Worum geht es?
"Einmal das Übliche, bitte." Wer jeden Morgen in derselben Bäckerei eine Laugenstange und einen Milchkaffee kauft, muss die Bestellung irgendwann gar nicht mehr ausführen. Die Verkäufer/-innen wissen, wer Sie sind und was Sie jeden Morgen kaufen. Eine andere, etwas ungewöhnlichere Formulierung dafür wäre: Die Verkäufer/-innen haben Daten über Sie im Hinterkopf gespeichert.
Was in der Bäckerei nur bei Stammkunden üblich ist, passiert im Netz ständig: Wenn eine Nutzerin etwas in einem Online-Shop kauft, werden Informationen über sie gespeichert und verknüpft. Zum Beispiel ihre E-Mail, die bestellte Ware und die Lieferadresse.
Solche Datenspuren hinterlassen Nutzende bei praktisch jedem digitalen Dienst. Nicht nur, wenn sie Daten ausdrücklich angeben, wie bei der Bestellung im Online-Shop. Die meisten Dienste und Apps sammeln im Hintergrund Daten und das mehr oder weniger unbemerkt. Dazu gehören Standortdaten bei der Navigation, Gesundheitsdaten aus Fitnessarmbändern oder die Songauswahl beim Musikstreaming. Soziale Netzwerke speichern detailliert, welche Inhalte betrachtet und angeklickt werden und wer mit wem interagiert.
Manche Daten müssen gespeichert werden, weil der Dienst sonst nicht funktioniert. Ein soziales Netzwerk zum Beispiel muss die Kontakte seiner Nutzer/-innen "kennen". Darüber hinaus ermöglicht die Speicherung Funktionen, die viele Nutzer/-innen praktisch finden. Zum Beispiel, dass Streaming-Dienste weitere Videos oder Songs vorschlagen, die ihren Geschmack treffen.
Soziale Netzwerke versuchen, anhand der gespeicherten Daten die Interessen der Nutzer/-innen zu erkennen. Auf dieser Grundlage stellen sie die Inhalte zusammen, die den Mitgliedern angezeigt werden – und die Werbung, die sie zu sehen bekommen.
Obwohl Unternehmen häufig beteuern, die Informationen würden anonymisiert gespeichert und gut gesichert, wird diese Praxis von Kritikern/-innen als "kommerzielle Überwachung" kritisiert. Denn das Ausmaß der Datensammlung ist enorm, das Risiko von Missbrauch und Verletzungen der Privatsphäre ist groß. Allein die Nutzungsdaten von sozialen Netzwerken können intime Einblicke in das Leben der Nutzer/-innen ermöglichen. Gleichzeitig ist es praktisch nur schwer möglich, sich der Datensammlung zu entziehen.
Warum ist das wichtig?
Die Auseinandersetzung um unsere Datenspuren im Internet ist aus mehreren Gründen wichtig. Erstens geht es um sensible Daten. Durch das Speichern und Zusammenführen von personenbezogenen Daten und Nutzungsdaten entstehen Profile, in denen potentiell das gesamte digitale Verhalten einer Person gespeichert wird. Diese Informationen erlauben weitreichende Rückschlüsse über die Lebensumstände, die Interessen und sogar die emotionale beziehungsweise psychische Verfassung einer Person.
Zweitens gibt es ein Recht auf den Schutz der Privatsphäre, das aus grundlegenden Freiheitsrechten abgeleitet wird.
Drittens sind wir alle von der Problematik betroffen. Denn bei der heute üblichen Nutzung von Smartphones und dem Internet lässt sich die Preisgabe umfangreicher Informationen über die eigene Person nur mit großem Aufwand und dem Verzicht auf viele Funktionen vermeiden.
Wie entstehen unsere Datenspuren?
Dienste-Anbieter können Daten über ihre Nutzer/-innen sammeln, weil deren Apps und Endgeräte über das Internet mit den Server-Computern der Anbieter in Verbindung stehen. Auf diesen Computern läuft die eigentliche "Arbeit" ab.
Zum Beispiel bei Kartendiensten für das Smartphone: Wenn wir in der Karten-App nach dem Weg von unserem Standort zum nächsten Bahnhof suchen, wird diese Anfrage über das Internet an einen Server geschickt. Dort sind Karteninformationen in riesigen Datenbanken gespeichert. Die Software des Kartendienstes ermittelt eine Antwort und schickt diese zurück an unser Handy. Je nach Karten-App und den Einstellungen auf unserem Handy bleibt die Anfrage in einem Nutzerprofil auf dem Server gespeichert. So kann uns der Kartendienst nach und nach kennenlernen. Wenn wir uns zum Beispiel nachts immer am gleichen Ort aufhalten, schließt der Dienst daraus, dass wir dort wohnen. Und kann uns bei der nächsten Suche in der Karten-App vorschlagen, den schnellsten Weg "nach Hause" zu finden, ohne dass wir die Adresse eingeben müssen.
Besonders einfach ist das Speichern und Zuordnen von Daten für Dienste-Anbieter, wenn Nutzende sich für einen Service anmelden müssen. Große Shopping-Portale wie Amazon oder Video-Streaming-Anbieter wie Netflix speichern das komplette Verhalten eines Nutzers auf ihren Seiten. Angereichert wird dies um sogenannte Meta-Daten, also etwa die genaue Uhrzeit eines Klicks, die Verweildauer auf einer Seite, mit welchem Internetbrowser zugegriffen wird und von welcher IP-Adresse, die wiederum einen Rückschluss auf den Standort zulässt. Eine IP-Adresse ist vergleichbar mit einer Telefonnummer. Jedes Gerät, das mit dem Internet verbunden ist, erhält eine solche Nummer.
Auch bei Webseiten oder Apps, die keine Anmeldung erfordern, fallen Daten an. Manche sind auch zwingend notwendig. Der Server einer Webseite muss die IP-Adresse des Geräts kennen, um eine Verbindung aufzubauen. Damit ein Artikel im Warenkorb einer Shopping-Seite bleibt, auch wenn eine neue Seite geladen wird, muss die Information über den Inhalt des Warenkorbs irgendwo gespeichert werden. Das geschieht über sogenannte Cookies. Das sind kleine Dateien, die auf den Endgeräten der Nutzer/-innen gespeichert werden. Internet-Browser können diese Dateien speichern und lesen.
Cookies werden auch genutzt, um Nutzer/-innen wiederzuerkennen. Kommen sie später wieder auf die Shopping-Seite, kann diese anhand der Cookies etwa abrufen, welche Produkte sie angesehen oder Nachrichten sie schon gelesen haben. Manche Cookies ersparen auch das Login per Passwort.
Cookies und andere Technologien ermöglichen es darüber hinaus, die Nutzer/-innen über mehrere Websites hinweg zu verfolgen. Sogenannte Third-Party-Tracker können über mehrere Websites hinweg verfolgen, in welchen Onlineshops Nutzer/-innen einkaufen, welche sozialen Medien sie nutzen und so weiter. Solche Technologien stecken hinter vielen Werbe-Einblendungen, die wir im Internet zu sehen bekommen. Wenn Nutzer/-innen in einer Suchmaschine nach Wetterdaten für ein beliebtes Urlaubsziel suchen, können sie damit rechnen, dass sie danach auch auf anderen Internetseiten Werbung für Flugreisen zu sehen bekommen.
Das funktioniert, weil viele Dienste und Internetseiten mit denselben Werbe-Netzwerken zusammenarbeiten und deren Tracker-Software einbinden. Daten über das Verhalten der Nutzer/-innen im Internet landen dadurch nicht nur auf den Servern der Dienste-Anbieter, sondern auch auf denen der Werbe-Netzwerke.
Welche Argumente gibt es für die Datensammlung?
Man muss sich weniger Zugangsdaten merken, kann Shoppingtouren oder Suchanfragen unterbrechen und später nahtlos weiterführen – manche Datenspuren machen die Nutzung digitaler Dienste schneller und bequemer. Andere sind für die Funktion des Dienstes notwendig: Eine Navigations-App muss offensichtlich auf den Standort des Geräts zugreifen können. Dass aus den Bewegungsdaten aller Nutzenden Verkehrsinformationen abgeleitet werden, ist zwar nicht notwendig, aber für viele Menschen eine hilfreiche Funktion. Das gilt auch für andere Services, die auf der Analyse personenbezogener Daten basieren.
Genutzt werden diese Daten unter anderem, um Vorhersagen zu treffen. Je mehr Daten, desto genauer die Vorhersage: Wer diese und jene Produkte ansieht, Serien sieht, Spiele spielt, Fitness-Programme absolviert oder Nachrichten liest, der interessiert sich vermutlich auch für andere, ähnliche Produkte, Serien oder Nachrichten. Vorhersagen nach diesem Muster sind zentral für viele Online-Anwendungen.
Aus Sicht der Unternehmen kann die Analyse der Daten also dazu beitragen, ihr Produkt besser oder überhaupt erst möglich zu machen. Gleichzeitig spielen die Daten eine zentrale Rolle für die Werbung, über die sich viele dieser Unternehmen finanzieren und die so möglichst zielgerichtet ausgespielt werden soll.
Was sind die Risiken?
Einerseits bergen digital gespeicherte Informationen das Risiko, missbräuchlich verwendet oder gestohlen zu werden. Andererseits ist es auch eine grundsätzliche Frage, ob beziehungsweise in welchem Umfang es legitim ist, dass Unternehmen detaillierte Daten über praktisch alle Menschen speichern.
Zwar ist die Privatsphäre aus guten Gründen gesetzlich geschützt. Dennoch ist in Diskussionen über möglichen Datenmissbrauch häufig das Argument zu hören: Wer nichts zu verbergen hat, muss auch die Speicherung von Daten nicht fürchten.
