Internet-Law

Onlinerecht und Bürgerrechte 2.0

28.3.11

Das böse Tracking

Der Bundesdatenschutzbeauftragte Peter Schaar hat letzten Freitag ein neues Programm namens Prividor vorgestellt, das Datenschutzverletzungen auf Websites aufspüren soll, u.a. den Einsatz von Tracking-Tools. Das impliziert die Behauptung, Tracking würde eine Datenschutzverletzung darstellen und wirft die Frage auf, ob das was Schaar vorhat, nicht ebenfalls Tracking ist.

Die deutschen Datenschutzbehörden haben sich in letzter Zeit bereits mehrfach als Steinewerfer im Glashaus entpuppt, die nicht in der Lage sind, ihre eigenen hochgesteckten Standards einzuhalten.

Bevor die Datenschutzbeauftragten von Bund und Ländern in einem rechtlichen Graubereich Fakten schaffen – Tracking ist nämlich keineswegs unstreitig und in jedem Fall datenschutzwidrig – wäre der (europäische) Gesetzgeber gut beraten, klare Regelungen zu schaffen und den Irrweg, den er mit der „Cookie-Richtlinie“ beschritten hat, wieder zu verlassen. Ein gewisse Entspannung würde dem Datenschutzrecht gut tun und könnte dazu führen, dass die Regelungen endlich auch in der Praxis funktionieren.

posted by Stadler at 21:39  

12 Comments

  1. Wobei mir nicht klar ist, wofür man überhaupt diesen ganzen Tracking-Kram braucht, der meine IP-Adresse, Browser-ID, usw. pro Webseite an zig andere Anbieter (IVW, Google Analytics, usw.) übermittelt. Früher hat man ins Logfile geschaut, welche Dateien auf dem Webserver abgerufen wurden, und gut. Das kann man doch auch heute tun und muss das nicht alles Google mitteilen.

    Comment by Weirdo Wisp — 28.03, 2011 @ 21:42

  2. Ich frage mich eher warum die Firma ganz offen gegen das BDSG und ähnliches verstossen und nicht dafür sorgen dass sie die geltenden Datenschutz-Standards einhalten?

    Comment by Non-Tracker — 28.03, 2011 @ 21:51

  3. Ich hab mir BetterPrivacy installiert, auf dem Firefox, und ich muss sagen, es ist erschreckend, wie viele sogenannte Langzeitcookies auf meinem PC waren.

    Comment by Frank — 28.03, 2011 @ 21:51

  4. Logfile auf nem Shared Server ist nicht immer, diese Statistik ist außerdem nur bedingt zu gebrauchen. Ich nutze Piwik auf meinem Server, um zu erkennen, wer mit welchem Schlüsselwort zu mir gefunden hat, wie lange er auf der jeweiligen Seite war und wo alles verlassen. Damit kann man sein Angebot optimieren. Auch hilfreich ist die Browserauswahl, Auflösung und die PlugIns. Der IE wird seit dem von mir nicht mehr extra bedient, da kaum einer damit auf meinen Seiten surft. War auch nützlich zu erfahren.

    Comment by Micha — 28.03, 2011 @ 22:10

  5. Das W3C wird Ende April einen Workshop zu Tracking und Tracking-Schutz an der Princeton Universität abhalten:
    http://www.w3.org/2011/track-privacy/

    Es werden dort einige der Probleme zur Sprache kommen. Manches lässt sich technisch lösen, anderes nicht. Opt-out ist mit dem neuen header jedenfalls einfacher und datensparsam.

    Jedenfalls muss tracking in geordnete Bahnen gelenkt werden, mit oder ohne deutsche Datenschützer

    Comment by Rigo — 28.03, 2011 @ 23:31

  6. Peter Schaar wird auch Teile von Programmiersprachen wie PHP verbieten müssen. Alles nämlich, was mit Sessions zu tun hat. Dass die Sessions noch nicht verboten wurden, liegt nur daran, dass das Fachwissen der Holzhammer-Datenschützer wohl noch nicht so weit gedrungen ist. Wenn es dann erst mal so weit ist, wird kein Shop im Internet mehr funktionieren, Facebook, Twitter, nichts mehr wird gehen. Das Web wird wieder so sein wie 1993. Wir haben die Wahl, was wir wollen: das Web wie wir es kennen, oder Datenschutz made in Germany.

    Comment by Stefan Münz — 29.03, 2011 @ 07:02

  7. Was heißt hier eigentlich „heimliches Ausspähen“? Die Herrschaften werden gerne von mit informiert (wobei man der Wahrheit halber sagen muß das die studentischen/privaten blogs in der folgenden Maßnahme alle komische „so arabisch“ klingende Namen hatten und über Terror, Bürgerkrieg, HezbollahHamas, Deathcounter, A-Bomben, …. berichteten)

    Sehr geehrter Herr ….,

    vielen Dank für Ihr E-Mail-Schreiben vom 26. März 2008.

    Die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als informationstechnische, präventiv tätige Behörde bestehen in dem Erhalt und Ausbau des IT-Sicherheitsniveaus in Deutschland.

    [Das BSI blablabla.]

    Eine „Webseitenüberwachung“, wie Sie dies in der Betreffzeile Ihres E-Mail-Schreibens formulierten, Ihres Blogs oder der von Ihnen
    angedeuteten „…andere(n) deutschsprachige(n) Webseiten …“ fällt nicht in das Tätigkeits- und Aufgabenspektrum des BSI.

    Die Aufgaben des BSI sind im BSI-Gesetz [blablabla]

    Sollte – wie Sie dies in Ihrem E-Mail-Schreiben schildern – eine Mitarbeiterin oder ein Mitarbeiter des BSI Ihren im Internet frei
    zugänglichen Blog besucht haben, erfolgte dies auf eigene Veranlassung. Die Mitarbeiterinnen und Mitarbeiter des BSI können aufgrund
    betrieblicher Vereinbarungen ihren Internetanschluss im BSI in einem angemessenen Rahmen und unter Beachtung der rechtlichen
    Vorschriften auch privat nutzen. Solche Regelungen bestehen auch in anderen Behörden und sind auch in der Privatwirtschaft üblich.
    Aufgrund des Schutzes der Privatsphäre der BSI-Mitarbeiterinnen und -Mitarbeiter und aufgrund des Datenschutzes sehen wir keine
    Veranlassung, zu prüfen, ob oder welche Mitarbeiterin bzw. welcher Mitarbeiter des BSI Ihren Blog besuchte.

    [….]

    Mit freundlichen Grüßen

    Comment by Shual — 29.03, 2011 @ 07:35

  8. @Stefan
    Wenn man die Wahl jenen Leuten wie Peter Schaar überlässt, ist klar wohin der Weg geht. Fanatismus hat viele Gesichter.

    Comment by Frank — 29.03, 2011 @ 08:17

  9. Klassisches Tracking per Cookie und Konsorten scheint mir ausnahmsweise wirklich etwas, das man besser im Browser löst, also z.B. dass Cookies grundsätzlich (ausser bei gesetzter Ausnahme) nur an die Domain zurückgeliefert werden, die sie gesetzt haben, wobei man im Browser Suchmuster einrichten können sollte, die darüberhinaus einreissenden Missbrauch blockieren (Fremdlinge, die unter der eigenen Domain versteckt werden) bzw. wer mag sollte auch ein Suchmusterabonnement vom Datenschützer der Wahl einrichten können.

    Auslesen der Browserhistorie und gewisse Arten von DOM-Missbrauch sollten direkt im Browser gezielt verhindert werden. Auch da kann man bestimmte Klassen möglicherweise akzeptabler Nutzungen ggf. als Nutzer explizit zulassen, z.B. Abfragen innerhalb der Domain des Abfragenden.

    Problematisch ist dabei einzig, dass gewisse Nutzerklassen keine grosse Wahl des Browsers haben und der Browser-Bloat und immer kleinere Endgeräte irgendwie im Widerspruch stehen.

    Evtl. kann man deshalb gröbsten Missbrauch per Gesetz verfolgbar machen, sollte dabei aber auch nicht vergessen, dass z.B. private Websites mit anderem Mass gemessen werden sollten, also weniger strikt, als gewerbliche Grosswebanbieter (die sich einen eigenen Mitarbeiter für die Einhaltung der Privacy einstellen könnten).

    Anders sehe ich das, wie schon gesagt, bei der Nutzung der IP-Adresse, deren Übermittlung ich als Nutzer nur sehr bedingt unter Kontrolle habe.

    Comment by Ein Mensch — 29.03, 2011 @ 11:35

  10. Vielleicht könnten die Datenschützer auch eine Art TÜV-Stempel für Browser vergeben, die gewisse Grundeinstellungen haben und notwendige Einstellungsmöglichkeiten besitzen.

    Comment by Ein Mensch — 29.03, 2011 @ 11:58

  11. „[..] z.B. dass Cookies grundsätzlich [..] nur an die Domain zurückgeliefert werden, die sie gesetzt haben [..]“
    Das ist bereits so. Ausnahmen dafür gibt es meines Wissens nach nicht. Allerdings gibt es relativ leichte Wege dieses Problem zu umgehen.

    Bei der Diskussion sollte man nicht vergessen, was Cookies eigentlich sind. Dieser „Do not track“-Header scheint mir ein Produkt von Menschen zu sein, die nicht wirklich verstehen wie Cookies funktionieren. Mal abgesehen von FlashCookies sind Cookies nichts weiter als eine Bitte der Webseite an den Browser eine kleine Information (zB Session Id) bei späteren Besuchen wieder dem Webserver mitzuteilen. Dieser Bitte muss der Browser nicht folgen.

    Das eigentliche Problem dabei ist doch, dass sehr viele Webseiten nichtmal mehr ohne Javascript funktionieren (also Inhalte aufbauen), selbst dort, wo Javascript und Cookies überflüssig sind.

    Ich persönlich benutze NoScript und NoCookieLight für Firefox und überlege mir sehr genau ob ich mir bei einigen Webseiten den Aufwand nicht lieber spare, dort die ganzen Scripte und Cookies freizuschalten.

    @4: Das ist eine von den seltenen sinnvollen Verwendungszwecken für Trackinginfos. Die Mehrheit aber will damit einfach nur den Besucher mit passender Werbung belästigen. Wenn man seine Webseite verbessern möchte, kann man das auch ohne dabei die Daten seiner Kunden ungefragt abzuspeichern. Z.B. lässt sich eine Firma engagieren, die sich mit solchen Dingen auskennt, oder man holt sich Probanten, denen man beim Besuch der Webseite über die Schulter schaut.

    Comment by Seb — 30.03, 2011 @ 08:49

  12. Es ist spannend zu lesen, dass in beiden Blogeinträgen von Herrn Stadler dieses Tages von Datenschutz die Rede ist, und die entsprechenden staatlichen Stellen – ob Bundes- oder Europabehörden – so unterschiedliche Auffassungen von Datenschutz in den jeweils thematisierten Kontexten haben.

    Wie kann man einem privaten Websitebetreiber, der über ein kostenloses und für jeden einfach zu verwendendes Tool herausfinden will, wie beliebt seine Seite ist, klar machen, dass die Verwendung dieses Tools Datenschutzrichtlinien verletzt, wenn gleichzeitig seine Fluggastdaten verdachtsunabhängig gesammelt und zur Auswertung weitergegeben werden – von SWIFT gar nicht zu reden ?

    Ich halte beide Fälle für den inzwischen weit verbreiteten Fall der „Fassadenpolitik“, wo öffentlich bestimmte Ziele einer Regelung proklamiert werden, diese Regelung aber ganz anderen Zielen dient, s. Zensursula, JmStV …

    Comment by Oliver — 30.03, 2011 @ 13:40

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.