Owl Content » Blog Archive » Datenschutzbeauftragte: Einbindungen in deutsche Websites weithin unzulässig

Datenschutzbeauftragte: Einbindungen in deutsche Websites weithin unzulässig

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Schon 2009 stellten die Datenschutz-Aufsichtsbehörden klar, dass Anbieter von Internetportalen und -diensten die IP-Adresse ihrer Nutzer nicht unverkürzt speichern dürfen. In einer Entschließung vom 28./29.09.2011 zu sozialen Netzwerken machen die Datenschutzbeauftragten nun deutlich, dass Anbieter auch Dritten eine unverkürzte Speicherung von IP-Adressen nicht ermöglichen dürfen, indem sie deren Code in das eigene Portal einbinden:

Die aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise ist unzulässig, wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den „Gefällt-mir“-Knopf eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind. […] Die Datenschutzbeauftragten des Bundes und der Länder fordern daher alle öffentlichen Stellen auf, von der Nutzung von Social-Plugins abzusehen, die den geltenden Standards nicht genügen.

Obwohl die Datenschutzkonferenz nur für öffentliche Stellen zuständig ist, gilt für Privatpersonen und Unternehmen nichts anderes. Besonders der schleswig-holsteinische Landesdatenschutzbeauftragte hat darauf aufmerksam gemacht, dass die Verantwortung für die Zulässigkeit von Einbindungen bei dem einbindenden Portalbetreiber liegt (sog. Auftragsdatenverarbeitung) und nicht bei Facebook und Co. Bei unzulässigen Einbindungen drohen deutschen Betreibern Geldbußen bis zu 50.000 Euro (§ 16 TMG).

Für diese Rechtslage gibt es sehr gute Gründe: Durch direkte Einbindungen ermöglichen es deutsche Anbieter Facebook, Twitter, Google und Co., jedem ihrer Nutzer beim Surfen über die Schulter schauen und personenbeziehbare Surfprotokolle z.B. in den USA anzulegen und unkontrollierbar weiterzuverwenden und weiterzuverkaufen, selbst wenn der Nutzer den externen Inhalt gar nicht nutzen möchte. Solange sich der Nutzer damit nicht einverstanden erklärt hat (z.B. durch Klick auf einen externen Link), ist eine solche personenbeziehbare Surfprotokollierung unzulässig. Übrigens sehen es 62% der deutschen Internetnutzer kritisch, dass ihr Verhalten im Internet (z.B. beim Surfen) erfasst wird.

Rechtslage

Das Telemediengesetz verpflichtet Anbieter von Internetportalen unter Bußgeldandrohung dazu, „durch technische und organisatorische Vorkehrungen sicherzustellen, dass […] die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht […] werden“ (§ 13 TMG). Dieses Verbot einer personenbeziehbaren Surfprotokollierung gilt nicht nur für den eigenen Server der Anbieter bzw. den Server des von ihnen genutzten Hosters.

Auch Code von Drittanbietern darf nur dann in die eigene Website eingebunden werden, wenn sichergestellt ist, dass diese Drittanbieter die IP-Adressen der Nutzer oder personenbeziehbare Cookies nicht unverkürzt protokollieren. Selbst bei deutschen Drittanbietern wie Sevenload ist dies oft nicht gewährleistet. Erst recht kann bei ausländischen Firmen nicht davon ausgegangen werden, dass diese deutsches Datenschutzrecht beachten.

Das Einbindungsverbot gilt nicht nur für die von den Datenschutzbeauftragten jetzt angesprochenen Social Plugins etwa von Twitter und Facebook. Unzulässig ist auch die Einbindung externer Bilder (z.B. von Flickr) und Videos (z.B. von Youtube) von Servern, die unzulässig speichern. Bisher ist mir leider noch keine Foto- oder Videoplattform bekannt, die eine anonymisierte Einbindung ermöglichte. Übrigens: Der auf daten-speicherung.de eingebundene Server vorratsdatenspeicherung.de speichert Ihre IP-Adresse nicht.

