Dass Betreiber von Webseiten und Marketing-Netzwerke die Surfer nach wie vor massiv per Online-Tracking ausspähen, bringt den Bundesdatenschutzbeauftragten Ulrich Kelber (SPD) auf die Palme. Er habe vor sechs Jahren "ungeschützt" ohne privaten Browsermodus nach einem Treppenlift für seinen Vater gesucht und bekomme daher "heute auf jeder Webseite noch Werbung dafür", beklagte der SPD-Politiker am Montag auf dem Jahreskongress der Initiative "Deutschland sicher im Netz" (DsiN) in Berlin. Allzu oft werde selbst bei namhaften Diensten "erst mal alles gesammelt".

40 Tracker auf Gesundheitsportal

Ein von ihm besuchtes Gesundheitsportal habe 40 Tracker geschaltet, brachte Kelber ein weiteres Beispiel für den unsensiblen Umgang mit sehr sensiblen Daten: "Das muss abgestellt werden, spätestens mit der E-Privacy-Verordnung." Der Kontrolleur beklagte daher, dass die Bundesregierung noch immer keine brauchbare Stellungnahme zu dem Reformvorhaben abgegeben habe, das momentan im EU-Ministerrat festhängt.

Die Aufsichtsbehörden des Bundes und der Länder hatten bereits vor einem Jahr befunden, dass Tracker wie Google Analytics sowie Cookies selbst in pseudonymisierter Form nur noch mit ausdrücklicher und informierter Einwilligung der Nutzer erlaubt seien. Kelber zufolge ist selbst erfahrenen Anwendern oft noch nicht klar, "was unter der Hand aus einem System abgegriffen wird" und welch aussagekräftige Profile aus dem Zusammenspiel von mehreren Daten erwüchsen. Diese würden "nicht nur für Anzeigen verwendet".

Fehlende Maßnahmen

Der Ex-Justizstaatssekretär unterstrich, dass die Datenschutzkonferenz von Bund und Ländern inzwischen etwa auch in einem ersten Schritt allen Bundesbehörden und Krankenkassen deutlich gemacht habe, dass sie den Betrieb von Facebook-Fanpages nicht als rechtskonform ansieht. Der Europäische Gerichtshof (EuGH) hatte hier voriges Jahr entschieden, dass Webseitenbetreiber mitverantwortlich sind.

Es diskutierten Peter Batt (IT-Beauftragter der Bundesregierung), Stephan Micklitz (Google), Moderatorin Sarah Tacke, Renate Künast (Bündnis 90/ Die Grünen), Ulrich Kelber (SPD) und Stefan Koetz (Ericsson) (v. l. n. r.). (Bild: Stefan Krempl)

"Miss Verbraucherschutz" Renate Künast (Bündnis 90/Die Grünen) ging prinzipiell konform mit "Mister Datenschutz". "Wir müssen endlich mal zu Maßnahmen kommen", betonte die frühere Verbraucherministerin, die mit der Suche nach einer Kreuzfahrt ähnliche Erfahrungen gemacht hat wie Kelber mit dem Lift. "Die Leute dürfen sich nicht mit Geschäftsmodellen bei uns festsetzen, die mit unseren Daten machen, was sie wollen."

"Wir brauchen irgendjemand, der dafür sorgt, dass die informationelle Selbstbestimmung umgesetzt wird", verwies Künast in Richtung Staat. Sämtliche Voreinstellungen müssten so sein, dass man sich frei im Internet bewegen könne. Entsprechende Regeln und Leitplanken müssten staatlich von Anfang an vorgegeben werden: "Da muss man hart reingehen." Die Rechtspolitikerin fragte: "Wieso kriegen wir nicht den nächsten Verfahrensschritt hin? Man könnte Böses dabei denken."

Rechtliche Vorgabe der 2-Faktor-Authentifizierung

"Das Sicherheitsniveau im privaten Bereich ist noch viel zu niedrig", konstatierte Klaus Vitt, Staatssekretär im Bundesinnenministerium, der den kurzfristig "aufgrund von aktuellen politischen Ereignissen" verhinderten Ressortleiter und DsiN-Schirmherr Horst Seehofer (CSU) vertrat. Er plädierte dafür, eine 2-Faktor-Authentifizierung für Online-Dienste rechtlich vorzugeben, um nach dem Massen-Doxxing elektronische Identitäten besser abzusichern. Große Datenlecks schadeten generell ganz besonders dem Vertrauen der Bürger.

Das Innenministerium will dem IT-Beauftragten der Bundesregierung zufolge daher mit dem geplanten IT-Sicherheitsgesetz 2.0 unter anderem ein Prüfsiegel für vernetzte Geräte einführen sowie Mindeststandards für IT-Sicherheit und eine Meldepflicht auf Lieferanten von Kernkomponenten für kritische Infrastrukturen ausdehnen. Der Referentenentwurf, der auch die Online-Überwachung erhöhen würde, befinde sich derzeit "in der Ressortabstimmung" und werde "intensiv diskutiert".

Mehr Eigenverantwortung der Nutzer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) könne nicht neben jeden Computer einen Mitarbeiter setzen, plädierte Peter Batt, Abteilungsleiter Digitale Gesellschaft im Innenressort, für eine gewisse Eigenverantwortung der Nutzer. Die Reform des IT-Sicherheitsgesetzes sehe einige Initiativen in diese Richtung vor. Zugleich beklagte er aber, dass ihn als Nutzer der Anti-Tracking-Technik VPN viele Webdienste diskriminierten: Er sitze oft fünf Minuten vorm Rechner, um Captcha-Systeme von seiner Echtheit zu überzeugen. Generell müsse die Gesellschaft aufpassen, dass durch die Digitalisierung "das Gemeinwesen nicht noch weiter gesprengt wird".

"Die Daten werden genutzt, um Produkte bereitzustellen und Empfehlungen abgeben zu können", verteidigte Stephan Micklitz, Direktor für Datenschutz und -sicherheit bei Google Deutschland, gewisse Tracking-Formen. Parallel habe der US-Konzern aber zahlreiche einschlägige Kontrollmöglichkeiten für die Verbraucher geschaffen. Das DsiN-Vorstandsmitglied räumte aber ein, dass ein privater Modus im Browser durch ständige Dialog-Einblendungen mit Fragen zum Nutzer "in gewisser Weise ad absurdum geführt wird". (olb)