Deutsche Datenschützer fühlen sich hintergangen. Nicht nur, dass Google bei Street View mit seinen mobilen Außenposten ganze Straßen fotografisch erfasst, das Unternehmen soll nun WLAN-Netze kartographieren. Bundesdatenschutzbeauftragter Peter Schaar und sein Hamburger Kollege Johannes Caspar wittern einen Datenschutzverstoß. Doch worin genau soll der bestehen?
Personenbezogene Daten
Mit den Standorten und technischen Angaben der WLAN-Netze erhebe Google personenbezogene Daten, so der Vorwurf. Um das nachvollziehen zu können, muss man sich zunächst vergegenwärtigen, welche Informationen so ein WLAN durch die Umgebung funkt.
SSID – Der Name des Netzes
Da wäre zunächst der Name des Netzes, der sog. Service Set Identifier (SSID). Der Name wird von den meisten Herstellern von Access-Points mit einer mehr oder weniger kryptischen Zeichenkette voreingestellt. Dieser Artikel wird zum Beispiel über das Netz „WLAN-057-356-AB” geschrieben.
Zunächst ist also von einem Personenbezug keine Spur – anhand des WLAN-Namens könnte niemand herausfinden, wer das Netz betreibt. Allerdings ist der Name eines WLANs frei wählbar. Ich könnte mein Netz also auch „telemedicus” oder „adrianschneider” nennen, wenn ich das möchte. Und genau bei letzterer Variante sehen Schaar und Caspar das datenschutzrechtliche Problem. Denn in diesem Fall wird mit dem Namen des WLANs auch der Name des Besitzers durch die Gegend gefunkt – und schon haben wir ein personenbezogenes Datum.
Andererseits ist nicht nur der Name des WLANs frei wählbar, auch die Sichtbarkeit kann mit einem Klick geändert werden. Ob ein WLAN seinen Namen also an jedermann funkt, oder ob man sich nur verbinden kann, wenn man den Namen kennt, bleibt dem Benutzer selbst überlassen. Das ist natürlich etwas unkomfortabel, weil man sich den Namen seines Netzes dann auch selbst merken muss und ihn nicht einfach aus einer Liste auf seinem Computer auswählen kann.
Im Ergebnis hat der Besitzer eines Access Points dennoch gleich doppelt die Möglichkeit, sein Netz nach außen hin anonym zu halten: Er kann einerseits einen Namen wählen, der keine Rückschlüsse auf seine Person zulässt und kann andererseits sein Netz gleich unsichtbar für Dritte machen.
MAC-Adresse – Die eindeutige Identifikation
Ein weiteres Datum, das ein WLAN freimütig der Welt kundtut, ist die sog. MAC-Adresse. Dabei handelt es sich um eine weltweit eindeutige Zeichenkombination, die einen Netzwerkadapter (Netzwerk-Karte, WLAN-Stick oder auch Access Point) kennzeichnet. Anders als etwa bei IP-Adressen gibt es jedoch keine Möglichkeit, eine MAC-Adresse einer realen Person zuzuordnen. Es gibt also kein Register, wo die Käufer von Geräten mit einer bestimmten MAC-Adresse registriert sind. Sie kann auch nicht zur Adressierung im Internet verwendet werden. Insofern ist eine MAC-Adresse auch kein sonderlich großes Geheimnis, sodass sie auch bedenkenlos von den Access Point bekannt gegeben werden kann.
Dieser Artikel wird etwa über einen WLAN-Adapter mit der Mac-Adresse „0C:60:76:2C:75:62” ins Netz gestellt. Wer Spaß daran hat, könnte jetzt herausfinden, dass diese WLAN-Karte von der Firma „Hon Hai Precision Ind. Co.” aus Shanghai hergestellt wurde. Zu mehr Informationen taugt die Adresse aber nicht.
Selbst wenn man also mit einer MAC-Adresse einen bestimmten Access-Point identifizieren kann, wird man keinerlei Rückschlüsse auf die Person ziehen können, der dieser gehört – ein Personenbezug lässt sich nicht herstellen.
