CW: Sie sagen, bei Google, Yahoo, Facebook, Twitter und den meisten anderen sozialen Websites sei das Geschäftsmodell nicht der Betrieb einer Plattform. Vielmehr gehe es um die Verwertung der Daten von den Leuten, die sich auf diesen Seiten tummeln.

KÖHLER: Es wird ja oft der Eindruck erweckt, als ob Betreiber, wenn sie solche Seiten ins Leben rufen, gar kein Geschäftsmodell haben. Erst später würden sie sich Gedanken über ein Geschäftsmodell machen. Meiner Meinung nach ist das falsch. Ich glaube, dass von vornherein klar ist, auf welches Geschäftsmodell diese Betreiber abzielen - nämlich auf den Verkauf von Nutzerdaten an die werbetreibende Industrie und in dem einen oder anderen Fall auch schon mal an behördliche Abnehmer. Der Nutzer ist bei solchen Plattformen eigentlich immer nur ein Datenlieferant und kein Kunde.

CW: Ist das bei allen Social-Media-Plattformen so?

KÖHLER: Eine Ausnahme sehe ich bei Xing. Da ist das Geschäftsmodell grundlegend anders. Xing bietet Nutzern einen Premium-Zugang an - einen kostenpflichtigen also. Damit wird die Plattform finanziert. Für Xing ist also der Druck, Daten zu verkaufen, nicht so groß.

CW: Xing ist ein deutsches Unternehmen, Facebook, Twitter & Co. sitzen in den USA. Sehen Sie da Zusammenhänge?

KÖHLER: In der Tat stammen die großen Betreiber sozialer Netze aus den Vereinigten Staaten. Jenseits des Atlantiks gibt es andere Vorstellungen von Datenschutz und Privatsphäre. Hier mit deutschen oder europäischen Maßstäben heranzugehen würde in die Irre führen.

CW: Sind denn die deutschen Bestimmungen zum Thema Datenschutz so viel rigider als in den USA? Ist es nicht vielmehr so, dass hierzulande zwar viel diskutiert wird, Verstöße gegen den Datenschutz aber am Ende meist keine Folgen haben?

KÖHLER: Ich bin kein Jurist, ich kann nur meine Beobachtungen mitteilen. Und ich stelle in der Tat fest, dass deutsche Unternehmen, die bisher gegen Datenschutzbestimmungen verstoßen haben, nur mit vergleichsweise lächerlich geringen Bußgeldern belegt wurden. Das Datenschutzrecht, wie wir es hierzulande handhaben, ist ein zahnloser Tiger.

CW: Manche Unternehmen geben sich in Sachen Datenschutz ja auch gerne etwas ahnungslos.

KÖHLER: Mein Eindruck ist, dass sich gerade Web-2.0-Unternehmen in puncto Datenschutz oft mit dem Argument einer Startup-Kultur entschuldigen. Das ist aber bei Firmen, die schon Milliardenumsätze machen, eher seltsam. Da passt das Start­up-Argument nicht so ganz.

Im Prinzip kann gelten: Viele Unternehmen machen, was sie wollen, und schauen mal, wie weit sie gehen können. Werden sie erwischt, rudern sie wieder ein bisschen zurück, um das öffentliche Ansehen nicht zu sehr zu beschädigen. Ich sehe das Gebaren, das da an den Tag gelegt wird, durchaus kritisch.

CW: Sie hatten gesagt, dass Xing in puncto Datenschutz seriöser operiert…

KÖHLER: Wie gesagt: Es ist ein deutsches Unternehmen, das den hiesigen Datenschutzbestimmungen unterliegt. Prinzipiell muss sich jeder Nutzer von sozialen Medien aber darüber im Klaren sein, dass er die Hoheit über seine Daten zumindest zum Teil abgibt. Und dieser Prozess ist auch nicht wieder umkehrbar. Wem man da traut, ist individuell natürlich verschieden.

Wem zu trauen ist und wem nicht

CW: Wem trauen Sie?

KÖHLER: Ich vertraue - in gewissem Rahmen - einer Firma Xing. Ich traue Facebook nicht, und dies wegen verschiedener Vorfälle in der Vergangenheit.

CW: Wenn man Premium-Kunde bei Xing ist, hat man aber auch die Möglichkeit, persönliche Daten von anderen Profilen abzusaugen.

KÖHLER: Theoretisch besteht bei jeder großen Plattform die Gefahr, dass massenhaft Daten abgesaugt werden. Es war ja schon immer möglich, sich Profile zu erstellen. Der Unterschied zu früher ist, dass sich Daten heute auf Knopfdruck sammeln lassen. Sie müssen daher als Nutzer abwägen, was es Ihnen wert ist, Ihre Daten preiszugeben.

CW: Social-Media-Plattformen sind für Unternehmen auch deswegen interessant, weil sie jede Menge Daten etwa zum Kundenverhalten liefern.

KÖHLER: Ein gutes Beispiel dafür ist die Social-Media-Plattform "Skimble". Damit können Sie über eine iPhone-App mitprotokollieren lassen, wann Sie welchen Sport wie intensiv betreiben. Über Schnittstellen zu Twitter und Facebook lassen sich diese Informationen im Sekundentakt posten, also als kleine Nachricht verschicken. Diese Daten kann aber beispielsweise auch eine Krankenversicherung festhalten. Es ist durchaus nicht klar, was mit diesen Daten so alles passiert. Ähnlich funktioniert der neue Dienst "Dailybooth". Das ist quasi ein Online-Tagebuch, dem Sie mitteilen können, wo Sie sind, was Sie kaufen etc.

CW: Sie monieren, dass sich die Sicherheitseinstellungen von Social-Media-Plattformen wie Facebook immer wieder ändern. Verfolgt Facebook mit diesem Vorgehen eine bestimmte Absicht?

KÖHLER: Die Privacy-Einstellungen bei Facebook waren für Otto Normalverbraucher zumindest zeitweise praktisch völlig unbenutzbar. Die ständigen Änderungen bei den Sicherheitsvorgaben bergen zudem eine Gefahr: Dem Nutzer werden beim Einloggen Default-, also Standardeinstellungen angeboten. Wenn er die einfach bestätigt, ohne zu prüfen, ob sich seit dem letzten Besuch auf der Seite etwas geändert hat, macht er unbewusst Informationen öffentlich, die er gar nicht freigeben wollte. Außerdem gibt Facebook unabhängig von allen Privacy-Einstellungen durch die Öffnung für andere Web-Anwendungen und Applikationen Daten an diese weiter. Der Nutzer wird über diesen Sachverhalt nicht ausreichend informiert.

Ist Facebook böse?

CW: Wir reden hier über Nutzer, die Mitglieder bei Facebook sind. Aber auch wenn man diesem sozialen Netz gar nicht angehört, scheinen persönliche Daten bei Facebook zu landen.

KÖHLER: Das ist in der Tat so. Sobald einer Ihrer Kontakte seine eigenen Adressbücher hochlädt und für Facebook freigibt, besitzt Facebook diese Informationen und damit auch die Informationen über Sie als Nicht-nutzer. Facebook kann dann Ihre Daten mit seinem gesamten Datenbestand abgleichen und so ein weitgehend komplettes Netz Ihrer privaten Kontakte rekonstruieren. Zu Ende gedacht, bedeutet dies, dass selbst dann, wenn Sie nicht einmal Internet-Nutzer wären, Facebook in den Besitz Ihrer Daten kommen könnte.

CW: Zur Ehrenrettung von Facebook muss man aber sagen, dass es dem Nutzer anheimgestellt wird, ob er seine Adressverzeichnisse von Facebook auslesen lassen will.

