das ist, beschreibt Gerald Reischl in seinem gerade erschienenen Buch Gefährliche Netze.
Zwar seien die materiellen Schäden oft nicht messbar, aber es würden Chancen genommen, so Thilo Weichert vom Landeszentrum für Datenschutz Schleswig-Holstein. "Dass die Nichteinstellung eines Bewerbers, die Nichtgewährung eines Kredites oder der Ausschluss von einer Ausschreibung auf falschen Leumund zurückzuführen ist, mag oft offensichtlich, selten aber beweisbar sein." Gravierende Schäden seien oft aber auch soziale Diskriminierung, Manipulation, Angst oder Einschüchterung.
Offensichtlich ist das mehr Menschen klar, als die Sorglosigkeit einiger Surfer vermuten lässt. Doch statt lauthals gegen dreiste Datensammler zu protestieren wie noch in den achtziger Jahren, als das Bundesverfassungsgericht schließlich das berühmte Volkszählungsurteil sprach, halten sie sich heutzutage einfach zurück, wenn es um die Nutzung von Internet-Diensten geht. Genau das aber ist das Problem all jener, die mit dem elektronischen Handel im Netz Geld verdienen wollen. Sie wissen inzwischen, dass viele Einkäufe und Bankgeschäfte im Netz meiden, weil sie um ihre persönlichen Daten fürchten. Gleich eine ganze Reihe von Umfragen zeigt nämlich inzwischen, wie sensibel die potenziellen Nutzer des Internet beim Thema Sicherheit reagieren.
So fand beispielsweise NCR Teradata heraus, dass sich rund 85 Prozent der Deutschen und immerhin fast 70 Prozent der Amerikaner beim Surfen um ihre Privatsphäre sorgen. Teradata ist ein Unternehmen, das sich auf elektronische Lösungen zur Verbesserung der Kundenbeziehungen spezialisiert hat. Vice President Werner Sülzer warnt: "Wenn global agierende Unternehmen das Online-Geschäft ernst nehmen und die Datenschutzproblematik ignorieren, schaden sie sich selbst."
Viele Web-Firmen hegen eine ausgeprägte Sammelwut
Derlei Botschaften kommen an, jedenfalls bei den Chefs der großen Konzerne wie beispielsweise Louis Gerstner. Der Chef des Computerriesen IBM sorgte Ende vergangenen Jahres auf einer von Microsoft veranstalteten Sicherheitskonfe- renz für Aufsehen. Dort erklärte er den Datenschutz zum wichtigen Faktor für den Erfolg von E-Commerce. "Bisher vertrauen Kunden und Nutzer eher selten darauf, dass mit ihren Daten kein Missbrauch getrieben wird. Wenn wir nicht verantwortungsvoll handeln, riskieren wir, diesen beeindruckenden, aber empfindlichen Wirtschaftsmotor abzuwürgen." Und auch Willi Berchtold, Vorsitzender der Geschäftsführung der Giesecke & Devrient GmbH München, mahnt: Die Chancen der Informationstechnik seien gewaltig, aber: "Diese Zukunftsmärkte werden nur dann ihr rasantes Wachstum fortsetzen können, wenn die Sicherheit persönlicher Daten als zentrale Voraussetzung gegeben ist."
Das hat sich allerdings noch nicht überall herumgesprochen. Zu geringes Sicherheitsbewusstsein ist nach wie vor das eine Problem, ausgeprägte Sammelwut das andere. Ganz genau wollte es die Consumers International wissen, unter deren Dach sich 260 Verbraucherschutzorganisationen zusammengeschlossen haben. Sie fand bei der Prüfung von 750 Websites in den USA und Europa heraus, dass eine große Zahl von Anbietern nicht nur erschreckend viele, sondern auch sehr persönliche Daten sammeln, ohne dass die Surfer eine Kontrolle darüber hätten.
Datenschützer fürchten deshalb die Kommerzialisierung der Privatsphäre in großem Stil. So basieren manche Geschäftsmodelle von Start-ups darauf, sich Informationen nicht mehr mit Barem, sondern mit der Preisgabe persönlicher Daten bezahlen zu lassen. Denn die sind - nicht nur in der Web-Wirtschaft - eine heiß begehrte Ware. Immer mehr Werbetreibende schwärmen von ganz gezielter Reklame; zugeschnitten auf einzelne Personen, deren Interessen und spezielle Vorlieben.
Auf ganz direktem Weg versuchen Anbieter von Gewinnspielen im Netz an persönliche Daten zu kommen. Und wer die Suchmasken von Geschenkportalen mit den Angaben seiner Freundin über Alter, Hobbys und Typ (analytisch? romantisch? gesellig?) füttert, kann zwar sicher sein, ein passendes Präsent zu finden. Gleichzeitig aber gelangen auf diese Weise sensible Daten von Menschen ins Netz, die nicht einmal einen Internet-Anschluss haben.
Selbst jene Surfer, die freiwillig keinerlei Daten preisgeben, sind nicht dagegen gefeit, ausspioniert zu werden. Das machen immer neue Schnüffelprogramme möglich, beispielsweise so genannte Cookies; kleine Textdateien, die in die Rechner der Nutzer geschmuggelt werden können. Oft erleichtern sie nur die Kommunikation mit den Surfern. Manche aber sammeln so viele Informationen wie möglich - und schicken die Beute dann brav an ihre Auftraggeber zurück. Deshalb heißen sie auch E.-T.-Programme, weil das niedliche Wesen vom anderen Stern bekanntlich immer "nach Hause telefonieren" wollte.
Als unsichtbare Cookie-Nachfolger werden die so genannten Web-Käfer oder Web-Bugs gehandelt. Das sind klitzekleine Bilder, die in anderen Grafiken versteckt werden können. Und als ganz besonders perfide gilt jene Praxis, so genannte shareware, also kostenlose Programme, zu nutzen, um hinterrücks eine zweite Software als digitalen Schmarotzer auf die Computer ahnungsloser Anwender zu schmuggeln.
Auch über eingeblendete Werbebanner können Cookies ihren Weg in die Rechner der Surfer finden. Haben sie sich dort erst einmal niedergelassen, registrieren sie alle weiteren Clicks. Auf diese Weise entstehen massenhaft Nutzungsprofile. Die amerikanische Netzagentur DoubleClick, eines der größten unter jenen Unternehmen, die Werbeplätze im Internet vermarkten, geriet deshalb schon in schiefes Licht. Große Zweifel an ihrem Geschäftsgebaren kamen auf, als das Unternehmen Anfang vergangenen Jahres ganz unumwunden erklärte, seinen anonymen Datenfundus auf besondere Weise in bare Münze zu verwandeln.
Mit dem Kauf der Firma Abacus, eines Informationsdiensts, der Kundendaten an Kataloganbieter verkauft, verfügte DoubleClick auf einen Schlag über Daten von 88 Millionen US-Haushalten. Rund 1,7 Milliarden Dollar ließ sich das Unternehmen diesen Schatz kosten. Die über Werbebanner selbst gesammelten Informationen sollten, so der dreiste Plan, mit den Adressensätzen von Abacus verknüpft werden. Das freilich löste selbst in den Vereinigten Staaten einen Sturm des Protestes aus - und rief die Aufsichtsbehörde FTC auf den Plan. Schließlich legte das Unternehmen das umstrittene Projekt auf Eis.
Die vielen Gesetze hierzulande sind reine Papiertiger
Seither seien die Unternehmen vorsichtiger geworden, ihre Pläne auszuplaudern, befand das Wall Street Journal jüngst. Aber nicht nur das. Insgesamt sei das Bewusstsein gewachsen, dass Datenmissbrauch nicht nur die staatlichen Kontrolleure alarmiere, sondern auch das Image beschädige und, schlimmer noch, Aktienkurse lädiere. DoubleClick hat aus dem Desaster gelernt: Es heuerte Datenschutzexperten an und beteuerte, sich fortan zu bessern. Nach ihren Prüfungen zeigten sich selbst die Aufseher des FTC beruhigt. Sie stellten die Ermittlungen gegen DoubleClick ein.
Hierzulande, so beteuert Arndt Groth von der deutschen Dependance, würden seit drei Jahren keine Cookies mehr via Werbebanner auf die Reise geschickt. Doch statt aufgrund der strengen Gesetze ins Ausland abzuwandern, ist man inzwischen dabei, zusammen mit den Datenschützern an gesetzeskonformen Lösungen zu arbeiten.
