Albtraum "Datenschutz" - Schwammiges Hassthema für Webmaster

Albtraum "Datenschutz" - Schwammiges Hassthema für Webmaster

Summary

Warum die aktuelle Situation absolut untragbar ist für Leute die wirklich Ahnung von der Technik dahinter haben. Oh, hatte ich nicht erwähnt, dass ich des Deutschen mächtig bin?

Und dabei fing alles so harmlos an...

... damals, als ich noch zur Schule ging. Jeder baute Seiten zum Spaß, kostenlose Anbieter mit Werbung gabs zuhauf. Merkwürdigerweise keine tauglichen deutschen Anbieter, aber dafür tonnenweise aus Übersee. Impressumspflicht war sowieso allen egal, Copyright ebenso. Die Seiten sahen eh alle schrecklich aus, mit grell-bunten Farben auf Tapetenhintergrund. Die einzige Seite mit ordentlichem Design war wohl Google - nachdem die Metasuchmaschinen untergingen, war das nebenher auch so ziemlich DIE hochgepriesene Neuerung im Netz.

Erinnert Ihr euch noch an diese schrecklich unpassenden "Besucherzähler"? Vier Nullen Vorlauf, grottige Farben und idealerweise Animationen, dass man blind werden mochte, und selten mehr als ein-, zweihundert "Hits" - 90% von einem selber, aber trotzdem Grund genug darüber auf anderer Leute "Gästebuch" zu posen. Hachja, Nostalgie. Schön war die Zeit.

So, Exposition vorbei, jetzt kommt der Konflikt. Vorhang frei für Akt II: Da Ebil Sohshll Meedeeah! Und nein, ich lamentier jetzt nicht über "aber meine Kunden wollen das, mehmehmehmihmihmih"! Nein, ich habe tatsächlich einen anderen Ansatz der noch viel vernichtender ist: Hintergrundinformationen.

Besucherzähler heute: "Social Media Plugins" - Schmäh!

Worum gehts hier eigentlich? Naja, konkret geht es um das Problem mit diesen böhsen böhsen "Social Media Plugins" - und dem damit verbundenen Kollateralschaden. Seit Thilo Weichert vor Jahren das Problem zum ersten mal aufbrachte, mit speziellem Fokus auf dem Facebook Like-Button, hat sich - außer Drohgebärden - wenig getan. Man konnte hoffen. Aber grade gestern kam raus, dass sich Kollegen in anderen Bundesländern auch von sowas anstecken lassen - keine Plugins für Bayerns Behörden. Oh weih.

Wie zu erwarten war, wird wieder mit der "Weitergabe von IP-Adressen" argumentiert, "gegen die sich der Besucher einer Seite nicht wehren kann." Im Falle Bayerns finden wir die Richtlinien mitsamt "Begründungen" hier. Nehmen wir uns mal diese Seite exemplarisch vor.

Kurzzusammenfassung: Extremst gefährliches Halbwissen

Im folgenden werde ich direkt aus der gerade erwähnten Richtlinie "Social Plugins auf Webseiten bayerischer öffentlicher Stellen (einschließlich Stellen nach Art. 2 Abs. 2 BayDSG)", in der Version vom 24.4.2013 zitieren, und dann erklären warum das jeweils - auf Imitatbayrisch - "an rechter Schmarrn wär." Nehmen wir mal die Einleitung als solche hin - nicht gerade neutral, aber auch nicht super-falsch. Gleich im dritten Absatz wird es aber schon haarig:

Üblicherweise erfolgt die Einbindung von Social Plugins in eine Webseite über einen sog. iFrame. Dadurch wird dann etwa in die Webseite einer bayerischen Behörde eine Webseite einer anderen Stelle (direkt) integriert: Nämlich eine Webseite der Stelle, die hinter dem iFrame und damit hinter dem Social Plugin steht. Das führt wiederum dazu, dass mit dem bloßen Aufruf der Webseite der bayerischen Behörde quasi zugleich die über den iFrame in der Behördenseite integrierte Webseite aufgerufen wird, beim Like Button also eine Facebookseite.