KÖHLER: In der Tat ist es freiwillig, das zuzulassen. Aber dem Nutzer wird suggeriert, dass er nur Vorteile davon hat, wenn er das Adressbuch lädt. Natürlich ist es gerade für Facebook-Neulinge vielleicht bequemer, wenn der Social-Network-Betreiber durch einen Abgleich der Kontaktdaten im persönlichen Adressverzeichnis des Benutzers in der Lage ist, diesem zu sagen, wer von dessen Bekannten bereits Mitglied bei Facebook ist. So werden aber eben auch Daten von Leuten offengelegt, die bislang nicht registriert sind und das vielleicht auch gar nicht sein wollen. Ich halte dieses Auslesen von Adressverzeichnissen für grenzwertig.

CW: Glauben Sie, dass Facebook diese Funktion bewusst anbietet, um möglichst viele persönliche Daten abzuschöpfen?

KÖHLER: Über die Absichten von Facebook kann man natürlich nur spekulieren. Aber es drängt sich durchaus der Eindruck auf, dass hier gezielt Daten abgesaugt werden sollen.

CW: Nun kann ja jeder selbst entscheiden, ob er einem sozialen Netzwerk beitritt. Genauso kann man sich auch wieder aus solch einer Community verabschieden, seinen Account löschen, und alles ist gut. Wahr oder nicht wahr?

KÖHLER (lächelt): Tatsächlich können Sie bei keinem der sozialen Netzwerke Ihren Account ohne erheblichen Aufwand löschen. Dort sind ja nicht nur Ihre eigenen Daten gespeichert, sondern auch die Beziehungsdaten von und zu anderen Nutzern. Im besten Fall können Sie Ihre eigenen Daten aus dem System entfernen, aber keine anderen. Das ist übrigens nicht nur ein Charakteristikum des Social Web. Das Problem haben Sie auch mit anderen Internet-Diensten. Dort wird es Ihnen oft ebenfalls schwer gemacht, sich abzumelden, zu kündigen etc. Manchmal ist das nahezu unmöglich.

CW: Hätten Sie ein Beispiel?

KÖHLER: Nehmen Sie die Fluglinie Germanwings: Flüge buchen und online einchecken können Sie auf deren Seite einfach und schnell. Versuchen Sie aber mal als Fluggast, Ihre Rechte einzufordern, wenn Sie einen Flug beispielsweise nicht antreten können. Dann bekommen Sie ein 18-seitiges Formular mit farbigem Hintergrund, das Sie ausdrucken und in das Sie die gleichen Daten mehrmals hineinschreiben müssen, bevor Sie das Ganze mit der Post verschicken. Der Prozess ließe sich online auf einfache Weise abbilden, stattdessen tut man aber alles, um den Kunden davon abzuhalten, seine Rechte geltend zu machen. (Diese Praxis von Germanwings hat das Landgericht Köln jetzt als unzulässig gewertet, Anm.d.Red.).

Solch ein Verhalten finden Sie bei den Betreibern sozialer Netze auch. Hier sind die Hürden für eine Kündigung des Accounts ebenfalls sehr hoch. Sie müssen zwar keine Briefe schicken oder zum Notar gehen. Aber es ist für den Benutzer umständlich und kompliziert, sich abzumelden.

Klagen helfen nicht

CW: Es soll Beispiele geben, bei denen der Plattformbetreiber trotz der Aufforderung, einen Account zu löschen, die Daten weiter gespeichert hält.

KÖHLER: Letztendlich weiß niemand, wie ein Anbieter auf solch eine Löschanforderung reagiert. Es steht zu befürchten, dass in den meisten Fällen die Daten länger gespeichert werden. Das hängt natürlich auch mit dem Umstand zusammen, dass es technisch viel weniger aufwendiger ist, alle möglichen Daten zu speichern, als sie gezielt oder selektiert zu löschen.

CW: Problematisch ist auch, dass Fotos, die andere Personen von mir bei sich einstellen, auch dann im sozialen Netz verbleiben, wenn ich mich aus diesem verabschiede.

KÖHLER: Diese Fotos bleiben natürlich bei diesem Dritten und in dessen Account drin. In der Praxis ist es so gut wie unmöglich, die Betreiber eines sozialen Netzes dazu zu bewegen, unerwünschte Fotos vom Netz zu nehmen.