Das dauert. Denn an Vorschriften mangelt es hierzulande nicht (siehe nächste Seite). Die Deutschen schufen jede Menge Paragrafen. Insbesondere rühmen sie sich des Teledienstedatenschutzgesetzes, das Helmut Bäumler, der Landesbeauftragte für den Datenschutz in Schleswig-Holstein, als "Rundum-Sorglos-Paket" bezeichnet: "Es lässt keine Wünsche offen." Theoretisch. Praktisch aber hapert es bei der Kontrolle. "Sie ist organisatorisch zersplittert, uneinheitlich geregelt, und den Kontrollinstanzen mangelt es an Technik, Personal und schließlich an Durchsetzungsmöglichkeiten", sagt Bäumler.
Mit anderen Worten: Die Gesetze sind reine Papiertiger. Und das noch aus zwei weiteren Gründen: Aufgrund der Struktur des Internet lassen sich Gesetzesbrecher oft gar nicht ermitteln - oder haben ihren Sitz im Ausland. Alexander Dix, Landesbeauftragter für den Datenschutz in Brandenburg: "Die Staaten können ihr nationales Recht eben nicht exterritorial durchsetzen."
Deshalb schlagen die Experten inzwischen neue Wege ein: Ihr Zauberwort heißt Selbstschutz. Sie setzen dabei auf das, was die Probleme verursacht: auf Technik. Die soll, sozusagen, den Datenschutz automatisieren und jeden einzelnen Nutzer in die Lage versetzen, sich selbst zu schützen. Bäumler: "Wer Datenschutz im Internet erreichen möchte, muss schon deshalb mehr auf Technik setzen, weil die im Gegensatz zu Gesetzen grenzüberschreitend wirksam wird."
Als Hoffnungsträger gilt das W3C, ein internationales Konsortium, das für Fragen der Standardisierung im Internet zuständig ist. Es entwickelte eine Technik (P3P), die es Nutzern möglich macht, nur mit jenen Internet-Anbietern zu kommunizieren, die ihre Wünsche in Sachen Datenschutz akzeptieren.
Doch der jetzige Standard, moniert Datenschützer Dix, reiche noch nicht. Der Computer des Nutzers könne nur die versprochene Datenschutzpolitik des Anbieters lesen, um sie dann mit den eigenen Präferenzen (niedrig, mittel oder hoch) abzugleichen. Das Prinzip: Top oder Flop. Stellt sich nämlich keine Übereinstimmung heraus, kann der Nutzer nur wählen, ob er draußen bleibt oder ausgeschnüffelt wird.
Außerdem: Experten wie Deirdre Mulligan vom Center for Democracy and Technology in Washington weisen darauf hin, dass das W3C nur für technische Spezifikationen zuständig sei. Es könne weder Rechtsregeln setzen noch deren Befolgung durchsetzen. "Die Wirksamkeit von P3P hängt davon ab, dass substanzielle Datenschutzregelungen bestehen - als Ergebnis von Gesetzgebung, Selbstregulierung oder öffentlichem Druck." P3P könne auch nicht sicherstellen, dass die Unternehmen ihre Datenschutzerklärungen befolgten. Täuschungen müssten durch öffentliche Politik, Gesetze und Gerichte gestoppt werden. Dennoch sagt Dix: "Es ist wichtig, dass diese Technik weiterentwickelt wird."
In der Zwischenzeit sollten Surfer wenigstens einige Grundregeln beachten. Die wichtigste: keine Programme aus dubiosen oder unbekannten Quellen herunterladen. Außerdem lassen sich schon heute durch spezielle Einstellungen am Computer Cookies abweisen. Andere Programme wie beispielsweise der Webwasher lassen keine Werbung durch, also keine darin versteckten Kekse. Wieder andere machen es möglich, verdeckt im Netz zu surfen. Allerdings: Auch die Nutzung eines solchen Dienstes ist Vertrauenssache. Schließlich liefert der Nutzer den Betreibern seine Daten frei Haus. Außerdem können Surfer zur multiplen Persönlichkeit im Netz mutieren, also unter ganz unterschiedlichen Pseudonymen auf die Reise gehen. Ihnen sollte es nur gelingen, über sich selbst den Überblick zu behalten.
