Hintergrundgespräch zum Skandal um Datenhandel

Hintergrundgespräch

Deutschland erlebt einen seiner ersten Datenskandale der modernen digitalen Wirtschaft. Datenbestände mit dem detaillierten Surf-Verhalten von Millionen von Bürgerinnen und Bürgern wurden gesammelt und weiterverkauft. Die Datensätze ließen sich leicht de-anonymisieren und einzelnen Menschen zuordnen – darunter auch Richter, Journalisten und Politiker. Dies belegen Recherchen der NDR-Journalistin Svea Eckert, die in der letzten Woche veröffentlicht wurden. Die Recherche-Ergebnisse werfen Licht auf das globale Geschäft mit dem Handel von Daten – einem milliardenschweren Markt, der mit unserer heutigen Internetwirtschaft verwoben ist, über den aber kaum etwas in der Öffentlichkeit bekannt ist.

Am 23. November um 18:30 Uhr wird Svea Eckert im Rahmen eines Hintergrundgespräche bei uns zu Gast sein, um über Ihre Recherchen zu sprechen. Veranstaltungsort ist die Stiftung Neue Verantwortung, Berliner Freiheit 2, 10785 Berlin.


Protokoll der Veranstaltung

„Hintergrundgespräch zum Skandal um Datenhandel“
23.11.2016, 18:30 Uhr, Berlin
Protokoll herunterladen (.txt)
 

Es gilt das gesprochene Wort.

Julia Manske: In den Berichten hieß es, Sie haben Zugang bekommen von den Browserdaten von drei Millionen Deutschen. Sie haben in Ihren Filmen gezeigt, dass Sie dafür eine Firma gegründet haben. Wie funktioniert denn das? Wie bekomme ich Zugang zu solchen Daten?

Svea Eckert: Das war auf der einen Seite erstaunlich leicht und auf der anderen Seite harte Arbeit. Ich habe eine Webseite eines Tech-Startups erstellt mit ein paar schicken Fotos und einem passenden LinkedIn-Profil einer dort angestellten Senior Consultant. Damit hatte ich später mehr als 100 Kontakte. Das heißt, ich hatte irgendwann ein einigermaßen glaubwürdiges Profil als Senior Consultant dieses kleinen Tech-Startups.

Unter diesem Namen und mit dieser Legende habe ich angefangen ziemlich großflächig, Firmen anzumailen und anzutelefonieren, in Deutschland aber auch international, also USA, England, Israel, auch Osteuropa. Ich habe im Prinzip eine Liste abgearbeitet.

In der Regel habe ich das Sales-Team angeschrieben, habe geschrieben, dass wir ein junges Startup sind und eine bestimmte Analyse machen wollen. Dafür bräuchten wir ganz bestimmte Daten, Daten aus der „Customer Journey“. So heißt das in der Branche. Immer verbunden mit der Frage: „Was können Sie da anbieten?“.

Julia Manske: Und was genau verstehen die unter Customer Journey?

Svea Eckert: Das ist die Reise des Nutzers im Netz, zum Teil über alle seine Geräte hinweg. Also die Reise des Nutzers, das können Tracker-Daten sein, das können auch Daten von verschiedenen Geräten sein, das können Desktopdaten sein, die aufzeigen was man im einzelnen angeklickt hat.

Ich habe immer offen danach gefragt, weil ich erst mal ins Gespräch kommen wollte und gucken wollte: „Was bieten die Firmen an?“. Das steht oft nicht auf der Homepage. Und dann habe ich einfach abgewartet: „Was kommt zurück?“.

Die Reaktionen waren sehr unterschiedlich. Es gab Firmen, die mir ziemlich deutlich zu verstehen gegeben haben, dass sie keine Nutzerdaten verkaufen. Aber es gab auch eine Handvoll mit denen ich ernsthaft ins Gespräch gekommen bin.

Julia Manske: Und wie sieht das genau aus, also wie bekommt man nun die Daten? Bekommt man da eine CD geschickt und wie öffnet man die? Also mal so ganz praktisch.

Svea Eckert: Es gibt im Netz, ich nenne es mal, virtuelle Ablagekörbe und dort liegen diese Daten drin. Man bekommt einen Zugangscode auf einen Server, dann kann man sich dort einloggen und kann auf dem Server mit den Daten arbeiten oder man kann sie auch herunterladen. Das sind aber solche Datenmassen, dass man sie nicht auf einem normalen Computer oder mit einer Festplatte sinnvoll verarbeiten kann.

Man kann sie nicht mit Excel bearbeiten. Man kann sie nicht als Text-Datei speichern und selbst wenn man sich von den Daten einen Auszug als Text-Datei rausziehen würde, man könnte darin erstmal gar nichts lesen. Die Daten müssen schon irgendwie gefiltert werden, man muss sie aufbereiten.

