IITR Datenschutz Blog

Plädoyer für eine vernünftige Übermittlung von Daten an Dritte

04.06.2008

Ich kritisiere seit jeher die unbekümmerte Übermittlung von personenbezogenen Daten an Dritte, die heute im Internet vollkommen üblich ist: Sei es im Rahmen von externen Analyse-Tools oder Werbung. Normalerweise wird entweder ein javascript eines externen Anbieters in die eigene Webseite eingebaut oder auch einfach nur eine Grafikdatei, die von einem externen Server geladen wird. Darüber werden dann die Zugriffe des Nutzers direkt beim externen Anbieter erfasst, u.a. mit Referer und IP. Angeblich geht es auch nicht anders, dies soll das einfachste und somit beste Verfahren sein. Das ist falsch.

Gerade ich sehe mich, wegen meinem rigorosen Ablehnen dieser Form der Übermittlung immer wieder Angriffen ausgesetzt. Zumal es ja angeblich keine Alternativen gibt und man mir unterstellt, ich wöllte “Analytics & Co. ganz verbieten”. Das ist Unsinn. Und es ist nicht nur im Interesse der Nutzer und Webseitenbetreiber, sondern auch im Interesse der Dritten über meine Vorschläge nachzudenken.

Zunehmend werden AddOns wie “NoScript” und “AnonGoogle” im FireFox eingesetzt. Das Ergebnis ist, dass die bisherige Erfassung von Nutzern schlicht unbrauchbar wird, da zunehmend User nicht erfasst werden. Das ironische: Mein Datenschutzkonformer Vorschlag löst gleich auch dieses Problem.

Ich setze darauf, dass man mit den 90er Methoden der externen Verlinkung aufhört und endlich auf das (inzwischen auch ältere) SOAP-Modell nutzt. Hier ist es möglich, ein Skript zu erstellen, das auf dem Server des Anbieters läuft. Zu denken ist etwa an ein einfaches PHP-Skript, dass direkt beim Anbieter die Relevanten Daten des Nutzers ausliest, wie etwa den Referer, von mir aus auch (erstmal!) die IP. Die Daten werden dann vom Seitenanbieter direkt erhoben. Hier ist es auch möglich, die IP z.B. in einen Hash zu übersetzen, der Rückschlüsse nicht möglich lässt.

Diese Daten werden dann via SOAP (wer es nicht kennt: Vergleichbar einem RSS-Feed) an den externen Anbiter übermittelt. Dabei liegt es alleine beim Seitenanbieter, welche Daten er übermittelt. Durch das Verfahren wird auch nicht zwingenderweise (wie bisher) die IP des zugreifenden Clients übermittelt, sondern (wenn überhaupt) dann nur die IP des Servers des Seitenanbieters der den Dienst nutzt. Nur wenn der Anbieter dann (bewusst und gewollt) die IP des Users (die er ja selber ausgelesen hat) übermittelt geht die auch an den Dritten.

Das Ergebnis ist, dass die Seitenanbieter die volle Kontrolle haben und auch berechtigt in der Pflicht stehen. Der Nutzer weiss, dass ihm erstmal keine Inhalte von externen Datenkraken untergeschoben werden und kann sich bzgl. seiner Daten immer an den Seitenanbieter wenden. Nebenbei lässt sich dieses System nicht mit “NoScript” aushebeln, da der Service kein JS braucht und der Erheber auch der Anbieter selber ist. Übrigens ist ein weiterer Vorteil, dass man dieses System sehr gut mit der gesetzlichen Vorgabe der vorherigen Einwilligung (§13 I TMG) vereinbaren kann, da man einfach erst nach der Einwilligung die Übermittlung startet.

Ich hoffe, dass irgendwann diese Idee mehr Anklang findet und man sich von dem archaischen, wenn nicht gar primitiven, Einbinden externer Inhalte verabschiedet und auf moderne Technologien wie z.B. SOAP setzt. Auf jeden Fall soll dieser Artikel ein Hinweis für all diejenigen sein, die meinen, dass ein Datenschützer der etwas ablehnt, gleich die ganze Idee verbieten will. Gerade als ehemaliger Programmierer sehe ich aber meine Aufgabe darin, Alternativen aufzuzeigen und nicht eine vorhandene Technik (die schon wer weiß wie alt ist) zur einzigen möglichen zu erklären. In der heutigen Zeit ist diese Argumentation an sich schon unvertretbar.

Beitrag teilen:

7 Kommentare zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif