Ertappt! Hostsharing demonstriert mangelnden Datenschutz auf Websites

von Dr. Martin Weigele, Michael Hierweck – erschienen am 31.08.2019 – Konferenz, Campfire Festival, Datenschutz

Hostsharing nahm an einer Panel-Diskussion der Verbraucherschutzzentrale NRW im Rahmen des Campfire Festivals teil und analysierte zu Beginn der Diskussion die Website des Festival-Betreibers. Das Ergebnis war leider vorherzusehen.

Die Verbraucherschutzzentrale NRW veranstaltete am Samstagnachmittag auf dem Campfire Festival eine Paneldiskussion mit dem Bundesdatenschutzbeauftragten Ulrich Kelber sowie mit Klaus Landefeld vom eco - Verband der Internetwirtschaft e.V, Dr. Martin Weigele von der Hostsharing eG und Wolfgang Schuldzinski von der Verbraucherschutzzentrale NRW zu dem Thema: »Datensouveränität - Wo verläuft die Grenze der Verantwortung zwischen Unternehmen und Verbrauchern«

Website des Campfire-Festivals

Live-Demonstration zum Datenschutz

Zum Auftakt analysierte Michael Hierweck an der Website des Festivals exemplarisch verdeckte Tracking-Möglichkeiten. Anstelle dieser Website hätte jede beliebige andere herangezogen werden können. Die Ergebnisse wären vermutlich leider die Gleichen gewesen.

Der Test kann leicht mit Hilfe der in Chrome oder Firefox integrierten Entwicklertools nachvollzogen werden.

Start der Entwicklertools in Chrome

Bekanntlich besteht eine Webseite aus zahlreichen Komponenten, wie Schriftarten, Bilder und Videos sowie anderen technischen Ressourcen. Einen ersten Eindruck vermittelt die Liste der Server, von denen diese Ressourcen geladen werden. Im untersuchten Fall wurden – vom Besucher unbemerkt – neben dem Campfire-Server eine Reihe weiterer Server von Drittanbietern angesteuert, um Ressourcen zu laden.

Auswertung der angesteuerten Server in Chrome

Zwar handelt es sich, wenigstens auf den ersten Blick, nicht um dedizierte Tracker, aber alle beteiligten Serverbetreiber kommen in Kontakt mit personenbezogenen Daten des Besuchers. In der Regel handelt es sich wenigstens um die IP-Adresse, um Informationen zum Browser und Betriebssystem sowie um den Link zur Website, welche die Datenanforderung ausgelöst hat. Dritte erfahren also, welche IP-Adressen sich für das Campfire-Festival interessieren.

In den Datenschutzhinweisen weisen die Betreiber der Campfire-Website auf diesen Umstand hin, lassen den Besucher aber im Unklaren darüber, an wen die Daten konkret übermittelt werden.

Datenschutzhinweise zur Campfire-Festival-Website

Ein weiterer Kritikpunkt in der Live-Demonstration ist die Tatsache, dass der Festival-Betreiber für seinen Newsletter den US-Dienst Mailchimp beauftragt hat. Wer sich den Newsletter bestellt, übermittelt dem Unternehmen seine E-Mail-Adresse und sein Interesse an den Themen des Campfire-Festivals. Da der Dienst sehr beliebt ist, verfügt das Unternehmen mittlerweile über eine gigantische Datenbank, in der persönliche E-Mail-Adressen zusammen mit den entsprechenden Interessen der Personen gespeichert sind.

An diesem Vorgehen, was leider im Internet allgegenwärtig ist, üben wir Kritik und hoffen, dass diese auf fruchtbaren Boden fällt.

