IVW-Tracking-Tool doch nicht datenschutzkonform?
Vor drei Tagen habe ich darüber berichtet, dass der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung verkündet hat, dass das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird, nunmehr datenschutzkonform sei.
Kris Köhntopp hat diese Aussage aus technischer Sicht unter die Lupe genommen und erläutert anschaulich, warum eine Verbesserung des Datenschutzniveaus gerade nicht erreicht worden ist. Denn das Tracking des IVW basiert auf dem Einsatz von Cookies, wobei nach Ansicht Köhntopps im konkreten Fall mehr Daten erhoben werden als für die statistischen Zwecke der IVW notwendig.
Auf Google+ hatte zuvor bereits Jürgen Kuri von der c’t darauf hingewiesen, dass das IVW-Zählverfahren offensichtlich dadurch datenschutzkonform gemacht wird, dass eine Opt-out-Möglichkeit eingeführt wird, die wiederum ein permamentes Cookie setzt. Denn durch dieses Cookie erkennt die IVW, dass man nicht gezählt werden möchte.
Das ist aus datenschutzrechtlicher Sicht gänzlich widersinnig, um nicht zu sagen absurd und verdeutlicht einmal mehr, dass der Datenschutz in seiner bisherigen Form im Netz schlecht bis gar nicht funktioniert. Und ein Landesdatenschutzbeauftragter bejubelt den zusätzlichen Einsatz von Cookies als Durchbruch für den Datenschutz.
Mir stellt sich hier dann aber auch die Frage, wie die Anbieter solcher Tools reagieren werden, wenn dieses Gesetzgebungsvorhaben tatsächlich das Ende der Cookies ohne Einwilligung einläutet? Was dann Herr Caspar?
Wann kommt der längst überfällige Reality-Check im Datenschutzrecht?
Ich habe da noch ein paar weitere Fragen. Wenn ich irgendwo was kaufe, dann muß ich da ja oftmals zwei Mal unterschreiben – einmal in den Vertrag einwilligen, und dann noch mal Extra das Datenschutzblabla unterzeichnen, weil das nicht Bestandteil der AGB sein darf und eine gesonderte Einwilligung braucht.
Das ist also tierisch wichtig und so.
Wieso kann eine Website, die IVW nutzt, das implizit tun, also ohne gesonderte ausdrückliche Willenserklärung von mir, wenn das zum Beispiel auf jedem Kassenzettel nicht geht und stattdessen jetzt zwei Unterschriften von mir braucht?
Oder im Fall der IVW sogar mit einem Default-Opt-In und einem optionalen Opt-Out, also genau anders rum als auf jedem Kassenzettel?
Und im Fall der IVW mit einem volatilen Opt-Out (als Cookie) pro Browser pro Rechner, den ich habe? Ich meine, sollte ich nicht einmal eine Willenserklärung auf das Opt-Out abgeben (Ich dachte, ich müßte gesondert unterschreiben?) und dann ist das deren Problem, mich wiederzuerkennen und sich an unsere Abmachungen zu halten?
Comment by Kristian Köhntopp — 11.08, 2011 @ 22:14
Die Frage ist äußerst berechtigt. Die erste Frage, die man hier stellen muss lautet aber, ob das IVW-Tool personenbezogene Daten erhebt. Wenn ja, dann geht es so nicht.
Comment by Stadler — 11.08, 2011 @ 22:21
Die Bezeichnung „IVW-Tool“ ist irreführend. Es ist das SZM-Tool der Infonline GmbH, die im Besitz der Werbeträger und -treibenden ist und eben nicht nur wissen möchte, wie oft welche Seiten in Summe aufgerufen wurden, sondern von wie vielen und welchen Menschen, um das dann via AGOF auszuweisen.
Das Konglomerat aus AGOF/Infonline/IVW ist nicht irgendein kleiner Webshop, der Warenkorb-Cookies setzt. Ihre Cookies erreichen laut eigener Angabe 90% der deutschen Internetuser. Sie decken alle marktrelevanten deutschen Webseiten ab und können technisch für jedes Cookie tracken, wann diese welche URLs in ihrem Mess-Universum aufgerufen haben. Da gibt es zig denkbare Szenarien, wie ein Personenbezug herstellbar ist, etwa durch Verknüpfung mit Klarnamen aus Onlineshop-Bestellungen oder über Aufrufe eher seltener Webseiten(-kombinationen). Wer Zugriff auf deren Datenbanken hat oder sich verschafft, der kann wohl durchaus die Bewegungsprofile einzelner Personen herausfiltern.
