Internet-Law

Onlinerecht und Bürgerrechte 2.0

20.8.11

Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten“ alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

posted by Stadler at 16:04  

38 Comments

  1. Ich bin ein absoluter Laie, möchte aber dennoch einige Anmerkungen machen (und hoffe, dass ihr das bewerten wollt und könnt):

    Das Blocken der Ausführung von JavaScript durch Facebook-Einbindung ist mit einem nicht-trivialen Aufwand für den Besucher eine Website verbunden und lässt sich selektiv nicht mit den Bordmitteln der gängigen Webbrowser bewerkstelligen. Die Entscheidung des Betreibers einer Seite ist eben, dass der Nutzer entweder aktiv klicken muss (bei reiner Linkeinbindung) oder es zur automatischen Ausführung von aktiven Code-Elementen ohne Nutzer-Interaktion und Datenübermittlung kommt (die eben technisch von Nutzerseite relativ schwer kontrollierbar ist und Sachverstand erfordert).

    Ob der Betreiber die Daten dann selbst verarbeitet oder die Verarbeitung von einem Unternehmen durchführen lässt ist m.E. egal, denn er hat sich dafür entschieden, die Daten der Besucher seiner Seite quasi vollautomatisch zu übermitteln und zu verarbeiten zu lassen.

    Comment by fukami — 20.08, 2011 @ 16:31

  2. Pluseins

    Comment by Klaus Graf — 20.08, 2011 @ 16:33

  3. „… erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.“

    In diesem Fall wäre jedoch auch das Nutzer-Tracking wie z.B. durch Google Analytics keine Datenverabeitung im Sinne des BDSG.

    Technisch funktionieren der Like-Button von Facebook und Google Analytics nach dem gleichen Prinzip. Mit Besuch einer Website wird ein Element von einem externen Server geladen. Diese erhält im Gegenzug eine Vielzahl von Informationen. IP-Adresse, Browser, besuchte Website, Uhrzeit, usw. über den Besucher.

    Warum also die allgemeine Aufregung, wenn keine Datenverarbeitung im Sinne des BDSG stattfindet?

    Comment by Jason — 20.08, 2011 @ 16:58

  4. Am Rande: ich habe noch nirgendwo gelesen, dass Herr Weichert oder einer seiner Kollegen gegen die sogn. Webbugs, 1×1 Pixel große, transparente Bilder, vorgegangen wäre. Oder gegen Werbebanner, die von Webseiten Dritter geladen werden, ggf. in Verbindung mit einem Cookie von Seiten, die ich nie besucht habe.

    Comment by M. Boettcher — 20.08, 2011 @ 19:00

  5. Eine Datenverarbeitung i.S:d. BDSG findet statt – sofern man Daten wie die IP-Adresse als personenbezogen bewertet, was durchaus umstritten ist. Die Frage ist aber zudem, durch wen diese Datenverarbeitung stattfindet. Ist der Websitebetreiber verantwortliche Stelle i.S.d. BDSG, wenn er keine Datenhoheit hat?

    Comment by Stadler — 20.08, 2011 @ 20:25

  6. Jetzt stellt sich nur die Frage was soll man machen? Ein kleiner Unternehmer oder ein Verein wird kaum einen Anwalt einschalten und dagegen klagen.

    Egal wie es kommt, die ULD hat ihr erstes Ziel erreicht, den Bürger zu verunsichern.

    Man kann nur hoffen das es kippt, falls das es Schule macht wird es alle Social Networks und Web2.0 Dienste treffen die in irgendeiner Form IPs speichern.

    Comment by Sascha Fuchs — 20.08, 2011 @ 22:11

  7. „Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert.“

    Da habe ich aber ein grundsätzlich anderes technisches Verständnis.
    Zunächst handelt es sich nicht nur um bloßen HTML-Code. Über den HTML-Code wird ein JavaScript-Code geladen und ausgeführt.
    Der Vergleich zu einem Link, welcher wirklich nur HTML-Code ist, hinkt daher gewaltig.
    Dies wird auch bei der Betrachtung ohne die technischen Grundlagen deutlich: Den Link muss der Nutzer aktiv anklicken, der JavaScript-Code dagegen wird immer im Hintergrund ausgeführt. Der Nutzer kann sich nur aktiv dagegen wehren, indem er z.B. ein Plugin installiert.
    Kurz, der Analogie zwischen Link und JavaScript-Code kann ich absolut nicht folgen.

    „Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.“

    Korrekt ist, dass vom Webseitenbetreiber die Daten nicht erhoben werden. Allerdings veranlasst er dies und bindet den Code auf seiner Internetseite ein und ist somit auch Verantwortlicher nach TMG und BDSG.
    Facebook könnte schließlich nicht selber den Code in fremde Webseiten einbinden.

    @Stadler Ist es in diesem Fall der Personenbezug der IP-Adresse nicht egal? Facebook verknüpft die Daten doch mit dem Facebook-Profil, wenn man einelogt ist. Ein Personenbezug entsteht doch in diesem Moment unabhängig von der IP-Adresse.

    Comment by Ilias — 20.08, 2011 @ 22:11

  8. Hi,

    wie sieht es aus, wenn man – aus welchen Gründen auch immer – eine statische IP-Nummer verwendet? Sollte ich z.B. auf die Idee kommen, mit Hilfe eines Tunnels unter der IP-Nummer 88.198.37.88 auftreten, so ist eine Zuordnung zu meiner Person sogar ausgesprochen trivial. Und ja, es gibt Situationen, in denen sowas notwendig ist, z.B. wenn man aus einer Umgebung kommt, in welcher bestimmter content gefiltert wird.

    Und ja, ich persönlich betrachte auch die Verwendung von Analytics etc. als ziemliche Frechheit von Seiten des Serverbetreibers, da dieser hierdurch ganz bewusst einen Datensammler verwendet, dem er ganz sicher keinen normenkonformen Umgang mit den erhobenen Daten aufbedingen kann.

    OK, ich Techie, Sie Jurist – damit ergibt sich ganz automatische eine unterschiedliche Sichtweise ;-). Nur, wenn ich z.B. BDGS §6 lese dann stellt sich mir doch die Frage, wie ein Betreiber z.B. der Auskunftspflicht überhaupt nachkommen möchte. Immerhin hält sich Google doch eher bedeckt darüber, in welchem Umfang die erhobenen Daten gespeichert und weiterverarbeitet werden, bzw. die von Google aufgestellten Behauptungen sind de facto nicht verifizierbar.

    Comment by Dietz Pröpper — 21.08, 2011 @ 10:34

  9. @M. Boettcher -> Bekanntestes 1×1 Pixel ist Google Analytics. Dagegen geht der ULD seit Monaten massiv vor und hat sich bisher damit keine Freunde gemacht.

    Datenschutz ist wichtig, Datenschutz ist gut. Die Art und Weise des ULD lässt jedoch daran zweifeln, ob es der Sache dient. Mal wieder ein Thema auf dem Rücken der falschen auszutragen, kann nicht das Mittel sein.

    Wie beim Thema Google Analytics ist auch hier mal wieder nur eines klar: Unklarheit an allen Ecken!

    Comment by Jason — 21.08, 2011 @ 11:10

  10. Der Webseitenbetreiber hat zwar keine Kontrolle über die weitere Verarbeitung der Daten.

    Allerdings hat er Facebook, Google Analytics oder auch den Werbedienstleister um die Ecke durch das Einbinden deren Services in seine Webseite quasi als Dienstleister engagiert.

    Mir als Besucher ist es quasi egal, wer alles für den Betreiber der Webseite arbeitet. Ich möchte mich an den wenden, dessen Webseite ich besucht habe und nicht mit der beliebig komplexen Rechtsstruktur dahinter zu tun haben.

    Comment by Andreas — 21.08, 2011 @ 12:04

  11. @Ilias: Für Facebook ist die IP-Adresse personenbezogen, weil Facebook den Bezug zu einem bestehenden Nutzerkonto herstellen kann.

    Die Frage ist hier aber die, ob der Webseitenbetreiber, als evtl. verantwortliche Stelle, personenbezogene Daten erhebt. Und aus seiner Sicht ist die IP-Adresse nicht personenbezogen. Mithin kommt es auf den aktuellen juristischen Meinungsstreit auch hier an.

    Comment by Stadler — 21.08, 2011 @ 12:10

  12. @Stadler: Also ist es klar, dass es sich bei der IP-Adresse in dieser Konstellation um ein potentiel personenbezogenes Datum handelt.
    Es kann doch nicht rechtlich ohne Belang sein, dieses Datum an jemanden weiterzugeben, welcher den Personenbezug herstellen kann.

    Außerdem entsteht der Personenbezug wohl auch durch die Facebook-Cookies oder ähnliches, welche die eingelogte Person identifizieren.
    Die übermittelte IP-Adresse ist dann ein weiteres Datum, welche Facebook im Nutzungsprofil ablegen kann. Sie ist aber nicht für Facebook das notwendige Datum, um den Personenbezug herstellen zu können.

    Comment by Ilias — 21.08, 2011 @ 12:56

  13. @Ilias: Vollste Zustimmung. Ich würde allerdings nich so sehr am Javascript kleben. Statische Tracking-Pixel erzeugen das gleiche Problem. Es geht ja schlicht um die Frage, ob der Nutzer aktiv wird, oder nicht und noch schlimmer, ob der Nutzer etwas gegen die Datenerhebung tun kann. Auf Links braucht er nicht klicken, d.h. sein nicht Klicken ist das Verhindern der Datenerhebung. Bei externen Javascripts und Tracking-Pixeln hingegen hat er diese Wahl nicht. Er müsste sich spezielle Plugins installieren, die das Surfen im allgemeinen sehr umständlich machen.

