Geschäftsmodell von Google & Co. ist bedroht

Als Suchmaschine liegt es in der Natur von Google, Daten von Websites zu sammeln und auszuwerten. Mindestens so interessant für die Anbieter von Diensten und Inhalten sind aber auch die Daten der Nutzer. Neben Google speichern auch die Konkurrenten wie Yahoo! oder Microsoft und die Internet-Grössen Amazon, Ebay, Apple und Skype die persönlichen Daten und das Nutzungsverhalten der Besucher ihrer Portale, Kommunikationsdienste und Suchmaschinen, um sie gezielt mit Werbeanzeigen „bedienen“ zu können. „Behavioral Targeting“ nennen es die einen, „Stalking“ nennen es andere.

Die Rechtsprechung in Deutschland übernimmt in jüngster Zeit eine führende Rolle in Sachen Datenschutz innerhalb der EU. Nach den Grundrechten auf „informationelle Selbstbestimmung“ und eine „digitale Privatsphäre“ könnten durch ein Verbot, die IP-Adresse von Benutzern zu speichern, die führenden Web-Grössen schon bald vom Thron gestürzt und die Informatinonsgesellschaft ganz ordentlich aufgemischt werden. Die ersten Gerichtsurteile dazu sind schon ergangen.

Google im Kreuzfeuer der Kritik

Google beschränkt sich nicht auf die Auswertung von Inhalten auf Websites, sondern sammelt auch fleissig Daten über seine Nutzer, um ihnen „einen besseren Dienst“ zu bieten. Jeder vom Nutzer eingegebene Suchbegriff wird zusammen mit der IP-Adresse seines Computers gespeichert. Es gibt keine Option, die gesammelten Daten gezielt zu löschen und der Konzern gibt keine Auskünfte darüber, was und wie lange gespeichert wird. Google verspricht, die Daten „vertraulich“ zu behandeln, und behauptet (unter dem Druck der wachsenden Kritik), die bei einer Suche gewonnenen Daten nach 18 bis 24 Monaten zu löschen. Seine Unschuld bringt Google mit dem selbst auferlegten Motto „don’t be evil“ zum Ausdruck. Alles Augenwischerei, sagen die Kritiker. Nicht umsonst wird der Suchriese immer wieder als „Datenkrake“ bezeichnet.

In einem Bericht ^[1] von Juni 2007 hat die Datenschützergruppe der Menschenrechtsorganisation Privacy International ^[2] die Datensammelwut von Google scharf kritisiert ^[3] und als „datenschutzfeindlich“ eingestuft aufgrund „umfassender Überwachung von Konsumenten und tiefer Abneigung gegenüber Privatsphäre“. Von 23 untersuchten Firmen landete Google auf dem letzten Platz. Niemand – nicht einmal Microsoft – sammelt soviele Daten über seine Benutzer wie Google. Auch die EU-Datenschützer, die so genannte „Artikel 29 Gruppe“ unabhängiger Experten aus der EU, deren Vorsitzender der deutsche Datenschutzbeauftragte Peter Schaar ist, kritisieren das Sammeln und den Umgang Googles von personenbezogenen Daten. Auch im Zusammenhang mit der Übernahme des Online-Anzeigen-Unternehmens Doubleclick durch Google wurde von verschiedenen Seiten Kritik geäussert, nicht nur aus datenschutzrechtlicher sondern auch aus kartellrechtlicher Sicht.

Im Gegenzug bezeichnet Google das neue Gesetz der deutschen Bundesregierung zur Vorratsdatenspeicherung und Internet-Überwachung als „schwerwiegenden Schlag gegen die Privatsphäre“ und erwägte schon mal, Google Mail in Deutschland abzuschalten. Wieso sollte die Bundesregierung nicht mindestens soviel Recht auf Überwachung der Bürger haben wie Google zur Überwachung ihrer Nutzer zu haben glaubt? Um die Wogen zu dämpfen und die Gemeinde zu beschwichtigen, führt der Suchriese vordergründig einen „konstruktiven Dialog“ mit den Datenschützern. Auf den Umgang mit persönlichen Nutzerdaten hat dies aber bisher noch keinen nennenswerten Einfluss gehabt.

