Grabesrede für den Datenschutz

Bekannte soziale Netzwerke weisen im Test eklatante Mängel beim Privatsphäreschutz auf.

Soziale Netzwerke leben davon, dass Benutzer sie mit Inhalt füllen. Eine sinnvolle Nutzung ist kaum möglich, ohne etwas von sich preiszugeben. Doch mit der Veröffentlichung persönlicher Daten im Internet gehen Gefahren einher, die einem im ersten Moment oft gar nicht bewusst sind. So ist es gängige Praxis von Arbeitgebern, die Profile von Bewerbern abzuklopfen, und auch im Privaten gibt es immer Menschen, von denen man nicht will, dass sie alles über einen erfahren.

Trotzdem ist man als Nutzer sozialer Netzerke der öffentlichkeit des Internets nicht schutzlos ausgeliefert. Es gibt Strategien - von der Wahl des Anbieters über Privatsphäreeinstellungen bis zur bewussten Kontrolle der Informationen, die man ins Netz stellt - um die Vorteile von sozialen Netzwerken zu nutzen, ohne zum Gläsernen User zu werden.

Das Fraunhofer-Institut für sichere Informationstechnologie hat in einer Studie aus dem Jahre 2008 solche Strategien entwickelt. Aus der Sicht eines gewöhnlichen Users wurde neben den Geschäftsplattformen Xing und LinkedIn den Anbietern myspace, facebook, studiVZ, wer-kennt-wen und lokalisten auf den Zahn gefühlt. Das ernüchternde Ergebnis: Alle Sozialen Netzwerke ließen in Sachen Privatsphäreschutz noch viel zu wünschen übrig!

Das schlechteste Gesamtbild lieferten die lokalisten, die keine Möglichkeiten boten, eingestellte Informationen nur den eigenen Freunden sichtbar zu machen. Insgesamt am besten schnitt facebook ab, dessen Änderung der Privatsphäreeinstellungen im Dezember 2009 aber mittlerweile eine deutlich negativere Bewertung nahelegt. Da jedes dieser Netzwerke Lücken beim Schutz der Privatsphäre aufweist, lohnt es sich, einen genaueren Blick auf die Angebote zu werfen, um selbst entscheiden zu können ob und wie man sie am besten nutzt:

tl_files/img/networks/myspace.png

myspace gehört mit einer fast siebenjährigen Geschichte zu den ältesten großen sozialen Netzwerken. Die in Amerika lange Zeit als Marktführer geltende Plattform im Besitz der Fox Interactive Media wird im deutschsprachigen Raum insbesondere von Musikern und anderen aufstrebenden Künstlern zur Vernetzung genutzt.

Die Fraunhofer-Studie lässt in Sachen Privatsphäreschutz kaum ein gutes Haar an myspace. Insbesondere wird kritisiert, dass bereits bei der Anmeldung sehr viele persönliche Daten abgefragt werden (vollständiger Name, Heimatland, Postleitzahl...), deren Notwendigkeit für die Nutzung von myspace nicht ersichtlich ist.

Das Problem wird dadurch verschärft, dass alle Daten unverschlüsselt übertragen werden. Auch wenn man von den Privatsphäreeinstellungen Gebrauch macht, die bei myspace sehr kreativ in der Menüführung versteckt sind, besteht also die Möglichkeit, dass persönliche Daten von Dritten ausgelesen werden. Zudem wurden bei der Suche nach Profilen teilweise Informationen mit einbezogen, die nur fü die eigenen Freunden sichtbar sein sollten, wodurch die Privatsphäreeinstellungen teilweise wirkungslos werden.

Lediglich beim Löschen von Daten kann myspace punkten – wer sein Profil löscht, entfernt damit auch die eigenen Gruppennachrichten, Foreneinträge und Kommentare vollständig.

tl_files/img/networks/facebook.png

Der internationale Marktführer in Sachen sozialer Netzwerke vereint mit (laut eigener Angabe) 400 Millionen Nutzern weltweit eine riesige Menge an Daten auf seiner Plattform, die den Nutzern von facebook ein breites Funktionsangebot ermöglichen, aber auch viel Potential für Missbrauch und Datenschutzprobleme bergen. An Facebook Inc. sind neben Microsoft verschiedene Privatpersonen, Firmen und Investmentfirmen beteiligt. Größter Anteilseigner ist Digital Sky Technologies, Gründer des E-Maildientes mail.ru.

Die Möglichkeit, bestimmte Informationen nur einem ausgewählten Personenkreis zugänglich zu machen - in der Studie des Fraunhofer-Instituts noch als die große Stärke von Facebook gegenüber der Konkurrenz ausgewiesen - wurde mit einer umfassenden Änderung der Privatsphäreeinstellungen im Dezember 2009 eingeschränkt.

Einige positive Veränderungen hat die Überholung der Privatsphäreeinstellungen durchaus gebracht: Es ist nun möglich, auf der Basis eines einzelnen Fotos oder Pinnwandeintrags zu entscheiden, ob genau diese Information nur den eigenen Freunden, einer bestimmten Gruppe oder allen Mitgliedern des sozialen Netzwerkes zugänglich sein soll. Außerdem wird es den Usern seitdem leichter gemacht, die bislang gut versteckten Einstellungen zum Schutz der eigenen Daten auf der Website zu finden und zu verstehen.

Das Gros der Neuerungen in der Privacy Policy von facebook stellt allerdings eine deutliche Verschlechterung gegenüber dem in der Studie des Fraunhofer-Instituts noch recht positiv bewerteten Umgang mit persönlichen Daten dar. Seit Dezember ist "öffentlich" die empfohlene Voreinstellung in allen Bereichen des Networks. User, die es mit der Überprüfung ihrer Privatsphäre-Einstellungen nicht so genau nehmen, werden so dazu gedrängt, noch mehr Informationen öffentlich freizugeben. Wer die Kontrolle darüber behalten will, wer die eigenen Daten einsehen kann, muss also bei facebook ständig auf der Hut sein.

Wir empfehlen deshalb, nicht die empfohlenen Privatsphäreeinstellungen von facebook zu verwenden, nach denen man alle Informationen, die nur den eigenen Freunden zugänglich sein sollen, einzeln auf privat setzen muss. Viel sinnvoller ist es, standardmäßig alle Informationen als privat einzustufen und etwa nur die Fotos einzeln auf öffentlich zu setzen, bei denen man sich sicher ist, dass man sie mit der ganzen Welt teilen möchte.

Schließlich stellt die neue Privacy Policy von facebook einen echten Paradigmenwechsel weg von der Achtung der Privatsphäre dar, die sicherlich zum großen Erfolg der Plattform beigetragen hat. Bestimmte durchaus sensible Informationen wie die eigene Freundesliste, das Geschlecht oder der Wohnort sind seit Dezember aus den Privatsphäre-Einstellungen verschwunden und sind für alle Welt sichtbar. Die Anbieter kommerzieller facebook-Apps haben einen so umfangreichen Zugriff auf Userdaten, dass eine detaillierte Beschreibung im Rahmen dieses Artikels gar nicht möglich ist. Diese Maßnahme rechtfertigt facebook-Gründer Mike Zuckerberg mit der vollmundigen Erklärung, das Zeitalter der Privatsphäre sei vorbei. Es bleibt abzuwarten, ob die Nutzer seiner Plattform diese Einschätzung teilen.

tl_files/img/networks/svz.png

Mit seinen Ablegern schülerVZ und meinVZ ist studiVZ das mit Abstand bekannteste deutsche soziale Netzwerk. Obwohl die zur Verlagsgruppe Holtzbrinck gehörende Plattform in den letzten Jahren immer wieder mit Datenskandalen Negativschlagzeilen machte, erfreut sie sich besonders unter deutschen Schülern und Studenten überaus großer Beliebtheit. Auch die Fraunhofer-Studie, die sich auf studiVZ bezieht, deren Ergebnisse aber in etwa auf die Schwesterplattformen schülerVZ und meinVZ übertragbar sind, deckt große Mängel bei der Datensicherheit auf.

Positiv bestechen kann studiVZ nur bei der Löschung von Accounts, die über die Benutzereinstellungen leicht zu finden ist. Durch eine Klausel in den Allgemeinen Geschäftsbedingungen garantiert der Betreiber eine dauerhafte Löschung aller personenbezogenen Daten.
Lediglich selbst verfasste Gästebucheinträge bei anderen Nutzern bleiben in anonymisierter Form erhalten.

Kritisiert wird allerdings, dass - abgesehen vom Anmeldevorgang - alle Daten unverschlüsselt übertragen werden. Während für Nutzer der Eindruck entsteht, dass Seiten auf studiVZ nur für andere Mitglieder der Community sichtbar wären, kann man auch ohne Anmeldung gespeicherte Fotos abrufen, sofern man die genaue URL kennt. Durch einen Fehler im System waren zwischenzeitlich sogar geschützte Fotoalben für Außenstehende sichtbar.

Außerdem suggerieren die Zugriffskontrollen auf studiVZ, mit denen man das eigene Profil nur für die eigenen Freunde, die Freundesfreunde oder die eigene Hochschule sichtbar machen kann, einen Grad an Privatsphäre, der nicht immer gegeben ist. Die Beschränkung auf Mitglieder der eigenen Hochschule kann z.B. ganz einfach dadurch umgangen werden, dass man in seinem Profil die eigene Hochschulzugehörigkeit ändert. Zwar erlaubt das System solche virtuellen "Hochschulwechsel" nur in gewissen Abständen, mit Anlegen eines neuen Profils kann aber ein potentieller Angreifer jederzeit Zugriff auf die geschützten Bereiche aller Hochschulen erlangen.

Ähnlich wie bei den meisten Anbietern führt auch die Tatsache, dass bei studiVZ per Standardeinstellung alle Informationen öffentlich einsehbar sind, zu einer negativen Bewertung. Die Verantwortung liegt also auch hier vor allen Dingen beim Nutzer, die Privatsphäreeinstellungen auf die eigenen Bedürfnisse anzupassen.

tl_files/img/networks/wer-kennt-wen.png

Ein weiteres, vor allem in Süd- und Westdeutschland weit verbreitetes soziales Netzwerk ist wer-kennt-wen, das 2006 von zwei Studenten gegründet wurde und seit Anfang 2009 zu RTL interactive gehört.

Eine gewisse Datensparsamkeit ist zumindest bei der Anmeldung eines neuen Profils auf wer-kennt-wen zu erkennen. Im Gegensatz zu anderen Plattformen muss man hier nur das Geburtsjahr, nicht das genaue Geburtsdatum angeben. Dennoch werden mit Vor- und Nachnamen sensible Daten abgefragt, die Nutzung eines Pseudonyms ist nicht vorgesehen. Bei wer-kennt-wen werden alle Daten unverschlüsselt übertragen.

Die Möglichkeiten, bestimmte Daten nur für einen begrenzten Nutzerkreis zugänglich zu machen, bleiben hinter denen anderer sozialer Netzwerke weit zurück. wer-kennt-wen unterscheidet ausschließlich zwischen zwei Nutzergruppen - den eigenen Freunden und allen Mitgliedern der Plattform. Die Zahl der Informationen, die nur den eigenen Kontakten zugänglich gemacht werden können, ist hierbei begrenzt. Sensible Informationen wie die eigene Freundesliste oder Gruppenzugehörigkeiten können nicht geschützt werden und sind somit für jeden einsehbar.
Allein aus den Gruppenzugehörigkeiten und den Profilen der Freunde können oftmals bereits sehr umfangreiche Aussagen über Interessen, Weltanschauung und soziales Umfeld einer Person getroffen werden, die etwa für gezielte Werbung verwendet oder von potentiellen Arbeitgebern für Einstellungsentscheidungen herangezogen werden können. Aufgrund der fehlenden Möglichkeit, diese Informationen zu schützen, sollte wer-kennt-wen nur mit großer Vorsicht und Sorgfalt genutzt werden. Die Standardeinstellungen bei wer-kennt-wen machen zudem alle Informationen öffentlich und sollten unbedingt angepasst werden.