  1. Die Datenschutzhinweise enthalten keinen Hinweis darauf, an welche Serverbetreiber konkret Daten übertragen werden.
  2. Die Information wird dem Besucher zwangsläufig erst dann zugänglich, nachdem er die Website besucht hat und die Daten bereits übermittelt worden sind. Damit entfällt für ihn die Möglichkeit, selektiv oder generell Übertragungen abzulehnen.
  3. Das besonders Perfide besteht darin, dass nahezu alle Website-Betreiber in dieser Weise agieren. Insbesondere die Internet-Riesen aus Silicon Valley ernten auf diese Weise massenhaft Daten. Durch die heutzutage beinahe durchgängige Integration von Komponenten dieser Anbieter ergeben sich nachverfolgbare Datenspuren und Bewegungsprofile, die mit nicht zu unterschätzender Wahrscheinlichkeit auch konkreten Personen zuzuordnen sind. Das geschieht spätestens dann, wenn der Website-Besucher sich bei irgendeinem Online-Dienst der Internet-Riesen einloggt.

Unsere konkreten Tipps lauten:

  1. Die Datenschutzhinweise sollten um eine vollständige Auflistung der Serverbetreiber ergänzt werden.
  2. Im Optimalfall werden nicht ohne explizite Zustimmung des Besuchers Daten an Dritte übertragen. Um das zu erreichen, bietet sich einerseits Sparsamkeit beim Einbetten externer Ressourcen an. Dies kann ggf. durch lokale Kopien der Ressourcen in der Obhut des Website-Anbieters erfolgen. Google-Schriften lassen sich beispielsweise problemlos lokal einbinden. Auch Mailinglisten und Newsletter lassen sich mit geringem Aufwand lokal auf dem eigenen Server pflegen. Wo dies nicht gangbar erscheint, empfehlen sich dringend explizite Aktivierungen durch den Surfenden, wie Zwei-Klick-Lösungen.
  3. Die Verhinderung der Zusammenführung gigantischer Datenmengen aus einer Vielzahl unterschiedlichster Kanäle bei den Internet-Riesen ist ein Problem außerhalb des unmittelbaren Einflusses des jeweiligen Website-Betreibers. Wir können nur gemeinsam daran mitwirken, dass das Internet zu seinen dezentralen, und damit datenschutzkonformeren Wurzeln zurückfindet, indem viele unabhängige Dienste-Anbieter entstehen und genutzt werden. Dezentrale Datenhaltung stellt eine effektive Präventionsmaßnahme dar, um ausufernde Profilbildung bereits im Vorfeld auszuschließen.

Nach dieser anschaulichen Einführung startete eine rege Diskussion zur Datensouveränität.

Panel-Diskussion

Die Diskussion drehte sich einerseits um das Thema Datensicherheit als technische Voraussetzung für Datenschutz, andererseits aber auch um den Datenschutz selbst. Einhellig betrachtete man die neue Datenschutz-Grundverordnung (DSGVO) als großen Fortschritt. Sie erweist sich in Teilen sogar als Exportschlager, der von anderen Ländern übernommen wird. Allerdings müsse die DSGVO nun auch durchgesetzt werden. Der Bundesdatenschutzbeauftragte Ulrich Kelber teilte die Auffassung, dass die Verhältnisse im Internet noch nicht den Regelungen der Datenschutzgrundverordnung entsprechen. Wenn das Oberlandesgericht Düsseldorf – wie kürzlich geschehen – solche bzw. verwandte Themen nicht als Thema des Kartellsrechts sehe, so Kelber, dann sei die Konsequenz für seine Behörde, dass sie mit ihren Möglichkeiten selbst tätig werde.

Trotz oder wegen des schönen Wetters war das Campfire Festival gut besucht. Die vor dem Zelt der Verbraucherschutzzentrale aufgestellten Bänke waren alle belegt. Aus dem Publikum kamen viele Fragen, die vom Podium beantwortet oder weiter ausgeführt wurden. Die Zeit verging schnell und nach anderthalb Stunden bedankte sich der Gastgeber, Wolfgang Schuldzinski, beim Publikum und seinen Gästen auf dem Podium.