Ansichten eines Informatikers

Web- und Datenschutzabsurdität?

Hadmut
17.10.2011 14:34

Bei den Datenschützern geht gerade das Ding um, daß man auf seine Webseiten wegen Datenschutz keine Links auf Facebook, Google usw. packen darf, weil dadurch Daten an außereuropäische Datenkraken übertragen werden. Noch ne Überlegung dazu.

Konsequenterweise müßte dies dann aber auch für die Webseite selbst gelten. Das heißt, daß man – denkt man es weiter – auch die Webseite selbst nicht bei einem Hoster außerhalb Europas betreiben dürfte.

Wie soll das nun aber rechtlich möglich sein, jemandem eine geschäftliche Tätigkeit außerhalb Europas zu verbieten? Es stünde grundsätzlich jedem frei, etwa irgendein Internet-Business in Asien oder den USA zu betreiben und dort entsprechende Webseiten betreiben zu lassen (und sich dabei voll nach deren dortigem „Datenschutzrecht” zu richten).

Das spricht dafür, daß man als Deutscher durchaus eine englische oder asiatische Webseite dort im Ausland unter einer .com-Domain betreiben darf, nicht aber eine .de-Seite mit deutschem Inhalt.

Nur: Worauf kommt es dabei an? Auf die Sprache? Auf den Inhalt? Auf die Endung .de oder .com?

Wäre es datenschutzwidrig, wenn man auf einer Seite (mit .de-Domain) die in Deutschland gehostet wird, Facebook- und Google-Links hat, aber nicht mehr datenschutzwidrig, wenn man dieselben Webseiten mit derselben Domain vom Hoster in Hongkong aus anbietet?

Falls es dann nicht mehr datenschutzwidrig wäre: Wo läge darin der Sinn? Warum sollte es datenschutzrechtlich weniger riskant sein, gleich die ganze Webseite im datenschutzlosen Raum zu betreiben?

Und falls es doch noch datenschutzwidrig wäre: Was genau ist dann der maßgebliche Unterschied zwischen dieser immer noch datenschutzwidrigen Webseite und einer Vergleichswebseite, die den gleichen Inhalt auf chinesisch, für Hongkonger und mit einer .hk-Domain anbietet? Oder wollte man auf die auch noch deutsches Datenschutzrecht anwenden?

26 Kommentare (RSS-Feed)

Alex
17.10.2011 14:41
Kommentarlink

muss jemand seine .de Domain abgeben, wenn er sie nicht mehr in dtl hosten will?
Sollte der Browser warnen, wenn man dass teutsche netz verlässt?

Oder ist es einfach wie überall: Wer sich fangen lässt, wird gefangen?


Robert Sander
17.10.2011 14:43
Kommentarlink

Leider sind die ganzen Datenschutzbestimmungen (alleine das Stichwort “Auftragsdatenverarbeitung”) noch nicht im Internetzeitalter angekommen.

Wenn man sich das ernsthaft anschaut, sind die Würmer aus der Büchse. Da ist mit einem einzelnen bundesdeutschen Gesetz nichts mehr zu reißen.


Hadmut
17.10.2011 14:45
Kommentarlink

Das würde ich gar nicht sagen. Ich könnte mir da im Gegenteil sehr gut vorstellen, mit deutschem oder europäischem Recht allerhand hinzubekommen.

Nur müßte man dazu mal einheitliches und konsistentes Recht und nicht so ein Flickwerk von selbstwidersprüchlichem Lobbykram produzieren.


Michael
17.10.2011 15:07
Kommentarlink

mh…. es geht doch in erster Linie darum, wer die Daten bekommt. Und nicht, wo derjenige (technisch) sitzt.

Wenn ich eine Webseite aufrufe, ist klar, das der Betreiber der Seite meine IP bekommt (naja, vielleicht nicht jedem).
Und im ersten Schritt kann auch nur dieser etwas damit bewerkstelligen. Der Provider selbst bekommt (zumindest üblicherweise, ich lasse mal alle Arten von “mutwilligem Missrauch” bewusst weg) recht wenig über den reinen Aufbau einer IP-Verbindung zu Port 80 hinaus mit.
Den Datenschützern geht es aber darum, dass ich eine Webseite aufrufe und Facebook, Google und co., die gar nicht Betreiber der Seiten sind, die Daten bekommen. Ohne, dass der Surfer dem zugestimmt hätte.

Statt sich also um das Hosten im Ausland Gedanken zu machen, ist eher eines der Grundprinzipien des neueren Web zu betrachten, nämlich das Einbinden von Inhalten Dritter. Sei es nun Werbung, Youtube-Videos, Bilder oder halt Google Analytics und Facebook Like-Buttons.

Mit unserem aktuellen Datenschutzrecht lässt sich das nicht unter einen Hut bringen, solange die IP-Adresse als quasi-personenbezogenes Datum angesehen wird.
Eine anonyme IP-Adresse ist aber vermtl. nicht mehr realistisch, der Zug dürfte abgefahren sein.


Hadmut
17.10.2011 15:09
Kommentarlink

Doch, Ort ist wichtig.


John
17.10.2011 16:08
Kommentarlink

@Hadmut: Geht es nicht eher um die Buttons die den Usern automatisch nachspüren?

Auf Links klickt der User ja aus eigenem Antrieb.


Hadmut
17.10.2011 16:17
Kommentarlink

@John: Überleg mal: Wenn ich auf der Seite bin, auf der die Buttons lauern, dann muß ich die Seite selbst ja bereits geholt haben – und werde damit vom Webserver der Seite noch vor dem Webserver der Buttons erwischt.

Wenn man also die Buttons datenschutzrechtlich tadelt, müßte man vorher auch sagen, wo die Webseite selbst liegen darf – sonst wär’s unsinnig.


Thomas
17.10.2011 16:27
Kommentarlink

Zitat:
“Bei den Datenschützern geht gerade das Ding um, daß man auf seine Webseiten wegen Datenschutz keine Links auf Facebook, Google usw. packen darf, weil dadurch Daten an außereuropäische Datenkraken übertragen werden.”
Wie genau können bitte durch das Setzen eines Links Daten übertragen werden?


Hadmut
17.10.2011 16:31
Kommentarlink

@Thomas: Wie ich dazu früher schon bloggte, eigentlich gar nicht, sondern erst durch den Browser selbst.

Der eigentliche Knackpunkt daran ist allerdings nicht einmal der Link, sondern die Graphik oder der Javascript-Code oder die Einbettung, die von der externen Webseite geholt werden, um den Link überhaupt anzuzeigen. Da steht ja nicht „Klicke Facebook”, sondern da ist eine kleine Graphik. Und die kommt nicht vom Webserver der Webseite, sondern von Facebook usw. Das heißt, wenn man die Seite nur anzeigt, sind schon per Cookie usw. Daten an Facebook und wie sie alles heißen übertragen worden. Aber eben vom Browser, nicht vom Webserver.


Oppi
17.10.2011 17:11
Kommentarlink

Sorry, Hadmut, die Logik versteh ich nicht : “[…] und werde damit vom Webserver der Seite noch vor dem Webserver der Buttons erwischt. ”

Ja, aber die Seite habe ich ja schon absichtlich aufgerufen, und mich damit implizit einverstanden erklärt mit der Übertragung der notwendigen Informationen an deren Betreiber, oder weiss zumindest vor dem Aufruf einer Webseite, dass deren Betreiber mit dem Aufruf etwas über mich erfahren könnte.
Dass auf der Seite aber ein Facebook Button ist, der beim laden Informationen an Facebook überträgt, das weiss ich erst, wenn die Seite fertig geladen hat, und dann ist es zu spät, um es sich noch anders zu überlegen. Im Extremfall kann fb so ein Profil über mein Surfverhalten anlegen (zumindest über einen begrenzten Zeitraum in dem es realistisch ist dass ich die gleiche IP behalte), ohne dass ich überhaupt jemals auf der facebook Seite gewesen bin. Habe ich tatsächlich einen Account, können sie dieses Profil sogar noch mit meinem Namen und meinem Freundeskreis verknüpfen.
Das ist allein schon deshalb ein ganz anderes Kaliber als “senden meiner IP Adresse und einiger weiterer Infos an Seitenbetreiber xy”, weil der Letztgenannte nicht noch alle Daten über meine anderen Seitenaufrufe an diesem Nachmittag hinzunehmen und daraus ein Persönlichkeitsprofil von mir basteln kann.


Hadmut
17.10.2011 17:13
Kommentarlink

@Oppi: Wer so schlau ist, sich das anzuschauen, der kann auch Facebook-Buttons blockieren. Man muß nur Facebook usw. in seinen Werbeblocker eintragen.

Aber welcher Anwender schaut sich vor dem Aufrufen einer Webseite an, wo der Server steht?


Thomas
17.10.2011 17:12
Kommentarlink

Ja richtig. Und genau weil das alles so ist, wie Du erläuterst, ist doch die eingängliche Aussage, dass Links datenschutzrechtlich bedenklich seien Unsinn. Wenn etwas datenschutzrechtlich bedenklich ist, dann ist es das Einbetten externer Resourcen und nicht das Setzen von Links.

Ist jetzt für Deinen Artikel und die Argumentation darin eher zweitrangig, aber dennoch ein wichtiger Unterschied.


Hadmut
17.10.2011 17:14
Kommentarlink

@Thomas: In Anlehnung an den Spruch mit dem Eröffnen einer Bank:

Was ist das Einbetten externer Resourcen gegen as Anbieten der Webseite selbst?


Ich denke es ist schon wichtig es dem User zu überlassen wem er seine Daten schickt und eben nicht ganz viele Buttons und anderen Kram von verschiedenen Seiten nachlädt.

Es ist aber inzwischen so schlimm geworden damit das ich für die größten Buttonschleudern inzwischen clientseitig vorgesorgt habe das der Button nicht geladen wird (durch einen eintrag in /etc/hosts).

Andererseits muss ich mich da auch an die eigene Nase fassen. Ich bau grad meinen Shop für meine Firma auf und im Moment kommt der Paypal Button auch von Paypal und der Flattr Button auch von flattr. Da muss ich noch nacharbeiten.

Und zumindest soweit ich die Debatte verfolgt habe (also ganz am Rande nur) geht es primär darum den Webseiten-Betreibern klar zu machen das es im Moment ein Problem gibt, nicht so sehr darum eine juristische Lösung desselben.


Oppi
17.10.2011 22:42
Kommentarlink

@Hadmut : Warum soll ich mir denn anschauen wo der server steht ? Worum es geht ist doch “ich gehe auf eine Seite, diese Seite betreibt jemand, dieser jemand sammelt beim betreten der Seite wahrscheinlich einige Daten über mich”.
Der Seitenbetreiber erbringt quasi eine Dienstleistung für mich (er lässt mich seine Inhalte lesen), und das kann er nicht ohne einige Dinge zu wissen. Ich kann natürlich über irgendwelche Proxies gehen, aber irgendwer (oder irgendeine Maschine) muss letztendlich meine IP kennen um mir meine Pakete schicken zu können. Das kann also per Definition kein Datenschutzverstoß sein, denn ohne die Übermittlung dieser Daten wird die Dienstleistung unmöglich. Das ist als würdest du dich beschweren, dass Amazon oder Quelle (oder der Paketbote) deine Adresse kennt.
Anders bei dem Facebook Button. Um in dem Vergleich zu bleiben : Jedes Mal wenn du was im Versandhandel bestellst, geben die (ohne dein Wissen) eine Meldung darüber mit deiner Adresse an eine Zeitung die ihre Ware testet, und die schreiben dir und bitten dich einen Fragebogen zu deinem Einkauf auszufüllen (ihn zu “liken”). Wenn du das tust, veröffentlichen sie neben dem Artikel zum Produkt noch deinen Namen, in jedem Fall wissen sie aber, dass du bei Händler XY was gekauft hast.
Das IST ein Datenschutzverstoß. Es geht die Zeitung nix an wo du einkaufst, und vor allen Dingen ist diese ganze Bewertungsgeschichte unnötig für die Erbringung der Leistung die du wolltest.

Klar kann ich fb buttons blockieren, aber Recht gilt halt auch für Leute die das nicht können.


Phil
17.10.2011 23:15
Kommentarlink

Das Problem ist doch, dass de facto jeder Browser unique ist (http://panopticlick.eff.org/). Und da die meisten Buttons mittels JavaScript eingebunden werden, kann Facebook und Co auch von jedem User ein Profil erstellen.

Es ist (aus Sicht des Datenschutzes) schon etwas anderes, wenn man bewusst eine Webseite aufruft, ob der Browser nur diese Webseite öffnet – implizite Zustimmung – oder ob gleich noch alle anderen großen Seiten auch wissen, wo der Benutzer gerade ist.

Und die Präzision, mit der Facebook und Amazon einem Werbung anbieten ist schon erschreckend.

Außerdem ist es fast unmöglich, die ganzen Netzwerke clientseitig zu sperren, da zum einen sich die IP ändern kann (und auch tut), zum anderen sich auch ab und zu mal die Domain ändert.

Außerdem kann ich facebook.com nicht sperren, wenn ich zugleich Facebook benutzen will. Gleiches gilt für google.com.

Der Ansatz, die Webseitenbetreiber anzuhalten, auf die Buttons zu verzichten, oder zu mindestens eine zweiklick Lösung einzubauen, ist meiner Meinung nach der einzig Erfolg versprechende.
Ich glaube ich nicht, dass außer Firefox und Opera, die Browser so umgebaut werden, dass nur noch die Hauptdomain geladen wird. Zumal dadurch viele Seiten kaputt gehen würden, die auf solche Funktionen vertrauen (zum Beispiel Cookie-less Domain für statische Inhalte, etc.).

Ich bin aber durchaus der Meinung, dass der Benutzer automatisch (implizit) einwilligt, dass Daten an die aufgerufene Webseite übertragen werden, schließlich führt er ja den Aufruf bewusst durch. Es kann halt nur nicht sein, dass daran gleich die Hälfte des Web teilhat. Auch wenn eine Webseite Cookies setze, denke ich nicht, dass die Webseite dafür extra eine Einwilligung braucht. Denn jeder Benutzer kann seinen Browser so einstellen, dass er keine Cookies akzeptiert.


Mnementh
18.10.2011 8:39
Kommentarlink

Ich finde hier die Herangehensweise der Datenschutzbeauftragten im Kern falsch. Zwar ist es richtig, dass die Bevölkerung aufgeklärt wird, dass Facebook und Google und andere Daten über den Surfer verknüpfen können und dabei mehr erfahren, als den meisten bewusst ist (Vorlieben und soziale Kontakte, Aktivitätszeiträume) und damit auch Geld verdienen wollen.

Blöd ist, dass die Datenschützer dann gleich sagen: Wir verklagen alle mit Facebook-Button, also sorgt Euch nicht. Statt die Internetnutzer in Watte zu packen, sollte man ihnen Methoden zum Selbstschutz beibringen, beispielsweise wie man Facebook blockieren kann, anonymisierende oder/und filternde Proxies.

Wer will kann dann immer noch seine Daten an Unternehmen für lau abgeben, auchdas gehört zur informationellen Selbstbestimmung.


Michael
18.10.2011 9:20
Kommentarlink

@Hadmut: Nochmal zum Standort des Webservers. Wenn ich mit Sitz in Deutschland eine Webseite bei einem ausländischen Hoster betreibe, unterliege ich imho auch deutschem Recht. Der physische Standort des Servers sollte keine Rolle spielen. Liege ich da falsch?

Wo siehst Du genau das Problem bei einem Server mit Standort im Ausland? Beim Betreiber der Seite oder beim Hoster?

Ansonsten sehe ich das ähnlich, wie die anderen hier. Das Problem sind die eingebetteten Inhalte, die ich als Nutzer der Seite nicht voraussehen kann und damit auch keine implizite Zustimmung angenommen werden kann.


Hadmut
18.10.2011 11:23
Kommentarlink

Der physische Standort spielt sehr wohl eine Rolle. Weil man davon ausgeht, daß Daten bei sog. Webhostern auch an den Hoster übertragen werden und der ebenfalls datenschutzverantwortlich ist. Wenn der aber selbst nicht hinreichend „datensicher” ist, kann man da Ärger bekommen.


Asd
18.10.2011 10:29
Kommentarlink

Also ich kann nachvollziehen, was oppi meint: Für ihn ist es nicht relevant, ob man bei einer absichtlich besuchten Seite erkennen kann, ob sie nun im Ausland gehostet wird oder nicht. Man möchte ja explizit diese Seite aufrufen. Ich bin mir jetzt selbst nicht sicher, ob oppis Sicht der Dinge stimmt oder deine, Hadmut…


Eva H.
18.10.2011 11:00
Kommentarlink

@Michael: Wer bekommt die Daten denn? Der Webseitenbetreiber nur indirekt. Unmittelbar gespeichert werden sie aber durch den Hoster – der “bekommt” die Daten physikalisch. Der Hoster kann auch alles damit machen, was er will – und zwar ohne dass der Webseitenbetreiber oder Server-Mieter davon etwas mitbekommt.

Noch unübersichtlicher kann es werden, wenn ein Hoster in mehreren Staaten Rechenzentren betreibt und seine Ressourcen per “Cloud-Computing” verwaltet. Schlimmstenfalls weiß man dann gar nicht so genau, wohin die eigenen Daten gerade geschoben wurden.

Der Speicherort (der Standort des Rechenzentrums) ist also mindestens genauso wichtig wie der Firmensitz des Seitenbetreibers.


Eldoran
18.10.2011 12:03
Kommentarlink

Die Situation ist derzeit ziemlich verfahren. Das Problem ist dass eigentlich alle direkt beteiligten Firmen/Personen aus eigenem Interesse oder weil sie von Staaten, deren Gewaltmonopol sie unterliegen, gezwungen werden den Datenschutz missachten könnten. Somit muss man wenn man sicher sein will kein Problem zu bekommen, den Server, den Hoster und die Domain vollständig in der EU haben und auf eingebettete Objekte weitgehend verzichten.


Hadmut
18.10.2011 12:14
Kommentarlink

Daß es auf die Domain ankommt, wäre mir neu.

Um aber sicher zu sein, keine Probleme zu bekommen, würde ich es eher andersherum machen: Betreiber, Server, Hoster alles außerhalb der EU. Irgendwo, wo es gar kein Datenschutzrecht gibt. Wie wollen sie einem dann Ärger machen?


Eldoran
18.10.2011 13:49
Kommentarlink

Ich weiß, es geht hier nicht um Datenschutz, aber allein eine com domain kann amerikanisches Recht bedeuten: http://www.heise.de/tp/artikel/35/35055/1.html


Hadmut
18.10.2011 13:58
Kommentarlink

Ja, für die Amerikaner als Vorwand, aber nicht für die Deutschen. Bisher habe ich noch niemanden gesehen, der aus der Nutzung einer .de-Domain auf die Anwendbarkeit deutschen Rechtes schloß.

Und selbst wenn: Wie willst Du jemanden vor Gericht zerren, der mit Firma und Server in China hockt? Selbst wenn deutsches Recht formal anwendbare wäre, es nützt einfach nichts.

Woher willst Du überhaupt wissen, wen Du vor Gericht zerrst? In anderen Ländern gibt es keine Impressumspflicht. Ich habe mal beruflich einen Betrugsversuch nachverfolgt und bin dabei auf einen Server mit deutschen Inhalten, de-Domain gestoßen, der eindeutig für Deusche Leser und Kunden gemacht war. Es stand aber physisch in Griechenland, also sogar noch innerhalb der EU. Man konnte überhaupt nicht erkennen, wer ihn betreibt, weil er kein Impressum hatte. Mußte er auch nicht, weil es in Griechenland keine Impressumspflicht für Webserver gibt. Wem willst Du da also überhaupt den Bescheid des Datenschutzbeauftragen zustellen?


Eldoran
18.10.2011 14:24
Kommentarlink

Wie das mit der Impressumspflicht aufkam, stand das ganze auch in Deutschland im Raum. Schließlich ist es ohne Impressum per Definition nicht zu erkennen ob der Betreiber ein Impressum angeben müsste oder nicht.