Bevor die ePrivacy-Richtlinie (endlich) umgesetzt wird, muss man tatsächlich noch entscheiden, ob die Daten personenbezogen sind – nach deren Umsetzung ist das dann aber gleichgültig, da die Cookie-Opt-In-Pflicht der EU-Richtlinie unabhängig vom Personenbezug ist.
Comment by Fristian Chrüller — 12.08, 2011 @ 00:03
Dass sowas aus Datenschützersicht
fubar ist, keine Frage.
Ihre Schlussfolgeung ist allerdings in der selben Kategorie einzuordnen. Dass irgendwelche Läden ihr Geschäftsmodell nur in einer inakzeptablen Form betreiben können ist keine Legitimation des Modells sondern der Beleg, dass das Modell nicht akzeptabel ist!
Wo leben wir denn? Auch Werbetracker haben sich gefälligst an geltendes Recht zu halten!
Mir geht inzwischen eine ganze Messerschar in der Hose auf, wenn kriminelles Verhalten als „och des ist deren Geschäftsmodell“ verharmlost wird!
Ja, ist spät und ich hatte ein Bier zu viel – aber ich fühle mich zunehmend dazu genötigt, den Trackingspacken mal einen richtigen smack zu verpassen. Sei es regulär, oder in der Form, dass man sich mal Gedanken darüber macht, wie man solche „Dienstleistungen“ einfach mal runter fahren könnte.
Comment by Dietz Pröpper — 12.08, 2011 @ 03:07
@Fristian Chrüller: Völlig korrekt. Das steht im Text aber auch so.
@Dietz Pröpper: Ich denke, dass man darüber diskutieren muss, welche Art der Nutzung wir generell wollen. Das geltende Recht funktioniert schlicht nicht mehr.
Comment by Stadler — 12.08, 2011 @ 09:54
@4: Das Problem ist ja nicht das Geschäftsmodell, sondern dass es technisch kaum möglich ist, das richtig zu machen.
Comment by Jochen — 12.08, 2011 @ 10:10
@2: „Die erste Frage, die man hier stellen muss lautet aber, ob das IVW-Tool personenbezogene Daten erhebt. Wenn ja, dann geht es so nicht.“
Die Frage ist doch irgendwie schon beantwortet, denke ich.
Es sind die Datenschützer, speziell die in Hamburg, die sich über IP-Adressen aufgeregt haben, also der Ansicht sind, daß *das* personenbezogene oder personenbeziehbare Informationen sind. Speziell die Hamburger Datenschützer halten das für gefährlich und verboten genug, um deswegen Pressemittelungen raus zu hauen, gegen Leute vorzugehen und ihre eigene Präsenz abschalten.
IVW-Cookies (die i00-Cookies) kleben aber noch viel besser an „einer Person“ als es IP-Adressen jemals tun.
IP-Adressen wechseln für viele Kunden jeden Tag, durch die Zwangstrennung. Kunden, die durch einen großen Proxy (mit mehr als 30.000 bis 40.000 konkurrenten Nutzern) surfen bekommen außerdem unterschiedliche IP-Nummern bei aufeinanderfolgenden Requests, weil der Proxy mehrere Exit-Adressen hat (AOL, Telekom machen es so). Andererseits sind IP-Adressen von Kunden, die hinter Firmenfirewalls oder solchen Proxies sitzen, nicht trennscharf: Viele Kunden treten unter derselben IP-Adresse auf.
Der i00-Cookie dagegen wird per Browser vergeben und hat eine Lebensdauer von einem Jahr: Die IVW/INFOnline oder wer auch immer verwendet diesen Cookie ja genau deswegen, weil er besser trennt als IP-Adressen, weil er also besser personenbeziehbar ist.
