Computer-Tastatur | Bildquelle: dpa

Handel mit Nutzerdaten Milliardengeschäft mit ausgespähten Daten

Stand: 01.11.2016 06:09 Uhr

Wo kaufen Nutzer im Netz ein, wonach suchen sie? Weltweit tätige Firmen machen daraus ein Milliardengeschäft - angeblich anonymisiert. NDR-Recherchen zeigen, wie einfach sich diese Daten konkreten Personen zuordnen lassen - mitsamt Details aus dem Privatleben.

Von Svea Eckert, Jasmin Klofta und Jan Lukas Strozyk, NDR

Es ist der 17. August 2016, kurz vor sieben Uhr abends, als Herr H. in Hamburg auf seinem Dienstcomputer die Webseite seines privaten Online-Datenspeichers ansteuert. Kurz zuvor hatte er sich über die Leistungen seines Arbeitgebers für Familien informiert und bei einem Forum für werdende Eltern eingeloggt. Herr H. wird offenbar Vater.

Kurz darauf öffnete er online gespeicherte Unterlagen zum Bau seines Hauses: einen Kaufvertrag, Architektenzeichnungen, Kontoauszüge, Gehaltsabrechnungen, Kreditanträge - all diese Unterlagen hatte er zuvor in den Web-Speicher geladen. Herr H. und seine Frau bauen ein neues Haus für die Familie.

Er ist einer von Millionen deutschen Internet-Nutzern, deren Surf-Vergangenheit von Datenhändlern zum Verkauf angeboten wird. Der Link zu seinen privaten Unterlagen ist Teil eines großen Datenpakets, das Reporter des NDR auswerten konnten. Dieses stammt von einem ausländischen Anbieter solcher Nutzerdaten und umfasst alle im August aufgerufenen Webseiten von rund drei Millionen Nutzern, das entspricht rund einem Prozent des deutschen Internet-Verkehrs.

Insgesamt sind es mehr als drei Milliarden Einträge jeweils mit Datum, Nutzerkennung und mehreren Web-Adressen versehen und so erhältlich auf dem freien Markt. Denn längst hat sich eine Industrie gebildet, die daraus ein Milliardengeschäft gemacht hat: Zwischenhändler sammeln die Nutzerdaten, schnüren sie zu großen Datenpaketen, verkaufen sie weiter.

Lücke beim Datenschutz im Netz
tagesschau 11:00 Uhr , 01.11.2016, Svea Eckert, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Browser-Verläufe sind die harte Währung

Die Problematik ist nicht neu: Immer wieder fallen einzelne Unternehmen dadurch auf, dass sie die Daten ihrer Nutzer nicht in deren Interesse schützen. Das Marktforschungsunternehmen IDC hat eine Studie veröffentlicht, nach der mit "Big Data"-Analysen und dazugehörigen Dienstleistungen im Jahr 2015 weltweit rund 122 Milliarden US-Dollar Umsatz erzielt worden sind.

Nur einen Teil davon machen Nutzerdaten aus, aber Browser-Verläufe, wie der von Herrn H., sind eine der harten Währungen in dieser Branche. Sie erlauben gezielte Werbeeinblendungen und geben Rückschlüsse auf das Surf-Verhalten der Nutzer, wodurch sich zum Beispiel Webshops attraktiver gestalten lassen. Sie können aber eben auch intimste Details preisgeben, wenn die Anonymität des Nutzers nicht sichergestellt wird. In den falschen Händen helfen solche Informationen Identitätsdieben oder lassen sich von Erpressern missbrauchen.

Rückschlüsse aufs Privatleben

Das Beispiel von Herrn H. ist nur eines von vielen Nutzer-Profilen, das die NDR-Reporter in einer Stichprobe konkreten Personen zuordnen konnten. Die vorgefundenen Web-Verläufe geben Geheimnisse aus dem Berufs- und Privatleben preis: Informationen zu laufenden Polizeiermittlungen, die Sado-Maso-Vorlieben eines Richters, interne Umsatzzahlen eines Medienunternehmens und Web-Recherchen zu Krankheiten, Prostituierten und Drogen. Die Daten lassen auch Rückschlüsse darauf zu, wann sich einzelne Nutzer wo aufgehalten haben und erlauben so, Bewegungsprofile zu erstellen.

Um an die Informationen zu gelangen, haben die NDR-Reporter eine Scheinfirma gegründet, die vorgeblich im "Big Data"-Geschäft aktiv ist. Gleich mehrere Unternehmen zeigten sich bereit, die Web-Daten deutscher Internet-Nutzer verkaufen zu wollen - ab rund 10.000 Euro monatlicher Gebühr. Die nun ausgewerteten Daten bot ein Anbieter schließlich als kostenlosen Probedatensatz an.

Praktische Helfer, die zum Spion werden

Die Recherchen deuten darauf hin, dass sie über Browser-Erweiterungen, sogenannte Add-ons, erhoben worden sind: Diese kleinen Zusatzprogramme dienen sich als praktische Helfer im Alltag an, zum Beispiel um Downloads zu verwalten oder die Sicherheit von Webseiten zu prüfen. Doch einmal installiert, übermitteln die Programme im Hintergrund alle besuchten Seiten eines Nutzers an einen Server, wo die Daten gesammelt und zu Nutzerprofilen gebündelt werden.

Dieses Ausspähen ist für den Nutzer unangenehm, vor allem aber ist er juristisch heikel. In Deutschland dürfen personalisierte Daten ohne Zustimmung nicht erhoben und gespeichert werden. Zwar weisen Unternehmen in ihren Nutzungsbedingungen zum Teil darauf hin, dass sie die Informationen sammeln. Nach deutschem Recht genügt das aber nicht. Die Software-Entwickler agieren oft aus dem Ausland, vermittelt werden die Erweiterungen über Server zum Beispiel in den USA.

Vertrieben werden die großen Datenpakete dann häufig von Zwischenhändlern, viele kommen aus Israel, einige bedienen sich auch Briefkastenfirmen in notorisch intransparenten Ländern wie Panama oder den Britischen Jungferninseln. Ein Betroffener, der sich in Deutschland juristisch gegen den Verkauf seiner Daten zur Wehr setzen möchte, hat in so einer Konstellation wenig Aussicht auf Erfolg.

Über dieses Thema berichtete die tagesschau am 01. November 2016 um 11:00 Uhr.

Darstellung: