SPIEGEL ONLINE

SPIEGEL ONLINE

04. Februar 2011, 16:29 Uhr

Datenschutz

Wie Microsoft Internet-Surfer beobachtet

Von

Wonach suchen Sie im Web? Wie lange lesen Sie welche Seiten? Microsoft protokolliert das Surfverhalten der Nutzer seiner Browser-Toolbars. Anonymisiert, behauptet der Konzern - verweigert aber jede weitere Auskunft über seine Datensammlung. Nun verlangt Bayerns oberster Datenschützer Auskunft.

Woher weiß Microsoft das? Irgendwie erfährt die Suchmaschine Bing des Software-Konzerns, wonach Menschen mit Google suchen und welche Web-Seiten sie aufrufen. Google kritisiert diese Praxis als "billige Nachahmung", Microsoft reagiert scharf, erklärt, Google arbeite mit Methoden von "Klick-Betrügern". Bei diesem Wortgefecht ist die für Internetnutzer brisante Frage untergegangen, wie Microsoft eigentlich an die Informationen kommt, was da jemand mit Google sucht und welche Seiten er aufruft.

Microsoft selbst sagt dazu sehr wenig. Der fürs Online-Geschäfte zuständige US-Manager Yusuf Mehdi schreibt im Firmenblog, man analysiere anonymisiert das Surfverhalten einiger Nutzer. Wie der Konzern an die Daten kommt, verrät Mehdi nicht. Zuständig für die Beobachtung des Surferverhaltens sind wohl die millionenfach installierten Browser-Erweiterungen "MSN Toolbar" (heißt inzwischen "Bing Bar") und "Windows Live Toolbar". Die Analysten der Beratungsfirma "Directions on Microsoft" haben in mehreren Berichten schon 2009 ausgeführt, dass Microsoft diese Erweiterungen nutzt, um das Surf-Verhalten der Anwender zu protokollieren.

Microsoft will nicht verraten, was gesammelt wird

Ein Detail ist besonders interessant: Microsoft soll auswerten, wie viel Zeit Internetsurfer auf einer Webseite verbringen, bevor sie zur Suchmaschine zurückkehren, die diesen Treffer geliefert hat.

Wie kann Surferverhalten in dieser Form protokolliert werden, ohne die IP-Adresse des entsprechenden Computers zu erfassen oder ihm zumindest irgendeine einzigartige Identifikationsnummer zu geben? Die wertvollste Information ist ja die, wie relevant die Treffer für einen bestimmten Nutzer mit einem bestimmten Erkenntnisinteresse und einer speziellen Suchanfrage sind.

Microsoft lehnt es ab, Fragen von SPIEGEL ONLINE zu diesem Thema zu beantworten. Wir wollten wissen:

Microsofts Antwort darauf: "Der Clickstream-Prozess ist Teil des Algorithmus von Bing/ Microsoft, den wir nicht detailliert erläutern möchten."

Mit dem Bayerischen Landesamt für Datenschutzaufsicht hat Microsoft diese Surf-Beobachtung jedenfalls nicht abgeklärt. Leiter Thomas Kranig sagt, der Konzern habe mit seinem Amt "bisher nicht über diese Auswertung von Daten zum Surfverhalten gesprochen". Der Datenschützer verlangt nun Antworten: "Wir wollen diesen Sachverhalt bald klären und senden Microsoft nun entsprechende Fragen zu."

Juristen glauben, dass Microsoft personenbezogene Daten sammelt

Welche Daten Microsoft auswertet, entscheidet darüber, an welche gesetzlichen Auflagen der Konzern sich zu halten hat. Datenschützer Kranig erklärt: "Wir können den Fall derzeit nicht bewerten, weil uns wichtige Informationen fehlen. Was genau wird da übertragen, wie und wo speichert Microsoft diese Informationen, wie wertet das Unternehmen sie aus? Davon hängt ab, ob es sich um personenbezogene Daten handelt."

Sammelt Microsoft also personenbezogene Informationen? Das ist ohne Mitwirkung des Unternehmens nicht endgültig zu klären. Die Analyse von Suchanfragen und der Aufenthaltsdauer auf Ergebnisseiten legt aber die Vermutung nahe. Thomas Hoeren, Jura-Professor für Informations-, Telekommunikations- und Medienrecht in Münster erklärt: "Ich kann mir schwer vorstellen, wie ein Clickstream sinnvoll analysiert werden kann, ohne IP-Adressen auszuwerten. Man muss ja den Weg eines Nutzers über mehrere Web-Seiten hinweg verfolgen und Suchanfragen zuordnen können."