    @Stadler: Facebook erkennt Nutzerprofile sicherlich nicht an der IP-Adresse, sondern an Cookies. Andernfalls hätten Nutzer von z.B. Proxies und Internetcentren ein großes Problem sobald mehr als ein Nutzer dessen sich bei Facebook anmelden möchte.

    Die Frage, ob Facebook Daten von Nutzern erhebt, die gar nicht bei Facebook registriert sind, ist für die Unterhaltung unnötig. Die Daten hätten gar nicht erst übermittelt werden dürfen. Allerdings wurden mir eben beim Anzeigen einer größeren Like-Box von bildblog seitens FB keine Cookies verpasst.

    @Artikel: Auch hier fehlt es wieder an Weitsicht und technischen Details. Warum muss der Nutzer den Like-Button vom FB-Server holen, statt von der besuchten Seite – wegen der Like-Anzahl? Die kann der Server auch von FB abholen und dem Nutzer direkt übermitteln.
    Das Youtube-Argument hinkt ebenfalls gewaltig. Warum muss das Video direkt in der Seite geladen werden? Warum holt der eigene Server nicht ein Vorschaubild von Youtube ab, liefert dem Nutzer dieses aus und nur sofern der Nutzer auf dieses Bild klickt, wird das Video von Youtube geladen? Allerdings lässt sich diese Frage mit Faulheit bzw technischer Unkenntnis des Betreibers beantworten. Das kann für den Datenschutz aber keine Rolle spielen.

    Comment by Seb — 21.08, 2011 @ 14:35

  14. Bevor irgendwelche Unklarheiten auftreten hier ein Beispiel wie ich Youtube-Videos (und FB-Plugins) einbinden würde: http://s-misch.de/youtube.html

    Comment by Seb — 21.08, 2011 @ 14:53

  15. @Seb: kleine Anmerkung zur Umsetzung (die ich so gut finde): indem man nicht das Video von youtube.com, sondern von youtube-nocookie.com verwendet, verhindet man dass eventuell von youtube.com gesetzte Cookies automatisch mitverschickt werden, falls jemand das Video anklickt.

    Comment by felix — 21.08, 2011 @ 16:02

  16. Im Artikel findet sich leider nichts zu dem Thema Fanpages und Auftragsdatenverarbeitung. Ist das Einstellen von Content in eine Fanpage eine Art von Beauftragung für eine Dienstleistung, und ist der Besitzer der Fanpage dann dafür verantwortlich die benutzte Dienstleistungsplattform zu kontrollieren?

    Also muss ich z.B. mit dem Gelbeseitenverlag einen AuftragsDV Verwinbarung schliessen, wenn dieser mein Firmenprofil im Internet anbietet? Oder muss ich das erst wenn ich mich dort auch an Diskussionen beteilige?

    Gruß
    Bernd

    PS: jetzt wo ich die Frage gestellt habe wird mir bewusst wie Unsinnig dieser Teil del ULD Forderung ist. (wie unsinnig die Regelungen zur Auftragsdatenverarbeitung im Social Web sind)

    Comment by Anonymous — 21.08, 2011 @ 17:28

  17. @felix: Nettes Feature! Allerdings wird die Domain ebenfalls von Google betrieben und das nicht Setzen von Cookies bleibt wieder nur ein Versprechen als ein Fakt. Der Kunde wird jedenfalls automatisch zu einem Dritten weitergeleitet.

    Allerdings ist das ein Schritt in die richtige Richung seitens Google. Davon können sich andere Global Player im Netz eine Scheibe abschneiden.

    Comment by Seb — 22.08, 2011 @ 07:53

  18. @Seb: Mit den Cookies haben wir aber ein ähnbliches juristisches Problem. Werden personenbezogene Daten gespeichert? Aus Sicht des Webseitenbetreibers nicht, denn er kann mit dem von Facebook stammenden Cookie gar nichts anfangen und bestimmt keine Personen identifizieren. Aus Sicht von Facebook sieht es anders aus.

    Comment by Stadler — 22.08, 2011 @ 09:34

  19. @seb: das stimmt. das weiterleiten an Dritte lässt sich allerdings nicht verhindern, wenn man youtube-Videos einbindet oder verlinkt und der Besucher der Seite diese anschauen will. Wenn man die Videos jedoch erst beim Anklicken lädt (wie in deinem Beispiel) und dann den Player von youtube-nocookie.com anstelle youtube.com nimmt, minimiert man allerdings die Menge der übertragenen Daten (soweit momentan bekannt) und die Übertragung startet erst, wenn der Besucher von sich aus aktiv wird. Weniger Daten kann man nur übermitteln, indem man youtube weder einbindet noch verlinkt.