Ganz konkret heißt das, man kann nicht irgendwie Angela Merkel eintippen und dann kommt ein Ordner und dann steht da „Angela Merkel Best-of“. Man muss sich eine Strategie überlegen: „Wie werte ich die aus?“, weil diese Firmen, das sind ja keine Geheimdienste oder so. Die legen keine Ordner von jeder Person ablegen, sondern das sind Analysefirmen, Statistikfirmen, Tracker-Firmen. Man muss schon selbst heraus finden, was man dann mit den Daten machen kann.

Julia Manske: Konnten Sie jetzt diese Daten öffnen? Haben Sie schon gesehen: „Oh, da ist der Richter, über den auch ein Bericht geschrieben wurde, der bestimmte sexuelle Präferenzen hat, den finde ich jetzt hier und kann jetzt anhand dieser Daten auch noch nachvollziehen, was der gerne abends nach 20 Uhr macht?“

Wir haben nach einer Weile herausgefunden, dass sich Klarnamen finden, wenn die Nutzer sich irgendwo im Netz identifizieren, also zum Beispiel bei XING oder bei LinkedIn oder bei der Deutschen Bahn oder bei Twitter oder wenn sie über den Fernzugriff des Deutschen Bundestages E-Mails abrufen.

Das heißt, wenn man zum Beispiel auf einem Fernzugriff seine E-Mails abruft, dann gibt man bei manchen Unternehmen oder Institutionen seine E-Mail-Adresse ein. Und dann gibt es manche Anbieter, bei denen springt der Name des Nutzers in die URL.

Deswegen haben wir in diesem Datensatz gezielt nach Logins gesucht. Dann hatten wir am Ende Listen mit Login-Daten. Das heißt, das sind dann noch nicht die Daten der Personen selbst, sondern das ist einfach nur, wer da namentlich möglicherweise drin ist in dem Datensatz.

Diese Login-Daten haben wir abgeglichen mit den Namen der Bundestagsabgeordneten zum Beispiel oder mit den Twitter-Namen der Bundestagsabgeordneten. So und da sind ein paar Leute sozusagen „unten rausgefallen“ und die haben wir dann angesprochen.

Julia Manske: Kommen wir mal ein bisschen zu dieser Branche. Also Sie haben das jetzt eben schon beschrieben auch, wie Sie die kontaktiert haben. Sie haben in dem Artikel selber gesagt, es gibt diese multinationalen Firmen, die machen ein Milliardengeschäft mit diesen Daten. Ich glaube, den meisten Nutzern ist inzwischen irgendwie bewusst, das Facebook, Google, die Großen irgendwie Daten sammeln, aber wer sind jetzt diese Firmen? Also wie agieren die? Mit wem agieren die zusammen? Sie haben gerade schon gesagt, in Israel sitzen relativ viele. Also können Sie da ein bisschen mehr erzählen, was das so für Unternehmen sind?

Svea Eckert: Ja, ich finde das sehr interessant, weil diese Unternehmen tragen oft Namen, die man überhaupt noch nie gehört hat. Und es sind zum Teil sehr große Firmen, mit vielen internationalen Dependancen, mit zum Teil sehr vielen, also zum Beispiel auch hunderten von Mitarbeitern. Das heißt, das sind nicht irgendwelche Schattenfirmen, die irgendein geheimes Geschäft im Untergrund machen und Trojaner oder so etwas platzieren.

Sondern das sind große Firmen, die sich in diesem Bereich Werbung, Netzstatistik- und Analyse bewegen. Innerhalb dieses Geschäftsbereiches gibt es ganz verschiedene Sparten und dass man Daten verkauft, ist nur ein kleiner Teil davon. In der Regel arbeiten die Unternehmen mit den Daten zunächst einmal selbst.

Julia Manske: Also die analysieren die dann selber?

Svea Eckert: Ja, die analysieren die oder verkaufen die Analyse. Das ist das Häufigste, was man angeboten bekommt, dass man sich mit seinen eigenen Daten anschließen kann und dann kann man schauen: Kunden, die auf meiner Webseite sind, die waren vorher auf dieser und jener Webseite. Und damit kann ich auch schauen: „Okay, was habe ich für Kunden?“ Kann abfragen: „Wie alt sind meine Kunden? Was machen die sonst so? Wie sieht ein typischer Kunde aus?“ So etwas bieten diese Unternehmen an.

Julia Manske: Es gibt auch von 2014 aus den USA einen Report, den Sie sicher auch gelesen haben von der Federal Trade Commission, in dem es um die Data Broker geht und in dem damals schon gewarnt wird, es braucht mehr Transparenz, es braucht mehr Möglichkeiten, diese Unternehmen zur Rechenschaft zu ziehen. Aber irgendwie hatte man ja immer so ein bisschen das Gefühl, das ist irgendwie so ein amerikanisches Phänomen, vielleicht auch noch so mehr im asiatischen Raum, wo die Regulierung einfach eine ganz andere ist, und uns in Europa und gerade in Deutschland, wie Sie auch eben schon angesprochen haben mit unserem starken Datenschutz, das betrifft uns ja nicht. Wie würden Sie das jetzt bewerten? Also welche Rolle spielt das jetzt eigentlich, dass man als Deutscher im Internet surft?

Svea Eckert: Die Firmen, mit denen ich im Zuge der Recherche Kontakt hatte, war das meinem Eindruck nach relativ egal.

Deshalb finde ich natürlich die Frage nach den Sanktionen interessant. Denn: Wie geht man jetzt damit um? Und wir haben uns dann auch eine Art rechtliche Einordnung geholt, um zu erfahren: „Welche Konsequenzen könnte das jetzt für die Firma haben, die uns diese Daten zur Verfügung gestellt hat?“.

Und da muss man trauriger Weise sagen, dass es derzeit so aussieht, als dass es wenn überhaupt auf eine Abmahngebühr heraus laufen würde, die das Unternehmen relativ gut bezahlen könnte.

Julia Manske: Und würden Sie denn jetzt sagen, von dieser Liste, die Sie angerufen haben, sehr viele Unternehmen haben sich auch irgendwie sehr gewissenhaft verhalten. Würden Sie jetzt sagen, dass Ihre Beobachtung da, dass das jetzt irgendwie ein Ausnahmefall ist, weil das eine ist ja noch mal die Branche und das andere ist aber die schlecht anonymisierten Daten, also einfach die Weitergabe von eigentlich nichtanonymisierten Daten, also würden Sie jetzt sagen, das ist eine Ausnahme oder das ist jetzt nur die Spitze des Eisbergs und da geht es jetzt erst richtig los?

Svea Eckert: Ich finde, dass eine Firma Daten verkauft oder ob es die Daten gibt, ist für mich kein großer Unterschied. Denn die Daten sind da und die sind nicht nur bei dieser einen Firma vorhanden, sondern das ist eine von vielen Firmen.

Ich glaube, das Problem ist, dass es diese Daten gibt. Diese dürfen nicht erst bei den Firmen selbst anonymisiert werden, sondern diese Daten müssten im Prinzip beim Nutzer schon anonymisiert werden. Die müssten beim Nutzer bleiben oder die müssen beim Nutzer anonymisiert werden. Die dürften gar nicht erst an alle Plug-Ins zum Beispiel weitergegeben werden.

Julia Manske: Das ist jetzt eher so die technische Frage auch zu der Weitergabe der Daten und der Art der Daten. Noch mal mit Blick auf die Branche selber, Sie haben im Vorgespräch mal gesagt, das ist eine Industrie außer Kontrolle, das erinnert Sie geradezu an die Bankenkrise, vor der Bankenkrise. Also inwiefern ist da jetzt vielleicht auch ein Erwachen zum Beispiel durch solche Recherchen von Ihnen? Inwiefern gibt es da gerade ein Bewusstsein, dass zum Beispiel die Anonymisierung eine Herausforderung ist und sich die Branche dazu anders verhalten muss?

Svea Eckert: Mein Eindruck war tatsächlich: „Industrie außer Kontrolle“, einfach weil es in diesen Gesprächen, nie um Privacy ging, weil man nicht mehr weiß: „Wer hat alles meine Daten? Was sind das für Unternehmen?“ Und weil mir beim Abtelefonieren dieser ursprünglichen Liste klar wurde, dass also diese 150 Unternehmen, die ich gerade anfange, anzuschreiben, dass das eigentlich ein Witz ist, weil es sehr wahrscheinlich mehr als tausend von diesen Firmen gibt.

Das war das, was mir Sorgen gemacht hat. Auch als ich auf der Digitalmesse „Dmexco“ in Köln war, zum Beispiel. Das ist eine wunderbare Messe aber wenn man diese ganzen Unternehmen sieht und die haben zum Teil Datenschätze auf ihren Servern liegen. Und ich habe natürlich schon gedacht, wenn davon etwas heraus kommt, wenn davon etwas gehackt wird. Wenn das irgendwie ins Netz kommt, so ein Profil von einem Richter oder ein Profil von einem Polizisten - dann ist deren Leben zerstört. Im Sinne von: Seine Freunde werden nicht mehr mit ihm reden oder seine Frau wird sich von ihm trennen. Das ist meine Horrorvision, so eine Art Panama Papers von Deutschland.

Und genau deswegen hatte ich oft das Gefühl mit den Daten, die wir bekommen hatten, die sind wie Giftmüll. Toxisch.

