Gestern hatten wir über die derzeitigen Entwicklungen rund um Facebook berichtet und Kritik daran geäußert, dass es beim Thema Datenschutz eine Reihe von Hausaufgaben auf Seiten des Staates gibt, die die staatliche Kritik an Facebook zwar als berechtigt, angesichts der eigenen Probleme allerdings als etwas scheinheilig erscheinen lassen.
Das Einbinden von Bildern auf Fremdservern
Dabei hatten wir auch auf den Blog-Artikel von Henning Tillman verlinkt, welcher darauf hinweist, dass das Einbinden von Bildern, welche sich auf fremden Servern befinden, zur Folge hat, dass von dem jeweiligen Benutzer sog. Kopfdaten an diesen fremden Server übertragen werden, welche u.a. auch die IP-Adresse beinhalten.
Darin verweist er darauf, dass der von heise.de erfundene 2-Klick-Button für Social Plugins keine Lösung sei, da sich bei dem vorgenannten Beispiel aufgrund der übertragenen IP-Adresse der gleiche Konflikt ergebe.
Wörtlich führt er an:
2-Click-Social-Media-Buttons sind keine Lösung
heise.de hat auf seiner Website eine 2-Klick-Lösung eingeführt, die viele andere Websites übernommen haben. Damit ist es möglich, die Funktionalität von Facebook & Co erst nach einem Klick zu aktivieren (Opt-In). Doch konsequenterweise müsste auch jede Grafik, jede Werbeanzeige (die es auf heise.de auch gibt), erst per Opt-In des Besuchers bzw. der Besucherin aktiviert werden. Werden beispielsweise Google AdWords eingebunden, werden ebenfalls IP und Identifikationsmerkmale (Cookies) an Google übertragen, die u. U. mit einem eingeloggten Google-Konto abgeglichen werden können. Da frage ich mich: Warum soll dies bei Facebook untersagt werden, bei Google aber nicht? Und wie sieht es mit Einbindung von YouTube-Videos oder Flickr-Bildergalerien aus? Bei beiden werden ebenfalls per Skripte fremde Serverinhalte eingebunden, die ein Bewegungsprofil ermöglichen. Konsequenterweise müsste auch dies nur per Opt-In, also Zwei-Klick-Lösung eingebunden werden.
Nein, hier geht es nicht um Facebook oder Google. Die technischen Grundlagen des Webs sind einfach anders als es die deutsche Gesetzeslage aktuell vorsieht. 20 Jahre lang ist das aber nicht groß aufgefallen. Ich möchte mit diesem Artikel nicht Facebook & Co in Schutz nehmen. Im Gegenteil, es gibt sicherlich viel berechtigte Kritik an dem Unternehmen. Nur es bringt nichts, Schnellschüsse wie den Kampf gegen den Like-Button zu beginnen. Wir benötigen eine ruhige Diskussion über Datenschutz, die den technischen Status quo nicht unbeachtet außen vor lässt.
Zustimmung im Web
Dies hat im Web einige Unterstützer gefunden, die dieser Auffassung zustimmen: werning.com, pfannenwender.de, wirtschaftsfaktor-sprache.de, pottblog.de, legalit.de und eine Reihe anderer Blogs.
Zusammenfassend kann man sagen, dass die Auffassung der Datenschützer dahingehend kritisiert wird, dass ohne Übertragung der IP-Adressen eine Nutzung des Webs nicht mehr möglich sei. Schließlich müssen der Rechner des Benutzers und der Rechner des Servers ja wisssen mit wem sie letztlich kommunizieren und an welche Adresse Informationen übermittelt werden sollen.
Kritik an Datenschützern, stellt die Einbindung von fremdgehosteten Bildern einen Datenschutzverstoß dar?
Grundlage der Kritik scheint die Angst zu sein, dass die strengen deutschen Datenschutzregeln ein funktionierendes Web verhindern würden. Hier stellt sich daher die Frage, ob die Einbindung von fremdgehosteten Bildern tatsächlich überhaupt einen Datenschutzverstoß darstellen würden.
Ein Blick ins Gesetz hilft:
§ 12 TMG (Grundsätze)
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
Wie § 12 TMG klarstellt, bedarf es grundsätzlich zunächst einer gesetzlichen Grundlage um personenbezogene Daten, wozu nach h.M. auch IP-Adressen gehören, zu erheben und anschließend zu verwenden.
Schauen wir uns diese Grundlage einmal näher an:
§ 15 TMG (Nutzungsdaten)
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere
1. Merkmale zur Identifikation des Nutzers, (…)
Keine Panik
Der Zweck zur Ermöglichung einer Inanspruchnahme von Telemedien, worunter auch Websites fallen, reicht also bereits aus, um eine Erhebung und Verwendung der IP-Adresse datenschutzrechtlich zu rechtfertigen.
Werden also Bilder von Fremdservern eingebunden, deren Darstellung eine Übermittlung der IP-Adresse zwischen dem Fremdserver und dem Rechner des Benutzers notwendig macht, so ist diese Datenübermittlung gesetzeskonform.
Datensammler – Der feine Unterschied
Der feine Unterschied z.B. zu Tracking-Tools oder dem Facebook-Like-Button besteht darin, dass dessen Zweck nicht in der Ermöglichung der Inanspruchnahme von Telemedien liegt, sondern ausschließlich den Zweck hat, Daten zum Zwecke der Erstellung von Nutzungs- und Verhaltensprofilen zu sammeln.
Hier liegt der feine aber große Unterschied, denn wer möchte schon ernsthaft, dass sein Surfverhalten über Jahrzehnte hinweg gesammelt, ausgewertet, zu nicht klar definierten Zwecken verwendet und anschließend ggf. noch an Firmen rund um die Welt zu unklaren Verwendungszwecken verteilt wird.
Jemand der sich zwar nicht mit dem künstlerischen Wert von Bildern, dafür aber mit dem Thema Datenschutz und IT-Sicherheit auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.
Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de