Das Netz weiß zuviel

■ Der Bremer Universitätsprofessor Herbert Kubicek will den Schutz persönlicher Daten auch im Internet durchsetzen

taz: In den achtziger Jahren haben Linke in Fußgängerzonen Flugblätter gegen den „gläsernen Bürger“ verteilt. Heute surfen dieselben Leute durchs Internet. Mit Keyboard und Maus legen sie dabei Datenspuren, die den Fragebogen der Volkszählung von damals um ein Vielfaches übertreffen. Sie erlauben Rückschlüsse auf Status, Interessen und Gewohnheiten aller Person, die sich ins Netz eingeschaltet haben.

Herbert Kubicek: Die Ausgangsposition hat sich verändert. Heute geht die größere Gefahr von den kommerziellen Betreibern von Datenfirmen aus. Die wollen dann gleich auch relativ konkrete Daten. Viele Betreiber von WWW-Servern, Focus zum Beispiel, damit sie ihren Werbekunden differenzierte Nutzerprofile anbieten können. Man kann sicher auch eine Gefährdungskette aufzeigen, die von solchen Nutzungsdaten in den Adreßhandel geht. Dort werden Ihnen heute nicht mehr nur Schufa-Daten, sondern beispielsweise auch Grundbuchauszüge über die Belastung von Grundstücken und ähnliches angeboten. In Zukunft könnten so vielleicht Arbeitgeber oder Vermieter Kommunikationsprofile und Auskünfte einholen über die Interessengebiete von Leute, die man einstellen oder an die man vermieten will. Deswegen muß, schon vor der Erhebung, wirksam vorgebeugt werden.

Die Europäische Union arbeitet noch an Richtlinien zum Datenschutz und zur Telekommunikation. Im Internet wird schon lange fleißig gesammelt und gedealt. AnbieterInnen von Informationen und Dienstleistungen protokollieren die Rechneradressen ihrer Kundschaft. Datenlagerhäuser wie die US-Firma EDS oder die Daimler Benz-Tochter debis verwalten kommerzielle und öffentliche Datenbanken gleichzeitig. Wer aus welchen Lagerbeständen welche Datenpakete zusammenschnürt und an wen er sie weiterverkauft, das bleibt der öffentlichen Kontrolle entzogen.

Es gibt glücklicherweise auf der Ebene der Europäischen Union eine allgemeine Datenschutzrichtlinie, und es soll jetzt eine zur Telekommunikation folgen. Außerdem denke ich, daß Datenschutz auch als ein – marktwirtschaftliches – Qualitätsmerkmal solcher Dienstleistungen begriffen werden wird. Wenn ich sicher sein kann, daß meine Daten nicht weitergegeben werden, dann habe ich Vertrauen zu solch einem Dienst. Insofern, glaube ich, haben wir es mit Auseinandersetzungen zu tun zwischen Medienunternehmen, die dieses Qualitätsmerkmal in den Vordergrund stellen, und Marktforschungs- und Adreßhandelsunternehmen, die an diese Daten herankommen wollen. Es ist ja nicht so, daß es außer Bürgerrechtlern niemanden mehr gibt, der den Datenschutz will.

Sie selbst erhoffen sich einen Schutz durch Programme, die bestimmte Merkmale der AbsenderInnenadressen überschreiben oder löschen. Unter Ihrer Leitung hat die Forschungsgruppe „Telekommunikation“ an der Bremer Uni ein solches Programm entwickelt. An Stelle der persönlichen Kenndaten erscheinen drei Kreuzchen. Die Telekom kann das schon länger, wenn sie Telefongebühren abbucht. Was ist so revolutionär an Ihrer Erfindung?

Revolutionär will ich sie nicht nennen. Wichtig ist, daß man jetzt auch bei den Online-Zugriffen das realisieren kann, was Sie für den Telefonverkehr schon richtig beschrieben haben. Wenn man in einer Web-Seite blättert, hinterläßt man jetzt ohne eigenes Wissen auch keine Spuren mehr. Die handelsübliche Serversoftware hat ebendies bisher nicht möglich gemacht. Alle Standardserver protokollieren vollständig Rechnername, Datum, Uhrzeit sowie die Objekte, auf die jeweils zugegriffen wird.

Heißt das, daß wir Im Internet unbeobachtet in der „Radikal“ schmökern können, während Firmen pleite gehen, die mit dem Sammeln und Verkaufen personenbezogener Internet-Daten Geld verdienen?