Das ist schlichtweg falsch. Üblicherweise werden Social Plugins über eine Kombination aus JavaScript im Header und einem speziellen Marker später in der Seite eingebunden. Normal wäre das nur technischer Schnick-Schnack, aber in dem Fall ist das relevant, da JavaScript vom Client komplett unterbunden werden kann - mehr dazu später. Es ist zwar in der Tat bei einigen Social Media Seiten möglich ein IFRAME-Element für diesen Zweck zu verwenden und die Erklärung ist in diesem Zusammenhang nicht mal unbedingt falsch, aber da IFRAMEs zusammen mit FRAMESETs im Allgemeinen seit Jahren auf der Abschussliste bei ordentlichem Webdesign steht ist das kaum relevant. Wenn ich z.B. im Moment auf Facebooks Like Button Generator gehe und die Standardoptionen so lasse, wie sie sind, informiert mich die Seite, dass für die gewählten Optionen eine IFRAME-Variante nichtmal verfügbar ist. Bei Twitter kriege ich nicht einmal die Option für ein IFRAME, und das gleiche gilt bei Google+. Fängt ja gut an.

Mysterium "IP-Adresse" & co

Durch eine bloße direkte Einbindung [von Social Media Plugins] erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Wundersame Technik. Das ist so wie es dasteht mal mindestens fahrlässig unvollständig. Fangen wir mit dem an was ich bis jetzt immer am meisten kritisiert habe: die IP-Adresse. Die Adresse die, wie im Beispiel, facebook.com mitkriegt ist manchmal eine IP-Adresse des Seitenbesuchers. Im durchschnittlichen Fall surft ein Benutzer auf einem Rechner hinter einem Gerät, welches man in Deutschland gemeinhin einen "Router" nennt. Das ist ein Gerät, welches, stark vereinfacht, die Verbindung mit dem Internet herstellt und es anderen Rechnern ermöglicht "über ihn" "ins Internet" zu gelangen.

Warum ist das jetzt wichtig? Naja, technisch ist "die IP-Adresse des Seitenbesuchers" diejenige, die das Gerät des Benutzers hat - und der Vollständigkeit halber: ein Gerät kann i.A. beliebig viele IP-Adressen haben. Wenn im Heimnetz des Besuchers ein Router verwendet wird, wird dieser in praktisch allen Fällen eine sogenannte Network Address Translation durchführen. Heißt: alle Anfragen über den Router sehen für Außenstehende so aus, als kämen sie direkt vom Router. Im Standard-Heimbenutzerfall ist diese IP-Adresse in der Regel mit dem DSL-(o.Ä.)-Anschluß über den gesurft wird in einer Datenbank des Providers (Alice, Arcor, etc.) verknüpft. Surfe ich also z.B. mit meinem Laptop bei meinen Eltern, oder über das ungeschützte WLAN vom Nachbarn, so sieht im Beispiel facebook.com bestenfalls diese IP, nicht "meine". Surft meine Frau daheim so sieht facebook.com nur die Adresse "meines" Anschlusses und nichts was mit ihr zu tun hätte.

Warum jetzt nur "bestenfalls"? Naja, die IP die facebook.com sieht ist technisch gesehen diejenige, die letztendlich die Verbindung zum Zielserver durchführt. Das ist recht oft sogar unabsichtlich nicht einmal die des Anschlusses. Surfe ich z.B. über ein Mobiltelefon, so ist es bei Anbietern wie O2 absolut normal, dass dieser NAT-Schritt auf Providerseite ebenfalls durchgeführt wird - mein Mobiltelefon teilt sich dann eine IP Adresse mit weiß-Odin-wievielen anderen Benutzern. Das nennt sich dann "Carrier Grade NAT".

Surfe ich stattdessen bei Anbietern wie AOL (zumindest früher), kann es durchaus sein dass dieser alle Webseitenaufrufe durch einen sogenannten Proxy-Server leitet, welcher sich dann mit facebook.com verbindet. Die IP-Adresse ist dabei die des Proxy-Servers, nicht die des Anschlusses. facebook.com kriegt dann maximal mit: "ein AOL User hat eine Anfrage geschickt".

