Stephanie Rohde: Was wir im Internet tun, zeigt wer wir sind. Einkaufen, Bankgeschäfte, Reiseplanung oder einfach nur Pornos – alles geschieht ja inzwischen Online, und diese Daten werden von multinationalen Firmen gesammelt. Angeblich werden die Nutzerdaten anonymisiert, weiter verkauft, ohne Schaden für den einzelnen Nutzer.

Das stimmt aber so nicht, hat der Datenwissenschaftler Andreas Dewes gezeigt. Er hat nämlich selbst anonymisierte Daten von Internetnutzern angekauft und dann de-anonymisiert. Anlässlich des Tages des Europäischen Datenschutzes möchte ich mit ihm jetzt über Datenschutz für Internetnutzer reden. Guten Morgen, Herr Dewes!

Andreas Dewes: Guten Morgen!

Rohde: Sie haben ja Daten von über 100.000 Personen gekauft und dann de-anonymisiert. Kann man das einfach so legal machen?

Dewes: Also der Datensatz, den wir in Zusammenarbeit mit dem NDR analysiert haben, der hatte die Daten von circa drei Millionen Deutschen. Wenn man die Daten als Unternehmer oder Privatperson für kommerzielle Zwecke kaufen will, dann ist das natürlich illegal.

Das Interesse hier, das die Öffentlichkeit natürlich daran hat, dass solche Zusammenhänge aufgeklärt werden, ist der einzige Grund, warum man das auch begründen kann, hier die Daten entsprechend zu analysieren.

Rohde: Und was sind das dann für Daten? Also beschreiben Sie uns mal, wie stellt man sich das vor. Sie haben dann einfach riesige Datensätze. Wie gehen Sie erst mal damit um, wie de-anonymisieren Sie die?

Dewes: Prinzipiell bestehen die Datensätze erst mal aus sogenannten Clickstream-Daten, das heißt, jedes Mal, wenn ich als Nutzer im Internet, in meinem Browser eine Webseite öffne, dann habe ich oben in der Adresszeile ja eine URL stehe, und der Anbieter hier hat über eine Browsererweiterung diese URLs gesammelt und, nach Nutzer gruppiert, zur Verfügung gestellt. Das heißt, für jede Webseite, die ein bestimmter Nutzer aufgerufen hat über einen gegebenen Zeitrahmen, gibt es in diesem Datensatz eine URL entsprechend.

Das heißt, insgesamt haben wir hier über drei Milliarden Einträge gehabt, für die drei Millionen Nutzer, die wir analysiert haben, und aus den Daten lässt sich also sehr, sehr viel über das Verhalten von diesen Nutzern natürlich herauslesen.

Rohde: Was zum Beispiel?

Dewes: Ach, das fängt an mit ganz trivialen Dingen, also zum Beispiel welche Nachrichtenseiten bestimmte Nutzer sich anschauen, wo sie vielleicht wohnen, welche Dinge sie interessant finden, ob sie nach einem neuen Job suchen, aber auch sehr intime Sachen wie beispielsweise, ob sie sich pornografische Inhalte anschauen im Internet, ob sie vielleicht nach bestimmten Medikamenten suchen oder Dinge tun, die vielleicht nicht in der Öffentlichkeit landen sollten.

Rohde: Und können Sie dann auch jeden einzelnen Nutzer identifizieren, also könnten Sie zum Beispiel auch sagen, ah, wir sehen, das ist ein Politiker, der sich zum Beispiel einen Porno angeschaut hat?

Dewes: Also generell ist die Identifizierung von den Nutzern nicht immer möglich. Das kann man allerdings in Einzelfällen tun, wenn man in den Daten, also in den URLs, sogenannte Identifier findet, beispielsweise Namen im Klartext oder auch Benutzernamen, die von Plattformen wie Twitter oder Facebook stammen, die uns also dann erlauben, diese URL-Daten mit einer gegebenen reellen Person zu verknüpfen, und für unsere Analyse haben wir vorwiegend URLs von Diensten wie Twitter für die De-anonymisierung genutzt, die also beispielsweise den Nutzernamen in der URL auch aufführen, weil es relativ einfach macht, auf einzelne Personen zurückzuschließen.

Rohde: Sind Sie auf diesem Weg dann an Daten gekommen, die brisant sein könnten für Politiker, die Sie jetzt veröffentlichen könnten, wenn Sie denn wollten?

Dewes: Ja, in den Daten haben wir eine Vielzahl von Personen gefunden, also auch Mitglieder des Bundestags beispielsweise, Mitglieder von Landesparlamenten, aber auch Personen des öffentlichen Lebens, beispielsweise Richter, Polizeibeamte, Funktionäre, und solche Daten, also die sehr intim sein können, machen sicherlich in Einzelfällen auch erpressbar.

Rohde: Haben Sie dann die Politiker kontaktiert und ihnen gesagt, dass sie bestimmte Informationen gefunden haben?

Dewes: Wir haben verschiedene Politiker mit den Daten konfrontiert, und da besteht natürlich auch die Überlegung und der Wunsch zu prüfen, ob hier eine Strafverfolgung von der Firma möglich ist. Nach meinem Kenntnisstand wird das aktuell geprüft, es ist aber noch keine Strafverfolgung erfolgt in dem Sinne.

Rohde: Von welcher Firma?

Dewes: Von der Firma, die diese Daten beschafft und verkauft.

Rohde: Aber wie kann ich mich denn selber jetzt schützen, also wenn ich weiß, das wird oft gemacht, diese Daten werden weiterverkauft, sie können auch sehr leicht de-anonymisiert werden – was kann ich als einzelner Internetnutzer dagegen tun?

Dewes: Es wird leider immer schwieriger, sich zu schützen. Um sich effektiv zu schützen, reicht es nicht mehr, nur meinen Browser beispielsweise mit Adblockern auszustatten. Ich muss darüber hinaus eigentlich auch meine IP-Adresse möglichst gut verschleiern und im Idealfall auch verschiedene Browsersessions oder im Idealfall sogar verschiedene Browser für unterschiedliche Aufgaben benutzen.

Das heißt, wenn ich beispielsweise Dinge tue, die sensitiv sind, wo ich also meine persönlichen Daten vielleicht verarbeite, dann sollte ich dafür im Zweifelsfall eine neue Browsersession, vielleicht auch einen anderen VPN-Zugang benutzen und dann für meine Privatangelegenheiten oder unkritische Dinge, Angelegenheiten, entsprechend einen neuen Browser.

Rohde: Es wird also immer schwieriger, seine Identität im Internet zu schützen, sagt der Datenwissenschaftler Andreas Dewes, der in einem Projekt mit dem NDR Daten von Internetznutzern de-anonymisiert hat. Das Gespräch haben wir vor der Sendung aufgezeichnet.

//Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen./