Soziale Netzwerke Vernetzen kann verletzen

Der offene Profilautausch in sozialen Netzwerken widerspricht der Datenschutzidee. Doch gibt es Unterschiede zwischen den Angeboten, wie eine Studie belegt

Aus Sicht des Datenschutzes sind Soziale Netzwerke eine gefährliche Idee : Geht es bei Angeboten wie Facebook oder StudiVZ - das wie DIE ZEIT und ZEIT ONLINE zum Holtzbrinck-Verlag gehört - doch darum, private Informationen möglichst vielen Menschen möglichst leicht zugänglich zu machen. Denn nur so hat das Mitmachen dort auch Sinn . Eine freiwillige Aufgabe von Anonymität und Privatsphäre also, um Aufmerksamkeit zu bekommen. Damit jedoch ist nicht automatisch jeder Schutz dieser Daten verwirkt. Auch wenn das ein gern vorgebrachtes Argument ist, vor allem bei Politikern .

Nach innen zwar sind möglichst wenige Barrieren gewünscht, außerhalb des Netzwerks aber sollen die Daten nicht jedem zugänglich sein. Wie gut es bei den Sozialen Netzen um diesen Schutz bestellt ist, hat nun das Fraunhofer Institut für Sichere Informationstechnologie untersucht. Die Studie macht dabei durchaus Unterschiede aus.

Insgesamt schauten sich die Wissenschaftler von März bis August 2008 die Netzwerke MySpace, Facebook, StudiVZ, Wer-kennt-wen, Lokalisten, Xing und LinkedIn an. Vor allem interessierte die Forscher, wie einfach die Streuung der Daten kontrolliert werden kann, zum Beispiel, indem Teile des Profils nur festgelegten Nutzergruppen zugänglich sind und ob gesperrte Informationen von außen nicht erreichbar sind. Schließlich, so die Prämisse, werde die Privatsphäre von den Nutzern nicht vollständig aufgegeben, immerhin "möchte man bestimmte Fotos zwar mit seinen Freunden teilen, aber nicht mit einem potenziellen Arbeitgeber".

Nicht untersucht wurde, wie die Daten bei den Anbietern gesichert und verarbeitet werden und ob es möglich ist, gegen den Willen der Nutzer und Betreiber an sie heranzukommen.

Die Wissenschaftler geben zu, dass offener Informationsaustausch und Schutzbedürfnisse sich widersprechen. Daher beschäftigten sie sich vor allem mit den Kontrollmöglichkeiten, also "ob, wie, in welchem Umfang und mit welchen Mitteln Nutzer den Informationsfluss in der Plattform steuern können". Von Interesse waren dabei nur jene Daten, die auch "privatsphärenrelevant" sind, mit deren Wissen also sich andere manipulieren lassen oder ihr Verhalten vorhersagbar wird. Gemeint sind damit – laut Definition im §3 Absatz 9 Datenschutzgesetz – politische und religiöse Überzeugungen oder auch Hinweise auf die Gesundheit oder sexuelle Vorlieben.

Was besagen die Ergebnisse? Erstens: Alle Sozial-Netzwerke sammeln mehr Daten, als sie eigentlich brauchen. Es sei "im Grunde überflüssig", dass für die Anmeldung vollständige Geburtsdaten (Facebook, StudiVZ) oder die Postleitzahl des Wohnortes (MySpace) angegeben werden müssen. Bei den Geschäftsplattformen (Xing, LinkedIn) seien Angaben zur beruflichen Situation unnötig: "Dieser umfangreiche Datensatz ist nicht zwingend notwendig, um den Dienst technisch zu realisieren oder rechtliche Anforderungen abzudecken."

Zweitens: "Das Thema 'Verschlüsselung' ist bei fast allen Plattformen problematisch." Lediglich Xing schütze die gesamte Sitzung. Bei Facebook, StudiVZ und LinkedIn seien zumindest Anmeldung und Konfigurationsseiten verschlüsselt und somit Nutzername und Passwort geschützt. Nicht verschlüsselt werde bei MySpace, Wer-kennt-wen und Lokalisten.

Drittens: MySpace, StudiVZ und Facebook böten die besten Möglichkeiten, die eigenen Daten zu verwalten und den Zugang zu ihnen zu kontrollieren. Bei den beiden letzteren aber müsse der Nutzer Kompromisse eingehen. Schlusslicht sind demnach die Lokalisten, dort gebe es solche Einstellungsmöglichkeiten nicht. Bei den voreingestellten Standardkonfigurationen im Übrigen hätten alle Plattformen "mangelhaft abgeschnitten". Die Profile seien weitgehend offen und für einen Datenschutz "völlig ungeeignet" gewesen.

Viertens: Bilder und Videos werden bei allen Netzwerken in die Profile verlinkt. Dadurch seien sie auch von außen zugänglich. Keine der Plattformen verändere die URL solcher Mediadaten. Sei sie bekannt, könnten sie direkt angesteuert werden. Die experimentelle Suchmaschine "Polar Rose" beispielsweise kann solche URLs finden, die Bilder zeigen, und versucht, ihnen Namen zuzuordnen.

Fünftens: Problematisch sei teilweise auch der Umgang mit gelöschten Profilen. Bei MySpace, StudiVZ, Wer-kennt-wen und LinkedIn sei das Löschen einfach und vollständig. Bei Xing und den Lokalisten sei es aufwändiger und bei Facebook gar nicht erst vorgesehen. Dort könne das Profil nur deaktiviert werden. Wenn gelöscht werde, dann geschehe das bei fast allen vollständig, also auch mit Foreneinträgen oder Blogkommentaren. "Nicht so gründlich sind StudiVZ und Wer-kennt-wennt, bei denen die Daten nur durch Austausch des Autorennamens eingeschränkt anonymisiert werden. Bei Xing entfällt selbst dieser Austausch des Namens."

Fazit: "Hinsichtlich des Privatsphärenschutzes konnte keiner der getesteten Dienste überzeugen." Noch den besten Eindruck hatten die Forscher von Facebook, den schlechtesten von den Lokalisten. Die beschwerten sich umgehend via Pressemitteilung, wie hier die taz blogt.

Wie gut oder schlecht ein Soziales Netzwerk auch sein mag, das Fraunhofer Institut empfiehlt beim Bewegen darin grundsätzlich Vorsichtsmaßnahmen. Beispielsweise sollten immer die Zugriffskontrollen überprüft und genutzt werden. Auch sei wichtig, für private und geschäftliche Kontakte verschiedene Anbieter zu verwenden. Eine Vermischung könne vor allem mit potenziellen Arbeitgebern Probleme bringen.

Wer auf die Kontakte aus den Netzwerken nicht verzichten will, deren Datenschutzmaßnahmen aber nicht traut, kann auch selbst etwas tun. So zum Beispiel. Doch könnte das Probleme geben. Noch einmal die Studie: "Allerdings verstößt diese Praxis bei vielen Anbietern gegen die Allgemeinen Geschäftsbedingungen und kann zum Ausschluss aus dem Dienst führen."

Update: Der Bundesdatenschutzbeauftragte Peter Schaar hat vor drei Tagen auf einer internationalen Konferenz mehr Schutz für die User solcher Netzwerke gefordert. "Wir wollen auf keinen Fall die Verantwortung auf die Nutzer abwälzen. Betreiber dieser Netzwerke und Regierungen müssen sich auch verantwortlich zeigen", sagte Schaar.