„Google ist gefährlich“ urteilte ein Ende 2007 erschienener Forschungsbericht ^[4] unter der Leitung von Hermann Maurer, Informatikprofessor an der TU Graz, der Arbeiten von sechs Wissenschaftlern aus Deutschland und Österreich zur Macht des Suchmaschinen-Giganten zusammenfasst und die Probleme analysiert, welche die „Googlisierung“ der Gesellschaft mit sich bringt. Die Verfasser kommen zum Schluss und zur Empfehlung, dass Google einer staatlichen Regulierung unterstellt werden sollte ^[5], um die universelle Informationsmacht des Quasimonopolisten nicht ausufern zu lassen. Maurer denkt sogar an eine Trennung der Suchmaschine von den anderen Aktivitäten des Google-Imperiums. Das ist aber insofern gar nicht machbar, da Google mit den anderen Geschäftsbereichen (noch) gar kein Geld verdient.

Ich nicht, die anderen auch

Auf die Datenschutzproblematik angesprochen entgegnen viele Unternehmen, die Nutzungsdaten über ihre Kunden sammeln, dass schliesslich viele Zeitgenossen noch viel mehr persönliche Informationen über sich freiwillig auf sozialen Vernetzungsplattformen wie Xing, StudiVZ, MySpace oder Facebook preisgeben ^[6]. Somit nehmten sie nur am globalen „Datenaustausch“ übers Internet teil. Daran könne doch nichts Verwerfliches sein, denn schliesslich kämen die Nutzer dadurch in den Genuss von kostenlosen, werbefinanzierten Dienstleistungen. Dabei wird jedoch verkannt, dass nicht alle ihre Daten zur freien Verwendung zur Verfügung stellen wollen, nur weil sie das Internet nutzen. Jene, die das tun, handeln meist aus Exhibitionismus, Dummheit oder Ignoranz. Daraus automatisch einen Freibrief für allgemeinen Datenmissbrauch abzuleiten, ist schon unanständig. „Das Hauptproblem für die Nutzer besteht dabei darin, dass die Plattformen häufig in den USA ansässig sind und damit nicht unter EU-Recht fallen. Es gilt somit kein EU-Datenschutzrecht, ausser der Betreiber ist hierzulande mit einer Niederlassung vertreten“, sagt der Datenschutzexperte Hans Zeger, Obmann der Arge Daten. Dann könnten sie am Rechtssitz ihrer Niederlassung eingeklagt werden. Aber wozu sind Gesetze eigentlich da, wenn sich „niemand“ daran hält? Und einen Datenmissbrauch gerichtsverwertbar nachzuweisen, ist auch für Fachleute nicht ganz trivial und manchmal gar unmöglich.

Gerade Banken sind im Hinblick auf den Datenschutz durch die liechtensteiner Bankdatenaffäre der LGT in den letzten Wochen stark ins Visier der Kritik geraten. Dabei wurde klar, dass auch viele Finanzinstitute nicht besonders sorgsam mit den Daten ihrer Kunden umgehen und diese gerne auch mal Entwicklern für Software-Tests zur Verfügung stellen ^[7] oder ins Ausland transferieren. Die Kunden bekommen in der Regel nichts davon mit – jedenfalls solange die Steuerfahndung nicht vor der Türe steht. Aber nicht nur bei Bankdaten sondern auch bei Weitergabe oder Veröffentlichung persönlicher Informationen reagieren Internetnutzer immer häufiger sauer.

Unheil bahnt sich an

Nun droht den Sammlern von Internetnutzungsdaten Ungemach aus deutschem Lande. Angefangen hat das Ganze mit einem Urteil ^[8] des Amtsgerichts Berlin Mitte, das im März 2007 dem Bundesjustizministerium untersagte, die IP-Adresse (technische Adresse eines Rechners, unter der dieser in einem Computer-Netzwerk erreichbar ist) der Besucher ihrer Website zu speichern, weil diese personenbezogene Daten darstellen und damit unter das Datenschutzgesetz fallen. Das Urteil wurde in nächster Instanz vom Landgericht Berlin bestätigt ^[9]. In der Folge wurde auch der Bundesjustizministerin Zypries ein halbjähriger Aufenthalt in einer vergitterten Zelle angedroht ^[10], sollte sie nichts gegen das widerrechtliche Treiben ihrer Webmaster unternehmen. Folgeklagen gegen weitere Bundesämter (z.B. das BKA) sind in Vorbereitung. Diese fühlen sich durch das Gerichtsurteil nicht betroffen und speichern fröhlich weiter ^[11]. Hängig ist immer noch die Verfassungsbeschwerde ^[12] gegen die verdachtsunabhängige Vorratsspeicherung von Telefon- und Internetdaten im Rahmen des Gesetzes zur Neuregelung der Telekommunikationsüberwachung ^[13]. Diese ist aber auch schon auf gutem Weg ^[14].

Ein neues Grundrecht wurde geboren

Das Bundesverfassungsgericht in Karlsruhe hat durch sein Urteil in Sachen Online-Durchsuchung mein Vertrauen in die deutsche Rechtsprechung gestärkt. Mit aussergewöhnlicher Deutlichkeit wurden die Bestimmungen im nordrhein-westfälischen Verfassungsschutzgesetz zur heimlichen Online-Durchsuchung für nichtig erklärt, weil sie gegen das Grundgesetz verstossen. In seiner Begründung leitet das Gericht aus den bestehenden Gesetzen ein neues „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ ab (→ Recht auf digitale Privatsphäre).

Zur Abwehr konkreter Gefahren seien Eingriffe aber unter strengen Auflagen möglich, „wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“. Man braucht also nicht gleich die ganze Bevölkerung unter Generalverdacht zu stellen. Nur wenn ein konkreter, begründeter Verdacht oder eine unmittelbare Bedrohung besteht, dann soll das Volk vor dieser auch geschützt werden können. Denn wer der Gesellschaft bewusst Schaden zuzufügen beabsichtigt oder seine Schandtat bereits begangen hat, hat seine Grundrechte verwirkt und soll sich nicht hinter ihnen verstecken können.

Datenschützer eröffnen die nächste Schlacht

Die in der Artikel-29-Arbeitsgruppe vereinten europäischen Datenschützer wollen IP-Adressen als personenbezogene Daten einstufen ^[15]. Dabei geht es um die Grundsatzfrage, inwiefern die Datenschutzbestimmungen der Europäischen Union gemäss der „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ anwendbar sind. Würden IP-Adressen als personenbezogene Daten gelten (wie es das Landgericht Berlin bestätigt hat), dürften diese in er EU nur noch eingeschränkt nach dem Grundsatz der Zweckbindung und unter expliziter Zustimmung der Nutzer für personifizierte Werbeeinblendungen genutzet werden. Eine stillscheigende Zustimmung zu entsprechenden Paragraphen in allgemeinen Geschäftsbestimmungen würde wohl kaum genügen. Vielmehr müsste Google eigens für den EU-Raum ein Opt-in Verfahren anbieten.

Gegen die enge Interpretation der Personenbezogenheit von IP-Adressen wehrt sich Google mit Händen und Füssen. Der „Google-Datenschützer“ Peter Fleischer möchte dies vom Zusammenhang abhängig machen, in welchem „persönlichen Informationen offenbart werden“. „Wir müssen wissen, wer wonach fragt – andernfalls könnte unser Unternehmen nicht funktionieren“. Und erstmals gibt Google öffentlich zu, Inhalte von über Google-Mail versandten E-Mails zu Werbezwecken zu analysieren. Das gleiche trifft übrigens genauso auf Yahoo, MSN bzw. Hotmail und GMX zu. Schliesslich sind die Email-Adressen nur deshalb kostenlos.

Differenziert betrachtet

Mit einer einfachen Schwarz-Weiss-Malerei sei es nicht getan, sagt Google. Die Sache müsse etwas differenzierter betrachtet werden. Das mag schon richtig sein. Nur, wie differenziert kann und soll die Sache denn betrachtet werden, damit es auch ein Politiker noch versteht? Aber wagen wir doch mal eine etwas technischere Betrachtung! Wenn wir von IP-Adressen als personenbezogene Daten sprechen, dann müssen wir auch die Cookies in unsere Betrachtungen miteinbeziehen. Die kleinen elektronischen Kekse sind nichts anderes als einfache Textdateien, in denen zu (vom Betreiber einer Website) definierten Schlüsselbegriffen Informationen gespeichert werden. Die Benutzeridentifikationskennung ist zum Beispiel eine solche Information. Jedes Cookie hat ein Verfallsdatum wie die essbaren Kekse aus dem Laden. Manche leben nur solange, bis der Benutzer die Sitzung beendet. Andere werden sogar auf der Festplatte gespeichert und leben Jahrzehnte lang. Dazu einige Beispiele zur Cookie-Lebensdauer ausgewählter Websites:

• Google: 2 Jahre für Suchmaschine (aber für andere Dienste teilweise immer noch 30 Jahre)
• Yahoo: 30 Jahre
• Microsoft: 10-13 Jahre (msn.com), 13 Jahre (live.com) und 30 Jahre (microsoft.com)
• search.ch: 30 Jahre
• Ask.com: 2 Jahre
• GMX: 2 Jahre (gmx.com), 1 Jahr (gmx.net)
• Web.de: 1 Jahr
• YouTube: 10 Jahre
• MySpace: 1 Jahr
• Twitter: 2 Jahre
• Amazon: 1 Woche
• Credit Suisse: 10 Jahre (credit-suisse.com)
• UBS: nur bis Session-Ende (ubs.com)
  diskret wie es sich für eine Schweizer Bank gehört

In der ganzen Diskussion vermeidet es Google tunlichst, auch über die eingesetzten Cookies zu sprechen. Denn mit diesen Cookies können noch besser als über die IP-Adresse Nutzerprofile erstellt werden. Im Idealfall kann ein Besucher unendlich lange identifiziert und sein Verhalten ein Leben lang analysiert werden – vor allem bei Kombination beider Techniken oder gar bei Verkettung von digitalen Identitäten ^[16]. Damit verblasst auch Googles Argument gegen die Personenbezogenheit von IP-Adressen, dass diese nicht jederzeit einem einzelnen Nutzer zugeordnet werden könnten. Auch Microsoft will mit „Engagement Mapping ^[17]“ bessere Auskünfte über den Erfolg von Online-Werbebannern sammeln und Googles neuen erweiterten Kollaborationsdienste ^[18] „Googlesites ^[19]“ dienen ebenfalls der Datensammlung über ihre Nutzer. Und wozu „Yahoo! ID“, „OpenID ^[20]“ und das „Google Social Graph API ^[21]“ letztendlich gut sein sollen, ist nur unschwer zu erraten.

Ein Stein kommt ins Rollen

Der Bewusstwerdungsprozess hinsichtlich Überwachung des Benutzerverhaltens könnte schon bald zu einem massiven Vertrauensverlust gegenüber den grossen Webportalen führen. Die grossen Webdienstleister, die ihre Dienste zum Grossteil oder sogar ausschliesslich mit Einnahmen aus (möglichst personifizierten) Werbeeinblendungen finanzieren, werden durch das Misstrauen schon bald gezwungen werden, sich Gedanken über ihr Geschäftmodell zu machen. Sollte ihnen die Speicherung und nutzerbezogene Auswertung von IP-Adressen oder die Verwendung von langlebigen Cookies durch Datenschutzgesetze untersagt werden, würde dies der personalisierten Werbung das Fundament entziehen. Dies hätte einen massiven Verlust an Attraktivität für Werbetreibende zur Folge, was bestimmt nicht ohne weitreichende finanzielle Konsequenzen bliebe. Eine Marke wie Google ist nur so stark wie das Vertrauen, das ihr die Kunden entgegen bringen. Deshalb könnte das Markenranking schon in Kürze einen gefallenen Prinzen verabschieden.

Nach dem „Grundrecht auf informationelle Selbstbestimmung“ und dem neuen „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Recht auf digitale Privatsphäre)“ müsste in logischer Konsequenz die IP-Adresse als personenbezogen eingestuft und ihre Speicherung daher verboten werden. Damit wäre auch die Verfassungsmässigkeit der Vorratsdatenspeicherung in Frage gestellt und auch die Verfolgung von „Raubkopierern“ urheberrechtlich geschützter Werke würde weitgehend verunmöglicht. Dann gäbe es keinen Grund mehr für eine Datenvermeidung ^[22].

Ich glaube jedoch kaum, dass die staatlichen Überwacher, die Raubkopierer jagende Unterhaltungsindustrie und die werbefinanzierten Webdienstleister diese Entwicklung einfach tatenlos hinnehmen werden. So könnte schon bald eine unheilige Allianz zwischen Schäuble, Google und der IFPI ^[23] entstehen. Der Krieg ist angezettelt.