CW: Klagen helfen da nicht?

KÖHLER: Im Zuge der Recherchen für mein Buch "Die Internet Falle" bin ich auf viele Nutzer gestoßen, die genau solche Klagen anstrengen. De facto sind all diese Klagen wenig erfolgversprechend.

CW: Gibt es eine Erklärung für diesen unbefriedigenden Zustand?

KÖHLER: Gerade in Deutschland ist diesbezüglich die Rechtslage ziemlich unklar, insbesondere wenn es um die Aktivitäten ausländischer Betreiber hierzulande geht. Meiner Ansicht nach hinkt geltendes Recht hier mindestens ein Jahrzehnt hinter der Lebenswirklichkeit her. Das kommt den Betreibern solcher Seiten, die natürlich nur ungern etwas ändern wollen, entgegen.

CW: Anbieter sozialer Netze arbeiten an Software, die Personen anhand von Fotos automatisch identifizieren kann. Bisher lief das weitgehend über die Registrierung und die Vergabe von Schlüsselbegriffen (Tagging).

KÖHLER: Wenn ein Nutzer einmal identifiziert ist, etwa durch ein Tagging oder weil er ein Foto von sich selbst in sein Profil gestellt hat, erkennt eine Gesichtserkennungssoftware aus Millionen und Milliarden von Fotos diese Person sofort. Für den unbedarften Benutzer ist solch eine Funktion vielleicht sogar sehr angenehm. Aber sie ist auch gefährlich, weil anhand von Bildmaterial Inhalte gefiltert und angezeigt werden können, die sonst normalerweise nicht öffentlich geworden wären.

CW: Künftig kann man also über einen Fotoabgleich herausfinden, welcher Benutzer sich wo im Internet herumtummelt - etwa auf Seiten für Bekanntschaftsanzeigen oder sonstigen Websites, von denen der Betreffende nicht will, dass er dort wiedergefunden wird.

KÖHLER: Genau. Das wäre dann das letzte Glied in einer Kette, die der De-Anonymisierung von Menschen dient, die sich im Internet bewegen. Das geht ja mit anderen Daten im Prinzip heute auch schon. Auch da kann man mit einer bestimmten Menge an Daten Rückschlüsse auf die Identität einer Person ziehen.

CW: Spielen Sie auf Fälle an, in denen Nutzer sozialer Netze, die glaubten, inkognito unterwegs zu sein, enttarnt wurden?

KÖHLER: In der Tat hinterlassen auch versierte Nutzer ab einem gewissen Aktivitätsgrad im Internet Spuren, die sich zurückverfolgen lassen. Es gab den Fall eines Menschenrechtsaktivisten. Der hatte eine Leidenschaft für Nazi-Memorabilien. Er bewegte sich ausschließlich unter dem Pseudonym "flak88" im Netz und dort vor allem in verschiedenen Foren, in denen solche Waffen, Kleidungsstücke etc. getauscht werden. Irgendwann fiel er aber Bloggern auf, die ihn daraufhin observierten, seine Spuren zusammentrugen und letztlich seine Identität offenlegen konnten. Dieser Mann war natürlich für die Menschenrechtsorganisation nicht mehr tragbar.

Oder nehmen Sie den Fall von Konstantin Neven Dumont. Von dessen Rechner aus wurden unter verschiedenen Identitäten Beiträge auf dem Blog von Stefan Niggemeier veröffentlicht mit teils wirren und absurden Äußerungen. Die unterschiedlichen Postings glichen sich aber in der Sprache. Zudem war die IP-Adresse des Rechners, von dem die Beiträge aus gepostet wurden, immer die gleiche. Das war dann natürlich sehr eindeutig, Konstantin Neven Dumont wurde identifiziert. Inzwischen hat er erklärt, dass von seinem ungeschützten Rechner aus verschiedene Personen unautorisiert gepostet hätten.

Was uns noch alles droht

CW: Eine andere Form der De-Anonymisierung ist die Möglichkeit, persönliche Daten von Personen - hier gezielt Adress­daten - mit Informationen aus Location-based-Services-Anwendungen zu verbinden. Für London gibt es etwa die Applikation "Anti-Social Behaviour Order". Diese greift auf öffentliche Daten von Behörden zu, die Strafbescheide wegen Ordnungswidrigkeiten ausstellen. So lässt sich dann ein Profil des sozialen Umfelds einer Person entwickeln.

KÖHLER: Hier werden verschiedene Datenquellen in so genannten Mashups kombiniert, um neue Informationen zu gewinnen. Das konnte man zwar in der Vergangenheit auch schon. Aber es war sehr aufwendig. Heute geht das automatisiert. Wenn man die Informationen der Londoner Behörden kombiniert mit Geo-Daten, kann man sich anzeigen lassen, in welchen Stadtteilen verstärkt gegen Gesetze verstoßen wird. Die Website http://www.brennende-autos.de/www.brennende-autos.de ist so etwas Ähnliches: Im Prinzip ist das ein Atlas der Berliner Problemgebiete.

CW: Das Problem der Anonymisierung beziehungsweise De-Anonymisierung hat Techcrunch-Gründer Michael Arrington einmal verdeutlicht, indem er auf Facebook einen Account unter dem Namen einer anderen Person angelegt hat. Von diesem Menschen besaß er ein paar Daten wie etwa eine E-Mail-Adresse. In diesem Fall ging es um den Google-Top-Manager Eric Schmidt.

KÖHLER: Sie sprechen das Thema Identitätsdiebstahl an, ein sehr großes Problem gerade auch in sozialen Netzen. Hier kreiert jemand einen Account unter dem Namen einer anderen Person. Man kann aber auch - wenn man das Passwort von jemand anderem kennt - dessen Account missbrauchen. Das spielt beispielsweise bei Ebay eine große Rolle. Anbieter, die dort mit einer sehr positiven Kundenbewertung glänzen, sind natürlich temporär interessant für halbseidene oder klar betrügerische Anbieter. Letztere versuchen unter der Flagge etablierter Anbieter Geschäfte zu machen. In sozialen Netzen ginge das im Prinzip auch.

Auch auf Twitter ist man vor solchen Manipulationen nicht gefeit. Nehmen Sie das Beispiel von British Petroleum. Dort hat sich jemand als BP-Pressestelle ausgegeben und gefälschte Pressemitteilungen publiziert. In dem Fall waren die allerdings für jeden erkennbar so satirisch abgefasst, dass man die Absicht durchschauen musste.

CW: Eine ganz neue Möglichkeit, den Internet-Benutzer als Datenquelle zu benutzen, macht sich offensichtlich Amazon zueigen: User des E-Book-Readers Kindle können Anmerkungen zu Texten auf ihrem digitalen Lesegerät machen.Was wahrscheinlich die wenigsten wissen ist, dass Amazon diese Anmerkungen festhält, speichert und veröffentlicht.

KÖHLER: Wenn ich - zumindest auf der US-amerikanischen Version des E-Book-Readers Kindle - Anmerkungen mache, gehen diese an den Anbieter und werden von diesem ausgewertet. Als Benutzer solch eines Geräts erwarte ich so etwas natürlich nicht. Amazon kann übrigens noch viel mehr und hat das auch schon praktiziert: Das Unternehmen kann mir ein auf dem Kindle gespeichertes Buch wieder auf dem Lesegerät löschen, ohne dass es mich davon vorher informiert oder mich fragt.

CW: Das ist ironischerweise mit George Orwells Bestseller "1984" passiert. Das Geld bekam der Käufer immerhin zurück.

KÖHLER: Schon wahr. Die Argumentation von Amazon ist, dass der Leser den Roman von Orwell ja nur lizenziert und nicht gekauft hat. Das muss man sich einmal vorstellen: Ich kaufe im Geschäft ein Buch. Irgendwann dringt jemand aus dem Buchladen in meine Wohnung ein, nimmt es wieder mit und legt mir den Kaufpreis - quasi als Entschädigung - auf den Tisch. (jm)