Einkaufen, Bankgeschäfte, Pornos: Im Internet werden an vielen Stellen Daten über das Verhalten der Nutzer gesammelt. Manche Firmen verkaufen sie in Paketen weiter – angeblich anonymisiert und ohne Schaden für den Nutzer. Recherchen des NDR zufolge ist es jedoch einfach, diese Daten konkreten Personen zuzuordnen.

Reporter der NDR-Fernsehmagazine Panorama und Zapp hatten Zugang zu einem umfangreichen, angeblich anonymisierten Datensatz und konnten ihn auswerten. Darin enthalten sind Informationen zu den Netzaktivitäten von mehreren Millionen Internetnutzern im Monat August.

Dem NDR zufolge verraten sie private Details aus dem Berufs- und Privatleben, etwa zu laufenden Polizei-Ermittlungen, den Sado-Maso-Vorlieben eines Richters, zu internen Umsatzzahlen eines Medienunternehmens oder Suchanfragen zu Krankheiten, Prostituierten und Drogen. Die Daten lassen zudem Rückschlüsse darauf zu, wann sich einzelne Nutzer wo aufgehalten haben. Insgesamt umfasst der ausgewertete Datensatz mehr als zehn Milliarden Web-Adressen, die von rund drei Millionen Computern aus Deutschland aufgerufen wurden.

Die Daten waren eine kostenlose Probe

Was sich aus diesen Informationen alles ablesen lässt, zeigt den Recherchen zufolge das Beispiel eines Managers aus Hamburg. Sein Datensatz beinhaltet unter anderem eine Reihe von Links zu einem Online-Speicherdienst, bei dem er Unterlagen zu einem Hausbau abgelegt hat. Offenbar hat er es versäumt, den Zugang mit einem Passwortschutz zu beschränken. Jeder, der diese Adressen kennt, kann deshalb darüber Kontoauszüge, Architektenzeichnungen, Lohnabrechnungen mit Hinweisen auf das Bonus-System des Arbeitgebers, eine Kopie des Personalausweises und detaillierte Auszüge aus den Unterlagen zu einem Bankkredit abrufen. Dabei sind Namen und Anschrift des Managers und seiner Frau ebenso sichtbar wie Telefonnummern und E-Mail-Adressen.

NDR-Angaben zufolge stammt ein Großteil der Daten von einer Browser-Erweiterung, die Nutzern mitteilt, ob eine Website als vertrauenswürdig gilt. Die Erweiterung protokolliert, welche Websites ein Nutzer aufruft und schickt die entsprechenden Adressen an einen Server des Entwicklers. In den Datenschutzbestimmungen steht zwar, dass die Daten erhoben und auch an Dritte weitergegeben werden, das Unternehmen kenne die Identität der Nutzer aber nicht. In Deutschland ist es verboten, personenbezogene Daten ohne Einwilligung der Nutzer zu erheben.

Zwischenhändler verkaufen Nutzerprofile an andere Firmen

Die Entwickler solcher Programme agieren oft aus dem Ausland, ihre Erweiterungen gelangen über Server zum Beispiel in den USA auf die Rechner der Nutzer. Vertrieben werden die großen Datenpakete laut NDR häufig von Zwischenhändlern. Die kämen aus Israel, einige bedienten sich auch Briefkastenfirmen in Ländern wie Panama oder den Britischen Jungferninseln. Zu den Käufern gehören Unternehmen wie Acxiom in den USA, die Profile aus verschiedenen Datenquellen zusammenstellen und an werbetreibende Kunden verkauft, die ihr Publikum möglichst zielgenau ansprechen wollen.

Um an die angeblich anonymisierten Daten zu gelangen, haben die NDR-Reporter eine Scheinfirma gegründet, die vorgibt im "Big Data"-Geschäft aktiv zu sein. Gleich mehrere Unternehmen zeigten Interesse, Daten deutscher Internetnutzer verkaufen zu wollen – ein Unternehmen bot die nun ausgewerteten Daten schließlich als kostenlose Probe an.

Aus welchen anderen Quellen die Daten kommen, wie viele Nutzer wirklich identifizierbar sind und wie das möglich ist, teilte der NDR nicht mit. Am Dienstagabend um 21.15 Uhr wird die Sendung ausgestrahlt.

Update: Bei der fraglichen Browser-Erweiterung handelt es sich um Web Of Trust (WOT). Der NDR hatte dem finnischen Unternehmen dahinter die Gelegenheit gegeben, sich zu äußern, jedoch keine Antwort erhalten. WOT weist auf seiner Webseite darauf hin, dass seine Erweiterung Daten wie etwa Web-Adressen abgreift und an Dritte weitergibt, allerdings handele es sich um nicht-personenbezogene Daten. Reporter des NDR konnten in Stichproben aber mehr als 50 Nutzerinnen und Nutzer persönlich identifizieren.