ULD: Social-Plug-Ins von Facebook müssen entfernt werden
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) fordert in einer Pressemitteilung vom 19.08.2011 alle Webseitenbetreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen, weil man nach eingehender technischer und rechtlicher Prüfung zu dem Ergebnis gelangt sei, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Das ULD droht den Diensteanbietern sogar mit Untersagungsverfügungen und Bußgeldern, sollten sie der Aufforderung nicht nachkommen.
Das ULD hat seine vollständige Analyse ebenfalls veröffentlicht.
Dass Facebook jedenfalls verpflichtet ist, deutsches Datenschutzrecht zu beachten, hatte ich gestern in einem ausführlichen Beitrag dargestellt.
Update:
Gegenüber Heise-Online legt Thilo Weichert nach und erklärt „Wir werden die Eskalation suchen und dazu das gesamte Instrumentarium nutzen„. Man kann sich da natürlich die Frage stellen, warum das ULD die Eskalation gegenüber Webseitenbetreibern sucht und nicht unmittelbar gegen Facebook – ggf. in Zusammenarbeit mit anderen Landesbehörden – agiert. Das gesamte Instrumentarium würde jedenfalls ein Vorgehen deutscher Datenschutzbehörden gegen Facebook umfassen.
Update:
Es sieht irgendwie so aus, als würde das ULD selbst Plugins von Facebook und Twitter benutzen. Oder was ist das am unteren Bildschirmrand Herr Weichert?
Das sind offenbar nur Share-Links. Außerdem wurde ich darauf hingewiesen, dass es sich um eine Seite des Landes handelt und nicht um eine offizielle Seite des Datenschutzbeauftragten. Dennoch zeigt das Beispiel den schwierigen Umgang auch der offiziellen Stellen mit Facebook und Co.
Sehr gut! Konsequenter Normvollzug in publikumswirksamen Detailfragen, besser kann man PR nicht inszenieren. Ein Bärendienst für die in SH ansässigen Unternehmen.
Comment by Peter Hense — 19.08, 2011 @ 11:56
1.) Hilft die Auswanderung nach Hessen oder Bayern?
2.) Können die nicht wo anders Amok laufen?
3.) Warum wird nicht die gleiche Energie verwendet, wenn es um den Zugriff ausländischer Behörden auf Daten deutscher Staatsbürger geht?
Undsoweiter, undsofort
Comment by Joachim Herbert — 19.08, 2011 @ 11:59
4.) gilt 3.) natürlich auch für inländische Behörden. Das Ende von Elena etwa ist ja nicht der Intervention von Datenschutzbeauftragten geschuldet, sondern der Unfähigkeit, das technische Umfeld zu schaffen.
Comment by Joachim Herbert — 19.08, 2011 @ 12:01
Und worin genau liegt das Problem der Fanpages (die vollständige Analyse lässt sich derzeit nicht öffnen – wohl etwas überlastet)? Bei den auf anderen Seiten direkt eingebundenen Facebook-Elementen sehe ich ja noch den Punkt des ULD. Aber bei Seiten innerhalb des facebook-Angebots, die ich freiwillig besuche oder es eben bleiben lasse?
Comment by Consigliere — 19.08, 2011 @ 12:46
Nehmt den Jungs in Schleswig-Holstein doch endlich ihr Spielzeug weg. Gebt den mal ein Buch in die Hand oder einen Lolly. Egal was, Hauptsache sie werden irgendwie abgelenkt und bauen nicht mehr so viel Mist.
Habe schon den ersten kommunalen Kunden (eine Stadt) der nun seine Webstatistik (Piwik ohne IP-Speicherung usw.) vom Portal nehmen ließ. Grund: Der Datenschützer im Haus hielt das für Teufelszeug und wollte mit dem Thema auch nicht mehr belästigt werden.
Comment by Daniel — 19.08, 2011 @ 13:41
@Consigliere Problem?