    Comment by felix — 22.08, 2011 @ 09:59

  20. @9 Jason: Google als „Intimfeind“ der Datenschützer ist eigentlich eher nebensächlich, das Einschlagen auf Google eher billig. Mir stellt sich die Frage: Wo aber wenden sich Datenschützer gegen andere Webbugs und wo ist dann ihr Einsatz gegen Werbebannner, die zwar für den User sichtbar sind, aber ja ebenfalls IP-Adressen an Dritte übermitteln und das Setzen von 3rd-party-Cookies ermöglichen? Wenn das ein Verstoß gegen das BDSG ist, dann müssten die Datenschützer gegen das Prinzip der Einbindung des Codes von Dritten an sich vorgehen. Da würden sie sich aber mit sämtlichen Werbetreibenden im (deutschen) Web anlegen.

    Comment by M. Boettcher — 22.08, 2011 @ 11:01

  21. Meines Erachtens werden hier zwei grundverschiedene Dinge in einen Topf geworfen, nämlich (a) Fanpages und (b) Like-Buttons auf Websites außerhalb von Facebook.

    Bei Like-Buttons kann ich die Argumentation des ULD juristisch nachvollziehen – bei Fanpages nicht.

    Wenn ich eine eigene Website betreibe, habe ich tatsächlich die volle Kontrolle darüber, was mit den Daten eines Besuchers passiert. Ich kann den Like-Button ja einfach weglassen.

    Anders sieht das bei einer Fanpage aus. Diese wird technisch zunächst von Facebook geliefert, und meine Inhalte werden dann lediglich in den von Facebook gelieferten Rahmen eingefügt. Ich habe dabei keinerlei Einfluss darauf, welche Daten Facebook sammelt.

    Das ULD zitiert selbst in seinem Paper folgendermaßen: „Diensteanbieter begründen eine eigene Verantwortlichkeit, soweit und solange sie nach Würdigung aller Gesamtumstände aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern.“ (Datenschutzrechtliche Bewertung der
    Reichweitenanalyse durch Facebook, S.17 Mitte) Eine solche Steuerung der Datenverarbeitung ist bei Fanpages aber gerade nicht gegeben.

    Es ist auch nicht so, dass ich bei meinem inhaltlichen Angebot im Rahmen einer Fanpage die „fremden“ Verarbeitungsprozesse von Facebook in mein eigenes Angebot einbinde (ebd.). Vielmehr bindet Facebook höchstens meine Verarbeitungsprozesse in sein Angebot ein, indem es z.B. den Browser des Nutzers veranlasst, Daten für einen Custom Page Tab von meinem Server zu holen.

    Insofern bin ich bei einer Fanpage zwar „Dienstanbieter“ in dem Sinne, dass ich Inhalte zu Verfügung stelle. Für die (datenschutzrechtlich fragwürdige) Datenspeicherung bei Facebook bin ich aber nicht verantwortlich.

    Siehe auch Beitrag von Bernd unter (16).

    Comment by Sebastian — 22.08, 2011 @ 11:43

  22. …oder sehe ich da was falsch?

    Comment by Sebastian — 22.08, 2011 @ 12:02

  23. @seb
    „Bevor irgendwelche Unklarheiten auftreten hier ein Beispiel wie ich Youtube-Videos (und FB-Plugins) einbinden würde: http://s-misch.de/youtube.html

    Ja schön. Und schon hast Du das BSI am Hals. Die sagen, Dein Javascript ist unsicher und sollte weggelassen werden. Und wenn dann dort ein durchgeknallter Exekutivbeamter wie der ULD auftaucht, dann musst Du Dich rechtfertigen, warum Du eine unsichere Seite betreiben willst und Deine Benutzer gefährdest (und natürlich ein saftiges Bußgeld aufgebrummt bekommen musst, erst mal, dass Du Dir in drei Instanzen zurückerklagen kannst, in denen dann teuere Gutachter den völlig fassungs- und ahnungslosen Richtern erklären können, dass Dein Spaghetti-Code aus irgendwelchen Hackerfestivals tatsächlich harmlos ist, aber leider die Empfehlung des BSI verletzt.

    Wir haben kein technisches Problem. Wir haben das Problem, dass unsere Rechtsordnung noch nicht zum Internet passt. Wie Stadler richtig konkludierte. Wir müssen wie beim Zugangserschwerungsgesetz erst mal schauen, was überhaupt passiert, welcher Schaden derzeit entsteht (im Moment wendet sich ja der ULD nicht gegen tatsächlichen Schaden, sondern hypothetischen (Also fordert er ein Küchenmesserverbot, weil damit hypothetisch Schaden entstehen könnte).

