Home of Stevie-O

Über GoogleWatchBlog.de, ein Blog mit News rund um Google, habe ich ein paar neue Dinge über Google, die Suchzukunft und den Datenschutz erfahren:

Weiterlesen »

Meinen Beitrag Google Analytics & Co. illegal?! möchte ich um die Tatsache erweitern, dass auch Wordpress (und auch andere Blogsoftware und Bloganbieter) rechtswidrig sind – zumindest wenn man die Kommentarfunktion aktiviert hat. Wenn ein Besucher einen Kommentar hinterlässt, wird dessen IP-Adresse ohne seine Zustimmung gespeichert. Personenbezogene Daten, wozu die IP-Adresse nach Ansicht vieler Anwälte zählt (Begründung), dürfen jedoch nur nach vorheriger expliziter Zustimmung des Besuchers gespeichert werden.

Ein Ausweg wäre meiner Meinung nach also, dass man einen gut sichtbaren Hinweis anzeigt, dass mit dem Absenden eines Kommentars die IP-Adresse über die Nutzungsdauer hinaus gespeichert wird. Eine andere Alternative bietet bei Wordpress das Plugin Delete Comment IP. In der ursprünglichen Version Delete Comment IP wird die IP-Adresse erst “gelöscht”, wenn der Beitrag älter als fünf Tage ist und dann ein neuer Kommentar abgegeben wird (da erst dann die Funktion zum Überschreiben der IP-Adresse aufgerufen wird). Deshalb ist es streng genommen nicht rechtskonform. Beim weiterentwickelten Plugin Delete Comment IP Immediately wurde die fünftägige Frist entfernt. Bei Kommentaren, die der Webmaster als Spam markiert, wird die IP-Adresse bei beiden nicht gelöscht.

Bei beiden Plugins wird übrigens nicht nur die IP-Adresse gelöscht, sondern auch die Emailadresse! In Blogs mit sehr vielen Kommentaren helfen diese Plugins somit, den benötigten Speicherplatz zu minimieren. Allerdings kann man dann auch nicht mehr die Emailbenachrichtigung bei neuen Kommentaren verwenden. Damit diese trotzdem funktioniert, muss man aus dem Quellcode des Delete Comment IP (Immediately) Plugins die Zeile comment_author_email = '', entfernen.

Wordpress-Plugins wie Wassup sind natürlich auch rechtswidrig, wenn sie die IP-Adresse ohne Genehmigung des Besuchers speichern.

Auf WirSpeichernNicht.de gibt es für andere Software wie phpBB, Joomla, Wiki, usw. weitere Anleitungen, um das Speichern von IPs zu verhindern.

Egal ob StudiVZ, Steuerhinterziehung oder Vorratsdatenspeicherung: die Kontrolle durch den Staat ist in aller Munde. Doch wenn der Staat uns überwacht, warum sollen wir nicht auch den Staat überwachen?

Genau das ist das Ziel des Projekts ÜBERWACH!. Du bindest einfach ein kleines Skript von ÜBERWACH! in den Header deiner Seite ein und kannst dann erfahren, welche Staatsorgane auf deinen Seiten waren. Die Funktionsweise ist recht einfach: wenn man auf eine Internetseite zugreift, wird dem Server die eigene IP-Adresse mitgeteilt, damit der Server weiß, an wen er die Internetseite schicken soll. Die Internetzugänge der Staatsorgane haben bestimmte IP-Adressen. Das eingebundene Skript prüft die IP-Adresse des Besuchers und sendet im Falle einer Übereinstimmung mit einer Staatsorgan-IP-Adresse die Informationen an ÜBERWACH!. Im ÜBERWACH!-Protokoll kann dann jeder nachvollziehen, was unsere Staatsdiener für Seiten besuchen (sofern die jeweiligen Seiten das Skript eben eingebunden haben).

Dabei findet man ganz interessante Dinge:

Wurde da jemand auf der Fahrt zur Arbeit geblitzt? Möglicherweise:

Auf diese Party würde ich lieber nicht gehen:

Hat da im Finanzministerium jemand Langeweile oder doch ernsthafte Probleme?

Die Frau dieses Manns im Bundestag scheint wohl langweilig zu werden:

Wer entdeckt noch bessere Sachen?

Dies ist keine Rechtsberatung, sondern lediglich das Ergebnis meiner Internetrecherchen!

