Schlagwort-Archiv: Datenschutz

Diese Webseite möchte Cookies bei ihnen speichern. Ja / Nein / Vielleicht?

Seit heute ist nun also eine neue EU-Richtlinie in Kraft getreten, nach der man angeblich den Webseitenbenutzer um Erlaubnis fragen muss, bevor man bei ihm Cookies speichert. Ganz tolle Geschichte! Erstens ist es nicht die Aufgabe von Webseiten sich um so etwas kümmern zu müssen, denn jeder Browser hat eine Einstellungsmöglichkeit, ob Cookies für die Seite angenommen werden sollen oder nicht und zweitens absoluter Schmarrn. Es gibt so viel Drittanbieter Zeugs auf so gut wie jeder Webseite und alle müssten vorher nachfragen. Das gibt ein lustiges Wegklicken von Popups ;-)

Aber was steht denn überhaupt in dem Text der Richtlinie:

(66) Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Hervorhebungen durch mich. Also man soll als Webseite darauf hinweisen, dass man Cookies verwendet. Ok … done (siehe Kontaktseite). Dann ganz oft “sollte”, also vollkommen egal was da steht? Und “wenn es technisch durchführbar ist” … nunja, da steht ja schon, dass es eine Browsereinstellung dafür gibt. Was soll also der Unfug auf Webseiten wie Golem, dass man als Webseitenbetreiber nun irgendwie beim Nutzer um Erlaubnis fragen müsste. Das technisch schwachsinnig und wie sagt man so schön “doppelt gemoppelt”, aber in diesem Fall hält es dadurch nicht besser.

Ich ignoriere diese Richtlinie einfach mal bis mir wer sagt wie man das bitte wirklich umsetzen sollte und mir zeigen kann wie das dann noch benutzerfreundlich (siehe Text oben) sein kann. So long …

Für die Internetausdrucker unter euch

Ich weiß, euch gibt es nicht unter meinen Lesern, aber bestimmt gibt es einige, die auf diese Google-Streetview Panikmache der letzten Wochen reingefallen sind. Man kennt das ja, es ist Sommer und so etwas braucht natürlich ein Sommerlochthema. Also alle gegen Google ;-)

Es scheint auf einmal furchtbar schlimm, dass da jemand den öffentlichen Raum fotographiert und somit privatisiert wodurch es dann scheinbar irgendwie gegen Datenschutz und so sein könnte. Klar, jede Form von Daten massenhaft gesammelt und zentral ausgewertet, könnte einem unheimlich werden. Aber so ist das nun mal mit voranschreitender Technik … bin ja gespannt was nächstes Jahr zur Volkszählung alles rausgehauen wird. Hier werden ja konkrete Daten abgefragt und ausgewertet … persönliches, nicht Hausfassaden.

Apropos. SWIFT, ELENA, ACTA? Noch nie was von gehört, oder (schon vergessen, der Artikel wendet sich an Internetausdrucker)?

ACTA ist noch in der Planung, wurde aber größtenteils geheim ausgetüftelt. Hauptsächlich geht es um Produktpiraterie und Urheberrechtsverletzungen. Provider sollen den Datenvekehr ihrer Kunden überwachen und nach drei Verstößen z.B. den Zugang sperren, etc. Das ganze eben international, d.h. die Amerikaner können mal ebenso deutsche Internetzugänge sperren oder jemandem zumindest viel Arbeit bescheren. Alles noch nicht in trockenen Tüchern, aber höchst fragwürdig!

ELENA ist bekanntlich die zentrale Speicherung von Arbeitnehmerdaten und deren Auswertung. Da hat auch keiner was dagegen?

Und das SWIFT-Abkommen … nunja, es regelt den Zugriff der Amerikaner auf deine Kontodaten, wenn sie glauben du wärest irgendwie terrorverdächtig … jaja, sicher.

