Scraping als neue Methode zur Erhebung persönlichster Daten

Marktforschungsinstitute verfolgen beim Sammeln von persönlichen Daten im Internet derzeit eine neue Strategie. "Scraping", zu Deutsch "Kratzen"/ "Schaben" wird die neueste Methode genannt, mit der Marktforscher persönliche Informationen erheben. Im Zuge des Scraping werden die Daten von Websites bezogen, auf denen sich User registrieren müssen. Hierfür registriert sich jene Firma, welche Daten erheben möchte, auf der zu evaluierenden Website. Die gesammelten Daten werden anschließend an Firmen verkauft, die sie im Rahmen der Produktentwicklung oder für Marketingzwecke verwenden.

Wie das Wall Street Journal berichtete, hatte sich etwa das Marktforschungsinstitut Nielsen diese Methode im Forum PatientsLikeMe zu Nutze gemacht. In diesem tauschen sich registrierte Nutzer, vermeintlich unter sich, über ihre psychischen Probleme und ihre Therapien aus. Einige Mitglieder veröffentlichen sogar Medikamentenlisten. All diese Daten hat Nielsen im Zuge des Scraping erhoben. Nach Bekanntwerden des Vorfalls gab das Marktforschungsinstitut Nielsen bekannt, künftig keine Daten mehr von Internetseiten zu beziehen, auf denen eine Registrierung erforderlich ist, d.h. User einen eigenen Account besitzen, sofern Nielsen hierfür keine Erlaubnis erhalten habe.

Der Handel mit persönlichen Daten über Internetuser boomt. Es gibt unzählige Firmen, die sich darauf spezialisiert haben Chat-Konversationen und Daten aus sozialen Netzwerken zu beziehen und zu sammeln. 2009 haben Marktforscher 7,8 Milliarden Dollar für das Sammeln von Daten, sowohl on-, als auch offline, ausgegeben. Die Ausgaben für das Zusammentragen von Daten aus dem Internet sollen laut der New Yorker Consulting-Firma Winterberry Group LLC bis 2012 auf 840 Millionen Dollar ansteigen. Im vergangen Jahr waren es noch 410 Millionen Dollar, die investiert wurden.

Cookies zur Erstellung von Nutzungsprofilen

Cookies werden von Webservern auf der lokalen Festplatte abgelegt und erstellen Einträge in Datenbanken. Sie können dem Informationsaustausch zwischen Programmen oder auch der Archivierung dienen. Cookies kommen unter anderem in Warenkörben beim Online-Shopping, zur Speicherung von Präferenzen und Einstellungen, aber nach dem Login mit Benutzernamen und Passwort zum Einsatz, um eingeloggte User von nicht-eingeloggten zu unterscheiden. Werden die Cookies gesammelt und abgerufen, so können Profile erstellt werden, die Auskunft über das Surfverhalten eines Internetnutzers geben.

!

Besonders besorgniserregend ist, dass nicht nur Cookies, sondern auch Informationen aus den persönlichsten Lebensbereichen herangezogen werden, die dann zur Erstellung eines Persönlichkeitsprofils, das mitunter noch mit realen Namen verknüpft wird, genutzt werden.

Einige Firmen, wie Dow Jones & Co. erheben persönliche Daten, um detaillierte Informationen, wie E-Mail-Adressen, Mobiltelefonnummern, Fotos und Kommentare in sozialen Netzwerken zu erheben. Aber nicht nur persönliche Daten werden erhoben. Einige Firmen bieten so genannte "Listing Services" an. Im Zuge des "Listing" werden unzählige Onlinequellen, wie Nachrichtenseiten, Blogs und Websites im allgemeinen überwacht, um zu erheben, was Internetuser über bestimmte Produkte oder Themen denken.

Nicht nur Marktforschungsinstitute verkaufen persönliche Daten. In einigen Fällen machen dies die Website-Betreiber selbst. Zu diesen zählt etwa die bereits erwähnte Firma PatientsLikeMe, die allerdings betont, dass die Daten nur anonymisiert weitergegeben würden.

Gesetzliche Rahmenbedingungen

Bisher gibt es für Internetnutzer kaum rechtlichen Schutz, wenn es darum geht allzu persönliche Daten wieder löschen zu lassen. In Kalifornien haben zum Beispiel Beamte, d.h. unter anderem Politiker und Bezirksstaatsanwälte, die Möglichkeit, allzu Persönliches, wie Wohnadresse und Telefonnummern, aus den Datenbanken von Datensammlern entfernen zu lassen. Möglich ist dies allerdings nur, wenn sie um ihre Sicherheit bangen und mit einem Formular, um die Löschung ansuchen.

Scraper bewegen sich in einer rechtlichen Grauzone, da es derzeit noch keine ausreichenden gesetzlichen Bestimmungen gibt. Scraper und Unternehmen, die Listing-Services anbieten, verwehren sich dagegen, dass sie am Rande der Legalität handeln würden. Ihr Argument: Man tue lediglich, was jeder im Internet machen kann, wenn auch in einem viel größeren Ausmaß. Problematisch ist jedoch nicht nur die Methode der Datenerhebung, sondern auch der Umgang mit den erhobenen Daten. "Wenn wir nicht der Meinung sind, dass sie [die Daten-Anm.] für illegale Zwecke verwendet werden - sie [die Firmen-Anm.] sagen uns aber auch oft nicht, wofür sie sie verwenden werden - dann machen wir es gemeinhin", so Todd Wilson, der Inhaber von screen-scraper.com, einem Unternehmen, dass eine kostenlose Scraping-Software anbietet.

Schutz vor Scraping

Da es für jeden halbwegs begabten Programmierer kein Problem darstellt, Daten via Scraping zu erheben, müssen Website-Betreiber zu immer neuen Mitteln greifen, um ihre Seite zu schützen. Hierzu zählen zum Beispiel die so genannten "Captchas", das sind jene verwackelten Zahlen und Buchstaben, deren Eingabe bei der Registrierung bereits auf zahlreichen Internetseiten erforderlich ist, um sicherzustellen, dass der Zugriff von einer echten Person und nicht von einem Scraping-Bot oder ähnlichem durchgeführt wird. Mit Software, die Captchas entziffern kann, umgehen jedoch manche Scraper diese Sicherheitsmaßnahme bereits.

!
Ein anderer Trick ist Seiten quasi mit unzähligen Attacken zu bombardieren und dabei so viele Daten wie möglich zu sammeln. Dieses Vorgehen steht laut Marino Zini, dem Generaldirektor von Sentor Anti Scraping System, bereits an der Tagesordnung. "Kunden, für die wir regelmäßig 1.000 bis 2.000 Scrapes pro Monat blockiert haben, sind mittlerweile in manchen Fällen zehn Mal mehr Scraping ausgesetzt", so Zini.

User in die Verantwortung nehmen

Nicht immer müssen sich Marktforschungsinstitute bei der Erhebung persönlicher Daten in Grauzonen bewegen. Matt Anchin, Pressesprecher von Nielsen, weist darauf hin, dass es auch ob des allzu freizügigen Umgangs von Internetnutzern mit ihren Daten passieren kann, dass persönliche Informationen gesammelt und verbreitet werden. Wie einfach künftig die Erhebung von Daten vonstatten gehen könnte, zeigt ein Patentantrag der New Yorker-Firma Peek You LLC.

Patentiert werden soll ein Verfahren, mit dem Pseudonyme entlarvt werden können, d.h. erhoben werden kann, wie der tatsächliche Name eines Twitter-User oder Bloggers lautet. Mit diesem Tool hätten dann auch Arbeitgeber die Möglichkeit, die Onlineaktivitäten ihrer Arbeitnehmer und solcher, die es werden könnten, zu verfolgen, ohne sich in rechtlichen Grauzonen bewegen zu müssen.

(Irene Olorode)