Julia Manske: Was ist jetzt eigentlich die gesellschaftspolitische Dimension? Also was bedeutet das jetzt für eine Gesellschaft, auch gerade noch mal mit Blick auf die Wahlen nächstes Jahr? Wir hatten jetzt mit den US-Wahlen diverse Debatten über Leaks, über Informationen, die rausgekommen sind, die in gewisser Weise vielleicht auch den Wahlkampf beeinflusst haben. Ich meine das Gleiche jetzt hier: Sie haben auch in den Datensätzen Politiker gefunden, Informationen, die vielleicht im Zweifelsfall missbraucht werden können. Also was sind jetzt so die gesellschaftlichen Konsequenzen oder wie können wir in Zukunft damit umgehen?

Svea Eckert: Natürlich haben wir uns auch gefragt: „Was sind mögliche Szenarien? Also was könnte man mit diesen Daten machen?“ Und die sind natürlich schon sehr bedenklich, wenn man zum Beispiel bestimmte Leute unter Druck setzen möchte oder wenn man einfach bestimmte Informationen über Leute sammeln will.

Also ich sage mal, jetzt in diesem kleinen Datensatz, den wir hatten, also eben mit „nur“ rund drei Millionen Menschen, das ist ja nicht so viel. Da wäre es sogar schwierig, eine bestimmte Person heraus zu suchen, also weil die Wahrscheinlichkeit, dass sie überhaupt drin ist, doch klein ist. Aber man kann natürlich nachschauen: „Gib mir alle Mitarbeiter von Airbus oder alle Politiker bzw. deren Mitarbeiter oder alle Mitarbeiter vom NDR, die du da drin hast.“ Das kann man natürlich schon machen und damit könnte man natürlich gezielt versuchen, auf bestimmte Personen halt Einfluss zu nehmen oder über eine Personengruppe Informationen sammeln.

Ich will das gern am Beispiel von Martin Häusling erklären. Das ist ein betroffener Europaabgeordneter. Bei ihm waren viele Reisedaten dabei, weil die Mitarbeiterin, die betroffen war, hat viele seiner Reisen geplant. Das hat ihn sehr erschrocken, weil er sich auf diesen Reise mit Leuten getroffen hat, die ihm Informationen geben, die ihm helfen bei seinen Entscheidungen zum Beispiel über Subventionen. Er sagte, diese Leute, die ihm diese Informationen geben würden, seien oft Wissenschaftler und die wollten auf keinen Fall, dass ihr Name bekannt würde, weil sie sonst ihren Job los wären oder irgendwie Schwierigkeiten bekommen könnte.

Und genau das war auch bei den Journalisten ein großes Problem und das wäre auch bei mir zum Beispiel ein großes Problem, weil so wie diese Recherche und viele anderer meiner Recherchen auch basiert sie auf Informanten und wenn diese Leute kein Vertrauen mehr haben, dass ich sie schützen kann, dann kriege ich keine Informationen mehr und dann kann ich keine guten Geschichten mehr machen.

Das Problem bei solchen Daten ist: Die klaut nicht einer und dann sind sie weg, sondern die klaut einer und dann sind die Daten immer noch da. Es kann sein, dass so etwas sehr lange nicht auffällt.

Julia Manske: Bevor wir jetzt die Diskussion öffnen, noch eine letzte Frage. Was sind denn jetzt Ihre Wünsche? Was hoffen Sie denn, was diese Recherche nun ausgelöst hat und vor allen Dingen bei wem? Wer sollte jetzt aus Ihrer Sicht was auch tun?

Svea Eckert: Mein Wunsch ist vor allem die Nutzer zu sensibilisieren. Dass die Nutzer sich nach unserem Beitrag erst mal alle ihre Plug-Ins sehr genau anschauen. Schauen, brauche ich das wirklich? Von wem stammt dieses Programm, ist das wirklich vertrauenswürdig? Generell eine Sensibilität für seine eigenen Daten zu schaffen, das war mein Hauptanliegen.

Und eine zweite Forderung geht auch an die Industrie und da denke ich weniger an die Datenhändler, bei denen habe ich nicht so viel Hoffnung, sondern tatsächlich eher an die Store-Betreiber der Browser Plug-Ins, wie Mozilla und Google.

Und eine dritte Hoffnung geht natürlich auch in Richtung Politik, denn die Ausgestaltung der europäischen Datenschutz-Grundverordnung ist im Moment in der Diskussion und ist in Teilen sehr umstritten und meine Hoffnung ist natürlich, dass der Datenschutz in dieser Ausgestaltung auch die Rolle bekommt, die er verdient.

Ende des Protokolls.

 

Mit: 

Svea Eckert, Netzwelt Journalistin ARD und NDR Fernsehen

Datum: 
23.11.2016 - 18:30 bis 20:00