All das hat offensichtlich niemanden so richtig gestört, aber Streetview ist der Teufel. Weil ja Internet und so ;-) … zunächst einmal hat uns das Internet endlich das beschert was vorher nicht wirklich möglich war: freie Meinungsäußerung. Wem konnte man die vorher schon mitteilen? Man sollte also nicht alles verteufeln was dieses böse Internet hervorbringt. Nicht das Internet überwacht euch, sondern viele komische Leute mit Kameras an jeder Ecke und die Marlboro-Werbedame der ihr eure Adresse gegeben habt, weil sie euch dafür was geschenkt hat und einmal nett gezwinkert hat.

Wie dem auch sei, die c’t hat Recht (ich beziehe mich hiermit auf das Editorial der c’t 19/10, der Link wird wohl nicht immer auf den gleichen Text zeigen). Und ich habe mir hiermit ein Vollzitat erspart. Druckt es euch trotzdem aus, also das Original ;-)

P.S.: Versucht mal eine Schufa Abfrage für irgendjemand anders in Auftrag zu geben. Erschreckend einfach …

Google sammelt(e) also doch Wifi Daten

Das wollte ich eigentlich nicht lesen, aber so wie es scheint haben die Streetview Autos von Google wohl doch nicht nur MAC-Adressen und SSID (der Name des Wifi Netzes) beim Aufnehmen von Fotos der Häuser aufgezeichnet. Waren gefundene Netze offen, wurden noch mehr Daten aufgezeichnet wie Google nun festgestellt und gebloggt hat:

In that blog post [Google hatte sich vorher schon mal dazu geäußert was die Autos aufzeichnen], and in a technical note sent to data protection authorities the same day, we said that while Google did collect publicly broadcast SSID information (the WiFi network name) and MAC addresses (the unique number given to a device like a WiFi router) using Street View cars, we did not collect payload data (information sent over the network). But it’s now clear that we have been mistakenly collecting samples of payload data from open (i.e. non-password-protected) WiFi networks, even though we never used that data in any Google products.

Böööööööööse. Weiterlesen

Google Analytics illegal?

Huch, die Zeit Online schreibt etwas über die Rechtmäßigkeit von Google Analytics – einem Tool um die Besucherströme einer Webseite auszuwerten – Titel: Datenschützer wollen Einsatz von Analytics verhindern. Um was geht es hier? Nun, es geht um die alte Streitfrage, ob IP-Adressen nun personenbezogene Daten sind und man diese nur mit Einwilligung des Nutzers erheben darf. Nach Paragraf 16 Absatz 3 (Paragraf 13) des Telemediengesetzes können deswegen Bußgelder von bis zu 50000 verhängt werden. Man ist irritiert.

Na klar! Man muss sich hier im Klaren sein wie weit das reichen würde wenn in Deutschland tatsächlich das Speichern von IP-Adressen nicht mehr rechtmäßig sein sollte bzw. – wie es hier der Fall ist – wenn IP-Adressen außerhalb der EU gespeichert werden. Beide Probleme lassen sich für Analysezwecke grundsätzlich mit einer Hashfunktion wie MD5 lösen. Jede IP wird einmal gehasht und so müssten nirgends die richtigen IPs gespeichert werden. Aber: so funktioniert der Rest des Internets nichts. Computer müssen IP-Adressen kennen um miteinander kommunizieren zu können und wenn eine Webseite nun mal nicht in der EU gehostet wird, dann landet diese IP-Adresse eben wo anders. Auch eingebundene Widgets wie Zähler, Chatboxen oder Google Maps erhalten automatisch vom Browser die IP-Adresse. Nicht anders funktioniert Google Analytics … da ist keine Magie dahinter. Worüber hier also wieder einmal gesprochen wird ist absoluter Unfug! IP-Adressen sind an vielen Stellen unverzichtbar und es so hinzubekommen, dass international jedes Stück Software statt der IP-Adresse nur noch einen Hashwert speichert dürfte mittelfristig nicht so einfach und für die Fehlerfindung bei manchen Logs sogar eher hinderlich sein.