Ähnlich wie bei studiVZ sind auch bei wer-kennt-wen unter Kenntnis der genauen URL Fotos von außen abrufbar, sogar, wenn man sie im Netzwerk nur den eigenen Freunden zugänglich macht. Anstatt diese technische Lücke zu schließen, weist wer-kennt-wen, wenn man von den Privatsphäreeinstellungen Gebrauch machen will, einfach mit dem Satz "Die Fotos selbst sind allerdings trotzdem zugänglich, wenn man die genaue Adresse kennt" auf den Umstand hin. Eine große Sensibilität für Datenschutz lässt der Aufbau der Plattform also nicht vermuten.

tl_files/img/networks/lokalisten.png

Besonders in süddeutschen Großstädten verbreitet, besitzt dieses deutsche soziale Netzwerk lokalisten laut Eigenangabe etwa 3,5 Millionen User. Größter Anteilseigner an lokalisten ist ProSiebenSat.1 Media.

Bei der Anmeldung eines neuen Nutzeraccounts sticht ein Vorteil von lokalisten sofort ins Auge: die Möglichkeit, sich unter einem Pseudonym zu registrieren. Da die Angabe des Realnamens dennoch bei der Anmeldung verlangt wird und die Suchfunktion auch eine Suche nach Vor- und Nachname zulässt, bleibt diese Pseudonymisierung jedoch hinter ihren Möglichkeiten zurück und könnte den Nutzer sogar in falscher Sicherheit wiegen, was seine Anonymität im Netzwerk betrifft.

Der Schutz von Informationen ist auf der Plattform nur sehr begrenzt möglich. Lediglich Fotos und einzelne Blog- bzw. Tagebucheinträge können auf die eigenen Kontakte beschränkt werden, während alle Profilinformationen öffentlich sind. Auch auf eine verschlüsselte Übermittlung von Daten muss man bei lokalisten vergeblich hoffen.

Mit dem Freundesstatus sind auf lokalisten bestimmte Privilegien verbunden. Etwa ist die Anzeige einer Timeline mit den Aktivitäten aller Freunde möglich, die sehr genau konfiguriert werden kann. Freunden ist es möglich, Fotoverknüpfungen zu erstellen, ohne dass die abgebildete Person diesen zustimmen muss. Lediglich im Nachhinein kann ein Nutzer die Verknüpfung des eigenen Profils mit einem Foto wieder entfernen. Freilich können andere Nutzer in der Zwischenzeit bereits auf eine ungewollte Fotoverknüpfung aufmerksam geworden sein.

 

Nicht zuletzt die Suchfunktion von lokalisten bietet aus Datenschutzsicht Grund zur Sorge. Nach so ziemlich allen im Profil gemachten Angaben ist eine gezielte Suche möglich:

Selbst persönliche Daten wie der Mädchenname, die Postleitzahl, die E-Mail-Adresse, der Tanzstil oder der letzte Urlaub werden von der Suchfunktion erfasst, ohne dass die Privatsphäreeinstellungen einen Schutz dieser Daten erlauben würden. Die Summe dieser Datenschutzprobleme, gekoppelt mit einem umständlichen Prozedere zur Löschung des eigenen Accounts per E-Mail an den Betreiber, hat lokalisten unter den von der Fraunhofer-Studie erfassten sozialen Netzwerke die schlechteste Bewertung eingebracht.

 

Angesichts des großen Angebots verfügbarer sozialer Netzwerke sollte sich jeder Nutzer gut überlegen, ob er die Mängel der aus Gewohnheit bevorzugten Plattform einfach hinnehmen will. Die eigenen Daten und Kontakte sind für die Anbieter bares Geld wert. Ein sorgloser Umgang mit ihnen kann für den Nutzer weitreichende negative Konsequenzen haben - sei es im Berufsleben, in freundschaftlichen Beziehungen, dem Elternhaus oder auch in den Medien. Deshalb gilt es stets abzuwägen, ob man einem sozialen Netzwerk solch wichtige Daten anvertrauen will, wenn dessen Betreiber so wenig Sensibilität für Datenschutzprobleme an den Tag legt, wie diese Mängelliste deutlich macht.