Nachdem NDR-Reporter am Dienstag erläutert hatten, wie sie an detaillierte Daten zum Surfverhalten von Millionen Deutschen gekommen sind, haben sie nun eine Quelle der Daten genannt: Die Browser-Erweiterung "Web of Trust" (WOT) späht demnach ihre Nutzer aus und gebe die gesammelten Daten "offenbar an Dritte" weiter. Unter anderem mit dieser Erweiterung sei der Datensatz erstellt worden, der die Webseiten umfasst, die drei Millionen Deutsche im August besucht hätten. Zwar weise "WOT" darauf hin, dass die Erweiterung Daten wie die besuchten Internetadressen protokolliert und an Dritte weitergibt, die Protokolle seien aber anonymisiert. Wie unzureichend diese Anonymisierung ist, haben die Reporter nach eigenen Angaben aber nun herausgefunden.

Mehr Infos Lesen Sie dazu auch: Daten zu Surfverhalten von Millionen Deutschen als "kostenlose Probe"

Sicher surfen

WOT ist eine Browser-Erweiterung, die den Nutzern die Reputation besuchter Internetseiten anzeigt. Dafür sammelt sie die Meinung anderer Nutzer und fasst diese zu einer einfachen Ampel zusammen, die entweder vor einer Seite warnt oder eine gute Bewertung ausgibt. Die Erweiterung wurde deswegen unter anderem auch schon von c't empfohlen und wird gegenwärtig von Mozilla für den Firefox-Browser vorgeschlagen. Wie die NDR-Journalisten nach eigenen Angaben nun herausgefunden haben, übermittelt das Addon die Daten zum Surfverhalten ins Ausland, wo sie zu einem Profil verknüpft werden. Das enthält zu jeder geöffneten Webseite Datum und Uhrzeit des Zugriffs. Diese Daten landen dann angeblich bei Zwischenhändlern, die sie etwa an die Werbeindustrie verkaufen.

Die Reporter hatten sich als ein Unternehmen "im Big-Data-Geschäft" ausgegeben und waren dadurch an derart gesammelte Daten zum Nutzerverhalten von Millionen Deutschen gelangt. Die waren zwar von den Anbietern nach deren Aussage anonymisiert worden, aber die Reporter konnten die Profile angeblich leicht konkreten Individuen zuordnen. Danach waren daraus intimste Details aus dem Privatleben der Betroffenen einsehbar oder aber es kam genug Material zusammen, um online sogar deren Identität zu übernehmen. Woher die Daten aber ursprünglich stammten, hatten die Reporter anfangs nicht offengelegt. Mit "WOT" wurde nun offenbar eine von potenziell Hunderten oder Tausenden identifiziert.

Beobachtet surfen

Hamburgs Datenschutzbeauftragter Johannes Caspar hat das Geschäftsgebaren von WOT nach dem Bericht nun kritisiert. Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme. Die massive Auswertung dieser Daten sei damit nach deutschem Recht nicht erlaubt. Das hinter WOT stehende Unternehmen hat sich noch nicht zu den Vorwürfen geäußert.

[Update 02.11.2016 – 10:35 Uhr] In einem Blogeintrag hat Mike Kuketz ausführlich erklärt, wie er WOT mit den Journalisten auf die Schliche gekommen ist. (mho)