Meine persönliche Meinung? IP-Adressen sind keine Daten, die man eindeutig einer Person zuordnen kann. In vielen Fällen mag das mittels Provider gelingen, aber diese Möglichkeit hat kaum ein Webseitenbetreiber. Wenn das Hinterlassen von dieser Art Spur für Datenschützer ein Problem ist, dann sollten sie unbedingt die Nutzung von Anonymizerdiensten wie Tor empfehlen. Aber halt, das würde die Strafverfolgung erschweren … ja was ist eigentlich damit? Provider werden doch dank Vorratsdatenspeicherung gezwungen IP-Adressen von Kunden bis zum Sankt Nimmerleins Tag aufzuheben … die wären dann ja wertlos, wenn keiner mehr selbige auf einem Webserver speichern darf … oder?

P.S.: Man schaue sich mal an was bei einer E-Mail für IP-Adressen dabei stehen. Die vom Sender und von allen Zwischenstationen. Wird es dann auch illegal eine E-Mail in ein fremdes Land zu schicken?

Facebook und mein personalisiertes Erlebnis

Im englischsprachigen Teil des Internets gibt es gerade einen kleinen Aufreger, weil Facebook die Terms of Service dahingehend abgeändert hat, dass sie die eingestellten und gesammelten Daten auch nach einer Accountdeaktivierung weiternutzen können. Vorher wurde wohl alles gelöscht. Ein scheinbar tragische Änderung, aber eigentlich auch wieder nicht. Denn wer bei Facebook mitmacht, gibt Facebook ja schon eine nicht mehr zurückziehbare Lizenz (Punkt Licenses) zum Verwerten von all dem Zeug, das man dort einstellt …

Bei StudiVZ kann ich keine solche Lizenzvereinbahrung finden.

Aber zurück zu dem Grund warum ich eigentlich gerade etwas über Facebook bloggen wollte. Folgendes findet man unter “Datenschutz” ;-)

Facebook kann ferner Informationen über dich aus anderen Quellen, wie Zeitungen, Blogs, Instant Messaging-Diensten und der Verwendung der Facebook-Dienste durch andere Nutzer (z.B. Foto-Markierungen), sammeln, um dir nützlichere Informationen und ein personalisierteres Erlebnis bieten zu können.

Herrlich … bei was für Sachen man so alles mitmacht. Die machen sich die Mühe etwas über mich aus Zeitungen herauszufinden?

Neues Gesetz erlaubt Logdateien mit URLs? Hui!

Ich glaube ich verstehe da etwas falsch. Vor einiger Zeit habe ich mal gelesen, dass Logdateien (z.B. die vom Webserver oder die vom Mailserver) nicht mehr erlaubt seien, weil das ja grundsätzlich böse ist, wenn jemand aufzeichnet was so mit seinen Diensten passiert.

Niemand hat es interessiert und auch weiterhin wird fleißig mitgeloggt. Zu Recht, denn wie soll man sonst wissen was gerade los ist und wo es hakt?

Und dann lese ich auf Golem gerade schon wieder von irgendwelchen Datenschützern, die glauben irgendein Satz irgendeines Gesetzes öffne Dienstanbietern Tür und Tor beim Protokollieren von Nutzeraktionen.

Ich bitte euch – ja, ihr Datenschützer seid gemeint! Ist ja nett gemeint, aber so etwas ist doch absolut notwendig! Man kann in einem modernen Auto auch keinen Motor betreiben ohne ständig Messwerte abzugreifen. Wie soll das bei einer Webanwendung gehen?

Oder stören sie sich nur an der IP-Adresse in den Datensätzen. In dem Gesetz scheint laut Golem-Zitat davon allerdings nicht die Rede zu sein …

Der neue Vorstoß des Bundesinnenministers Wolfgang Schäuble (CDU) findet sich im Entwurf des “Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes”. In Artikel 3 heißt es da: “Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden.”

Ach ne, die URLs … darum geht es:

Nach Lesart der Datenschützer geht dies “gewaltig über die bisherige Vorratsdatenspeicherung hinaus”. “Eine Aufzeichnung der URLs ist im Gesetz zur Vorratsdatenspeicherung nicht vorgesehen”, erklärt Patrick Breyer Golem.de.

Und jetzt sage mir mal einer mit Hirn im Kopf was diese Datenschützer eigentlich bezwecken wollen?

Nochmal Datenschutz

In diesem komischen Gesetz ist nun auch geregelt wie mit Daten umzugehen ist. Wahrscheinlich war das schon vorher geregelt, aber erst jetzt fällt mir das so richtig auf.

Ich zitiere einfach mal heise.de:

Gesammelte persönliche Informationen dürfen nur für Abrechnungszwecke zusammengeführt werden. Zu Werbezwecken können Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden, wenn der Nutzer dem nicht widerspricht.

Das bedeutet doch eigentlich, dass alle Statistikdienste ein Problem haben, weil hier wohl personenbezogen Daten erfasst und zusammengeführt werden. Heise schreibt in dem Artikel auch noch, dass die IP personenbezogen sei. Ich hoffe jemand geht mal vor Gericht und widerlegt das. Dann würden alle hier bei mir erfassten Daten schon mal überhaupt nicht mehr personenbezogen sein und gut ist’s …

Weiter geht’s: in Paragraph 13 des Gesetzes steht etwas davon, dass man dem Nutzer diese Datenschutzerklärung vorhalten müsse und er das protokolliert bestätigen muss. Ha! Wie stellen die sich das bei Blogs, Foren und Gästebüchern ohne Registrierung vor? Wie schon gesagt, wenn IPs keine personenbezogenen Daten wären (was sie imho nicht sind), dann wäre das ja überhaupt kein Problem. Allein in den Kommentaren kann man etwas personenbezogenes (die Mailadresse) angeben und darüber kläre ich gerne beim schreiben eines Kommentares auf. Aber das Mitloggen von Besuchen kann man so doch wirklich nicht regeln *seufz*

Was für Daten werden momentan erfasst?

Aus aktuellem Anlass habe ich mal kurz überlegt was bei einem Besuch auf meinem Blog eigentlich alles an Daten erfasst werden.

  • Logdateien des Webservers:
    IP-Adresse, Datum/Uhrzeit, besuchte URL, HTTP-Code (Fehler, etc), Größe des Downloads, davor besuchte URL, Browser und Betriebssystem
  • Externe Statistiken (Blogscout, Getclicky, eigenes Skript):
    IP-Adresse, Datum/Uhrzeit, besuchte URL, davor besuchte URL, Browser und Betriebssystem, Klicks auf externe Links, Auflösung, Farbtiefe, war der Besucher schon mal da (per Cookie), Javascript aktiviert oder nicht

Das sind also Dinge die zu meiner Auswertung des Besucherstroms gehören. Die Zusatzinformationen der externen Tools werden mit Javascript ausgelesen, d.h. wenn das deaktiviert ist, enthalten die Statistiken nicht mehr Information als die Auswertung der Apachelogs. Die meisten haben es allerdings aktiviert und es bietet auch den unschlagbaren Vorteil alle Nicht-Menschen herauszufiltern, weil diese generell keine Skripte laden und ausführen. Insofern machen genauere Zahlen diese Auswertungen attraktiver.

  • Google Adsense / Textlinkads:
    Die Anzeigen von Google stammen von einem anderen Server und enthalten sicher auch eine Datenerfassung, da zumindest Klicks erfasst werden müssen um die Bezahlung zu regeln. Kann Google keine Anzeigen darstellen werden stattdessen Banner von Textlinkads eingeblendet.
  • Feedburner:
    Die Zahl der Abonnenten der verschiedenen Feeds.
  • Youtube-Videos & Co:
    Bilder oder Videos, die ich in Artikeln verwendet habe, aber nicht auf meinen Server kopiert habe.
  • Gravatare:
    In den Kommentaren erscheinen Bilder (Gravatare), die zu den jeweiligen Mailadressen gehören.

