Datenerhebung außer Kontrolle

  • author:

    Klaus Rümmele

  • date: 03.09.2009

Datenerhebung außer Kontrolle

KIT-Forscher stellen erhebliche Mängel bei Online-Diensten fest – Kooperation mit der Universität Regensburg

Datenströme

Schnell fließen die Daten im Internet – unmöglich ist es aber, ihre Verbreitung nachzuvollziehen. (Foto: photocase.de)

Wissenschaftler des Karlsruher Instituts für Technologie (KIT) und der Universität Regensburg haben Dienste im Internet analysiert und massive Defizite aufgedeckt. Ihr Ergebnis: Zwar existieren meist hinreichende Datenschutzgesetze, doch niemand kümmert sich darum, dass sie eingehalten werden.

In einer interdisziplinären Untersuchung des Datenschutzverhaltens von 100 Dienstanbietern im Internet ist die Forschergruppe um die Professoren Klemens Böhm und Jürgen Kühling auf große Mängel gestoßen. Anhand verschiedener juristischer Bewertungskriterien haben die Wissenschaftler Online-Shops, Auktionsplattformen, Informationsportale und Suchmaschinen unter die Lupe genommen. Die Resultate der Studie deuten auf ein klares Vollzugsdefizit beim Datenschutz hin: „Gerade einmal fünf Anbieter von 100 verhalten sich vollständig gesetzeskonform“, so Kühling. Besondere Relevanz haben die Ergebnisse der Studie bei der Diskussion um neue Gesetze. Kühling weiter: „Die Ergebnisse werfen die Frage auf, welchen Sinn neue Gesetze machen, wenn grundlegende rechtliche Anforderungen zur Wahrung des Rechts auf informationelle Selbstbestimmung praktisch nicht erfüllt werden“.

Ausgewählt haben die Wissenschaftler die untersuchten Anbieter anhand der Anzahl registrierter Nutzer, der Unternehmensgröße und der vom Anbieter adressierten Altersgruppe. Die Bewertung der Anbieter erfolgte auf der Basis des Telemediengesetzes von 2007 und des Bundesdatenschutzgesetzes. Im Mittelpunkt der Studie stand die Frage, inwieweit es für den Kunden transparent ist, was mit seinen persönlichen Daten geschieht. „Ein Kunde sollte wissen dürfen, wer welche Daten wann zu welchem Zweck nutzt“, so Professor Klemens Böhm. 

Wie die Studie deutlich zeigt, ist die Realität weit von diesem Ideal entfernt. Zwar ist die obligatorische Datenschutzerklärung bei fast allen untersuchten Anbietern leicht zugänglich, doch ist ihr Inhalt oft unvollständig oder gar falsch. 31 Anbieter geben nur grob an, welche Daten erhoben werden, sechs schweigen sich diesbezüglich vollständig aus. Ein Drittel der Anbieter gibt laut der Studie keine Auskunft, wie lange die Daten gespeichert werden, 15 geben den Zweck der Datenerhebung gar nicht erst an. Arbeitet die Technik im Verborgenen, zum Beispiel bei Cookies, Einträgen im Dateiverzeichnis von Computern, so ist es gesetzliche Vorschrift, über Art, Umfang und Zweck der erhobenen Daten zu informieren. Ein Viertel der Anbieter macht keine Angaben zu genutzten Cookies, von den verbleibenden Anbietern informieren nahezu alle unzureichend, einige auch falsch.

Per Gesetz erfordert die Weiterverarbeitung von Daten über den Zweck der Diensterbringung hinaus außerdem die Zustimmung des Nutzers. Dies betrifft beispielsweise die Erstellung personenbezogener Profile. Zwar verarbeiten mehr als zwei Drittel der Anbieter Daten über die Diensterbringung hinaus, zwölf davon holen aber keine Zustimmung des Nutzers ein. 18 Anbieter weisen nicht auf das Recht hin, die Einwilligung zu widerrufen.

Untersucht haben die Wissenschaftler auch, ob der Nutzer erkennen kann, an wen seine persönlichen Daten weitergegeben werden. Laut der Studie geben mehr als zwei Drittel der Anbieter Daten weiter. Während dies in einigen Fällen zur Diensterbringung erforderlich ist, gibt mehr als ein Viertel die Gründe der Datenweitergabe nicht an. An wen die Daten überhaupt weitergegeben werden, ist bei 20 Prozent der Anbieter nicht ersichtlich.

Das Datenschutzrecht sieht vor, dass Kunden bei ihren Anbietern nachfragen können, welche personenbezogenen Daten über sie gespeichert und an wen diese weitergegeben wurden. Außerdem sollen die Daten auf Wunsch des Nutzers gelöscht werden können. „Ein sehr nützlicher und, wie die Studie zeigt, leider nur unzureichend beachteter Mechanismus“, findet Jürgen Kühling. Mehr als 35 Prozent der Anbieter ignorieren die Auskunftspflicht gegenüber ihrer Kundschaft und löschen die personenbezogenen Daten nicht. Als erschreckend empfindet Klemens Böhm die Begründungen der Internetdienstleister. Einige behaupten, die Löschung der Daten sei technisch nicht möglich, andere sagen, man sei bei ihnen gar nicht registriert.