Manfred Kloiber: Kaum ein Monat vergeht, ohne dass ein spektakuläres Urteil in Sachen Facebook fällt. Mal weist ein Gericht den Vorwurf zurück, bei dem Konzern handele es sich um einen Datenmonopolisten, mal muss er mehrere Milliarden Dollar Strafe bezahlen.
Am meisten Aufsehen erregt hat aber wohl ein höchstrichterlicher Spruch Ende Juli. Der Europäische Gerichtshof hat da geurteilt, dass Website-Betreiber, die Gefällt-mir-Buttons von Facebook nicht einfach so, also ohne datenschutzrechtliche Vorkehrungen, in ihre Seiten einbinden dürfen.
Über den Like-Button und ähnliche Plug-Ins großer Internet-Firmen möchte ich mit Achim Killer in München sprechen. Achim, wie sehen Sie das? Ist das Facebook-Urteil ein historisches?
Achim Killer: Das haben Sie wie immer sehr treffend formuliert, Manfred. Es ist ein historisches Urteil. Und zwar historisch im doppelten Wortsinn: Die ursprüngliche Klage stammt aus dem Jahr 2015. Das war, bevor die mittlerweile gültige Europäische Datenschutzgrundverordnung überhaupt beschlossen worden war. Das beklagte Unternehmen hat seine Praxis längst geändert, bindet den Facebook-Button mittlerweile so ein, dass es juristisch nicht zu beanstanden ist. Und so halten es wohl die meisten großen Website-Betreiber.
Achim Killer: Das haben Sie wie immer sehr treffend formuliert, Manfred. Es ist ein historisches Urteil. Und zwar historisch im doppelten Wortsinn: Die ursprüngliche Klage stammt aus dem Jahr 2015. Das war, bevor die mittlerweile gültige Europäische Datenschutzgrundverordnung überhaupt beschlossen worden war. Das beklagte Unternehmen hat seine Praxis längst geändert, bindet den Facebook-Button mittlerweile so ein, dass es juristisch nicht zu beanstanden ist. Und so halten es wohl die meisten großen Website-Betreiber.
Insofern ist die Geschichte uralt. Aber: Es gibt ja nicht nur den Facebook-Button. Eine einzelne Webseite kann aus Hunderten von Elementen bestehen. Viele davon können ähnlich funktionieren wie der inkriminierte Button. Und die wären dann auch juristisch – datenschutzrechtlich – ähnlich zu beurteilen.
Oder technisch gesprochen: In der Seitenbeschreibungssprache HTML und im Hypertext Transfer Protocol, da steckt jede Menge juristischer Sprengstoff drin.
Ein Browser arbeitet wie ein Koch
Kloiber: Ja, und warum dem so ist und welches Ausmaß die datenschutzrechtlichen Probleme im Web haben, das hören wir uns jetzt mal en détail an:
Tim Libert: "Was man als Erstes lädt, ist der Quellcode der Webseite. Das ist nicht die Seite selbst. Es ist eben nicht so wie bei einem pdf-Dokument mit allem Möglichen drin. Man bekommt sie nicht am Stück. Bei einer Webseite ist eher wie bei einem Rezept. Das weist den Browser an: Hol dir Schriften, hol ein YouTube-Video. Der Browser ist so etwas wie ein Koch. Wenn der einen Kuchen backen soll, geht er in die Läden, besorgt Eier und Mehl und bereitet ihn daraus zu."
So beschreibt der Medienwissenschaftler Timothy Libert von der Carnegie Mellon University in Pittsburgh das Aufrufen einer Webseite. Deren Bestandteile liegen oft auf verschiedenen Webservern, die alle die Adresse des anfragenden Browsers benötigen, damit sie Daten schicken können.
Tim Libert: "Was man als Erstes lädt, ist der Quellcode der Webseite. Das ist nicht die Seite selbst. Es ist eben nicht so wie bei einem pdf-Dokument mit allem Möglichen drin. Man bekommt sie nicht am Stück. Bei einer Webseite ist eher wie bei einem Rezept. Das weist den Browser an: Hol dir Schriften, hol ein YouTube-Video. Der Browser ist so etwas wie ein Koch. Wenn der einen Kuchen backen soll, geht er in die Läden, besorgt Eier und Mehl und bereitet ihn daraus zu."
So beschreibt der Medienwissenschaftler Timothy Libert von der Carnegie Mellon University in Pittsburgh das Aufrufen einer Webseite. Deren Bestandteile liegen oft auf verschiedenen Webservern, die alle die Adresse des anfragenden Browsers benötigen, damit sie Daten schicken können.
Tim Libert: "Welche Daten werden offengelegt? Zunächst die IP-Adresse, dann welche Art Computer und Browser man verwendet, ob die mobile oder die Desktop-Version eines Browsers, und dann die Adresse der aufgerufenen Seite. Das ermöglicht einen tiefen Einblick in das Leben der Leute."
Und schließlich können die Webserver, die Teile einer Seite zum anfragenden Browser schicken, dort auch noch Cookies platzieren. Timothy Libert hat ein Software-Werkzeug entwickelt, das sehr effizient viele Webseiten aufruft, die URLs, also die Adressen, ihrer Elemente protokolliert und dann diese URLs Internet-Firmen zuordnet. WebXray nennt sich das Tool.
Und schließlich können die Webserver, die Teile einer Seite zum anfragenden Browser schicken, dort auch noch Cookies platzieren. Timothy Libert hat ein Software-Werkzeug entwickelt, das sehr effizient viele Webseiten aufruft, die URLs, also die Adressen, ihrer Elemente protokolliert und dann diese URLs Internet-Firmen zuordnet. WebXray nennt sich das Tool.
Der wahrscheinlich intensivste Nutzer von WebXray ist Libert selbst. Er führt lange Versuchsreihen durch, um zu erfahren, wie die einschlägigen Internet-Konzerne auf anderen Websites vertreten sind. Vor gut einem Jahr hat er Web-Auftritte europäischer Medien untersucht. Zur dieser Zeit trat gerade die Datenschutzgrundverordnung in Kraft. Ergebnis: Die Sites binden im Schnitt Inhalte von 40 verschiedenen Drittanbietern ein.
Google ist auf fast 90 Prozent aller Webseiten vertreten
Meistens handelt es sich dabei um Werbung, Werbe-Tracker und Analyse-Werkzeuge. Stark vertreten sind auch Tools zur Reichweiten-Messung, Social-Media-Tools und Elemente zur Seiten-Gestaltung, Schriften beispielsweise. Bei den zehn wichtigsten Drittanbietern handelt es sich allesamt um US-Konzerne. Facebook ist auf 40 Prozent der untersuchten Sites vertreten, Google auf fast 90 Prozent.
Jeweils über 50 Prozent der Sites binden Google Analytics ein und Google APIs, Schnittstellen zu anderen Services des Konzerns. All diese Elemente übermitteln Daten von Surfern an ihre Anbieter – oftmals in die USA.
Schriftarten können datenschutzrechtlich bedenklich sein
Die meisten großen Website-Betreiber weisen juristisch korrekt in ihren Datenschutz-Erklärungen darauf hin. Anders sieht es bei den kleinen aus:
Christian Solmecke: "Wenn ich mir die Blog-Landschaft in Deutschland anschaue, dann würde ich fast tippen, dass bei 95 Prozent aller Blogs keine korrekten Datenschutzhinweise vorhanden sind."
Christian Solmecke: "Wenn ich mir die Blog-Landschaft in Deutschland anschaue, dann würde ich fast tippen, dass bei 95 Prozent aller Blogs keine korrekten Datenschutzhinweise vorhanden sind."
Schätzt der Kölner Medien-Anwalt Christian Solmecke allein die Situation bei kleineren deutschen Bloggern ein.
"Das fängt schon damit an, dass viele Blogs Google-Fonts verwenden, also die Google-Schriftarten. Aber kaum einer erwähnt, dass durch die Verwendung dieser Google-Schriftarten, die kostenlos von Google zu Verfügung gestellt werden, auch Daten an Google übertragen werden. Das ist aber wichtig. Wenn das in den Datenschutzhinweisen nicht drin ist, ist das ein Abmahngrund."
Kloiber: Bleiben wir bei diesen Schriften. Achim, wieso kann denn so etwas Gewöhnliches wie eine Schriftart datenschutzrechtlich problematisch sein?
Killer: Na ja, Google stellt die Schriften ins Netz. Nehmen wir zum Beispiel einen Blogger. Der gestaltet mit diesen Schriften seinen Blog. Ich surfe den an. Dann holt sich mein Browser die Schriften vom Google-Server. Google bekommt meine IP-Adresse. Und ich bekomme davon nichts mit.