Hier wird also etwas von einem fremden Webserver nachgeladen. Dadurch werdet ihr auch in dessen Logdateien erfasst. An die Zahl der Abonnenten könnte man auch anders kommen, für Gravatare könnte man auch einen lokalen Cache verwenden und Bilder und Videos könnte man auf seinen eigenen Webserver kopieren, aber so wie es jetzt ist war und ist es eben bequemer.

  • Feedburner (again):
    Meine Feeds werden über Feedburner geleitet um überhaupt an die Anzahl der Abonnenten und Statistiken über selbige zu kommen. Hier wird man als Leser des Feeds also zusätzlich erfasst.
  • Externe Links:
    Beim Verlassen meiner Seite wird in der Regel die URL dieser Seite an diese externe Seite übergeben, d.h. sie wissen woher man kommt.
  • Cookies:
    Wordpress verwendet Cookies um die Daten im Kommentarformular für den nächsten Besuch zu speichern. Diese Daten werden auf euren Computern abgelegt, aber bei jedem Seitenaufruf abgefragt. Desweiteren verwendet die Umfrage in der Seitenleiste Cookies und möglicherweise (sehr wahrscheinlich) auch die externen Statistiktools.
  • Kommentare:
    Alle eingegebenen Daten werden in einer Datenbank gespeichert, so dass sie (bis auf die Mailadresse) später einem Besucher wieder angezeigt werden können.
  • Kontaktformular:
    Dort eingegebene Daten werden nicht gespeichert, sondern per Email an mich gesendet. In der Regel lösche ich diese Mails nicht sofort ;-)

Habe ich irgendwas vergessen? Ich denke dieses ganze externe Zeugs muss man wohl nicht angeben, da ich das auch nicht in den, im vorigen Artikel verlinkten, Erklärungen finden konnte (hier hat es einer gemacht). Bleibt also eigentlich nur das Log des Webservers, die Cookies und die Kommentarfunktion. Der Rest gehört eigentlich in die Datenschutzerklärung der externen Dienstanbieter, da streng genommen die es sind, die die Daten erfassen ;-)

Datenschutzerklärung auch auf Weblogs nötig?

Das ist nicht deren Ernst, oder? Seit kurzem gibt es wohl nicht nur eine Impressumspflicht, sondern auch noch die Pflicht eine Datenschutzerklärung dem Besucher zugänglich zu machen? Hallo???? Und möglicherweise Probleme mit Weitergabe von Daten an Nicht-EU-Staaten? Feedburner? Andere Statistikdienste?

Das ist ja wohl mal absoluter Humbug, wenn es wirklich notwendig sein sollte. Da es an diversen Stellen zu lesen ist, scheint das wahrscheinlich … btw: alle privaten Webseiten wären dazu verpflichtet. Toll nicht? Erst muss ich so ein Impressum überall hinklatschen, damit auch ja jeder Abmahner meine korrekte Adresse kennt und jetzt gibt es noch etwas bei dem man für den geringsten Fehler von gierigen Anwälten abgemahnt werden kann …

Robert Basic schreibt da schon richtig

ne, oder? Lasst den Scheiß, doch nicht auch noch.. jesus….

Das suckt! Ihr wisst doch, ich stalke euch regelrecht hinterher … was soll ich da in so eine Erklärung schreiben?

P.S.: Kann ich eigentlich auch einfach hinschreiben “Der Datenschutz ist auf meinem Blog nicht gewährleistet!“? Damit hätte ich meinen Schutz eurer Daten erklärt und alles wäre gut, oder?