Hintergrundgespräch zu nacktimnetz in Berlin
Unsere Recherche hat viele Fragen aufgeworfen, vor allem im politischen Berlin. Schließlich hatten wir in den Daten auch zahlreiche Abgeordnete und deren Mitarbeiter gefunden, die natürlich genauso betroffen waren und sind, wie jeder „normale“ Internetnutzer.
Deshalb waren am Abend des Hintergrundgesprächs bei der Stiftung Neue Verantwortung viele interessierte Mitarbeiter aus den Behörden und Ämtern, einige Abgeordnete selbst und Medienvertreter vor Ort.
Ich veröffentliche hier (mit Dank an die Stiftung) einen kleinen Auszug aus dem Hintergrundgespräch, das Julia Manske moderiert hat:
Julia Manske: In den Berichten hieß es, Sie haben Zugang bekommen von den Browserdaten von drei Millionen Deutschen. Sie haben in Ihren Filmen gezeigt, dass Sie dafür eine Firma gegründet haben. Wie funktioniert denn das? Wie bekomme ich Zugang zu solchen Daten?
Svea Eckert: Das war auf der einen Seite erstaunlich leicht und auf der anderen Seite harte Arbeit. Ich habe eine Webseite eines Tech-Startups erstellt mit ein paar schicken Fotos und einem passenden LinkedIn-Profil einer dort angestellten Senior Consultant. Damit hatte ich später mehr als 100 Kontakte. Das heißt, ich hatte irgendwann ein einigermaßen glaubwürdiges Profil als Senior Consultant dieses kleinen Tech-Startups.
Unter diesem Namen und mit dieser Legende habe ich angefangen ziemlich großflächig, Firmen anzumailen und anzutelefonieren, in Deutschland aber auch international, also USA, England, Israel, auch Osteuropa. Ich habe im Prinzip eine Liste abgearbeitet.
In der Regel habe ich das Sales-Team angeschrieben, habe geschrieben, dass wir ein junges Startup sind und eine bestimmte Analyse machen wollen. Dafür bräuchten wir ganz bestimmte Daten, Daten aus der „Customer Journey“. So heißt das in der Branche. Immer verbunden mit der Frage: „Was können Sie da anbieten?“.
Julia Manske: Und was genau verstehen die unter Customer Journey?
Svea Eckert: Das ist die Reise des Nutzers im Netz, zum Teil über alle seine Geräte hinweg. Also die Reise des Nutzers, das können Tracker-Daten sein, das können auch Daten von verschiedenen Geräten sein, das können Desktopdaten sein, die aufzeigen was man im einzelnen angeklickt hat.
Ich habe immer offen danach gefragt, weil ich erst mal ins Gespräch kommen wollte und gucken wollte: „Was bieten die Firmen an?“. Das steht oft nicht auf der Homepage. Und dann habe ich einfach abgewartet: „Was kommt zurück?“.
Die Reaktionen waren sehr unterschiedlich. Es gab Firmen, die mir ziemlich deutlich zu verstehen gegeben haben, dass sie keine Nutzerdaten verkaufen. Aber es gab auch eine Handvoll mit denen ich ernsthaft ins Gespräch gekommen bin.
Julia Manske: Und wie sieht das genau aus, also wie bekommt man nun die Daten? Bekommt man da eine CD geschickt und wie öffnet man die? Also mal so ganz praktisch.
Svea Eckert: Es gibt im Netz, ich nenne es mal, virtuelle Ablagekörbe und dort liegen diese Daten drin. Man bekommt einen Zugangscode auf einen Server, dann kann man sich dort einloggen und kann auf dem Server mit den Daten arbeiten oder man kann sie auch herunterladen. Das sind aber solche Datenmassen, dass man sie nicht auf einem normalen Computer oder mit einer Festplatte sinnvoll verarbeiten kann.
Man kann sie nicht mit Excel bearbeiten. Man kann sie nicht als Text-Datei speichern und selbst wenn man sich von den Daten einen Auszug als Text-Datei rausziehen würde, man könnte darin erst mal gar nichts lesen. Die Daten müssen schon irgendwie gefiltert werden, man muss sie aufbereiten.
Ganz konkret heißt das, man kann nicht irgendwie Angela Merkel eintippen und dann kommt ein Ordner und dann steht da „Angela Merkel Best-of“. Man muss sich eine Strategie überlegen: „Wie werte ich die aus?“, weil diese Firmen, das sind ja keine Geheimdienste oder so. Die legen keine Ordner von jeder Person ablegen, sondern das sind Analysefirmen, Statistikfirmen, Tracker-Firmen. Man muss schon selbst heraus finden, was man dann mit den Daten machen kann.
Julia Manske: Konnten Sie jetzt diese Daten öffnen? Haben Sie schon gesehen: „Oh, da ist der Richter, über den auch ein Bericht geschrieben wurde, der bestimmte sexuelle Präferenzen hat, den finde ich jetzt hier und kann jetzt anhand dieser Daten auch noch nachvollziehen, was der gerne abends nach 20 Uhr macht?“
Wir haben nach einer Weile herausgefunden, dass sich Klarnamen finden, wenn die Nutzer sich irgendwo im Netz identifizieren, also zum Beispiel bei XING oder bei LinkedIn oder bei der Deutschen Bahn oder bei Twitter oder wenn sie über den Fernzugriff des Deutschen Bundestages E-Mails abrufen.
Das heißt, wenn man zum Beispiel auf einem Fernzugriff seine E-Mails abruft, dann gibt man bei manchen Unternehmen oder Institutionen seine E-Mail-Adresse ein. Und dann gibt es manche Anbieter, bei denen springt der Name des Nutzers in die URL.
Deswegen haben wir in diesem Datensatz gezielt nach Logins gesucht. Dann hatten wir am Ende Listen mit Login-Daten. Das heißt, das sind dann noch nicht die Daten der Personen selbst, sondern das ist einfach nur, wer da namentlich möglicherweise drin ist in dem Datensatz.
Diese Login-Daten haben wir abgeglichen mit den Namen der Bundestagsabgeordneten zum Beispiel oder mit den Twitter-Namen der Bundestagsabgeordneten. So und da sind ein paar Leute sozusagen „unten rausgefallen“ und die haben wir dann angesprochen.