Datenschützer über US-Datentransfers: „Sie können jeden nachverfolgen“

Auch nach dem EuGH-Urteil zum Datenschutz liefern Internetkonzerne weiter Nutzer-Informationen in die USA. Alan Dahi hat ihnen den Kampf angesagt.

Ein Mann hält ein Smartphone in den Händen

Google und Facebook können Profile über die Nutzer*innen erstellen Foto: Josep Rovirosa/Westend61/imago

taz: Herr Dahi, Sie haben mit dem Datenschutzverein noyb 101 Beschwerden gegen Unternehmen eingereicht, die auf Ihren Webseiten Dienste von Google und Facebook einbinden. Was ist Ihr Ziel?

Alan Dahi: Wir wollen einfach nur, dass das Recht durchgesetzt wird. Vor einem Monat hat der Europäische Gerichtshof entschieden, dass die allermeisten Datentransfers in die USA illegal sind. Nur: Daran hält sich praktisch niemand.

39, ist Programmdirektor und Datenschutzjurist beim Verein noyb. Das Kürzel ist eine gängige Formel für „none of your business“ – übersetzt: geht dich nichts an.

Welche Elemente von Google und Facebook sind denn besonders weit verbreitet?

Ganz vorne ist natürlich Google Analytics. Das ist ein Werkzeug, um zu analysieren, welche Personen eine Webseite besuchen und wie sie sich darauf bewegen. Bei Facebook gibt es verschiedene Tools. Den Like Button zum Beispiel, den kennt ja mittlerweile jeder. Facebook hat auch Tracking-Pixel, die Nutzer über verschiedene Webseiten hinweg verfolgen.

Welche Daten werden über eine Person gesammelt?

Das sind zum Beispiel die IP-Adresse, mit der ein Nutzer oder eine Nutzerin unterwegs ist, dazu Informationen etwa über den genutzten Browser oder andere Merkmale des Systems, das auf dem Computer oder dem Smartphone läuft.

Das klingt jetzt nicht so, als seien das wahnsinnig persönliche Daten.

Das werden sie aber dadurch, dass diese Daten einen persönlichen Fingerabdruck des Nutzers im Netz bilden. Die Technik dahinter heißt tatsächlich Browser Fingerprinting, und mit diesem eigenen, eindeutigen Fingerabdruck lässt sich fast jeder Nutzer identifizieren.

Warum ist das schlimm?

Dadurch, dass Google und Facebook auf fast allen Webseiten zu finden sind, können sie Profile über die Nutzer erstellen. Und sie können jeden nachverfolgen und sehen: Aha, der besucht erst diese Seite und dann diese und dann eine dritte und kauft dort das. Und das wird sehr schnell sehr persönlich. Wenn zum Beispiel jemand Gartenmöbel kauft oder Naturkosmetik, Medikamente oder Kinderkleidung oder auch nur entsprechende Informationen sucht – das verrät viel über die Person dahinter. Das funktioniert natürlich auch mit politischen Vorlieben. Etwa bei der Trump-Wahl oder der Brexit-Abstimmung wurden solche Profile genutzt, um Menschen politisch zu beeinflussen.

Verstehen Sie, warum die Betreiber der Seiten die Werkzeuge von Google und Facebook nutzen?

Vermutlich ist es einfach Bequemlichkeit. Und Google und Facebook sind die Platzhirsche. Aber es ist wichtig zu wissen: Für alle diese Werkzeuge gibt es Alternativen, die besser sind für die Privatsphäre der Nutzer. Statt Google Analytics ließe sich zum Beispiel Matomo einsetzen.

Was müssen die Aufsichtsbehörden jetzt machen?

Die müssen die Datenweitergabe untersagen.

Erwarten Sie, dass das auch passieren wird? Es haben sich ja doch in der Vergangenheit nicht alle Aufsichtsbehörden sonderlich engagiert gezeigt – Irland als prominentestes Beispiel.

Wir sind da guter Hoffnung. Nicht zuletzt, weil wir davon ausgehen, dass sich die Aufsichtsbehörden hier abstimmen werden – schließlich haben alle etwas zu tun gekriegt, und es geht immer um die gleiche Frage.

Die Auswahl der Unternehmen, gegen die Sie Beschwerden eingereicht haben, mutet einigermaßen willkürlich an – wie haben Sie ausgewählt, gegen wen Sie vorgehen?

Uns ist wichtig, dass wir nicht gegen die Kleinen vorgehen, sondern gegen die Großen. Denn damit lässt sich deutlich mehr bewegen. Wir haben eine spezielle Suchmaschine verwendet, mit der man nach Bestandteilen des Programmiercodes suchen kann. Da haben wir nach den Codeschnipseln gesucht, die auf die Google- oder Facebook-Elemente hinweisen. Die Suchmaschine sortiert die Ergebnisse gleich nach Beliebtheit der Seite, und da haben wir bevorzugt die ersten Treffer genommen.

Wirtschaftsverbände klagen seit dem EuGH-Urteil über Rechtsunsicherheit und jammern, dass es ohne Datenexporte nicht gehe. Was sagen Sie denen?

Datentransfers, die notwendig sind, sind ja weiterhin erlaubt. Wir sehen allerdings, dass sehr viele Unternehmen einfach aus Bequemlichkeit persönliche Daten von Nutzern in die USA übermitteln – und das, obwohl das Datenschutzniveau in den USA inkompatibel ist mit den europäischen Vorgaben. Und obwohl es hierzulande Alternativen gibt. Doch diese Alternativen werden vermutlich erst dann eine Chance bekommen, wenn die Unternehmen gezwungen werden, Google und Facebook nicht mehr zu verwenden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.