Das lässt sich oft durch ein Gedankenexperiment beziehungsweise eine Frage entkräften: Wer würde wirklich jederzeit sein entsperrtes Smartphone einer fremden Person aushändigen? Diese Überlegung macht deutlich, dass es sehr unwahrscheinlich ist, dass jemand wirklich nichts zu verbergen hat beziehungsweise nichts verbergen möchte.
Vielen Menschen ist auch nicht bewusst, welche detaillierten Einsichten aus der Kombination vermeintlich harmloser Informationen generiert werden können.
Für Diskussionen sorgten vor einigen Jahren Berichte darüber, dass die US-amerikanische Supermarktkette Target aus dem Einkaufsverhalten ihrer Kundinnen ermittelt, ob diese schwanger sind – um ihnen entsprechende Werbung zu schicken.
Zuletzt sorgte eine Ankündigung von Google für Aufsehen, der Tech-Konzern beabsichtige die Smartphone-Standortdaten von Nutzer/-innen zu löschen, die in den USA Abtreibungskliniken oder andere sensible Orte wie Kinderwunschkliniken, Frauenhäuser oder Suchtkliniken besuchen. Mit seiner Ankündigung reagierte Google darauf, dass der Oberste Gerichtshof der USA im Juni 2022 das allgemeine Recht auf Abtreibung gekippt hatte.
Können Nutzer/-innen Datenspuren vermeiden?
Viele digitale Produkte, die von der überwiegenden Mehrheit der Deutschen täglich genutzt werden, sind derzeit kaum verwendbar, ohne dass dabei persönliche Daten gespeichert werden. Auch bei der Nutzung vermeintlich unpersönlicher Web-Angebote wie journalistischer Nachrichtenseiten oder Smartphone-Spiele hinterlassen Nutzende Datenspuren.
Es ist nur teilweise und unter Aufwand möglich, zu überblicken, welche Daten an welche Unternehmen fließen, oder darauf Einfluss zu nehmen. Es gibt aber eine wachsende Zahl von Werkzeugen, die dabei helfen sollen. In den mobilen Betriebssystemen iOS und Android ist es in den letzten Jahren einfacher und übersichtlicher geworden, Apps die Berechtigungen zum Auslesen bestimmter Informationen wie Standortdaten zu entziehen oder nur unter bestimmten Umständen zu gewähren. Browser-Plugins wie etwa "Privacy Badger" der US-amerikanischen Electronic Frontier Foundation blockieren Tracker und listen auf, welche auf einer Seite aktiv sind. Ähnliche Funktionen sind in den Browser Firefox seit einiger Zeit bereits integriert.
Auch die sogenannten Cookie-Banner auf Internetseiten sind eine Folge der Bemühungen, den Schutz persönlicher Daten zu stärken. Laut europäischem Recht (siehe nachfolgender Abschnitt) dürfen Internetseiten nur mit ausdrücklicher Zustimmung Cookies auf den Geräten der Nutzer/-innen speichern. Cookie-Banner sollen es Internet-Nutzer/-innen ermöglichen, selbst zu entscheiden – und zum Beispiel die Datensammlung durch Werbe-Cookies abzuschalten. Die Funktionen sind jedoch oft kompliziert und manchmal irreführend gestaltet.
Maßnahmen, die Datenspuren verwischen oder gar nicht erst entstehen lassen sollen, werden unter dem Schlagwort "Digitale Selbstverteidigung" zusammengefasst. Einige Fachleute argumentieren allerdings, dass die Digitale Selbstverteidigung eine Notlösung darstellt, da sie weder vollständigen Schutz garantiert noch für alle gleichermaßen zugänglich ist.
Wie geht die Politik mit den Datenspuren um?
Gefahren für die Privatsphäre und den Datenschutz beschäftigten Gesetzgeber und Gerichte seit Jahren. Seit Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO), in der unter anderem Unternehmen zur Datensparsamkeit verpflichtet werden. Das heißt, sie dürfen nicht wahl- und grundlos Daten anhäufen. Allen Bürgern/-innen räumt die Verordnung das Recht ein, die von ihnen bei einem Unternehmen gespeicherten Daten einzusehen und ggf. deren Löschung zu verlangen. Grundsätzlich muss laut DSGVO eine Einwilligung eingeholt werden, um Daten speichern zu dürfen. Deshalb hat seit 2018 fast jede Webseite ein Banner, in dem auf den Einsatz von Cookies hingewiesen wird. Sowohl der Europäische Gerichtshof (EuGH) als auch der Bundesgerichtshof (BGH) haben allerdings im Jahr 2020 entschieden, dass Nutzer/-innen der Verarbeitung aktiv zustimmen müssen und sie auch ablehnen können.
Noch weiter könnte die Position der Nutzer/-innen durch die E-Privacy-Verordnung gestärkt werden, die derzeit zwischen den Organen der Europäischen Union abgestimmt wird. So könnte es zur Standardeinstellung von Browsern werden, das Tracking verbindlich abzulehnen. Die Werbeindustrie sieht dadurch ihr Geschäftsmodell in Gefahr.