Das kann ich als Anwender übrigens auch absichtlich tun: Ich kann z.B. auf dem Firmenserver einen Proxy installieren und meinem Browser sagen, dass dieser für Verbindungen zu verwenden sei. Dann sieht facebook.com die IP-Adresse des Firmenservers - oder, naja, das was nach CGNAT, rumrouten und ggf. weiteren "heimlichen" Proxies halt davon über ist. Wenn ich einen solchen Server nicht zur Verfügung habe, so kann ich natürlich auch auf Projekte wie Tor zurückgreifen wodurch meine Anfragen weiß-Odin-wodurch geschleift werden und der Server am Ende der Kette maximal den Mittelmann kennt über den er die Anfrage gekriegt hat. Falls ich technisch nicht so versiert bin, gibt es da sogar ein Paket das das schon alles vorbereitet hat und das man direkt einsetzen kann. Soviel zu "zumindest die IP-Adresse des Seitenbesuchers".

"Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite"

OK das ist etwas arg unvollständig. Also erstmal, diese mysteriösen Browsereinstellungen sind auf "HTTP-Ebene" in etwa: Art und Version des Browsers ("Firefox 13.0 für Windows 8") und eine Liste mit bevorzugten Sprachen des Anwenders (oder die Sprache des Browsers, falls der User dies typischerweise nicht eingtragen hat), also in etwa "am liebsten lese ich meine Inhalte auf englisch, deutsch tuts zur not aber auch!"

Die "Tatsache des Aufrufs dieser [Seite]" spielt vermutlich auf den sogenannten "Referrer"-Kopfdatenpunkt an. Viele Browser senden diese inzwischen garnicht mehr oder nur geschnitten.

Wem diese Informationen zu persönlich sind, kann übrigens Programme wie Privoxy verwenden um die Übertragung dieser zu unterbinden. Es gibt allerdings zusätzlich noch die Möglichkeit Informationen über JavaScript auszulesen ud ggf. zu übertragen. Dazu mehr im nächsten Abschnitt...

Egal wie, die Kernaussage des Zitats ist wirklich mit sehr viel "vielleicht, wenn" verbunden. Es entsteht der Eindruck, dass der Autor dieser Richtlinien nur marginale Kenntnis über die technische Realisierung des Internets verfügt. Aber ich schweife ab...

Die Lüge vom wehrlosen Besucher

Bei einer dementsprechend eingebundenen Seite werden damit dieselben Informationen an Facebook übermittelt wie wenn die Facebookseite direkt vom Besucher der Behördenseite aufgerufen worden wäre. Diese Konsequenz kann der Besucher der Behördenseite jedoch nicht im Allgemeinen verhindern, regelmäßig wird ihm der entsprechende Datenfluss auch gar nicht bewusst sein, zumal er vor Aufruf der Behördenseite von der direkten Einbindung eines Social Plugins grundsätzlich nichts weiß.

Wenn es sich tatsächlich um IFRAMEs handeln würde, so wäre es tatsächlich schwieriger, diesen "Datenfluss" zu verhindern. Außer, naja, bei ordentlichen Browsern:

FRAMEs bei FirefoxIFRAMEs bei Opera

Allerdings handelt es sich nichtmal um IFRAMEs mit denen Social Media Plugins normalerweise eingebunden werden. Was zugegebenermaßen noch besser ist, weil stattdessen wie erwähnt hauptsächlich über JavaScript eingebunden wird - welches im Allgemeinen wirklich in allen Browsern deaktiviert werden kann!

JavaScript bei FirefoxJavaScript bei ChromeJavaScript bei Internet ExplorerJavaScript bei Opera

... usw für andere Browser. Mag etwas drastisch sein, funktioniert aber immer. Das Web ist übrigens auch ohne Skripte recht gut verwendbar, zumindest alles außer Social Media Seiten, falls jemand Zweifel hatte. Man muss aber nichtmal soweit gehen, man kann z.B. speziell für diese Verwendung entwickelte Browser Plugins verwenden, welche gleich meistens auch noch drauf getrimmt sind weiter unliebsame Inhalte zu filtern. Sowas nennt sich z.B. NoScript. Das blockt gleich Flash mit für den doppelten Spaß beim Browsen und ist auch wirklich vom schlimmsten DAU installierbar. Und dann kann man bei sinnvollen Browsern nebenher auch gleich von vornherein einstellen auf welchen Seiten JavaScript ausgeführt werden darf. Toll wenn man sowas weiß, ne?

Also, sonderlich hilflos ist der Benutzer jetzt wirklich nicht gerade. Man könnte eher sagen dem Benutzer steht ein monströses Arsenal zur Verfügung. Jetzt könnte man vielleicht noch argumentieren "der Benutzer weiß davon nichts." Warum also nicht Browserentwickler drängen beim ersten Start einen Dialog der Art "möchten Sie zu Ihrem Datenschutz JavaScript/Flash/Social Media Seiten sperren?" Quasi Bürger behandeln als wären sie mündig und sie die Entscheidung treffen lassen, statt irgendwelche Websitebetreiber dazu verdonnern? Nur son Gedanke...

Sind IP-Adressen "personenbezogen"?

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Klares nein!

Warum nicht? Naja, wie wir grade festgestellt haben, ist weder die IP-Adresse direkt mit dem Seitenbesucher verknüpft, noch ist es wahr, dass der Benutzer "keine Wahl gehabt hätte." Man sollte es einem mündigen Bürger durchaus zumuten können, dass dieser sich vorher über ihm wichtige Anwendungszwecke und Gefahren informiert bevor er eine neue Technologie einsetzt. Wir verklagen ja auch keine Hersteller von Kreissägen, wenn wir zu doof sind, uns damit nicht die Hand abzusägen!

Aber das ganze mal beiseite, was passiert wenn jemand tatsächlich "meine" IP-Adresse hat? Wie findet derjenige raus, dass hinter der Adresse "ich" bin? Na? Jaaaa? Keine Ahnung? Richtig! Für diesen Schritt ist es nämlich notwendig, dass der Informationssuchende zu dem Thema ein "OK" von einem Richter bekommt. Außer natürlich, der Provider verplaudert sich. Oder natürlich der Provider speichert diese Daten gar nicht, weil er z.B. zu klein ist. Dann bringt die Sache irgendwie nichts.

Praktischer Nutzen der IP-Adresse für nicht-Strafverfolger: keiner.

Profiling

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Im Übrigen ist das übrigens so, übrigens, zwar unvollständig, aber irgendwie sonst auch recht nutzlos für den Social Media-Anbieter. Also, mal abgesehen davon, dass wir wieder Cookies abschalten können - bei guten Browsern sogar gezielt nur für Inhalte von Drittanbietern:

Cookies bei FirefoxCookies bei Internet Explorer

... etc bei anderen Browsern. Haben wirklich alle die Option. Die Browser bieten normalerweise übrigens auch einen "Incognito-Modus" an, bei dem man ein Tab aufmacht, bei dem sich wirklich gar nichts gemerkt wird.

Und damit es nicht heißt, dass ich all zu unvollständig bin, warum redet bei dem ganzen Murks eigentlich nie jemand über ETag - die böseren großen Brüder von Cookies und ganz selten nur über die ähnlich heimtückischen Flash-Cookies? Sorry, aber wenn schon dann alles!

Der Kollateralschaden

Gut, egal, nehmen wir einfach mal die Social Media Plugin Misere hin wie sie ist. Nehmen wir für die Argumentation mal an, Social Media Plugins wären böse und wir hätten sie überall entfernt.

Jetzt nehmen wir mal an, Max Mustermann ist echt super im Stricken. Und er denkt sich "hey, ich bin echt gut im Stricken! Ich mache ein Blog, da kann ich allen zeigen, wie sie auch so gut stricken lernen können!" Gesagt getan, Max geht - nichts Böses ahnend - zu blogger.com und reserviert sich "Dem Max seine Supergeilen Strickrezepte" mit der Adresse "http://supergeilestrickrezepte.blogspot.com" (Hinweis: ja, mir wurde zugetragen dass es normalerweise Strickanleitungen sind ;)). Und er denkt sich jetzt "oh, Social Media Plugins sind böse, die mach ich bei meinem Blog nicht an!" Vorbildlich, richtig?