Und wie die IP-Adresse auch wird der i00-Cookie nicht pro Site vergeben, sondern für alle *.ivwbox.de-Domains gemeinsam gesetzt. Das heißt, man schlägt auf zeit.ivwbox.de mit demselben i00-Cookie auf wie auf webdessl.ivwbox.de, die Daten können technisch zusammengeführt werden und es können Bewegungsprofile erstellt werden.
Für den angegebenen Verwendungszweck der IVW, das Zählen von PI, ist das vollkommen unnötig, wie auch die Lebensdauer von einem Jahr für diesen Zweck vollkommen übertrieben ist (30 Minuten würden reichen). Es sind die gierigen Finger der AGOF, die hier mehr Daten haben wollen, aber das ist ein ganz anderer Anwendungszweck.
Das heißt rein logisch: Wenn eine IP-Adresse schon böse, verboten oder anonymisierungspflichtig ist, weil die potentiell bei einigen Nutzern personenbeziehbar ist, dann muß ein i00-Cookie das noch mehr sein, oder die ganze Argumentation fällt nach den Gesetzen der Logik als inkonsistent und inkonsequent in sich zusammen.
Jetzt Zusammenfassung von Ip-Adressen durch Löschung des letzten Bytes zu /24 zu feiern, aber weiter mit i00-Cookies zu arbeiten ist schlicht inkompetent, wenn es aus Versehen passiert ist. Oder verlogen, falls es Absicht war.
Comment by Kristian Köhntopp — 12.08, 2011 @ 10:33
@4: wieso aus Datenschützersicht? Wir erleben doch nicht zum ersten Mal, dass Datenschützer echte Pseudolösungen aus DE als „Datenschutz-konform“ erklären, während das gleiche Vorgehen von Anbieters aus anderen Ländern, vornehmlich zu nennen wäre Google, als nicht akzeptabel bezeichnet wird. Wobei die oft genug sinnfreien Forderungen des Herrn Caspar, z. B. im Bezug auf Steetview, bei mir mehr und mehr den Eindruck hervorruft, er würde sich um den Ehrenpreis als eifrigster Scheindatenschützer bewerben. Es gibt mit Sicherheit eine Reihe von Themen rund um den Datenschutz, die im Argen liegen. Sich an einem Unternehmen öffentlichkeitswirksam zu reiben, zugleich aber die Augen fest zu zu pressen, wenn es um andere, deutsche Firmen und alle übrigen Themen geht, dient der Sache und den Interessen von Konsumenten jedenfalls nicht.
Comment by M. Boettcher — 12.08, 2011 @ 10:34
Ich habe meinen Artikel http://blog.koehntopp.de/archives/3126-IVW-jetzt-datenschutzkonform-Updated.html um die Kommentare @1, @2 und @7 erweitert, weil ich denke, daß dieser Teil der Diskussion dort mit hin gehört und exponierter dokumentiert werden sollte als hier in den Kommentaren.
Comment by Kristian Köhntopp — 12.08, 2011 @ 10:37
@Kristian Köhntopp:
Die Frage ist für IP-Adressen noch nicht abschließend beantwortet, sondern stark umstritten. Während die professionellen Datenschützer der Meinung sind, dass IP-Adressen immer personenbezogen sind, wird das in der juristischen Literatur und von einigen Gerichten nicht durchgehend so gesehen.
Bei den Cookies habe ich ähnliche Probleme. Kann derjenige der das Cookie setzt, also z.B. „hamburg.de“ oder „IVW“ dadurch eine konkrete Person idetifizieren? Schwierig.
Sollte die gesetzliche Neuregelung kommen – die ich verlinkt habe – dann wird sich die Frage aber nicht mehr stellen.
Comment by Stadler — 12.08, 2011 @ 10:45
@10: bei einer Kooperation zwischen dem Tracking-Unternehmen und den Domain-Betreibern genügt, dass der über Tracking-Cookies beobachtete User an einer ebenfalls beobachteten Stelle im Web seine Anonymität verlässt, also z. B. bei Online-Bestellungen, bzw. bei hamburg.de ggf. bei der Ummeldung seinen Kfz, Bewerbungen bei Behörden, Nutzung der Gewerberegisterauskunft, Anmeldung oder Ummeldung eines Gewerbebetriebes etc.Zu finden über den Bürgerservice der Site hamburg.de
Comment by M. Boettcher — 12.08, 2011 @ 13:04
@Stadler
„Die Frage ist für IP-Adressen noch nicht abschließend beantwortet, sondern stark umstritten.“ So ist es. Wäre es kalrer, bräuchten die Richter vom BGH nicht ohne Gesetzgeber neues Recht erfinden von der „Störerhaftung“. Bei Juristen in der Justiz wird also das gleiche Phänomen anders beurteilt als in der Exekutive.
Mit den Cookies sehe ich es ähnlich. Die Vorschläge vom ULD in Kiel mit Piwik sind völlig weltfremd. Cookies und Javascript sollen eingesetzt werden und man geht das von aus, dass der Webverantwortliche Zugriff auf Dinge wie PHP und MySQL bei seinem Hoster hat und haben will (nix gegen Köhntopp und seine PHP und MySQL Anstrengungen, aber das zur Pflicht wegen eines blöden Webserver zu machen, geht ein bisschen zu weit :-):
https://www.datenschutzzentrum.de/presse/20110315-piwik.htm
Das BSI hält dagegen Javascript immer noch für gefährlich:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/verWebAnw_pdf.pdf?__blob=publicationFile
Klar ist nur, dass der Staat verantwortungslos mit dem Bürger umgeht. Es herrscht unsachliches, wirres Chaos. BGH gegen ULD, ULD gegen BSI. Hier hilft nur, den Gesetzgeber zu ermuntern, Klarheit bei seinen nach- und nebengeordneten Chaoten zu schaffen. So wie es jetzt läuft, fühlt sich der Bürger vom Staat verarscht und wendet sich voller Wut von ihm ab.
Zu meinem Lieblingsthema: zur Verhöhnung des Bundestages, Bundesrates und des Bundespräsidenten durch die Bundesregierung bei der Missachtung des Zugangserschwerungsgesetzes durch BMI Friedrichs und seine Mitverschworenen in BMJ und BKA schreibt heute ein ausgetretener FDP-Mann im Tagesspiegel (mit entgegensetzter Intention wie ich, aber gleicher Analyse) unter „Zutiefst illiberal und abstoßend“:
„Eine Bundesjustizministerin, die schon zuvor Rechtsverweigerung durch Nichtanwendung bestehender Regelungen betr. die Internet-Kinderpornographie betrieben hat. Und sich mit diesen ihren Beihilfen zum Täterschutz auch noch für einen Ausbund an Liberalität hält.“
http://www.tagesspiegel.de/berlin/jahntz-zutiefst-illiberal-und-abstossend/4490078.html?p4490078=3
Rechtsverweigerung lebt die Bundesregierung also vor. Was soll man da noch sachlich mit solchen Leuten über IP, Cookies, Datenschutz und andere Gesetze reden? Wohl muss erst diese Regierung weg, damit man zu ordentlichen Law and Order Verhältnissen kommt, wie es die Verfassung (Art. 20) gebietet. Zumindest ist diese Chaos-Truppe nicht in der Lage Ordnung bei verwillkürenden Richtern, Datenschützen, angeblichen Sicherheitskräften (der ehemaligen Abt.6 des BND, heute BSI) zu schaffen.
Comment by Jan Dark — 12.08, 2011 @ 15:17
@Köhntropp (Kommentar Nr. 1): Das TMG ist in dem Fall die bereichsspezifische – gegenüber dem BDSG vorrangige – Vorschrift. Während das BDSG in § 4 a Absatz 2 die Schriftform postuliert, ist dies nach dem TMG nicht erforderlich (§ 12 Absatz 1, § 13 Absatz 2 TMG). Sofern das Opt-Out-Cookie an Nutzer verteilt wird, erfolgt dies vermutlich nicht personen- nutzerbezogen. D.h. für eine Speicherung des Cookies auf Seiten von Infonline ist wohl dann in Ermangelung eines Personenbezuges nicht eine Einwilligung erforderlich. Des Weiteren hat der Nutzer das opt-out-Cookie ja selbst angefordert, wenn ich das richtig verstehe…
Regards
T
Comment by Teradriver2k — 25.08, 2011 @ 17:27