Lösungsmöglichkeiten für Anbieter

Betreibern von Internetplattformen stehen verschiedene Möglichkeiten zur Ersetzung rechtswidriger Einbindungen zur Verfügung:

Verschieben: Externe Inhalte können auf den eigenen Server verschoben werden. Bei Bildern ist dies leicht möglich. Auch Videos kann man auf dem eigenen Server hosten, indem man einen kostenlosen Flash Video Player installiert (Auswahl hier). Wirspeichernnicht.de verlinkt zudem auf einige Möglichkeiten, wie man die Buttons von Facebook, Twitter und Google+ über den eigenen Server einbinden kann.
Anonymisierung: Ein auf dem eigenen Server installiertes Proxyskript oder ein externer Anonymisierungsdienst wie Anonymouse kann eine anonymisierte Einbindung externer Inhalte ermöglichen.
Links: Einbindungen können durch externe Links ersetzt werden. Jeder Nutzer kann dann selbst entscheiden, ob er dem Anbieter vertraut oder nicht. Bei Videos kann z.B. ein Vorschaubild auf den eigenen Server gelegt und mit dem Videohoster verlinkt werden.

Sicherlich erfordern diese Lösungsmöglichkeiten eine Umgewöhnung. Aber nur indem Deutschland die Einbindung von Anbietern verbietet, die jeden unserer Klicks personenbeziehbar aufzeichnen, können diese dazu gezwungen werden, diese Praxis abzustellen. Schon gelungen ist dies beispielsweise bei Google Analytics, welches dazu gezwungen werden konnte, eine Möglichkeit zur datenschutzkonformen Einbindung ohne IP-Logging anzubieten.

Marktlücke Einbindungen

Bis die Branchengrößen einlenken, werden findige Programmierer und Anbieter gebraucht, die die Marktlücke für legale Einbindungen in Deutschland schließen:

So gibt es meines Wissens noch keinen Videohoster, der auf das Speichern von IP-Adressen verzichtete. Nur eine speicherfreie Videosuche wird schon angeboten (von Ixquick und Startpage).
Die für Social Plugins entwickelte Lösung, externe Inhalte erst nach einem Klick zu laden, muss auch für die Einbettung von Videos (z.B. von Youtube) entwickelt werden.
Für technisch unbedarfte Anbieter und solche ohne Serverzugriff sollte auch eine installationsfreie Lösung zur Klick-Einbindung externer Inhalte angeboten werden. Man könnte dazu einen Dienst bereit stellen, der den Einbindungscode z.B. von Youtube in einen Einbindungscode umwandelt, welcher zunächst ausschließlich Inhalte lädt, die auf einem IP-speicherfreien deutschen Server liegen. Erst nach einem Klick werden dann die externen Inhalte geladen.

Weitere Informationen für Diensteanbieter

Schutzmöglichkeiten für Nutzer

Als Nutzer kann man Browser-Plugins wie RequestPolicy, Disconnect oder Adblock (in Verbindung mit einer Privacy-Blocklist) nutzen, um zu verhindern, dass Facebook und Co. beim Surfen über die Schulter schauen.

von Daten-Speicherung.de - minimum data, maximum privacy » Metaowl-Watchblog, gepostet am Samstag, 1. Oktober 2011 um 12:46

Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:

Speicherung von IP-Adressen ist unzulässig – auch auf Websites Speicherung von IP-Adressen ist unzulässig – auch auf Websites 6. November 2006 um 21.47 Uhr · Abgelegt unter Datenschutz im
Gericht: Protokollierung des Briefverkehrs unzulässig Gerichtsurteil: "Postdienstleister dürfen den Briefverkehr einschließlich der Zustellung nur auf besonderes Verlangen und mit Einwilligung des Absenders dokumentieren."
Telemediengesetz tritt in Kraft ? Vorratsspeicherung von Nutzerdaten bleibt unzulässig Heute ist das Telemediengesetz im Bundesgesetzblatt veröffentlicht worden. In Kraft tritt es morgen – am 1. März 2007 – gemeinsam
Heimliche Online-Durchsuchungen sind unzulässig Heimliche Online-Durchsuchungen sind unzulässig - Dies ergebe sich zum einen "aus mehreren Vorschriften des Durchsuchungsrechts zu Gunsten des Beschuldigten" (dazu
Tor zu Tor und I2P Eine interessante Möglichkeit, die beiden Anonymisierungsplattformen Tor und I2P zusammen mit einem Proxy, den man nach