Die informationelle Selbstbestimmung
Wir stellen also fest, dass Google mit der Erfassung von öffentlich zugänglichen WLANs nur dann personenbezogene Daten erhebt, wenn die Besitzer dieser Netze selbst ihre Daten nach außen tragen. Nur wenn der Besitzer des Netzes selbst entscheidet, sein Netzwerk nach sich selbst zu benennen und es gleichzeitig für jedermann sichtbar macht, könnte es sich bei dem Namen des Netzes um ein personenbezogenes Datum handeln. In diesem Fall würden sich tatsächlich datenschutzrechtliche Probleme ergeben. Zwar könnte die Erhebung der Daten in Deutschland noch gerechtfertigt sein (§ 29 Abs. 1 Nr. 2 BDSG, denn die Daten entstammen einer „allgemein zugänglichen Quelle”), die Übermittlung in die USA zur Google-Zentrale wäre aber höchst problematisch.
Dies gilt aber – wie gesagt – nur in dem Sonderfall, wo ein WLAN-Besitzer selbst seine Daten in Form des WLAN-Namens funkt. „Nicht selten” komme dies vor, behaupten die Datenschützer. Für konkrete Maßnahmen gegen Google müssten sie das aber auch nachweisen können. Ob das gelingt, ist zweifelhaft.
Außerdem muss man sich fragen, ob es das Recht auf informationelle Selbstbestimmung wirklich erfordert, dass der Staat den Bürger in einem solchen Fall vor sich selbst schützt. Oder ist es vielmehr Teil dieses Rechtes, sich bewusst dafür zu entscheiden, seinen Namen frei durch die Umgebung zu funken?
Der Sicherheitsaspekt
Neben dem rein datenschutzrechtlichen Aspekt werfen die Datenschützer Google auch vor, den Verschlüsselungsstatus der Netze zu speichern. Also ob und mit welchem Algorithmus ein Netz gesichert ist. Diese Informationen seien „höchst missbrauchsanfällig” und könnten als „Wegweiser für Schwarzsurfer” benutzt werden.
Indes sind auch diese Informationen keine Geheimnisse – jedes WLAN-Netz teilt sie öffentlich mit. Schließlich müssen die Computer, die sich verbinden wollen, auch wissen, mit welcher Methode sie sich authentifizieren können. Richtig ist, dass es veraltete Algorithmen gibt, die relativ leicht geknackt werden können. Und es ist auch gut möglich, dass man die Google-Informationen dazu nutzen könnte, gezielt solche Netze aufzustöbern und sich einzuklinken (was eine Straftat wäre). Das setzt aber voraus, dass Google die Informationen veröffentlicht. Bislang ist das nicht geschehen, ob es je passieren wird weiß man nicht. Und ein Netz wird auch nicht dadurch sicher, dass man versucht, die schwache Verschlüsselung „geheim” zu halten.
Abgesehen davon stellt sich die Frage, ob dies wirklich ein Problem ist, wo die Datenschutzbehörden eingreifen müssen. Denn für allgemeine Sicherheit von Netzwerken sind die gar nicht zuständig.
Einschätzung
Es ist gut und richtig, dass die Datenschutzbehörden ein Auge auf aktuelle Entwicklungen haben (auch wenn die WLAN-Erfassung nicht ganz so neu ist, wie behauptet). Bisweilen hat man jedoch den Eindruck, dass jede Datenverarbeitung prinzipiell dem Generalverdacht eines Datenschutzverstoßes unterliegt. Es täte der Akzeptanz und Glaubwürdigkeit der Aufsichtsbehörden gut, gelegentlich etwas besonnener und weniger polemisch auf neue Entwicklungen zu reagieren. Die WLAN-Erfassung von Google ist da nur ein Fall von vielen.
Wir brauchen starke Aufsichtsbehörden im Datenschutz. Dazu gehört aber auch, Gefahren angemessen einzuschätzen, weil irgendwann die Bagatelle nicht mehr vom echten Skandal zu unterscheiden ist. Wenn Peter Schaar nun „entsetzt” ist über die „rechtswidrig erhobenen personenbezogenen Daten” und Johannes Caspar von „nicht akzeptablem” Verhalten spricht, ist das dem Anlass nicht angemessen und schadet dem Datenschutz mehr, als es ihm nutzt.
Die Stellungnahmen von Peter Schaar und Johannes Caspar bei datenschutz.de.