Eigentlich ist es nichts Neues, denn das “neue” Telemediengesetz ist schon vor fast einem Jahr in Kraft getreten. Da ich natürlich an Informationen interessiert bin, wie Besucher auf meine Seite gekommen sind und was sie dort machen, habe ich mich nach Statistik-Lösungen für meinen Blog umgeschaut. Google führt einen dabei logischerweise direkt zu Google Analytics – es wäre ja fast schon undenkbar, wenn Google zu etwas keine Lösung anbieten würde. Doch die Nutzungsbedingungen haben mich etwas stutzig gemacht: Man soll auf seiner Seite eine Datenschutzhinweis einfügen, in dem der Besucher aufgeklärt wird, dass ein Cookie mit persönlichen Informationen gespeichert wird und diese Informationen an einen Server von Google in den USA übertragen werden:

[...] Google Analytics verwendet sog. Cookies [...]. Die durch den Cookie erzeugten Informationen über Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, [...] um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. [...]

Der letzte zitierte Satz ist zum einen schlechtes Deutsch und soll meiner Meinung nach zum Anderen die Thematik um Speicherung persönlicher Daten entschärfen. Die Daten sind dann nun einmal vorhanden und wenn man (theoretisch) auf die Daten zugreifen kann, dann kann man dem (praktisch) nicht widerstehen – und vermutlich wird das auch vorerst niemand mitbekommen, wenn Google die Daten intern verarbeitet. Wer also z.B. einen Google-Account (für Gmail, etc.) hat, selbst auch noch auf seiner Seite Google Adwords einsetzt und auf eine Seite geht, die Google Analytics einsetzt, liefert Google allerhand Daten und Möglichkeiten:

Hannelore Musterfrau aus Bad Oberuntersheim, Holzweg 6, war am 31.12.2007 um 23:59 Uhr auf brustvergroesserung.xx und hat sich 22 Minuten lang die Unterseite Beispielfotos angesehen.
Deshalb soll Frau Musterfrau bei ihrer nächsten Google-Suche zum Thema Körperästhetik verstärkt Links zu Brustchirurgen erhalten

Und wer das ganze einfach auf das Thema Downloads oder ähnliches überträgt, kann sich denken, wozu solche Daten auch eingesetzt werden könnten. Und um ein bisschen Aktualität in meinen Beitrag zu bringen: ähnliches ist Dank dem Gesetz zur Vorratsdatenspeicherung sicherlich auch möglich!

Nun aber zurück zum eigentlichen Thema: Was ist daran nun rechtswidrig?

Eine gute Erklärung findet sich auf der interessanten und informativen Seite eines Rechtsanwalts:

Persönliche Daten über einen Benutzer dürfen nur erfasst werden, wenn dieser der Erfassung selbst zustimmt (was z.B. bei der Registrierung auf Internetseiten und Foren der Fall wäre) oder wenn es das Gesetz zulässt.

Sieht man die IP-Adresse also als personenbezogene Information an, wäre der Webmaster verpflichtet, jeden Besucher vor Anzeige der Seite zu fragen, ob man persönliche Informationen speichern und weiternutzen darf. Abgesehen davon, dass das die Besucher nervt, würde es jeder ablehnen. Auch ohne diese Abfrage hat jeder die Möglichkeit, die Nutzung seiner Daten zu verhindern: nämlich indem er Skripte, speziell JavaScript, in seinem Browser deaktiviert. Leider muss man dann jedoch bei vielen Seiten auf gute skriptbasierten Services verzichten. Bei Werbeblockern hat man dagegen die Möglichkeit, spezielle Dienste oder Skripte wie die von Google Analytics zu blocken.

Alternative

Eine sehr verbreitete Alternative scheint Piwik (Nachfolger von phpMyVisites) zu sein. Man benötigt lediglich knapp 6 MB Webspace mit PHP und MySQL (siehe bei Freehoster. Die Installation besteht im Grunde lediglich im Hochladen der Dateien, aufrufen des Ordners und [Weiter]-Klicken in der Installationsanleitung. Vom Funktionsumfang her lehnt es sich an Google Analytics an. Zusätzlich gibt es aber noch eine Click Heatmap, die anzeigt, wo die Besucher am öftesten rumklicken.
Hier kann sich jeder eine Online-Demo von Piwik anschauen. Und wie man sehen kann, werden keine IP-Adressen angezeigt (Nachtrag: auch in Google Analytics werden die IP-Adressen nicht angezeigt, aber sie werden erfasst und dauerhaft gespeichert). Die anderen Besucherinformationen wie eingesetzter Browser gelten nicht als persönliche Information.
Natürlich muss trotzdem in irgendeiner Weise die IP-Adresse erfasst werden, um eine Reloadsperre zu ermöglichen. In der jetzigen phpMyVisites-Version 2.3 wird die IP-Adresse nicht gespeichert, sondern lediglich zur Auswertung des Herkunftslandes und des Providers genutzt. Die Reloadsperre wird über Cookies realisiert, die vom Benutzer natürlich akzeptiert werden müssen (Screenshot). Strenggenommen wäre auch die Speicherung der IP-Adresse zum Zwecke einer Reloadsperre verboten – und einfach alles, bei dem die IP-Adresse über die Zeit der Nutzung hinaus ohne Zustimmung gespeichert wird.