Das Programm in seiner jetzigen Form ist noch kein absolut sicherer Schutz. Wer die vollständigen Absendernamen protokollieren will, kann dies weiterhin tun. Das Programm gibt nur denjenigen, die sich als Betreiber von Servern ans Datenschutzrecht halten wollen, die Möglichkeit, Daten zu anonymisieren. Unser Programm versucht einen Kompromiß in einem Interessenkonflikt anzubieten. Der Interessenkonflikt besteht zwischen Ihnen als Nutzer, der möglichst anonym blättern will, und Betreibern, die möglichst detaillierte Daten über Sie als Kunden sammeln wollen – vielleicht nicht mal, um die Kunden auszuspionieren, sondern um ihr eigenes Angebot besser an den Nutzerkreis anzupassen. Wir selbst betreiben ein „Stadtinformationssystem Bremen“, und wir wüßten gern, wie viele Bremer und wie viele Touristen von außen darauf zugreifen. Das hilft uns dann wieder bei der Weiterentwicklung des Angebotes. Unser Programm bewahrt nur den Teil der Adresse auf, der den Vorwahlnummern beim Telefon entspricht, aber die Nummer des Anschlusses selbst ist anonymisiert. Ich glaube, das kommt dem Interesse der meisten Anbieter entgegen, die gar nicht auf die individuellen Angaben eines Nutzers zurückgreifen wollen.

Rennen Sie als kritischer Informatiker nicht bloß der technischen Entwicklung hinterher? Sie versuchen, den NetzsurferInnen die „informationelle Selbstbestimmung“ zurückzugeben, ein Begriff, der aus dem deutschen Grundgesetz folgt. Aber das Internet ist ein rechtsfreier Raum.

Ich setze mich seit langem für den Datenschutz ein. Unter meiner Mitwirkung wurden die Anonymisierung der Telekom-Abrechnungen hier beim Bremer Oberverwaltungsgericht durchgesetzt. Auf der anderen Seite betreiben wir dieses Stadtinformationssystem. Ich habe mich zunehmend in einem Widerspruch gesehen zwischen dem, was ich von anderen Betreibern solcher Systeme an Datenschutz verlange, und dem, was wir, weil wir die Server-Standardsoftware übernommen haben, selbst nicht leisten. Im WWW ist ja jeder Informationsanbieter auch Provider und damit eine potentiell speichernde Stelle im Sinne des Datenschutzgesetzes.

Wer soll denn im Netz den Datenschutz durchsetzen? Wer merkt denn, ob ein Konzern wie EDS in Texas, der die Dateien von Lufthansa und der amerikanischen Einwanderungsbehörde gleichzeitig verarbeitet, Daten an interessierte Dritte weiterverkauft? Falls die Sicherheitsbehörden in einem Land Schwierigkeiten machen, gehen solche Firmen dorthin, wo die Datenschutzbestimmungen weniger ausgeprägt sind.

Wir haben durch die Internationalisierung der Netze und der Online-Dienste eine zusätzliche Dimension des Problems. Nur darf die uns nicht davon abhalten, zuerst unser eigenes Haus in Ordnung zu bringen. Alle Kommunen, alle Landesregierungen, alle öffentlichen Stellen, die in Deutschland sitzen und in Deutschland Server betreiben, sollten ihre Protokolle anonymisieren und einen rechtskonformen Zustand herstellen. Das ist die erste Forderung, die man nicht dadurch entkräften kann, daß man sagt, CompuServe sitze nun mal in Ohio.

Wie wird es denn weitergehen mit Ihrer Software?

Unser Programm ist auf öffentlich zugängliche Netzserver wie NSCA und CERN zugeschnitten. Die arbeiten auf Unix-Basis. Öffentliche Verwaltungen, die damit arbeiten, könnten unser Programm sofort einsetzen. Bei Microsofts „Internet-Explorer“ jedoch kommt man an das Betriebssystem gar nicht ran. Hier müßten die Kunden eine entsprechende Prozedur in der nächsten Version fordern. Gleichzeitig sollen dadurch gesetzliche Regelungen angestoßen werden, die es den anderen vorschreiben. Ansonsten liegt das Programm als Freeware im Netz, für jeden zugänglich. Interview: Gunter Becker

Das Programm ist abrufbar unter: http://infosoc.informatik

.uni-bremen.de