Also der ULD meint, wenn jemand in seine Website Code in Seiten einbettet, die Kommunikation mit dem Ausland macht, ohne das der Seitenabrufer eingewilligt hat oder gar etwas davon weiss, dann muss die Stelle die den Code auswertet, deutschem Datenschutzrecht genügen. Der ULD meint, facebook genüge dem BDSG nicht und deshalb will der ULD den Kampf aufnehmen und die Sitebetreiber mit bis zu 50.000 € abmahnen/Buße tun lassen. Der ULD ist offenbar der Meinung, dass man arbeitslosen Rechtsanwälten neue Erlösquellen zuschustern müsse über das Urhebergesetz hinaus. Nun soll mit Datenschutz geerntet werden. Dem ULD ist egal, ob tatsächlich Missbrauch statt findet, ihm geht es nur um die Möglichkeit. Wer also ein Küchenmesser besitzt, mit dem man theoretisch Morde machen kann ist ein Mörder, in der Logik in Kiel. Das ist wie bei der Vorratsdatenhaltung: da jeder theoretisch zum Terroristen werden kann, muss jeder vollständig immer überwacht werden. Das ist die Logik rechter Burschenschaftler, der sich auch der ULD bedient.
Um es an einem Beispiel klar zu machen. Der mutmaßliche Terrorist Stadler (im Sinne der Vorratsdatenspeicherung) betreibt eine Tarnwebsite: http://www.internet-law.de. Dort findest im Sourcecode der Kommentarseiten:
„
“
Nach aussen sieht es so aus, als wenn der Stadler nur seine Seiten zählen wollte. In Wirklichkeit aber ist der Stadler Teil eine globalen Netzwerkes, das nur den Zweck hat, Bewegungsprofile der Nutzer herzustellen. Also fast schon eine kriminelle wenn nicht terroristische Vereinigung (wenn man aktuelle Rechtssprechung von T-Shirt Dieben in UK hinzuzieht). Und diese Netzwerk sagt es auch noch ganz offen:
„SiteMeter reserves the right to disclose your Personally Identifiable Information without notice or consent as it deems necessary (a) to conform to applicable law; (b) when we believe that disclosure is necessary to protect our rights and property; (c) to protect the safety of our users, us, or other third parties; (d) to comply with any judicial proceeding, court order, or legal process served on us; and/or (e) pursuant to an acquisition, merger, sale of assets or other business transfer.“!
http://www.sitemeter.com/?a=privacy
(Das ist der Link zum Hosting-Marketing der EU-Anbieter, die sich über die Verfolgung von Terroristen echauffieren, die in den USA nach dem Patriot Act gejagt werden).
Weil a) Sitemeter aber in Los Angeles, CA, sitzt, und b) der ULD von Strafen nach dem StGB nichts abbekommt, überzieht er jetzt mutmaßliche Terroristen wie Stadler mit Bussgeldern von 50.000 €. Weil der arme Jan Dark gar nicht gefragt wird, ob seine IP-Adresse nach USA übermittelt werden darf (die ja nach Ansicht der Abmahn-Terroristen personenbezogen ist), er keine Gelegenheit zum Opt-Out bekommt und der Stadler keinen Link gesetzt hat, wo der Jan Dark nachfragen kann, welche persönlichen Informationen der Stadler bei seiner Auftragsdatenverarbeitung in EWR-Ausland transferieren lässt.
Dann kann der ULD endlich das gesamte Internet hijacken, fühlt sich bräsig im Recht, bekommt die Kriegskasse voll. Und die arbeitslosen Rechtsanwälte können mit einer zweiten Quelle die Bürger plündern. Früher waren die Plünderer in Keil auf Schiffen, Klaus Störtebecker usw. Aber bei KS weiss man nicht, ob es ihn gegeben hat, aber der ULD ist real. Gotcha: Stadler überweisen Sie!
(Herr Stadler, sorry für den oralen Missbrauch, aber so tickt das Abmahngeschäft :-)
Comment by Jan Dark — 19.08, 2011 @ 15:59
Hier noch mal vekürzt der Source Code. War halt HTML :-)
script type=“text/javascript“ src=“http://s51.sitemeter.com/js/counter.js?site=s51Thomas69
Comment by Jan Dark — 19.08, 2011 @ 16:00
Das „ULD“ findet staatliche Katastrophen-Produkte wie elektronische Gesundheitskarte, Neuen Personalausweis und DE-Mail unproblematisch, verfolgt aber -rein destruktiv- eine Art „Morgenthau-Plan“ mit dem Ziel, Deutschland in die technische Steinzeit zurückzuschießen.