Doch ein weiterer Rechtsanwalt bringt uns wieder auf den Boden der Tatsachen zurück. Der Einsatz von IP-Adressen sollte also im Sinne des Benutzers liegen. Und wenn man als Webmaster Alternativen hat, sollten diese auch genutzt werden.

Links zu diesem Thema:

• Abmahnfalle Statistik-Tool: http://www.ferner-alsdorf.de/article669.html
• http://jens.familie-ferner.de/archives/228-Speichern-von-IP-Adressen-in-Logfiles-Unsinn.html
• http://de.wikipedia.org/wiki/Google_Analytics
• Google und der Datenschutz: http://www.heise.de/ct/06/10/168
• Mein Beitrag Wordpress & Co. illegal !?

Anonym Emails schreiben und Wegwerf-Email-Adressen

Es gibt zum einen die Möglichkeit, über sogenannte Remailer Emails zu verschicken. Ein Beispiel dafür ist AnonEmail. Man sollte vor deren Benutzung jedoch immer die Hinweise zum Datenschutz lesen, denn der Dienst EasyMail von MailAnonym gibt zum Beispiel an, die eingegebenen Email-Adressen zu speichern. Viele Emaildienste (vor allem Web.de) ordnen von Remailern empfangene Emails als Spam ein oder stellen sie erst gar nicht zu.

Viel einfacher und sicherer ist es deshalb, sogenannte Wegwerf-Email-Adressen zu verwenden. Bei den kostenlosen Diensten wie Temporarily.de oder AntiSpam.de kann man beliebig viele Emailadressen erhalten, die jedoch nur bis zu einem beliebigen Zeitpunkt gültig sind. Die Emails werden an deine echte, dort angegebene Email-Adresse weitergeleitet. Bei Freemailern wie Web.de oder GMX kannst du in den Einstellungen zusätzliche Absender-Email-Adressen hinzufügen, so dass deine echte Emailadresse beim Versenden verborgen bleibt.

Sehr nützlich sind diese Wegwerf-Email-Adressen für Registrierungen. Man gibt eine Wegwerf-Email-Adresse an, die ein paar Tage gültig ist, und bekommt danach nie wieder Erinnerungsmails oder ähnliches. Auch wenn man öffentlich im Forum eine Emailadresse angeben will (z.B. in Foren, bei eBay, etc.), ist das ganz nützlich, denn ansonsten erhält man nach einiger Zeit recht viel Spam.

Ergänzung zum Thema Wegwerf-Emails und anonym Emails schreiben: siehe Kommentare.

Anonym im Internet surfen

Wenn man in Foren oder Blogs etwas schreibt, wird immer die IP-Adresse auf dem Server gespeichert. Will man jedoch anonym bleiben, kann man auf Anonymizer zurückgreifen. Das Prinzip dabei ist, dass man nicht direkt mit dem Zielserver in Kontakt tritt, sondern über einen Zwischenserver (sog. Proxy). Je mehr verschiedene Proxys zwischen dir und dem Zielserver liegen, desto schwieriger ist die Rückverfolgung vom Zielserver aus. Ganz einfach geht es mit “Proxy-Seiten”: eine ganze Liste von Online-Proxys gibt es bei Proxy.org, StayInvisible.com, etc. Auf den ersten Blick gefiel mir die deutsche, schnelle und fast werbefreie Seite Webproxy.ch. Weitere Seiten, die auch mit MyMiniCity schnell funktionieren, sind Proxify.com und FLVShare.com. Wer auf der sichereren Seite sein will, kann Software wie JAP oder Tor nutzen, wodurch man jedoch nur noch Verbindungsgeschwindigkeiten wie zu ISDN-Zeiten erreicht.

Weiterlesen »