Veröffentlicht am Kategorien Politik, Praxis - Verarbeitende Stellen, Recht, SoftwareTags , , , , , , , , , , , 14 Comments

Akismet-Plugin rechtswidrig?

Es wird die Frage aufgeworfen, ob das Akismet-Plugin rechtswidrig ist – ich tendiere zu einem „ja“, mit folgenden Stellungnahmen:

  1. Wenn das Akismet-Plugin die IP-Adresse der Kommentar-Verfasser an Dritte übermittelt, hängt es an der Frage, ob die IP ein personenbezogenes Datum ist. Auch wenn ich das bejahe: Es ist umstritten. Man kann also in diesem Punkt davor warnen, es ist aber bestenfalls eine Grauzone. Insgesamt ist dies analog zur bei mir geführten Google-Analytics-Diskussion zu sehen.
  2. Sofern, wie angegeben, der angegebene Nutzername übermittelt wird, muss man den User darauf hinweisen, damit er einen geeigneten Nutzernamen auswählt und ggfs. nicht den Klarnamen nutzt.
  3. Kritisch sehe ich, dass wohl die Mail-Adresse übermittelt wird: Die ist nämlich bei vielen Formularen Pflicht und nicht nur ein personenbezogenes Datum, sondern den Usern auch heilig. Hier muss ein Hinweis und eine vorherige Einwilligung erhoben werden.

Die Akismet-Datenbank kann ich problemlos als „Auskunftei“ einstufen und auch wenn Akismet einen anderen Charme hat: Wer will kann es als Spam-Schufa betrachten. Und wie würden wir wohl mit SHops umgehen, die ohne Hinweis und Einwilligung Daten an die Schufa übermitteln?

Man sollte das Thema mal in Ruhe angehen. Ich habe diesmal bewusst den Schwerpunkt bei Username und Mailadresse gelegt (und nich bei der IP). Während die IP-Frage bis heute umstritten ist, ist das mit Username und Mailadresse schon problematischer als z.B. Google Analytics.

Auch wenn die Fragen nicht gefallen, sollte man Angriffe denen gegenüber, die sie stellen, unterlassen. Deswegen ist aber nicht gleich Bloggen rechtlich bedenklich, sondern Akismet muss prüfen, ob man nicht einfach Server in der EU einsetzt (bisher USA), weil die USA datenschutzrechtlich ein Drittstaat iSd BDSG sind, was das Thema nochmal etwas heikler macht.

Veröffentlicht am Kategorien Politik, Praxis - Verarbeitende Stellen9 Comments

Datenschutz bei Jack Wolfskin? Lieber mal nach oben sehen!

Ich war heute in einem Jack-Wolfskin Store in Düren (im Stadtcenter) und durfte erfreut feststellen, dass die allen Ernstes über der Kasse eine Kamera aufgehängt haben. Dabei nicht so, dass nur Kassiererin und Kasse im Blickfeld sind, sondern die Kamera ist an der Decke montiert und blickt im 90Grad-Winkel nach unten auf den gesamten Tresen – auf dem dann z.B. das Gerät zur PIN Eingabe bei Kartenzahlung liegt.

Ich lasse die Frage aussen vor, ob es rechtmäßig ist (das ist in dem Fall eine grenzwertige fragen, über die man streiten kann – ich verneine die rechtmäßigkeit, das hilft aber nicht viel), möchte hier aber feststellen, dass es in jedem Fall abzulehnen ist: Man stelle sich vor, ein Fremder guckt in die eigene Geldbörse, um zu sehen wie viel Geld darin ist, oder welche Karten. Nichts anderes passiert hier – denn gleich ob man mit Karte zahlt oder Bar (also die PIN nicht eingibt): Die Geldbörse öffnet man ja ganz unbedarft.

Da ich bekanntlich nicht mit Karte zahle, habe ich (und das möchte ich hier positiv festhalten, auch wenn es das Minimum ist) festgestellt, dass die Angestellte einen Kunden der mit Karte zahlte, auf die Kamera hingewiesen hat und ihn gebeten hat, die Eingabe sorgfältig zu verdecken. Mit einer vernünftig angebrachten Kamera, die die Kunden nicht unter Generalverdacht stellt (von den Angestellten mal abgesehen) könnte man sich den Aufwand aber sparen.

Wenn ich das nächste Mal in Aachen bin werde ich nachsehen, ob das dort auch so installiert ist, bis dahin erstmal die generelle Warnung: Im Jack Wolfskin lieber mal nach oben sehen bevor man zur Kasse geht.

Veröffentlicht am Kategorien Kommentar, Praxis - Verarbeitende Stellen, Recht29 Comments

Konsequenz aus IPs als personenbezogenen Daten

Auch wenn ich es erfreulich finde, dass durch die YouTube/Viacom-Geschichte Bewegung in die Einordnung von IPs als personenbezogenes Datum kommt, muss ich nun eine Warnung aussprechen: Wer (so wie ich) dieser Meinung ist, muss die rechtlichen Probleme sehen, die danach kommen.

Wenn die IP nämlich ein personenbezogenes Datum ist, und somit entsprechend §13 TMG einer Einwilligung des Betroffenen zur Erhebung und Übermittlung bedarf, gibt es einige Probleme (die ich schon in meinem ersten Artikel zum Thema dargelegt habe):

  1. Javascripts von externen Servern zu laden, etwa um Werbung oder Analysetools einzubinden, wird nicht mehr möglich sein,
  2. das Einbinden externer Inhalte ist sogar generell nicht ohne weiteres möglich: Nichtmal Bilder darf man von externen Servern her ohne Einwilligung laden, da somit immer die IP des Nutzers an einen Dritten übermittelt wird – ob der das in seinen Logfiles speichert ist nebensächlich, da die Übermittlung in jedem Fall stattfindet!

Dass das nicht Sinn der Sache sein kann liegt auf der Hand, daher plädiere ich seit langem dafür, das Problem schon jetzt anzugehen. Einer meiner Vorschläge ist eine extensive Auslegung des §11 III TMG, der privilegierungen für „Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“ vorsieht – ich subsumiere hier problemlos nicht nur einen Mailserver, sondern auch einen Webserver, so dass das Einbinden externer Inhalte kein Problem wäre.

Man muss dies nicht unbedingt begrüßen, doch vergrössert sich inzwischen zunehmend der Zwang, sich dieser Frage zu stellen. Solche Ansätze vermisse ich zur Zeit ganz.

Veröffentlicht am Kategorien Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , 2 Comments

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG)

Die Regel ist einfach: Entweder eine gesetzliche Norm erlaubt ausdrücklich die Verarbeitung personenbezogener Daten oder man braucht eine Einwilligung. Und wie die Einwilligung auszusehen hat, sagt §4a BDSG. Ein paar warme Worte dazu.

Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG) weiterlesen

Veröffentlicht am Kategorien Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , , 2 Comments

Logfiles in der Praxis

Jedes Webhosting Paket bietet heute Logfiles an – aber viele Webmaster und vor allem Nutzer sind sich nicht im Klaren, was diese „Logfiles“ an Daten eigentlich beherbergen und was man damit tun kann. Ich habe hier zwei ältere Artikel von mir herausgesucht und eingestellt, mit denen ich (vor einigen Jahren) Webmastern beschrieben habe, die man Logfiles analysiert. An dieser Stelle sollen diese Inhalte dazu dienen, jedem Klar zu machen, was dies für ein Werkzeug ist, wie man es nutzt und wie man es nutzen kann.

Logfiles in der Praxis weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , 5 Comments

IPs anonymisieren in der Praxis

Icon - Server und IDZunehmend setzt sich die Ansicht durch, dass IPs als personenbezogenes Datum zu sehen sind – dazu früher hier. Die ältere Ansicht, eine IP sei ein „relativ personenbezogenes Datum“ ist schon lange nicht mehr h.M., absehbar, dass in naher Zukunft die ohnehin schon überwiegend vertretene Meinung der anderen Seite bald beherrschend ist.