Schließlich werden keine IP-Adressen oder Cookies oder sonstwasböses mit Social Media Plugins an Facebook und Twitter weitergegeben. Was Max jetzt aber nicht wusste, ist, das blogger.com dummerweise Google gehört. Ist also egal ob das Google+ "+1"-Plugin angezeigt wird - Google kriegt die Daten trotzdem. Ups. Darf Max das jetzt? Eigentlich, wenn man das mit der Weitergabe der Daten streng nimmt, sollte Max das nicht dürfen. Er weiß es nur nicht. Klingt wie 'ne Steilvorlage für ne Abmahnwelle, nicht wahr?

Vielleicht darf Max jetzt aber auch nur Googles "+1" benutzen? Unfair für die anderen Betreiber? Wenn Max jetzt doch nicht Googles "+1" benutzen darf, warum nicht? Google hätte die Daten ja schließlich eh schon. Hier fehlt irgendwie ein roter Faden im Gesetz.

OK gut, nehmen wir jetzt mal an jeder weiß, dass "blogspot.com" zu Google gehört. Dann kann man jetzt sagen "aber der Anwender wusste ja, dass Google damit die Daten kriegt, schließlich stehts in der URL." Mal von Shortlinks & co abgesehen: Max könnte jetzt auch eine Domain "supergeilestrickrezepte.de" registriert haben, und die dann bei Google für das Blog hinterlegen. Der Anbieter merkt jetzt nichts mehr. Oh böse!

Aber treiben wir jetzt die Sache mal weiter: wo ist jetzt hier noch der Unterschied zu dem Fall, dass Max zu einer redlichen deutschen Firma geht und dort einen Server mietet und auf dem, sagen wir mal, Wordpress installiert? Antwort: es gibt keinen Unterschied! Der Anbieter weiß trotzdem immernoch, dass Seitenaufrufe stattgefunden haben! Naja OK, jetzt ist die Sache vielleicht grün statt blau. Was für ein Unterschied. Jetzt liegen die Aufrufdaten halt nichtmehr bei Google, Inc. sondern von mir aus bei Müller Netzwerke AG & Co. KG. Was ist daran jetzt besser? Nichts! Rein gar nichts!

Mein Problem bei dem ganzen Murks: wo wird jetzt die Grenze gezogen? Egal wie, jede mögliche Grenze ist absolut künstlich. Man kann keine saubere, technisch sinnvolle Grenze ziehen. Es geht nicht.

Das Erwachen

So, jetzt sind wir schon so weit gekommen, ich hoffe das Ganze wirft etwas mehr Licht auf die technischen Probleme. Der aktuelle Zustand ist absolut unmöglich und technisch nicht durchsetzbar. Wenn sich nicht ganz schnell was tut, landet das Internet in Deutschland auf dem nächsten ICE-Gleis mitten im Anfang der 80er. Und wem bringt das etwas? Niemandem!

Falls es nicht rauskam, ich bin übrigens absolut *für* Datenschutz. An sinnvollen Stellen. Wir sollten bei dieser Problematik die Macht dem Benutzer in die Hand geben, nicht die Schuld auf den Webmaster schieben. Aber wie machen wir das? Naja, wir wäre es für's Erste wenn wir wirklich die Bürger wie Mündige behandeln: Eine kurze Aufklärung beim Abschluss eines Internet- oder Mobilfunkvertrags, vielleicht? Klingt sinnvoll. Bringt auch mehr.

Man könnte sich nebenher auch einen komplett anderen Ansatz zum Datenschutz in dieser Situation vorstellen: wie wäre es, wenn wir nicht das Sammeln der Daten bestrafen, sondern die unrechtmäßige Verwertung der Daten? Macht auch gleich viel mehr Sinn: Wenn facebook & co keine Daten mehr zu Werbezwecken verkaufen dürfen gibt es auch keinen Grund mehr diese zu sammeln. Und selbst wenn doch: Big Whoop. Klingt logisch? Ist auch so.

Warum brauchen wir Deutschen eigentlich bei absolut allem eine Extrawurst?

Background photo credit: w3p706 / Foter.com / CC BY-NC-SA

Written by Magnus Deininger ().