Unter den detaillierten Daten von drei Millionen deutschen Internetnutzern, die nach Recherchen des NDR durch sogenannte Browser-Add-ons gesammelt und weitergereicht wurden, finden sich nach Angaben des Senders auch solche von zahlreichen Politikern auf Bundes- und EU-Ebene und sogar im Bundeskanzleramt. Die sensiblen Informationen umfassen etwa Daten zu Reisen und Terminen, zur Vorbereitung interner Sitzungen, zum Umgang mit Interessengruppen oder auch zu privaten Dingen wie Vermögensverhältnissen und Gesundheit.

Ein Fall ist etwa die grüne Bundestagsabgeordnete Valerie Wilms. Ihre Browserdaten zeigen Reiseverläufe, geben Hinweise auf ihre Gesundheit, ihre Steuerdaten und lassen Einblicke in ihre politische Arbeit zu. "Natürlich kann es schaden. Man wird damit durchaus erpressbar", sagte Wilms dem NDR. Sie fühle sich "nackt demjenigen gegenüber, der die Daten hat".

Wie der Sender berichtet, tauchen in den Daten auch Politiker auf, die in hochsensiblen Bereichen arbeiten, Helge Braun zum Beispiel. Der CDU-Mann ist Staatsminister bei der Bundeskanzlerin und gilt als Vertrauter von Angela Merkel. Über den Computer eines Mitarbeiters Brauns sind seine Informationen in den Datensatz gelangt, den die extra zu diesem Zweck gegründete Tarnfirma des NDR zur Verfügung gestellt bekommen hat. Den Politiker überrascht vor allem, "dass es oftmals ungeachtet der Unzulässigkeit des Datenabflusses schwierig ist, als Anwender diesen überhaupt nachzuvollziehen".

Ein weiterer betroffener Abgeordneter ist der Europaparlamentarier und agrarpolitischer Sprecher der Grünen, Martin Häusling. Mit seinen Daten konfrontiert, reagiert er geschockt: "Aus sowas kann ja jeder ablesen, an was ich arbeite, wo ich selber Recherchen mache, mit wem ich mich treffe." Wer Häusling politisch schaden wolle, könnte mit Hilfe dieser Daten seine Informanten und Gesprächspartner enttarnen, seine Strategien erahnen – und damit seine Arbeit sabotieren. "Wir brauchen als Abgeordnete Vertrauensschutz", sagte Häusling dem NDR.

Ähnlich äußert sich Lars Klingbeil von der SPD. Auch er, als netzpolitischer Sprecher der Partei eigentlich ein Fachmann, ist in dem ausgewerteten Datensatz personalisierbar. "Ich habe nicht gewusst, dass solche Sachen identifizierbar sind", sagte er und forderte neue Gesetze, falls sich herausstellen sollte, dass man den entsprechenden Firmen nicht einfach vertrauen könne. Weitere betroffene Politiker sind der SPD-Politiker Frank Junge, im Finanzausschuss des Bundestags für den Haushalt der Bundesrepublik verantwortlich, und seine Parteikollegin Waltraud Wolff, die im Fraktionsvorstand der SPD tätig ist, sowie Annalena Baerbock, die für die Grünen im Wirtschaftsausschuss sitzt.

Leichte Identifizierung der Nutzer

Zuvor hatte der NDR berichtet, dass die populäre Browsererweiterung Web of Trust (WOT) im großen Stil Nutzerdaten sammelt und diese offenbar ungefragt an Dritte weitergibt. WOT ist ein kostenloses Add-on für gängige Browser wie Mozilla Firefox, Google Chrome, Internet Explorer, Safari und Opera, die eigentlich anzeigen soll, ob man einer Webseite vertrauen kann oder nicht. Die Software wurde nach Angaben des finnischen Herstellers allein bis November 2013 über 100 Millionen Mal heruntergeladen und installiert. WOT weist zwar in seinen Geschäftsbedingungen darauf hin, dass Daten an Dritte übermittelt würden, diese würden aber zuvor anonymisiert, sodass sie keinem einzelnen Anwender zuzuordnen seien.

Das stellen jedoch die Reporter des NDR in Zweifel: Sie konnten demnach in Stichproben anhand des Datensatzes mehr als 50 Nutzer persönlich identifizieren, zum Beispiel über E-Mail-Adressen, Anmeldenamen oder andere Bestandteile der aufgerufenen URLs. Mit Hilfe der Daten ließen sich Reisen einzelner Nutzer nachverfolgen, Rückschlüsse auf Krankheiten, sexuelle Vorlieben und Drogenkonsum schließen. Auch Geschäftsgeheimnisse wie vertrauliche Umsatzzahlen eines Medienhauses und Details zu Ermittlungen eines Polizisten hätten sich rekonstruieren lassen.

"Nach deutschem Recht nicht zulässig"

Der Hamburger Datenschutzbeauftragte Johannes Caspar kritisierte im NDR das Vorgehen des finnischen Softwareanbieters: "Zur Weitergabe von personenbezogenen Daten brauchen Unternehmen grundsätzlich eine Einwilligung der Betroffenen." Der Nutzer müsse genau wissen, wozu er einwilligt. Dies sei bei WOT nicht der Fall. "Hier wird ja deutlich gesagt, es handelt es sich nicht um personenbezogene Daten, was nicht stimmt", sagte Caspar. "Die Bezeichnung 'anonymisiert' ist hier nicht richtig." Eine massive Auswertung der Daten sei daher nach deutschem Recht "nicht zulässig".