Bäumler gibt zu: "Ein Königsweg ist nicht in Sicht, vielmehr ist auf absehbare Zeit ein intelligenter Mix der Methoden unabdingbar." Und dazu zählt er auch "den langen Marsch durch die Gesetzgebung und durch internationale Abkommen." Derweil hat er zusammen mit weiteren Datenschützern ein virtuelles Datenschutzbüro im Netz eingerichtet (www.datenschutz.de). Es hält unter anderem eine Art Baukasten bereit, gefüllt mit Werkzeugen zum Selbstschutz wie zum Beispiel kostenlose Anonymisierungs- oder Verschlüsselungsdienste.
"Es gibt keine Privatsphäre mehr. Vergessen Sie das", verkündete hingegen Scott G. McNealy, der Chef von Sun Microsystems. Das war vor zwei Jahren. Doch die Zeiten ändern sich - immer wieder.
Quelle : Die Zeit
Verdatet und verkauft
Die Angst vor dem Missbrauch persönlicher Daten droht den E-Commerce zu blockieren. Die Wirtschaft ist alarmiert
Von Gunhild Lütge
Alles schien perfekt geplant: Straßensperren, mannshohe Zäune und ein riesiges Aufgebot von Polizisten sorgten für die Sicherheit der Konferenzbesucher. Nur an eines hatte man nicht gedacht: an einen elektronischen Angriff. Prompt brachen Hacker in den zentralen Rechner des diesjährigen Weltwirtschaftsforums in Davos ein - und spionierten persönliche Daten der angereisten Prominenz aus samt deren Kreditkartennummern.
Solche und andere spektakuläre Fälle geben einem Thema Auftrieb, das längst für tot erklärt wurde: Datenschutz. Ausgerechnet in der Informationsgesellschaft schien das Bürgerrecht nicht mehr gefragt. Jetzt aber droht die Angst vor dem Missbrauch persönlicher Daten die Zukunftsmärkte rund ums Internet zu blockieren. Die Wirtschaft ist alarmiert. Datenschützer basteln an neuen Konzepten.
Das Problem: Wer persönliche Daten ins Netz gibt, per Mausklick einkauft oder sich im World Wide Web informiert, hinterlässt jede Menge Spuren. Die neuen Informationstechnologien ließen den Menschen "gläserner, berechenbarer und manipulierbarer werden", warnt der Bundesdatenschutzbeauftragte Joachim Jacob in seinem gerade präsentierten Bericht. Lawrence Lessig, der in den USA als einer der besten Experten für Rechtsprobleme in der High-Tech-Industrie gilt, entwarf jüngst ein noch düstereres Bild: "Wirtschaft und Staat arbeiten zusammen, um unsere Wege durch das Netz besser aufspüren und nachzeichnen zu können. Potenziell ist das eine Gefahr für Demokratie und Freiheit."
Was das für den oft ahnungslosen Netznutzer bedeuten kann, beschreibt das amerikanische Wirtschaftsmagazin BusinessWeek eindringlich so: "Zunächst werden Sie sich nur über eine Kleinigkeit ärgern: eine Flut von überflüssiger Werbung. Dann aber folgt das eigentliche Problem: Unternehmen, die ihre Kunden genau kennen, können sie auch gezielt diskriminieren. Wenn man beispielsweise herausfindet, dass Sie nicht zu den Kaufkräftigsten gehören, lassen sie Sie einfach in der Hotline hängen, selbst wenn Sie ein berechtigtes Anliegen haben. Oder Sie werden als Kunde irgendwann gar nicht mehr akzeptiert. Noch schlimmer: Möglicherweise basiert die Diskriminierung auf falschen Angaben, die von Ihnen gespeichert sind."
Außerdem muss jeder damit rechnen, ins Visier von Datenjägern zu geraten. Sie haben sich darauf spezialisiert, das Internet zu durchforsten, um persönliche Profile zu erstellen - im Auftrag und gegen gutes Geld, versteht sich. Wie einfach das ist, beschreibt Gerald Reischl in seinem gerade erschienenen Buch Gefährliche Netze.
Zwar seien die materiellen Schäden oft nicht messbar, aber es würden Chancen genommen, so Thilo Weichert vom Landeszentrum für Datenschutz Schleswig-Holstein. "Dass die Nichteinstellung eines Bewerbers, die Nichtgewährung eines Kredites oder der Ausschluss von einer Ausschreibung auf falschen Leumund zurückzuführen ist, mag oft offensichtlich, selten aber beweisbar sein." Gravierende Schäden seien oft aber auch soziale Diskriminierung, Manipulation, Angst oder Einschüchterung.
Offensichtlich ist das mehr Menschen klar, als die Sorglosigkeit einiger Surfer vermuten lässt. Doch statt lauthals gegen dreiste Datensammler zu protestieren wie noch in den achtziger Jahren, als das Bundesverfassungsgericht schließlich das berühmte Volkszählungsurteil sprach, halten sie sich heutzutage einfach zurück, wenn es um die Nutzung von Internet-Diensten geht. Genau das aber ist das Problem all jener, die mit dem elektronischen Handel im Netz Geld verdienen wollen. Sie wissen inzwischen, dass viele Einkäufe und Bankgeschäfte im Netz meiden, weil sie um ihre persönlichen Daten fürchten. Gleich eine ganze Reihe von Umfragen zeigt nämlich inzwischen, wie sensibel die potenziellen Nutzer des Internet beim Thema Sicherheit reagieren.
So fand beispielsweise NCR Teradata heraus, dass sich rund 85 Prozent der Deutschen und immerhin fast 70 Prozent der Amerikaner beim Surfen um ihre Privatsphäre sorgen. Teradata ist ein Unternehmen, das sich auf elektronische Lösungen zur Verbesserung der Kundenbeziehungen spezialisiert hat. Vice President Werner Sülzer warnt: "Wenn global agierende Unternehmen das Online-Geschäft ernst nehmen und die Datenschutzproblematik ignorieren, schaden sie sich selbst."
Viele Web-Firmen hegen eine ausgeprägte Sammelwut
Derlei Botschaften kommen an, jedenfalls bei den Chefs der großen Konzerne wie beispielsweise Louis Gerstner. Der Chef des Computerriesen IBM sorgte Ende vergangenen Jahres auf einer von Microsoft veranstalteten Sicherheitskonfe- renz für Aufsehen. Dort erklärte er den Datenschutz zum wichtigen Faktor für den Erfolg von E-Commerce. "Bisher vertrauen Kunden und Nutzer eher selten darauf, dass mit ihren Daten kein Missbrauch getrieben wird. Wenn wir nicht verantwortungsvoll handeln, riskieren wir, diesen beeindruckenden, aber empfindlichen Wirtschaftsmotor abzuwürgen." Und auch Willi Berchtold, Vorsitzender der Geschäftsführung der Giesecke & Devrient GmbH München, mahnt: Die Chancen der Informationstechnik seien gewaltig, aber: "Diese Zukunftsmärkte werden nur dann ihr rasantes Wachstum fortsetzen können, wenn die Sicherheit persönlicher Daten als zentrale Voraussetzung gegeben ist."
Das hat sich allerdings noch nicht überall herumgesprochen. Zu geringes Sicherheitsbewusstsein ist nach wie vor das eine Problem, ausgeprägte Sammelwut das andere. Ganz genau wollte es die Consumers International wissen, unter deren Dach sich 260 Verbraucherschutzorganisationen zusammengeschlossen haben. Sie fand bei der Prüfung von 750 Websites in den USA und Europa heraus, dass eine große Zahl von Anbietern nicht nur erschreckend viele, sondern auch sehr persönliche Daten sammeln, ohne dass die Surfer eine Kontrolle darüber hätten.
Datenschützer fürchten deshalb die Kommerzialisierung der Privatsphäre in großem Stil. So basieren manche Geschäftsmodelle von Start-ups darauf, sich Informationen nicht mehr mit Barem, sondern mit der Preisgabe persönlicher Daten bezahlen zu lassen. Denn die sind - nicht nur in der Web-Wirtschaft - eine heiß begehrte Ware. Immer mehr Werbetreibende schwärmen von ganz gezielter Reklame; zugeschnitten auf einzelne Personen, deren Interessen und spezielle Vorlieben.
Auf ganz direktem Weg versuchen Anbieter von Gewinnspielen im Netz an persönliche Daten zu kommen. Und wer die Suchmasken von Geschenkportalen mit den Angaben seiner Freundin über Alter, Hobbys und Typ (analytisch? romantisch? gesellig?) füttert, kann zwar sicher sein, ein passendes Präsent zu finden. Gleichzeitig aber gelangen auf diese Weise sensible Daten von Menschen ins Netz, die nicht einmal einen Internet-Anschluss haben.
Selbst jene Surfer, die freiwillig keinerlei Daten preisgeben, sind nicht dagegen gefeit, ausspioniert zu werden. Das machen immer neue Schnüffelprogramme möglich, beispielsweise so genannte Cookies; kleine Textdateien, die in die Rechner der Nutzer geschmuggelt werden können. Oft erleichtern sie nur die Kommunikation mit den Surfern. Manche aber sammeln so viele Informationen wie möglich - und schicken die Beute dann brav an ihre Auftraggeber zurück. Deshalb heißen sie auch E.-T.-Programme, weil das niedliche Wesen vom anderen Stern bekanntlich immer "nach Hause telefonieren" wollte.
Als unsichtbare Cookie-Nachfolger werden die so genannten Web-Käfer oder Web-Bugs gehandelt. Das sind klitzekleine Bilder, die in anderen Grafiken versteckt werden können. Und als ganz besonders perfide gilt jene Praxis, so genannte shareware, also kostenlose Programme, zu nutzen, um hinterrücks eine zweite Software als digitalen Schmarotzer auf die Computer ahnungsloser Anwender zu schmuggeln.
Auch über eingeblendete Werbebanner können Cookies ihren Weg in die Rechner der Surfer finden. Haben sie sich dort erst einmal niedergelassen, registrieren sie alle weiteren Clicks. Auf diese Weise entstehen massenhaft Nutzungsprofile. Die amerikanische Netzagentur DoubleClick, eines der größten unter jenen Unternehmen, die Werbeplätze im Internet vermarkten, geriet deshalb schon in schiefes Licht. Große Zweifel an ihrem Geschäftsgebaren kamen auf, als das Unternehmen Anfang vergangenen Jahres ganz unumwunden erklärte, seinen anonymen Datenfundus auf besondere Weise in bare Münze zu verwandeln.
Mit dem Kauf der Firma Abacus, eines Informationsdiensts, der Kundendaten an Kataloganbieter verkauft, verfügte DoubleClick auf einen Schlag über Daten von 88 Millionen US-Haushalten. Rund 1,7 Milliarden Dollar ließ sich das Unternehmen diesen Schatz kosten. Die über Werbebanner selbst gesammelten Informationen sollten, so der dreiste Plan, mit den Adressensätzen von Abacus verknüpft werden. Das freilich löste selbst in den Vereinigten Staaten einen Sturm des Protestes aus - und rief die Aufsichtsbehörde FTC auf den Plan. Schließlich legte das Unternehmen das umstrittene Projekt auf Eis.
Die vielen Gesetze hierzulande sind reine Papiertiger
Seither seien die Unternehmen vorsichtiger geworden, ihre Pläne auszuplaudern, befand das Wall Street Journal jüngst. Aber nicht nur das. Insgesamt sei das Bewusstsein gewachsen, dass Datenmissbrauch nicht nur die staatlichen Kontrolleure alarmiere, sondern auch das Image beschädige und, schlimmer noch, Aktienkurse lädiere. DoubleClick hat aus dem Desaster gelernt: Es heuerte Datenschutzexperten an und beteuerte, sich fortan zu bessern. Nach ihren Prüfungen zeigten sich selbst die Aufseher des FTC beruhigt. Sie stellten die Ermittlungen gegen DoubleClick ein.
Hierzulande, so beteuert Arndt Groth von der deutschen Dependance, würden seit drei Jahren keine Cookies mehr via Werbebanner auf die Reise geschickt. Doch statt aufgrund der strengen Gesetze ins Ausland abzuwandern, ist man inzwischen dabei, zusammen mit den Datenschützern an gesetzeskonformen Lösungen zu arbeiten.
Das dauert. Denn an Vorschriften mangelt es hierzulande nicht (siehe nächste Seite). Die Deutschen schufen jede Menge Paragrafen. Insbesondere rühmen sie sich des Teledienstedatenschutzgesetzes, das Helmut Bäumler, der Landesbeauftragte für den Datenschutz in Schleswig-Holstein, als "Rundum-Sorglos-Paket" bezeichnet: "Es lässt keine Wünsche offen." Theoretisch. Praktisch aber hapert es bei der Kontrolle. "Sie ist organisatorisch zersplittert, uneinheitlich geregelt, und den Kontrollinstanzen mangelt es an Technik, Personal und schließlich an Durchsetzungsmöglichkeiten", sagt Bäumler.
Mit anderen Worten: Die Gesetze sind reine Papiertiger. Und das noch aus zwei weiteren Gründen: Aufgrund der Struktur des Internet lassen sich Gesetzesbrecher oft gar nicht ermitteln - oder haben ihren Sitz im Ausland. Alexander Dix, Landesbeauftragter für den Datenschutz in Brandenburg: "Die Staaten können ihr nationales Recht eben nicht exterritorial durchsetzen."
Deshalb schlagen die Experten inzwischen neue Wege ein: Ihr Zauberwort heißt Selbstschutz. Sie setzen dabei auf das, was die Probleme verursacht: auf Technik. Die soll, sozusagen, den Datenschutz automatisieren und jeden einzelnen Nutzer in die Lage versetzen, sich selbst zu schützen. Bäumler: "Wer Datenschutz im Internet erreichen möchte, muss schon deshalb mehr auf Technik setzen, weil die im Gegensatz zu Gesetzen grenzüberschreitend wirksam wird."
Als Hoffnungsträger gilt das W3C, ein internationales Konsortium, das für Fragen der Standardisierung im Internet zuständig ist. Es entwickelte eine Technik (P3P), die es Nutzern möglich macht, nur mit jenen Internet-Anbietern zu kommunizieren, die ihre Wünsche in Sachen Datenschutz akzeptieren.
Doch der jetzige Standard, moniert Datenschützer Dix, reiche noch nicht. Der Computer des Nutzers könne nur die versprochene Datenschutzpolitik des Anbieters lesen, um sie dann mit den eigenen Präferenzen (niedrig, mittel oder hoch) abzugleichen. Das Prinzip: Top oder Flop. Stellt sich nämlich keine Übereinstimmung heraus, kann der Nutzer nur wählen, ob er draußen bleibt oder ausgeschnüffelt wird.
Außerdem: Experten wie Deirdre Mulligan vom Center for Democracy and Technology in Washington weisen darauf hin, dass das W3C nur für technische Spezifikationen zuständig sei. Es könne weder Rechtsregeln setzen noch deren Befolgung durchsetzen. "Die Wirksamkeit von P3P hängt davon ab, dass substanzielle Datenschutzregelungen bestehen - als Ergebnis von Gesetzgebung, Selbstregulierung oder öffentlichem Druck." P3P könne auch nicht sicherstellen, dass die Unternehmen ihre Datenschutzerklärungen befolgten. Täuschungen müssten durch öffentliche Politik, Gesetze und Gerichte gestoppt werden. Dennoch sagt Dix: "Es ist wichtig, dass diese Technik weiterentwickelt wird."
In der Zwischenzeit sollten Surfer wenigstens einige Grundregeln beachten. Die wichtigste: keine Programme aus dubiosen oder unbekannten Quellen herunterladen. Außerdem lassen sich schon heute durch spezielle Einstellungen am Computer Cookies abweisen. Andere Programme wie beispielsweise der Webwasher lassen keine Werbung durch, also keine darin versteckten Kekse. Wieder andere machen es möglich, verdeckt im Netz zu surfen. Allerdings: Auch die Nutzung eines solchen Dienstes ist Vertrauenssache. Schließlich liefert der Nutzer den Betreibern seine Daten frei Haus. Außerdem können Surfer zur multiplen Persönlichkeit im Netz mutieren, also unter ganz unterschiedlichen Pseudonymen auf die Reise gehen. Ihnen sollte es nur gelingen, über sich selbst den Überblick zu behalten.
Bäumler gibt zu: "Ein Königsweg ist nicht in Sicht, vielmehr ist auf absehbare Zeit ein intelligenter Mix der Methoden unabdingbar." Und dazu zählt er auch "den langen Marsch durch die Gesetzgebung und durch internationale Abkommen." Derweil hat er zusammen mit weiteren Datenschützern ein virtuelles Datenschutzbüro im Netz eingerichtet (www.datenschutz.de). Es hält unter anderem eine Art Baukasten bereit, gefüllt mit Werkzeugen zum Selbstschutz wie zum Beispiel kostenlose Anonymisierungs- oder Verschlüsselungsdienste.
"Es gibt keine Privatsphäre mehr. Vergessen Sie das", verkündete hingegen Scott G. McNealy, der Chef von Sun Microsystems. Das war vor zwei Jahren. Doch die Zeiten ändern sich - immer wieder.
Quelle : Die Zeit
