Beginn Inhaltsbereich

Beginn Navigator

Verlaufsnavigation

Ende Navigator



Erläuterungen zu Sozialen Netzwerken

Die Bürger wickeln heutzutage einen Teil ihres Soziallebens im Internet ab. Begünstigt wird dieser Trend durch die rasante Entwicklung im Bereich der neuen Kommunikationstechnologien. Wo immer mehr Privates ins Internet gestellt wird, ist auch der Datenschutz gefordert. Der EDÖB erläutert im vorliegenden Dokument Risiken und Gefahren der Social Networking Sites für die Privatsphäre und gibt an die Adresse der Involvierten Empfehlungen ab für einen verbesserten Schutz der Personendaten.

Einführung

Benutzerinnen und Benutzer des Internets sind längst nicht mehr nur «Konsumenten», die von Providern zur Verfügung gestellte Informationen auf statischen Websites suchen und downloaden, sondern benutzen das Internet interaktiver denn je und arbeiten kräftig an dynamischen Websites mit. Diese Entwicklung wird unter dem Begriff Web 2.0 zusammengefasst. Sowohl die steigende Verbreitung der Breitbandtechnologie, die die Prozesse des Up- und Downloadens bedeutend beschleunigt hat, wie auch die Entwicklung von Social Software hat diese veränderte Nutzung des Internets begünstigt. Immer mehr User sind in der Lage, in entscheidendem Umfang eigene Inhalte ins Internet zu stellen und sich zudem untereinander zu vernetzen.

In diesem Zusammenhang sind verschiedene Social Networking Sites (SNS) entstanden. Es sind dies umfangreiche Portale, in denen sich angemeldete Benutzerinnen und Benutzer treffen, Freundschaften schliessen und Nachrichten, Fotos und Filme austauschen. Dazu füllt man ein persönliches Profil aus unter Angabe von mehr oder weniger detaillierten Auskünften über die eigene Person, Vorlieben und Überzeugungen. Die bekanntesten Sozialen Netzwerke (facebook, Google+, MySpace, StudiVZ etc.) gewinnen stetig zahlreiche Neumitglieder hinzu.

SNS stellen den Datenschutz vor neue Herausforderungen. Datenschutzgesetze waren ursprünglich darauf ausgerichtet, Personendaten vor der unrechtmässigen oder übermässigen Bearbeitung durch den Staat, später auch durch die Wirtschaft zu schützen. Mit den SNS sind nun drei grundlegend neue Aspekte aufgetaucht:

  1. Eine Vielzahl von vormals als persönlich oder privat angesehenen Daten werden durch die SNS-Teilnehmer freiwillig einer breiten Öffentlichkeit präsentiert.

  2. Privatpersonen, Unternehmen, Regierungsstellen usw. erhalten somit einfach und anonym Zugriff auf persönliche Daten.

  3. Die Teilnehmer können auch Daten über Nichtmitglieder auf SNS hochladen. Diese Daten werden somit der Öffentlichkeit ebenfalls zur weiteren Bearbeitung zugänglich gemacht.

SNS bergen viele Vorzüge für die Gesellschaft, so zum Beispiel die Möglichkeit, Networking zu betreiben, Kontakte über Landesgrenzen hinaus zu knüpfen oder eigene Inhalte zu publizieren. Es ist daher nicht die Absicht dieser Erläuterungen, SNS grundsätzlich zu verurteilen. Das Ziel ist die Sensibilisierung der Behörden, Provider und User für einen korrekten und datenschutzkonformen Umgang mit Personendaten bei SNS.

Risiken und Gefahren

Die Benutzung des Internets ist aus der heutigen beruflichen und privaten Welt nicht mehr wegzudenken. Das Medium birgt verschiedene bekannte Gefahren, die auch in Sozialen Netzwerken drohen. Übeltäter können sich dabei die spezifischen Voraussetzungen der SNS zunutze machen. Zu diesen Voraussetzungen gehört unter anderem eine Neubesetzung der Begriffe Vertrauen und Vertraulichkeit.

Wo Freundschaft zunehmend quantitative Aspekte hat, ist es unter Vorspiegelung falscher Tatsachen oder gar Annahme einer falschen Identität  einfach, zum «Freund» von jemandem zu werden und also in Besitz von Informationen zu gelangen, die einem das Gegenüber in einem Gespräch von Angesicht zu Angesicht vielleicht nicht mitteilen würde. Die Behauptung solcher Netzwerke, man verlagere einzig die alltägliche Kommunikation unter Freunden ins Internet, suggeriert eine Intimität, die in einem weltweiten Medium nicht gegeben ist, zumal wenn die Zugangshürden zum Netzwerk niedrig sind.

Wer SNS unvorsichtig und ohne Vorkehrungen benutzt, setzt sich folgenden Risiken aus:

  1. Das Internet kennt kein Vergessen: Benutzerprofile können von anderen Usern heruntergeladen und gespeichert werden, was die Löschung des Ursprungsprofils quasi nutzlos macht, bleiben so die Daten doch erhalten. So entsteht eine Unzahl von privaten Datensammlungen, und die Gefahr wächst, dass die Daten anders eingesetzt werden könnten als ursprünglich beabsichtigt. Ausserhalb der SNS bekannt gemacht können sie beispielsweise der betroffenen Person erheblich schaden. Solch private Sammlungen ermöglichen auch das Nachverfolgen von Anpassungen, die ein Profilinhaber vornimmt, und die Kategorisierung der Daten nach bestimmten Kriterien, z.B. mittels Suchfunktion.
  2. Die SNS-Provider haben Zugriff nicht nur auf die Personendaten, sondern auch auf die Metadaten (Verbindungsdauer, grobe geografische Herkunft der IP-Adresse, Verweildauer und Bewegungen auf der Site, etc.). Bei vielen SNS-Anbietern ist unklar, was mit all diesen Daten geschieht. Klar ist: Personen- und Metadaten zusammen können ausführliche Persönlichkeits­profile ergeben, deren Verkauf grosse Gewinne abwerfen dürfte.
  3. Fotos mit erkennbaren Personen und zugeordneten Namen dienen der eindeutigen Identifikation der Abgelichteten. Mit spezieller Gesichtserkennungs-Software können SNS und andere Plattformen nach spezifischen Personen abgesucht werden. Diese können dann auch da, wo sie anonym bleiben wollen, z.B. auf einer Dating-Website, identifiziert oder dank des Fotos auf der SNS mit ihrem Lebenslauf auf einer Firmenwebsite in Verbindung gebracht werden.
  4. In eine ähnliche Richtung geht die Gefahr des CBIR (content based image retrieval): Die automatische Wiedererkennung von Merkmalen im Hintergrund eines Bildes, z.B. ein spezifisches Gemälde oder Haus, kann zur geografischen Lokalisierbarkeit einer Fotosituation führen und die Bekanntgabe der Adresse, Stalking oder andere kriminelle Handlungen zur Folge haben.
  5. Einige SNS erlauben das Hochladen von Daten und die weitgehende Verlinkungen mit Profilen oder Email-Adressen von Drittpersonen - durchaus auch solchen, die keine Mitglieder des Netzwerks sind - notabene, ohne deren Erlaubnis einzuholen. Dies kann zur Gefahr für die Privatsphäre dieser Personen werden.
  6. Benutzerkonti können praktisch nicht unwiderruflich gelöscht werden (siehe oben Punkt 1). Zum einen werden Profile z.T. nur «deaktiviert» statt gelöscht. Zum anderen hinterlassen aktive Benutzer viele zusätzlichen Informationen auf anderen Seiten des Netzwerks. Diese allumfassend zu löschen ist praktisch unmöglich. So verlieren Benutzerinnen und Benutzer die Kontrolle über ihre Daten.
  7. Weitere Gefahren sind das so genannte Cross Site Scripting und schädliche Software (malware). Unter Ausnutzung von Computersicherheitslücken werden bspw. fehlerhafte Programmcodes eingeschmuggelt mit dem Ziel, an sensible Daten des Users zu kommen oder seinem Computer oder Profil Schaden zuzufügen.
  8. Benutzer mehrerer SNS können die Bewirtschaftung ihrer Postfächer vereinfachen, indem sie alle in einer einzigen Webapplikation eingeben. So können sie mit einem Benutzernamen und einem Passwort alle aktuellen Nachrichten der eigenen Profile auf einen Blick einsehen, was praktisch sein mag, jedoch Sicherheitsrisiken birgt.
  9. Bei den meisten SNS sind die Registrationshürden sehr niedrig: Man macht einige Angaben zur Person, die nicht verifiziert werden und also erfunden sein können. Einmal drin, ist es unter Umständen sehr einfach, Kontakte zu schliessen und in die Freundeskreise anderer aufgenommen zu werden. Das birgt Gefahren der Infiltration dieser Communities zu verschiedenen negativen Zwecken:
    1. Phishing: Übeltäter können so an zahlreiche Informationen kommen und zielgerichtete Phishing-Attacken lancieren mit dem Ziel, beispielsweise Zugangsdaten zu wichtigen Accounts, Bankinformationen etc. zu ergattern.
    2. Spammer können ebenso Profile eröffnen wie harmlose Benutzer. Daher droht auch in SNS-internen Kommunikationssystemen das altbekannte Problem des Spamming.
    3. Identitätsdiebstahl wird einfach gemacht: Man legt sich ein Profil mit dem Namen einer bekannten Person an und profitiert von deren Berühmtheit - oder schädigt ihren Ruf durch bösartiges Verhalten. Gleichermassen kann man ein Profil im Namen einer Person aus Schule oder Nachbarschaft eröffnen und ihr schaden, indem man sie lächerlich macht oder in ihrem Namen Bösartigkeiten verschickt.
  10. Cyberstalking ist ein altes Phänomen neu verpackt: Die elektronischen Kontaktmöglichkeiten der SNS können böswillig dazu benutzt werden, jemanden zu bedrängen. Ausserdem kann die Menge an Daten, die die Benutzerinnen und Benutzer über sich selber bekannt geben, durchaus dazu führen, dass jemand die Adresse seines Opfers herausfindet, seine Lebensgewohnheiten kennen lernt und die Person physisch verfolgen kann.
  11. Auch Cyberbullying ist die Internet-Version eines in der Realität seit längerem bekannten Phänomens. Der Angreifer kann sich hinter einem gefälschten Profil verstecken, anonym bleiben und dabei die Möglichkeiten nutzen, die SNS bieten, um jemanden bösartig zu belästigen oder zu demütigen. Dies kann erst noch für andere Mitglieder der Community sichtbar getan werden, was den Schaden für das Opfer vergrössert.

SNS sind meistens gratis, aber sie sind keine gemeinnützigen Einrichtungen. Es findet ein «Handel» statt: Dienstleistungen für Benutzerinnen und Benutzer im Tausch gegen deren Daten. Hinter den Portalen steckt eine geballte Marktmacht, stecken führende internationale Unternehmungen, die unter dem Druck von Investoren und Aktionären wachsende Profite generieren müssen. Das einzige, was ein Social Networking Service anzubieten hat, sind Personendaten - und der Börsenwert eines SNS spricht Bände über deren Wert.

Soziales Netzwerken im Internet ist ein relativ neues Phänomen, und es werden laufend Erfahrungen gesammelt damit. Es ist daher auch wahrscheinlich, dass künftig neue Gefahren und Sicherheitslöcher auftauchen werden.

Empfehlungen an Behörden [1]

Aus der Sicht des Datenschutzes sind folgende Empfehlungen zentral:

  • Benutzerinnen und Benutzer solcher Social Networking Services sollen mit Kampagnen für die Gefahren sensibilisiert werden. Software-Hersteller sollen ermutigt werden, die Sicherheit der Personendaten zu berücksichtigen
  • Einführung eines Rechts der User, SNS pseudonymisiert zu benutzen
  • Erhöhte Transparenz: Im Hinblick auf existierende Datenschutzgesetze ist es angebracht, die Datenbearbeitungsmethoden der SNS-Anbieter unter die Lupe zu nehmen und allenfalls Korrekturen anzuregen. Die User sollten klar unterrichtet werden über den Zweck der Datenbearbeitungen, eine allfällige Weitergabe der Daten oder die Geltendmachung von Auskunfts- und Berichtigungsrecht.
  • Vorsicht mit Verboten: Statt die Benutzung von SNS zu verbieten, sollten Schulen sie (partiell) zulassen; so würde das Social Networking nicht gänzlich unkontrolliert vonstatten gehen. Zudem könnte die Aufklärung von Kindern, Lehrkräften und Eltern damit einhergehen.
  • SNS-Provider sollten verpflichtet werden, Datenlecks bekannt zu geben. Damit wären die User informiert, und es würde sich zugleich zeigen, wie hoch der Sicherheitsstandard der SNS ist.
  • Datenschutzunterricht: In Anbetracht des wachsenden Gebrauchs moderner Kommunikationsmittel durch Kinder und Jugendliche gehört Datenschutz unbedingt an die Schulen.

Empfehlungen an Anbieter

  • Stärkere Authentifizierung der Benutzerinnen und Benutzer: Das könnte bspw. via Postbestätigung passieren.
  • Verbesserung der Möglichkeiten für User, Missbrauch und Regelverstösse auf der Webseite zu melden; bspw. mittels eines Buttons auf jeder Seite.
  • Wahl passender Standardeinstellungen: Erfahrungsgemäss verändern wenige User die Grundeinstellungen von sich aus, daher ist es aus datenschützerischer Sicht zentral, dass die Einstellungen standardmässig datenschutzkonform sind.
  • Schaffung und Promotion der Möglichkeit für User, unter Pseudonym zu surfen
  • Klare Informationen bezüglich der Datenbearbeitungen und allfälliger Weitergaben an Dritte; zudem müssen sich die Anbieter an gegebene Versprechen halten. Nur so kann Vertrauen entstehen.
  • Einführung von Bewertungssystemen: Schaffung einer Möglichkeit für die User, sich gegenseitig zu bewerten. Es kann durchaus sinnvoll sein, sich im Kontakt mit Menschen, die man nicht persönlich kennt, auf die Erfahrungen von anderen zu stützen, die sich in solchen Ratings äussern. Die Online-Reputation gewinnt dadurch an Bedeutung, ein guter Ruf, verdient durch gutes Verhalten, wird erstrebenswert.
  • Installation automatischer Filterwerkzeuge, die auf bestimmte Merkmale reagieren.
  • Bessere Kontrolle des Users über seine Daten:
    • ihm ermöglichen, Daten komplett zu löschen.
    • Das Untersagen des Anbringens von so genannten «tags» mit Personendaten (z.B. Bildbeschriftungen) ohne die Erlaubnis der betroffenen Person.
    • Wahlmöglichkeit für den User, welche seiner Daten in der SNS-Suchfunktion aufscheinen dürfen.
    • Generelle Kontrolle des Users darüber, was mit seinen Profil- und Bewegungsdaten passiert.

Empfehlungen an die Benutzerinnen und Benutzer

  • Seien Sie vorsichtig bei der Veröffentlichung Ihrer Personendaten (Name, Adresse, Telefonnummer) und anderer persönlicher Informationen (bspw. politische Überzeugungen) auf einer SNS. Benutzen Sie Pseudonyme.
  • Achten Sie darauf, wen Sie in Ihren virtuellen Freundeskreis aufnehmen. So können Sie die Gefahr des Datenmissbrauchs einschränken. Gewähren Sie unbekannten Personen nicht ohne weiteres Zugang zum eigenen Profil. Bei manchen SNS können die zugangsberechtigten Personen verschiedenen Kategorien zugeteilt werden (z.B. Freunde und Kollegen). So können Sie Einfluss darauf nehmen, welche Nutzer Ihre Inhalte zu Gesicht bekommen.
  • Beachten Sie unsere Hinweise zum Schutz des eigenen Computers und zum sicheren Umgang mit dem Internet.
  • Fragen Sie sich vor der Veröffentlichung immer, ob Sie in einem Bewerbungs­gespräch mit den entsprechenden Daten konfrontiert werden möchten - und zwar auch noch in zehn Jahren. Schon heute suchen angeblich 2/3 der HR-Manager in SNS und Google nach Informationen über Bewerberinnen und Bewerber. Kontrollen Sie die Informationen (Bilder, Fotos...), die Ihre Freunde aufschalten und fordern Sie sie auf, unerwünschtes Material zu entfernen.
  • Respektieren Sie die Privatsphäre von anderen Personen, veröffentlichen Sie keine Personendaten von Dritten. Verzichten Sie darauf, Ihre elektronischen Adressbücher in SNS hochzuladen oder abzugleichen ohne dass die Einwilligung der Betroffenen vorliegt. Verzichten Sie auf das Hochladen und Beschriften von Fotos von Dritten.
  • In den SNS können Profile leicht gefälscht werden, was für die Betroffenen sehr unangenehm sein kann. Durchsuchen Sie deshalb das Web regelmässig nach Ihrem Namen und möglichen Profilen. Dazu eignen sich insbesondere die auf SNS spezialisierten Suchmaschinen wie 123people.com und Yasni.de. Sollten Sie fündig werden, können  Sie den Betreiber der Website auffordern, die entsprechenden Seiten zu entfernen.
  • Rufen Sie sich in Erinnerung, dass Ihr Profil von den SNS gespeichert wird. Sind die Daten einmal auf dem Web, ist es schwierig, die Übersicht über ihre Verwendung zu behalten. Halten Sie sich auch vor Augen, dass von den Usern gelöschte Profile manchmal von den Betreibern der SNS zwar deaktiviert, aber nicht entfernt werden. Wer seine Facebook-Seite endgültig löschen will, kann dies über den folgenden Link tun: www.facebook.com/help/contact.php?show_form=delete_account. Informationen zum Facebook-Ausstieg finden Sie u.a. auf dieser Webseite: http://www.ausgestiegen.com/.
  • Informieren Sie sich über die Anbieter des Portals und wie die Privatsphäre der Nutzer gewährleistet wird. Hat der Dienst ein Datenschutz- oder -sicherheitsgütesiegel? Beobachten Sie das Verhalten des Anbieters kritisch.
  • Wählen Sie in Ihrem Profil bei Ihren eigenen Einstellungen datenschutz­kon­for­me Optionen. Geben Sie Ihre Informationen und Fotos nur für einen be­schränk­ten Personenkreis frei. Stellen Sie heikle Inhalte nicht ins Internet. SNS-Profile können über Suchmaschinen gefunden werden. Um dies zu verhindern, deaktivieren Sie bei Facebook unter den Privatsphäre-Einstellungen die Option „öffentlichen Sucheintrag erstellen und diesen für die Indizierung durch Suchmaschinen verwenden".
  • Benutzen Sie verschiedene Logins und Passwörter für verschiedene Dienste.
  • Behalten Sie die Internetaktivitäten Ihrer Kinder im Auge.

Verschiedene europäische Datenschutzgremien haben sich bereits eingehend mit der Thematik befasst. Weitere Informationen finden Sie unter:

Fraunhofer-Institut für sichere Informationstechnologie SIT. Privatsphärenschutz in Soziale-Netzwerke-Plattformen. Darmstadt, 23. September 2008 (PDF).

International Working Group on Data Protection in Telecommunications. Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten «Rom Memorandum». Rom, 3./4. März 2008 (PDF).

European Network and Information Security Agency ENISA. Position Paper No. 1: Security issues and Recommendations for Online Social Networks. Editor: Giles Hogben. October 2007.

European Network and Information Security Agency ENISA. Position Paper No. 2: Reputation-based Systems: a security analysis. Editors: Elisabetta Carrara and Giles Hogben. October 2007.


[1] Folgende Empfehlungen basieren im Wesentlichen auf dem Rome memorandum der International Working Group on Data Protection in Telecommunications.

Zurück zur Übersicht Soziale Medien

Ende Inhaltsbereich