Damit ergeben sich für Webmaster ganz praktische Probleme: Wie speichert man denn keine IPs bzw. wie anonymisiert man diese?

Update: Aus aktuellem Anlaß habe ich den Artikel nochmals „nach oben“ geholt.

IPs anonymisieren in der Praxis weiterlesen

Veröffentlicht am Kategorien Kommentar, Praxis - Verarbeitende StellenTags , , , , , , , , , 7 Comments

§13 I TMG – eine kleine Erinnerung

Bei der Lektüre eines Eintrags zum Thema Google Analytics und Datenschutzerklärung fiel mir auf, dass scheinbar anscheinend der §13 I TMG immer noch nicht bei allen im Bewusstsein verankert ist. Daher der Hinweis auf den Gesetzestext:

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten […]

Betonung auf „zu Beginn“. Wer also (wie ich) der Meinung ist, dass die IP des Nutzers ein personenbezogenes Datum ist und diese an Dritte (wie GA) übermittelt, der muss den User zu Beginn um eine EInwilligung fragen, das heisst bevor die IP überhaupt übermittelt wird. EInfach irgendwo darauf hinweisen ist zwar nett, aber bei weitem keine Einwilligung und vor allem nicht „zu Beginn“.

Zu Analytics & Co. habe ich recht viel geschrieben und bereits mehrfach auf Probleme hingewiesen, hier nochmal die meist gelesenen Artikel:

Weitere Hinweise: Als ich vor einiger Zeit anfing das Thema zu beleuchten, gab es vor allem Kritik, weil kaum einer bereit war, die IP eines Users als personenbezogenes Datum anzusehen. Inzwischen wird zunehmend deutlich, dass die Rechtsprechung meiner damaligen Ansicht weitestgehend folgt, auch die Datenschützer auf EU-Ebene haben den alten Kurs aufgegeben und die IP zum personenbezogenen Datum erklärt.

Ebenfalls mahne ich dringend an, beim Thema Datenschutz nicht nur das BDSG, sondern gerade die Sondervorschriften vor Augen zu halten. So etwa in den SGBen oder eben auch im besonders relevanten TMG, was gerne mal übersehen wird und (anders als das BDSG) keine Freistellungsklausel für Private Zwecke beinhaltet.

Veröffentlicht am Kategorien Kommentar, News, Praxis - Verarbeitende StellenTags 2 Comments

Vorsicht mit vermeintlichen Fantasie-Domains

Ein schöner Artikel auf heise.de erinnert daran, nicht irgendwelche (vermeintlich nicht existierende) Domains als Mail-Adressen zu nutzen:

Bekanntlich gibt es einen Planeten, auf dem alle verlorenen Kugelschreiber sich einfinden, um dort geruhsam ihren Lebensabend zu verbringen. Weniger bekannt, aber ein ernsthaftes Datenschutzproblem für so manch namhaftes Unternehmen ist die Domain donotreply.com. Ihr Besitzer Chet F. erhält täglich Hunderttausende von Mails – doch kaum welche davon sind für ihn bestimmt.

Der Grund ist einfach: Immer wieder kommen Administratoren auf die Idee, irgendwas@donotreply.com als Absenderadresse für automatisch versandte Mails einzutragen, auf die keine Antwort gewünscht wird. Dumm nur, dass die Domain existiert, und zwar schon seit dem Jahr 2000. Und weil viele Menschen eben einfach auf den Reply-Knopf drücken, ohne darauf zu achten, an welche Adresse sie antworten, bekommt Chet F. ihre Mail, viel Mail.

Wenn Sie eine Fantasie-Domain unbedingt nutzen möchten, setzen Sie auf eine Top-Level-Domain die nicht existiert – z.B. „.tld“, etwa indem Sie irgendwas@donotreply.tld nutzen. Auch dies birgt das Risiko, dass irgendwann einmal die TLD existieren wird, ist aber immer noch besser, als das faktische Risiko bereits vorhandener Domains. Generell bleibt am Ende nur ein Rat: Immer nur Domains nutzen, die einem selbst gehören, selbst für nicht vorhandene Adressen.