Ich kann das natürlich überprüfen, indem ich mir den HTML-Code des Blogs anschaue. Das habe ich gemacht, mir den Code von gut besuchten Blogs angeschaut. Und es ist tatsächlich so, dass sehr viele Schriften benutzen, die auf Google-Servern liegen. Das ist insoweit bezeichnend, als dass man die Schriften auch herunterladen und dann zusammen mit dem HTML-Code auf seinem eigenen Webserver vorhalten kann.
Das ist datenschutzrechtlich auf jeden Fall unproblematisch, wird aber nicht gemacht, ganz offenkundig, weil das Bewusstsein dafür fehlt.
"Google ist überall und man sieht es nicht"
Kloiber: Andererseits kann Google an den Surfer-Daten nicht so viel gelegen sein, wenn das Unternehmen auch anbietet, die Schriften so zu verwenden, dass keine Daten übertragen werden.
Killer: Das ist richtig, ja. Aber Google bekommt halt auch aus sehr vielen anderen Quellen Nutzerdaten. Im Web steht ein so genannter API-Explorer. Da können Entwickler aussuchen, welche Google-Services sie wie einbauen wollen in ihre Produkte, in Android-Apps beispielsweise oder eben auch in Websites. Das sind einschließlich der verschiedenen Versionen über 200 Schnittstellen. Man kann sagen: Facebook sieht man fast überall. Google wiederum ist überall. Und man sieht es nicht.
Kloiber: Und wie hat es Google Ihrer Ansicht nach geschafft, so allgegenwärtig zu sein?
Killer: Das ist richtig, ja. Aber Google bekommt halt auch aus sehr vielen anderen Quellen Nutzerdaten. Im Web steht ein so genannter API-Explorer. Da können Entwickler aussuchen, welche Google-Services sie wie einbauen wollen in ihre Produkte, in Android-Apps beispielsweise oder eben auch in Websites. Das sind einschließlich der verschiedenen Versionen über 200 Schnittstellen. Man kann sagen: Facebook sieht man fast überall. Google wiederum ist überall. Und man sieht es nicht.
Kloiber: Und wie hat es Google Ihrer Ansicht nach geschafft, so allgegenwärtig zu sein?
Killer: Na ja, Google ist der Konzern, der heute wichtige Schlüsseltechnologien entwickelt hat – Internet-Suche, KI, Smartphone-Betriebssystem. Und dahinter stehen halt auch jede Menge Programmier-Werkzeuge und Backend-Technologien, um die Entwickler nicht herumkommen. So war das früher auch bei Microsoft und ganz früher bei IBM.
An Microsoft mussten die Entwickler für die Nutzung der Technologien Geld bezahlen, an IBM sehr viel Geld. Google wiederum lässt sich mit persönlichen Daten meist argloser Dritter zahlen, den Daten der Internet- und Smartphone-Nutzer.
Die größte Datenlücke im Cyberspace
Kloiber: Andererseits ist seit nunmehr über einem Jahr die Europäische Datenschutzgrundverordnung in Kraft, die ja allseits gelobt wird – auch von Datenschützern.
Killer: Ja, und die ist auch sowohl von ihrer Thematik, als auch von ihrer Entstehungsgeschichte her eindeutig gegen die einschlägigen US-amerikanischen Datenkraken gerichtet. Aber: Die sind nach wie vor omnipräsent. Die zehn größten Unternehmen, die Nutzerdaten von fremden Websites abgreifen, sind US-amerikanisch. Übertragen werden darf eigentlich nur in Länder mit einem Datenschutzniveau, vergleichbar dem europäischen. Da gehören die USA nicht dazu.
Killer: Ja, und die ist auch sowohl von ihrer Thematik, als auch von ihrer Entstehungsgeschichte her eindeutig gegen die einschlägigen US-amerikanischen Datenkraken gerichtet. Aber: Die sind nach wie vor omnipräsent. Die zehn größten Unternehmen, die Nutzerdaten von fremden Websites abgreifen, sind US-amerikanisch. Übertragen werden darf eigentlich nur in Länder mit einem Datenschutzniveau, vergleichbar dem europäischen. Da gehören die USA nicht dazu.
Aber US-Unternehmen können sich in eine Liste beim Handelsministerium eintragen lassen, dann gelten Daten bei ihnen als sicher. Früher hat das "Safe Harbor" geheißen, hat der EuGH einkassiert. Jetzt heißt es "Privacy Shield". Die größte Datenlücke im Cyberspace hat einen neuen Namen bekommen. Sonst hat sich nichts geändert. Zumindest im transatlantischen Datenverkehr.