Comment by Peter Hense — 19.08, 2011 @ 16:17
„wenn jemand in seine Website Code in Seiten einbettet, die Kommunikation mit dem Ausland macht, ohne das der Seitenabrufer eingewilligt hat oder gar etwas davon weiss, dann muss die Stelle die den Code auswertet, deutschem Datenschutzrecht genügen“
Das ist schon klar. Darum verstehe ich die Argumentation des ULD ja auch hinsichtlich der auf externen Seiten eingebundenen facebook-Elemente. Man muss nicht unbedingt damit rechnen, dass ganz unten unter einem SpOn-Artikel (nach langem scrollen) eine fb-Kommentarfunktion ist, die schon beim Aufruf der Seite sonstwas für Daten nach CA geschickt hat.
Aber wo ist deren Problem mit den Fanpages? Sind damit nicht die Profile à la facebook.com/ganztollefirma gemeint? Wenn ich die besuche, kommt es nicht so wirklich überraschend, dass facebook Daten von mir erfährt.
Comment by Consigliere — 19.08, 2011 @ 16:18
@Jan Dark: ja, die bösen Statistik-Tracking-Tools. ;-) Wollen Sie mir etwa die Datenschutzaufsicht auf den Hals hetzen?
Comment by Stadler — 19.08, 2011 @ 16:27
Das ist eine faszinierende Studie!
Das Problem mit den Fanpages ist, dass deren Betreiber datenschutzrechtlich zu viele benutzerspezifische Informationen bekommen:
“
4.2 Facebook Insights
Facebook stellt mit Hilfe des Werkzeugs „Insights“ detaillierte Statistikinformationen über
Nutzerinnen und Nutzer zur Verfügung, die von Betreibern von Facebook-Seiten (Administratoren
von sog. Fanpages) und Facebook-Plattform-Anwendungsentwicklern sowie Webseitenbetreibern,
die Funktionen der Facebook-Plattform in ihrer Webseite per Social-Plugin wie dem Like-Button
integrieren, abrufbar sind. Diese Statistiken beziehen sich auf authentifizierte Nutzende und die
ihnen zugeordneten Facebook-Seiten, -Anwendungen oder Webseiten. Sie sind von dafür
eingetragenen Administratoren mit Facebook-Konto über https://facebook.com/insights/
abrufbar.“
Comment by Sb — 19.08, 2011 @ 16:29
Bzw. tritt der Betreiber einer Fanpage stärker als „Anbieter“ von Telemedien auf, als es ein üblicher Nutzer tut, und damit trägt er Mitverantwortung über die Verarbeitung der Daten seiner Besucher, zumal er diese Daten auch mitnutzen darf:
Er tritt also quasi als Mittäter beim Diebstahl auf UND als Abnehmer des Diebesguts (den personenbezogenen Daten).
Comment by Sb — 19.08, 2011 @ 16:53
Der Hammer:
Die Fanpage vom ULD bei der Landesregierung verwendet Twitter-Plugins:
http://www.schleswig-holstein.de/Portal/DE/Service/Beauftragte/Datenschutzbeauftragter/Datenschutzbeauftragter_node.html
Ich glaube, der Typ will uns verarschen.
Comment by Jan Dark — 19.08, 2011 @ 17:14
@Jan Dark
Wo siehst du da Plugins? Das sind kleine Grafiken die nicht von extern geladen werden und statische Links.
Comment by larsan — 19.08, 2011 @ 17:45
@larsan
Ich sehe da:
onclick=“uebergabe_facebook()
Ich sehe da eine Funktion. Wenn ich drauf klicke (onclick) wird ein Unterprogramm uebergabe_facebook() aufgreufen, dessen Funktion sich nicht aus dem HTML-Code erschließt. Das ist kein statischer Link.
„IS GENERATED VIA DOM SCRIPTING IF FEATURE IS SUPPORTED“
Für den Benutzer ist nicht erkennbar, was bei Aufruf der Funktion uebergabe_facebook() passiert. Er hat keine Möglichkeit es zu eruieren.
Böse Falle: da wird wohl morgen der ULD in Samstag-Schicht erbarmungslos zuschlagen. Und auch noch öffentliche Stelle. Au weia, Au weia. Da werden wohl Panzer nach Kiel fahren. Staatsnot.
Ansonsten gilt immer noch: Das BSI empfiehlt weiterhin, auf die Verwendung von javascript (wie hier beim ULD) aus Sicherheitsgründen zu verzichten:
https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/definitionen/javascriptgefahren.html
Hier wird Schindluder mit dem Bürger getrieben von Behörden, die sich nicht koordinieren und die eine das Gegenteil von dem tut, was die andere empfiehlt. Hier wird grob fahrlässig wenn nicht vorsätzlich die IT-Sicherheit und der Datenschutz ausgehöhlt und hinterfotzig unterwandert. Der Bürger wird verarscht.
Comment by Jan Dark — 19.08, 2011 @ 18:31
Das ULD selbst
https://www.datenschutzzentrum.de/
benutzt keine Facebook-Features,
http://www.schleswig-holstein.de/Portal/DE/Service/Beauftragte/Datenschutzbeauftragter/Datenschutzbeauftragter_node.html
ist eine Seite der Landesregierung.
Comment by D. Müller — 19.08, 2011 @ 18:31
Lt. Sourcecode der Seite http://www.schleswig-holstein.de/Portal/DE/Service/Beauftragte/Datenschutzbeauftragter/Datenschutzbeauftragter_node.html werden die Facebook-, Twitter-, …-Icons vom lokalen Server und nicht den Servern der jeweiligen Social Media Anbieter geholt.
Beim Besuch der Seite findet daher – zumindest aus diesem Titel – keine Datenübertragung an die genannten Diensteanbieter statt.
Comment by Andreas Krisch — 19.08, 2011 @ 18:46
Auch schön:
http://www.wbs-law.de/internetrecht/muster-datenschutzerklaerung-facebook-like-button-5712/
Wird referenziert von
http://www.egovernment-computing.de/index.cfm?pid=7268&pk=327508&cmp=rss-bep&utm_medium=twitter&utm_source=twitterfeed
als
„Die einzig mögliche Einbindung sieht derzeit wohl so aus, dass der Gefällt-mir-Button zunächst ohne Funktionalität als reines Bild auf einer Webseite eingebunden wird.“
Innendrin ist dann ein iframe mit Zwangszugriff auf facebook.
Comment by Jan Dark — 19.08, 2011 @ 19:00
@15 D. Müller
Das Land Schleswig Holstein hat bei mir auf den Rechner ein Cookie gelegt. Der ULD macht Werbung für Cookies bei sich. Das BSI sagt:
„Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden. “
https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/definitionen/cookiesgefahren.html;jsessionid=273C09CC31E73A7E402C1D3B2688F0D0.2_cid174
(und hängt an den URL eine JSESSIONID um meine HTTPS-Session zu identifiziern. Für eine blöde Abfrage einer statischen Text Seite.
Wer soll denn diesen Irren noch Vetrauen entgegenbringen mit ihrem enthemmten Chaos. Soll ich jetzt bei jedem Anbeiter erst mal Source-Code Exegese betreiben (und wie beim Land Schleswig-Holstein mich durch die Javascript-Funktionen durchlesen? Die wollen mich verarschen. Völlig enthemmt. Ausser Rand und Band. Diese Leute zersetzen das Vertrauen in IT-Sicherheit und Datenschutz. Schrecklich.
Comment by Jan Dark — 19.08, 2011 @ 19:13
Jurafunk spezial zur Bekanntgabe des ULD, dass Facebook Fanpages bzw. Gefällt-Mir-Buttons etc i.d.R. unzulässig sind mit Interview eines ULD-Mitarbeiters zu den Hintergründen: http://www.jurafunk.de/assets/podcasts/jurafunk20110819.mp3
Comment by Henry — 19.08, 2011 @ 21:41
@Stadler Wozu Sie für die Erstellung von Nutzungsstatistiken ihre Nutzer auf eine 3. Domain weiterleiten, möchte ich doch gerne erklärt haben. Was genau kann denn sitemeter.com bieten, was das access log ihres eigenen Servers nicht kann?
Ich habe sogar ein Gegenargument für dessen Nutzung: Je mehr Ihrer Leser mit entsprechenden Addons (etwa RequestPolicy) die Weiterleitung an Trackingfirmen verhindern, desto ungenauer werden deren Statistiken. Dieses Problem haben Sie auf Ihrem eigenen Server nicht.
Comment by Seb — 20.08, 2011 @ 10:20
@20. Nicht jeder hat Zugriff auf ein Access-Log und diese Logfiles sind eine wahllose Ansammlung von Daten die erst einmal (für Laien und Fortgeschrittene) keine Aussagekraft haben. Erst ein gutes Auswertungsprogramm (Logfile-Analyzer) mit grafischer Darstellung macht daraus was brauchbares.
Awstats ist so ein Programm das auf dem Server läuft und gute Ergebnisse liefert: http://awstats.sourceforge.net/docs/awstats_what.html
Jedoch weiß auch kaum einer, ob das Programm nicht „Nachhause“ telefoniert, um irgendwelche Daten (z.B. Robots-Tabellen) abzugleichen.
Kurzum, um verlässliche Statistiken zu haben sollte man mehrere Tracker ansetzen, weil ein Klick nicht gleich Besucher ist usw.
Manche freuen sich ja mit einen Zähler auf der Seite über hohe Zugriffszahlen und in Wirklichkeit sind es hunderte Robots aus aller Welt die nur Zehntelsekunden auf der Seite verweilen aber die Klickrate enorm anschwellen lassen.
Gute Site-Tracker haben ihre Berechtigung, der Datenschutz auch, aber beide müssen sich einander annähern.
Comment by Frank — 20.08, 2011 @ 12:10
@21: Es sollte eigentlich jedem klar sein, dass man die access logs nicht in Notepad öffnet und sich Strichlisten auf Papier macht, sondern die Daten automatisiert auswerten lässt.
Wer keinen Zugriff auf sein access log hat, sollte dringend mal mit seinem Hoster telefonieren. Wahlweise kann die Webapplikation solche Logs auch selber produzieren.
Ob ein Tool, welches auf meinem eigenen Server läuft, Daten an Dritte weiterleitet lässt sich recht einfach feststellen. z.B. schmeißt man sein DTrace an und schaut, was das Trackingtool denn für Packete versendet. Im Falle awstats kann man sogar einen Blick in dessen Quelltext werfen.
Robots-Tabellen, oder IP-Bereichszuweisungen zwecks reverse dns-lookup abzufragen, sehe ich nicht als datenschutzrechtlich bedenklich.
Was also haben „gute Site-Tracker“ nun für eine Berechtigung, von der sie sprachen?
Comment by Seb — 20.08, 2011 @ 13:25
@22: Dem kann ich voll und ganz zustimmen. Eine Berechtigung für Site-Tracker sehe ich nicht.
Und RequestPolicy ist ein echt sehr hilfreiches und auch aufschlussreiches Add-On…
Comment by felix — 20.08, 2011 @ 14:26
Der ULD tappt in die selbe Abseitsfalle wie die Bundesregierung mit ihrer Qualsignatur: man verlässt das juristische System, begibt sich ins technische System und kommt darin um. Mit der Qualsignatur haben wir 15 Jahre bleierne Zeit hinter uns und beim Land Berlin dauert eine Onlinemelderegisterauskunft vier Wochen (!) statt 10 Minuten wie in anderen Dörfern.
Der ULD labert nur noch Grütze. Das BSI, Cookies sind Scheisse, der ULD sagt, nimm meine Cookies: wir sind die Guten. Der ULD sagt Facebnokk ist Scheisse und er gibt den Hassprediger.
Beispiel ivwbox: ULD sagt: IP-Adressen sind immer personenbezogen (Unsinn) und ivwbox wird schön, wenn man ein Oktett maskiert (Bullshit).
Wenn ich blogge, meine Leser per Mail triggere und im Logfile dann die Domäne (mit 40.000 Endgeräten dahinter) sehen, dass weiss ich, der Karl-Heinz hat es gelesen,d er Willi aber nicht, also noch mal Willi wecken. Ich mache personenbezogene Datenverarbeitung, mit datenschutzrechtlich sauberen Logfiles. Und der ULD labert abgedrehtes zeug im Nirwana der Bedeutungslosigkeit.
Bei ELENA hat er uns verraten (alle 17 DSB) und bei facebook gibt er den Hassprediger.
Wenn ein Blogger einen Likeit-Knopf einbaut, dann er mit Vorsatz und Willenserklärung kundgetan, dass er möchte, dass seine Leser seine Lektüre weiterempfehlen. Was Facebook damit macht, weiss der Blogger nicht, ändert sich jede Woche und entzieht sich der Steuerung des Bloggers. Der durchgeknallte ULD droht dem Blogger (dem es an Vorsatz zu Datenschutz-Ordnungswidrigkeiten mangelt) mit einem empfindlichen Übel und gegen Facebook den Täter unternimmt er nichts. Dieser Mann gefährdet unseren Rechtsfrieden mit seinem nicht gerichtserhärteten Amoklauf. Bei ELENA hat er seine Unfähigkeit nachgewiesen und muss aus dem Amt entfernt werden, bevor der Datenschutz in Deutschland mit ihm noch mehr Schaden nimmt. Er akzeptiert nicht mal die Rechtsetzung der EU, wenn diese Verträge mit den USA macht.
Es ist Wesensmerkmal des Internets, auf HTML-Seiten auch die Angebote Dritter einzubetten. Wenn wir das nicht wollen, weil damit eventuell Datenschutzordnungswirdigkeiten gemacht werden können, dann ist das eine Sache des Parlaments und nicht Sache der Exekutive, die Bürger mit Bußgelder zu nötigen versucht.
Auch die Aussage, dass man nur bestimmte mit Bußgeldern überziehen wolle, zeigt ein völlig entartetes Verhältnis zum Rechtsstaat. Entweder ist die selbe tat für alle rechtswidrig oder für keinen. Gesetzesanwendung darf nicht von dem persönlichen Rochus eines Mitarbeiter der Exekutive abhängen. Ich vermute, der ULD wird sich mit seiner gegen deutsche Bürger gerichteten Nötigungen der verwillkürten Buggeldbescheide Strafanzeigen einhandeln. Oder wollen wir akzeptieren, dass im Straßenverkehr Ordnungswidrigkeiten nach dem Sozialstatus des Täters geahndet werden oder nicht wie der ULD es jetzt im Datenschutz verkündet hat?
So produziert man Wutbürger und zerstört den Rechtsstaat.
Comment by Jan Dark — 20.08, 2011 @ 15:08
Men Gott Walter! Es geht (unter anderem) doch darum, dass nicht einzusehen ist, dass Landesbehörden bzw. öffentliche Einrichtungen Facebook-Accounts haben bzw. auf (mit öffentlichen Mitteln) erstellten Inhalten die (potentielle wie auch tatsächliche) Ausspionierung ihrer Besucher unterstützen.
Die Einbindung der Buttons auf s-h.de ist datenschutzrechtlich gesehen wohl ok, technisch schön schlank, aber UE-mäßig der absolute Schwachsinn.
Comment by micha — 20.08, 2011 @ 15:26
Also, auf die Schnelle sieht es so aus, dass von der fraglichen Seite Daten an Facebook genau dann übertragen werden, wenn der Anwender dies durch einen expliziten Klick auf das Bildchen auslöst.
Das ist eine komplett andere Geschichte als z.B. bei spiegel.de, wo ohne Interaktion des Benutzers eine entsprechend Übertragung stattfindet.
Soweit ich das gelesen habe will auch niemand das Setzen eines Links auf FB unterbinden, oder?
Comment by Dietz Pröpper — 20.08, 2011 @ 17:01