    Wen es so schlecht läuft wie beim Zugangserschwerungsgesetz, dann werden wir die entartete Situation haben, dass sachunkundige Personen ein falsches Gesetz machen, das Rechtskraft entfaltet, aber die Exekutive (Leutheusser-Schnarrenberger mit ihrer Vereinigung (Koalition), die sich verabredet haben, geltendes Recht einfach zu brechen). Dann wird der Rechtsstaat weiter von der Exekutive herabgesetzt und verhöhnt und wir landen in Anarchie, wo keiner mehr die Rechtsordnung ernst nimmt. Dafür mangelt es dem Amokläufer aus Kiel an Ein- und Übersicht und deswegen sitzt er nicht in der Justiz oder im Parlament, sondern in der Exekutive. Und er will aber seinen Egotrip haben wie Westerwelle, der sich gut findet, wenn er Geld alleinerziehenden Hartz4-Müttern wegnimmt, um Hotelbesitzern es zu schenken (wie seinem Kumpel in Bonn, wo er die Pornodiova Gina Wild traf auf der Dankeschön-Party).

    Spaghetti-Coode hilft keinem. Wir müssen uns klar werden, was wir in Deutschland wollen und was will international in einer globalisierten Welt harmonisieren können. Die harsche Reaktion auf den „Sozialhygieniker“ Herold vom BKA, der in der höheren Stufe der Rasterfahndung vor dem Täter am Tatort sein wollte, bis ans Ende aller Tage zu tradieren, ist eine unwahrscheinliche Lösung. Der ULD wird stolpern.

    Comment by Jan Dark — 22.08, 2011 @ 21:21

  24. @Jan Dark: kannst Du die Behauptung, dass das BSI das Javascript als „unsicher“ bezeichnen würde, auch irgendwie begründen? Oder dass es sich um „Spaghetticode“ handelt?
    Der Code ist ziemlich sauber und eindeutig, und insbesondere kein Spaghetticode.

    Comment by felix — 22.08, 2011 @ 21:53

  25. Mir ging es im Beispiel http://s-misch.de/youtube.html nur um die unterschiedliche Einbindung von 3-Party Plugins. Statt beim Seitenaufruf direkt den Like-Button, oder das Youtube-Video zu laden, muss der Nutzer aktiv werden, um das Laden zu starten.
    Dadurch kann der Nutzer entscheiden, ob seine Daten (IP, Cookies) der 3. Partei übermittelt werden.

    Die Probleme rund um BSI, die sie da beschreiben, mögen existieren, wurden von mir aber nicht behandelt.

    Comment by Seb — 22.08, 2011 @ 22:41

  26. @felix
    https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/definitionen/javascriptgefahren.html

    Zum Spaghetti: leg den Source-Code von http://s-misch.de/jquery-1.5.min.js einfach einem Rechtsanwalt vor und frag ihn, ob damit eine Auftragsdatenverarbeitung nach §11 BDSG begründet ist, für die der Seitenbetreiber die Vollhaftung und Störerhaftung sowie Bußgelder von bis zu 50.000 € übernehmen muss wie es der ULD vermutet, ohne dafür richterliche Unterstützung bisher bekommen zu haben oder dass der Gesetzgeber hinter ihm stünde. Spaghetti ist noch eine freundliche Formulierung. Man könnte auch verlangen, Richter müssten Intel-Assembler lernen. Zudem ist der Code nicht mal dokumentiert, seine Funktion nicht beschrieben. Das ist genauso beschmiert wie die Cookies vom ULD. Wenn man Cookies zulässt, ist die Möglichkeit des Missbrauchs gegeben. Wen alle Zeitungen weltweit die Cookies vom ULD nehmen, kann wieder ein unerwünschstes Tracking-System gebaut werden. Es zeugt nur von mangelhafter Sachkunde.

    @Seb
    „Die Probleme rund um BSI, die sie da beschreiben, mögen existieren, wurden von mir aber nicht behandelt.“
    Genau das war meine Aussage. Ein Anwender muss aber die Gesetze alle, den ULD vielleicht, die Rechtssprechung der BGH (auch wenn sie ohne Gesetze in freier Willkür wie bi ede Störerhaftung erfolgt) und die Hinweise des BSI beachten, weil er sonst wegen grober Fahrlässigkeit dran kommen kann in einer Gemengelage inkompetenter, unkoordinierter Behörden, wo die linke nicht weiss, was die rechte tut. Das BSI warnt vor Javascript, der ULD empfiehlt es. Amoklaufende Irre auf Kosten der Bürger. Und der Gesetzgeber pennt und lässt die Irren Amok laufen. Und will vielleicht als nächstes toten Mauern Persönlichkeitsrechte zuordnen.

    Comment by Jan Dark — 23.08, 2011 @ 10:10

  27. @Jan
    http://s-misch.de/jquery-1.5.min.js ist offensichtlich die minimierte Version der jQuery-Library Version 1.5. In der Datei selber ist beschrieben, wo man das Original herbekommt.
    Eine Auftragsdatenverarbeitung durch die Library sehe ich auch nicht. Ich sehe tatsächlich gar keine Datenverarbeitung von relevanten Nutzerdaten durch die Library. Als Spaghetti code würde ich die Library ebenfalls nicht bezeichnen. Die Library ist vollständig objektorientiert Aufgebaut und hat dadurch einen einwandfreien Kontrollfluss.
    Meine 2 calls sind nicht extra Dokumentiert. Das ist auch nicht nötig, denn die Methoden erklären ihre Wirkung durch ihre Namen. Alles weitere erklärt jQuery in eigene Dokumentation. Außerdem ist mir nicht bekannt, dass der Gesetzgeber eine Dokumentationspflicht festgeschrieben hat.
    Der Vergleich mit den Cookies hinkt gewalt. Das Weiterleiten auf fremde Domains und das ungefragte Setzen von Cookies steht datenschutzrechtlich in einem völlig anderen Licht als das ersetzen von Dom-Elementen mittels jQuery. In wie weit das ausführen von Javascript datenschutzrechtlich relevant sein soll, müssen sie immernoch erklären.

    @Antwort zu mir
    Ich kann mich nur wiederholen. Ein Problem nach dem anderen. Gegen welche Gesetze nun das Beispiel verstoßen soll, müssen sie nach wie vor erklären. Probleme mit dem BDSG sehe ich nicht.

    Comment by Seb — 23.08, 2011 @ 12:03

  28. @seb
    Ich muss das nicht erklären. Verantwortlich ist jeder für sich selbst. Der Amokläufer in Kiel z.B. sagt:
    „Da Google Analytics und viele andere Tracking-Dienste die Kommunikation zwischen Browser und Tracking-Server über JavaScript steuern, liegt es nahe, diese Schnittstelle vollständig zu deaktivieren. JavaScript ist seit langem als prinzipielle Schwachstelle in modernen Browsern bekannt.“
    https://www.datenschutzzentrum.de/tracking/schutz-vor-tracking.html

    Comment by Jan Dark — 23.08, 2011 @ 16:21

  29. @Jan
    Wenn sie Mängel an einer Webseite kritisieren, müssen sie diese natürlich belegen. Tun sie das nicht, so wird sie auch niemand ernst nehmen und ihre Kritik schlicht vergessen. Genau das werde ich jetzt auch tun.
    Falls sie allerdings doch noch etwas mehr beitragen wollen, als „Die dummen Politiker haben keine Ahnung und schießen blind gegen alles im Web mit Bußgeldern und Klagen.“, bin ich offen für eine Diskussion.
    Die verlinkte Webseite finde ich übrigens mehr als gelungen und kann sie nach kurzem überfliegen nur weiterempfehlen.
    Das dazugehörige Zitat ist ebenfalls markellos. Man kann mit Javascript viel Unfug treiben. Daher ist es sinnvoll prinzipiell misstrauisch zu sein.

    Comment by Seb — 23.08, 2011 @ 23:06

  30. @Seb
    „Wenn sie Mängel an einer Webseite kritisieren, müssen sie diese natürlich belegen. Tun sie das nicht, so wird sie auch niemand ernst nehmen und ihre Kritik schlicht vergessen.“
    Wenn man „sie“ klein schreibt, könnte man meinen, dass der ULD und seine Mittäter gemeint sind. Da haben wir volle Übereinstimmung.
    Wenn man sich das „sie“ groß denkt, dann haben wir Dissens. Es ist keine Hilfe, wenn man die Technik, die der ULD ablehnt, durch unübersichtlichen Javascript-Code ersetzt, wo sowohl der ULD als auch das BSI vor Javascript warnen. Beide Warnungen habe ich durch Quellen belegt. Jeder der hier liest, weiss nun, dass Javascript nach ULD und BSI gefährlich ist.

    Wir brauchen keine Bastel- und Fricklerlösungen von Einzelfall zu Einzelfall mit exorbitanten Gutachterkosten, sondern klare und einfache Regeln, die auch Juristen verstehen können. Es kann nicht angehen, dass sicher Benutzer erst mal den Source-Code einer Seite ansehen muss, um festzustellen, ob er an einer rechtswidrigen Totalüberwachung mitwirkt. Für die Seitenbetreiber ist das, was der ULD betreibt, Maximierung der Rechtsunsicherheit. Er schützt nicht die Bürger, sondern streut verwillkürt Sand ins Getriebe.

    Schon alleine für die Aussage „Dr. Moritz Karg, ULD: “Es geht nicht um den Wald- und Wiesen-Küsten-Blogger”“ müsste man die Agierenden aus dem Amte nehmen und sie mit den Grundprinzipien unseres Rechtsstaates vertraut machen. http://www.unternehmen-zwei-punkt-null.de/dr-moritz-karg-uld-es-geht-nicht-um-den-wald-und-wiesen-kuesten-blogger Entweder sind die Likeit-Buttons in bestimmter Ausprägung rechtswidrig oder nicht. Aber sie sind sicher nicht nach Größe der Unternehmung ordnungswidrig. Und der ULD kann nicht verwillküren, wessen Ordnungswidrigkeit er ahdet und wessen nicht.

    Diese Menschen schaden in ihrer Feigheit, Facebook direkt anzugehen, erheblich dem Rechtsstaat und dem Rechtsfrieden, wenn sie hier nach Recht und Gesetz nicht bestimmbaren Gruppen mit empfindlichen Übeln drohen.

    Comment by Jan Dark — 24.08, 2011 @ 11:30

  31. Okay breche ich das für *Sie* mal auf ganz simple Sätze herunter, die hoffentlich jeder versteht.

    =Beispiel==

    Angenommen das direkte Einbinden von Youtube-Videos verstoße gegen Gesetze.

    Insbesondere sei hier der Fakt rechtswidrig, dass der Nutzer automatisch ungefragt nach youtube.com weitergeleitet wird, um das Video abzuholen.

    Dann ist das direkte Einbinden von Youtube-Videos per Konstruktion rechtswidrig. Das betrifft dann allerdings sogut wie alle Webseiten, die Youtube-Videos einbinden.

    Mein Beispiel hingegen bindet das Youtube-Video nicht direkt ein, sondern zeigt nur ein Bild als Platzhalter an, welches nicht bei Youtube liegt.

    Nur wenn der Nutzer der Webseite nun auf dieses Bild klickt, also den Willen zeigt von Youtube ein Video zu laden, wird er tatsächlich zu Youtube weitergeleitet.

    Dieser Fall wäre nach der Annahme nicht rechtswidrig, da der Nutzer nicht automatisch weitergeleitet wird.

    Das Beispiel funktioniert übrigens analog zu normalen Hyperlinks.

    Mehr habe ich mit dem Beispiel nicht zeigen wollen.

    =Warnungen/Empfehlungen/Gesetzesverstoße==

    Ob das Beispiel nun nach irgendwelchen Empfehlungen oder Warnungen gefährlich sein soll, oder nicht, wurde in dem Beispiel nicht behandelt.

    Außerdem habe ich schon mehrfach nach einem Gesetzesverstoß gefragt, der in dem Beispiel angeblich wohl begangen wird. Ihr Argument ist nun eine Warnung vor Javascript des ULDs. Eine Warnung ist kein Gesetzesverstoß und zwingt mich insbesondere nicht das Beispiel zu ändern oder offline zu nehmen.

    =Javascript immer gefährlich==

    Ihre Interpretation, dass Javascript grundsätzlich gefährlich ist, ist schlicht falsch. Eine Warnung vor möglicherweise gefährlichem Javascript ist gerechtfertigt. Das heißt aber insbesondere nicht, dass jede Webseite, die Javascript einbindet, gefährlich ist und verboten gehört. Würde man dieser Annahme nämlich folgen, würden sogut wie alle Webseiten im Internet gefährlich sein, auch Wikipedia oder die Wettervorhersage.

    Ob und in wie weit eingebundenes Javascript umfangreich, kompliziert, lesbar oder kommentiert ist, spielt absolut keine Rolle für eine potientielle Gefahr, die aus dessen Ausführung entstehen könnte.

    Ob eine Webseite Daten an Dritte per Javascript weitergibt, können *Sie* mit simplen Addons wie RequestPolicy feststellen und sogar das Weiterleiten unterbinden – ohne jemals eine Zeile Javascript gelesen zu haben.

    Im Übrigen sollten *Sie* vielleicht bedenken, dass es in diesem Artikel um die eventuelle Rechtswidrigkeit des Like-Buttons von Facebook ging. Das ULD bezeichnet dabei als rechtswidrig das automatische ungefragte Weiterleiten auf Webseiten Dritter und nicht das Verwenden von Javascript.

    Comment by Seb — 24.08, 2011 @ 13:03

  32. @Seb
    Für den oben beschriebenen Zweck hätte ein Einzeiler gereicht:

    Es gibt keinen Grund, das von ULD und BSI als gefährlich angesehene Javascript anzuwenden mit dem nicht nachvollziehbaren Spaghetti-Code. Im Gegenteil: man zieht sich nur endlose Diskussionen mit Fundamentalisten wie dem ULD auf den Hals und zahlt vor Gericht tausende von Euros für Gutachten, wenn der ULD als Prozesshansel die Republik mit seinen Bußgeldbescheiden auf seine persönliche Linie prügeln will.

    Zu Facebook: nochmals: es macht keinen Sinn, den absurden Behauptungen des ULDs mit zweifelhafter und überflüssiger Technik zu entfliehen. Wir müssen den Fight gegen den ULD mit dem Gesetzgeber ausfechten. Nicht vierzig Millionen Internetanwender in D jeder für sich.

    Comment by Jan Dark — 24.08, 2011 @ 13:50

  33. Dann sprechen Sie doch bitte für sich. Ich kann die Kritik des ULD gut nachvollziehen und habe selber Vorkehrungen getroffen, um ungewollte Datenweitergabe zu verhindern – auch in diesem Blog.

    Da Sie offenbar resistent gegen Argumente sind, beende ich unsere Diskussion meinerseits an dieser Stelle und möchte mich beim Admin dieses Blogs entschuldigen, der meinen überlangen Kommentare lesen musste. ;o)

    Comment by Seb — 24.08, 2011 @ 14:05

  34. Sorry, hab vergessen, dass HTML im Text sofort interpretiert wird. Hier als die Essentials für den Einzeiler:

    href=“http://www.youtube.com/v/gt1Js4V3NrU&autoplay=1″

    img style=““ alt=““ src=“youtube.jpg“

    Da braucht man kein Javascript.

    Comment by Jan Dark — 24.08, 2011 @ 14:26

  35. [a href=“http://www.youtube.com/watch?v=gt1Js4V3NrU“][img src=”youtube.jpg” /][/a]
    wirkt sich unter Beachtung der übermittelten Daten genauso aus, wie das Beispiel mit dem Embedded-Video, was nur per Klick geladen wird.

    Für den Nutzer ist aber ein deutlicher Unterschied sichtbar. Er wird nämlich hier von der aktuellen Seite wegnavigieren bzw. ein neues Tab/Fenster mit dem Video öffnen, statt dass das Video direkt in der Seite abgespielt wird.

    Ich habe aber einen „Einzeiler“ für Sie, der ohne Javascript funktioniert: http://s-misch.de/embedd

    Comment by Sebastian — 25.08, 2011 @ 12:09

  36. Ihr Beispiel wirkt sich unter Beachtung der übermittelten Daten genauso aus, wie das Beispiel mit dem Embedded-Video, was nur per Klick geladen wird.

    Für den Nutzer ist aber ein deutlicher Unterschied sichtbar. Er wird nämlich hier von der aktuellen Seite wegnavigieren bzw. ein neues Tab/Fenster mit dem Video öffnen, statt dass das Video direkt in der Seite abgespielt wird.

    Ich habe aber einen „Einzeiler“ für Sie, der ohne Javascript funktioniert: http://s-misch.de/embedd

    Comment by Sebastian — 25.08, 2011 @ 12:11

  37. Hallo, es gibt nach meiner Meinung die Frage, bin ich durch das einbinden des Buttons mit verantwortlich, was Facebook mit den Daten macht. Also gilt – ich stelle nur den Dienst zur Verfügung, erhebe selbst keine Daten und trage damit keine Verantwortung oder es gilt – auf meiner Seite werden Daten erhoben und ich muss den User darüber informieren, da ich nicht weiss was Facebook alles treib, muss ich den Button ausbauen.

    Im Lebensmittelrecht gilt zweites, wenn auf einem Produkt, die notwendige Deklaration nicht drauf ist und die Firma die mir verweigert, darf ich das Produkt nicht verkaufen – auch wenn ich keinen direkten Einfluss auf das Etikett habe.

    Comment by Walter Hempe — 28.08, 2011 @ 13:02

  38. Ich würde mir wünschen, die Datenschützer würden bei den Datensammlern aus den Staatskanzleien, ihren Arbeitgebern also, auch mit soviel Ehrgeiz an die Sache herangehen. Das angezettelte Thema ist mehr als nur Verunsicherung der User. Es wäre interessant nur mal die Daten offenzulegen, die der Staat täglich ganz offiziell sammelt. Von der im Zusammenhang mit der Vorratsdatenspeicherung gezielt ermittelten Daten ganz zu schweigen.
    Mir fallen da einige Beispiele ein. Warum muss in bestimmten Autobahntunnels jedes Auto (Insaasen, Kennzeichen) gefilmt werden, obwohl kein Verstoß gegen die STVO vorliegt/Begangen wird? Und, und, und wo sind denn in diesen Fällen die Datenschützer?

    Comment by Böhmer-Wald — 31.08, 2011 @ 13:15

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.