Informatiker warnen vor sensiblen Informationen in Suchanfragen

Theoretisch ist es möglich, die IP-Adresse sofort gegen eine andere Zeichenfolge auszutauschen, zum Beispiel gegen den Hash der IP-Adresse, eine Art Daten-Fingerabdruck. Der Informatiker Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen an der Universität Erlangen-Nürnberg, ist allerdings skeptisch, dass ein solches Verfahren allein das protokollierte Surfverhalten anonymisiert: "Problematisch sind aber nicht nur die IP-Adressen sondern auch die URLs, die man eingibt".

So suchen zum Beispiel Menschen ja oft ihren eigenen Namen im Netz. In dem Fall hilft es auch nicht, wenn diese Suchanfragen mit einem Daten-Fingerabdruck anstelle der IP-Adresse verknüpft gespeichert sind. Solche Details haben 2006 einen Datenschutzskandal provoziert, als AOL 20 Millionen Suchanfragen vermeintlich anonymisiert veröffentlichte und dann einzelne Personen auf dieser Basis identifiziert wurden.

Wenn Microsoft tatsächlich IP-Adressen oder andere personenbezogene Daten speichert, handelt es sich um personenbezogene Informationen. Denn nach dem Bundesdatenschutzgesetz ist jedes Detail personenbezogen, das sich auf die "persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" bezieht. Der Jurist Nikolaus Forgó, Professor für IT-Recht an der Universität Hannover, vermutet deshalb, dass Microsoft mit "hoher Wahrscheinlichkeit" nach deutschem Recht personenbezogene Informationen sammelt.

Microsoft informiert die Nutzer schlecht

Wer die "Bing Toolbar" oder die "Windows Live Toolbar" installiert, erfährt nicht wesentlich mehr darüber, was Microsoft da sammelt. In den extrem unübersichtlichen Datenschutzbedingungen der diversen Microsoft-Dienste finden sich keine genauen Angaben dazu, welche Daten die Toolbars übertragen und wie Microsoft diese auswertet.

Lädt man in Deutschland die Bing Toolbar, ist bei der Installation der Erweiterung die Zustimmung zur Beobachtung des Surf-Verhaltens vorab angekreuzt. Sollte Microsoft personenbezogene Daten sammeln, erklärt Datenschützer Kranig, "wäre die von Microsoft angebotene elektronische Einwilligung per Opt-out nicht zulässig".

Microsoft versteckt diese Lizenz zum Mitsurfen etwas euphemistisch unter der Überschrift "Ihre Nutzung optimieren". In dem Text, neben dem das Häkchen schon gesetzt ist, steht die Aufforderung:

"Tragen Sie dazu bei, dass Microsoft Ihre Onlinenutzung mit personalisierten Inhalten optimieren kann, indem Sie es zulassen, dass wir zusätzliche Informationen zu Ihrer Systemkonfiguration, zu Ihren Suchvorgängen, zu den von Ihnen besuchten Websites sowie zur Art der Verwendung unserer Webseite erfassen. Diese Informationen verwenden wir auch zur Optimierung unserer Produkte und Dienste."

Immerhin: Da steht, dass Microsoft protokolliert, welche Web-Seiten man aufruft. Von Google-Sucheingaben ist da aber nicht die Rede. Und merkwürdigerweise steht da auch nichts von einer anonymisierten Erfassung, nur von personalisierten Inhalten.

Microsofts Datenschutz-Info: Nebulöse Versprechen, keine Fakten

Die Verwirrung bleibt, auch wenn man auf die "weiterführenden Informationen" klickt. Man landet auf einer Seite, die solche Informationen nicht bietet. Da heißt es, Microsoft verbessere "die Qualität und Leistung" durch das " Datenerfassungsprogramm", man könnte beitragen, "dass Spam und Phishing Scams" den eigenen "Posteingang nicht erreichen". Außerdem würden die Daten "vertraulich behandelt und nicht zu Identifikationszwecken verwendet". Welche Daten gespeichert werden, wie Microsoft sie anonymisiert und wie lange das alles auf den Servern des Konzerns liegt - das erfährt man in dem Text nicht.

Diese verwirrenden Informationen fallen dem Juristen Nikolaus Forgó unangenehm auf, er vermutet, dass diese Form gegen das Telemediengesetz § 13 Abs. 1 verstößt. Der Absatz verlangt die Aufklärung der Nutzer in "allgemein verständlicher Form" über "Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten".

Das Fazit des Juristen: "Mit sehr hoher Wahrscheinlichkeit ist das, was da geschieht, mit deutschem Datenschutzrecht nicht vereinbar."

URL:


Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH