Lummaland

Archives For datenschutz

7 Antworten zum Datenschutz: Marco Ripanti

Nico — 7.09.2011 — 2 Comments

In der heutigen Ausgabe der beliebten Interview-Reihe 7 Fragen zum Datenschutz antwortet heute Marco Ripanti, der mit Spreadly eine alternative Lösung für das Sharen von Inhalten anzubietet.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Einfach ausgedrückt, gebe ich einem externen Anbieter einen Platz auf meinem Webauftritt. Dieser steuert dann was dort ausgegeben bzw. aufgezeichnet wird. Ohne eine gewisse Vertrauensbasis oder Kenntnis was da konkret passiert bleibt ein gewisses Restrisiko immer vorhanden. Die Besucher meiner Webseite nehmen das Widget optisch zur Kenntnis, wissen aber nicht was genau passiert oder gar das es sich hier um externe Inhalte handelt. Eine Webseite machen diese Tools in der Regel attraktiv oder fungieren sogar als Erlösquelle. Was hinter der Oberfläche passiert ist in 9 von 10 Fällen nicht transparent für den Besucher.

Was ist so schlimm am Like-Button?

Eine schwere Frage! Vom Start der Social PlugIns von Facebook haben Webseiten diese wie die Lemminge eingebaut ohne sich Gedanken darüber zu machen. Die Aussicht auf neuen und größeren Traffic hat viele Webmaster und Marketingverantwortliche blind gemacht. Vielleicht hat in einigen Fällen dies auch zum gewünschten Erfolg geführt, aber den Preis dafür haben die wenigsten hinterfragt. Traffic zum Preis von Wissen ist meist kein guter Deal für den Webseitenbetreiber. Der anonyme neue Besucher oder Fan lässt sich in der Regel nicht sofort zu Geld machen, dass Wissen über die Interessen des Likers hingegen schon.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Getrackt wird schon immer. Die ersten Analysetools haben dabei geholfen die Nutzeraktivität auf einer Seite zu verfolgen und ggf. Dinge zu verbessern. Ein neu positionierter Button in einem Shop kann auf Grund solcher Erkenntnisse schon zu deutlich mehr Sales führen. Der Durst nach Wissen über die Besucher einer Seite ist nicht weniger geworden. Natürlich möchte jeder gerne wissen werden so seine Angebote aufruft, die Seite schnell wieder verlässt oder ein wichtiger Multiplikator für seine Inhalte ist.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Man möchte natürlich immer alles zum “Nutzen der User” machen. Bessere Usability, personalisierte Angebote, interessensoptimierte Werbung uvm. Viele Dienste im Web kosten kein Geld und somit bleibt die Monetarisierung dieses Wissens über die Nutzer der eigenen Webseite die einzige Chance das Angebot zu Geld zu machen und somit am Leben zu erhalten. Interessant wäre eine Lösung die vor Online-Angebote eine Vorschalte packt auf der man sich entscheiden muss: 0,99 Euro oder Deine Zustimmung Deine Daten zu Geld zu machen.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Facebook schon … zumindest das was man dort eingetragen hat. Falsch ist natürlich, dass all diese Informationen auch in Cookies stehen würden und somit jede Webseite diese auslesen und nutzen kann. Webanalysetools können auch nur ca. Angaben machen zu dem demographischen Daten der Nutzer ausgeben. Re-Targeting Unternehmen arbeiten da schon ein wenig “intelligenter”. Die Interessen eines Nutzers (Suche nach dem nächsten Reiseziel) verfolgen einen dann ständig in den Bannern auf den angeschlossenen Webseiten. Die Streuverluste sind so (hoffentlich) deutlich geringer.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Das kenne ich nicht gut genug um was konkretes dazu sagen zu können. Rein Gefühl her ist es natürlich immer angenehmer wenn meine Daten auch in dem Land bleiben in dem ich tätig bin und nach dessen Gesetzen (auch wenn diese nicht mehr zu 100% passen) behandelt werden.

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Transparenz ist wichtig! Ich glaube Nutzer sehen ein, dass man für kostenfreie Dienste Wissen über sie zu Geld machen muss. Alles was sie brauchen ist das Wissen darüber, dass es so ist und die Möglichkeit jederzeit der Webseite diese Möglichkeit wieder nehmen zu können wenn man dessen Dienste nicht mehr in Anspruch nehmen möchte.

Auch die Medien können einen großen Anteil leisten. Ständige Panikmache die teilweise auf Unwissen basiert, hilft nicht wirklich dabei das Vertrauen der Nutzer zu gewinnen. In vielen Fällen leidet auch deren Glaubwürdigkeit, wenn man einerseits vor den Gefahren warnt und am Ende des Artikels dann genau die Dinge zu sehen sind vor denen ein paar Zeilen weiter oben abgeraten wird.

So stecken wir wohl alle in einer Zwickmühle, oder?

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt, 7 Antworten zum Datenschutz: Uli Hegge, 7 Antworten zum Datenschutz: Christian Bennefeld, 7 Antworten zum Datenschutz: Christian Sauer und 7 Antworten zum Datenschutz: Stephan Noller in der kleinen Interview-Reihe erschienen.

In Internet, Politik datenschutz, datenschutzzentrum, facebook, Internet, like, privatsphäre, uld, werbung, widget

7 Antworten zum Datenschutz: Stephan Noller

Nico — 6.09.2011 — 5 Comments

Heute antwortet Stephan Noller, CEO Nugg.ad AG, im Rahmen meiner kleinen Interview-Reihe 7 Fragen zum Datenschutz auf meine Fragen.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Problematisch…erstmal finde ich daran gar nichts problematisch. Die Faszination des Webs beruhte ja immer schon auf der Verlinkung von Inhalten, der Überschreitung von Grenzen – gewissermaßen. Und die neueren Funktionen mit Widgets, aktiven Inhalten usw. machen das alles nur noch viel toller. Zum einen, weil man die Website gar nicht mehr verlassen muss, um einen fremden Inhalt zu sehen,
zum anderen weil eine ganz neue Qualität der Vermischung möglich ist. Unterschiedlichste Dienste können sich so gegenseitig befruchten, wenn man so will. Problematisch ist es natürlich, wenn die Dinger mehr machen als gesagt oder für den User offensichtlich und damit in seinem Sinne ist. Also zum Beispiel Daten transferieren über den eigentlichen Zweck hinaus.

Ach ja, Werbeplätze. Die finanzieren das Ganze* natürlich. Und das Online-Werbesystem ist komplex: Dass die eingeblendete Werbung auch vom Betreiber der Website kommt, ist heutzutage die totale Ausnahme. Insofern sollte man zunächst einfach mal zur Kenntnis nehmen, dass Werbung meist von anderen Systemen eingespielt wird und diese meist noch irgendwelche Daten für die Aussteuerung nutzen (z.B. um die Einblendungen eines Werbemittels pro User zu begrenzen). Allerdings sollte das für den User so transparent und kontrollierbar sein wie nur möglich, insbs. dann, wenn z.B. verhaltensbezogene Daten gespeichert und für die Auslieferung verwendet werden.

Was ist so schlimm am Like-Button?

Auch hier – schlimm finde ich den Like-Button erstmal gar nicht. Er ermöglicht wiederum auf faszinierende Weise vormals getrennte Welten (wo ich surfe und wo ich netzwerke) elegant zusammenzuführen und generiert damit offenbar erklecklichen Traffic auf den teilnehmenden Websites – und natürlich auch auf Facebook (das sollte man sich immer mal wieder vor Augen führen: „generiert traffic“ heisst: User nutzen das gerne). Allerdings ist beim Like-Button schon ein krasses Miss-Verhältnis an dahinterliegendem Code und Datenübermittlung im Vergleich zur offensichtlichen Funktionalität gegeben, insbs. natürlich wenn man ihn gar nicht drückt. Und – auch das ist glaube ich offensichtlich – er wird von einer Firma in rigider Manier (siehe neueste Reaktionen auf den zweistufigen Like von heise.de) verteilt, die nicht gerade großes Vertrauen in Sachen Datenschutz und Transparenz genießt. Das macht ihn irgendwie verdächtig, wenngleich ich Wert darauf legen möchte keine Funktion in Facebook zu kennen, die in irgendeiner Weise davon Gebrauch machen würde (z.B. indem man bild.de User im Facebook-Tool targeten könnte). Mir ist die in diesen Fällen immer häufiger anzutreffende Verdächtigungskultur mindestens so unangenehm wie bestimmte Aspekte am Like-Button selbst…

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Dann passiert das Internet. Ich habe ja schon an anderer Stelle darauf hingewiesen, dass dieses „tracking“ mitnichten nur eine Spitzeltechnologie der bösen Werbewirtschaft ist (das natürlich auch ;-)). Sondern dem, was uns am Internet so fasziniert, irgendwie inhärent ist. Denn Tracking ist Feedback, Anpassung, Intelligenz, Personalisierung, Empfehlungen – ja man kann sogar soweit gehen und die Existenz von Angeboten wie der Huffpost oder intelligente Loadbalancing-Konzepte der Google-Rechenzentren die signifikant Strom sparen helfen auf Tracking zurückführen. Tracking ist das Bewusstsein des Internets. Deshalb können viele faszinierende Dinge passieren, wenn das Internet trackt: Content wird relevanter, Apps lernen wer ich bin und was ich mag, Produkte werden spezifischer, Werbung wird weniger nervig. Und: Autos werden in wenigen Jahren autonom durch die Städte fahren, weil sie die besten Learnings aus Googles Tracking-Technologien aufsaugen durften…

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Weil sie lernen wollen, was User interessiert, um dann die Angebote darauf abzustimmen.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Nein, haben die nicht. Zumindest die meisten nicht. Die Mehrheit der Unternehmen (gerade aus der Werbewirtschaft) haben auch überhaupt kein Interesse an solchen Daten und unternehmen große Anstrengungen, um diese gar nicht erst zu erheben (z.B. durch Anonymisierung).

Eine Gefahr in der ganzen Datenschutz-Diskussion sehe ich eher darin, dass die Grenzen verwischt werden, denn wenn jemand ohne meine Berechtigung wirklich personenbezogene Daten von mir hat und damit agiert, also z.B. Name + Adresse oder Kreditkartennummer, dann ist das wirklich schlimm. Und es ist überhaupt nicht damit vergleichbar, wenn jemand in einem Cookie aufzeichnet, dass ich
in den letzten zwei Wochen viele Sport-Webseiten besucht habe – sonst aber nichts über mich weiß. Diese Grenze – also zwischen personenbezogenen Daten und solchen ohne Personenbezug – ist von essentieller Bedeutung für Datenschutz-Konzepte und die aktuellen Debatten. Leider bekleckern sich meiner Meinung nach viele der Beteiligten nicht gerade mit Ruhm darin, dies immer ausreichend
deutlich zu machen.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Na ja… Grundsätzlich regelt das Safe-Harbour Abkommen tatsächlich ein paar wichtige Dinge was Daten-Übergabe an ein Unternehmen in die USA anbelangt. Aber ich glaube, es gibt ein ganz pragmatisches Problem, das jeder Nicht-Jurist anhand der Tagespresse verfolgen kann:
Amerikanische Unternehmen (und andere außerhalb der EU) kümmern sich häufig nicht ernsthaft um deutsche oder europäische Datenschutzbestimmungen. Das konnte man an der lebhaften Reaktion von Facebook auf die Maßnahmen von Frau Aigner z.B. beobachten. Aber auch generell sieht Safe-Harbour eher so nach Regierungs-Kungelei aus, als nach wirksamen Prinzipien, die effektiv
Transparenz und Kontrolle für den User sicherstellen – mag aber nur ein subjektiver Eindruck sein.

Guter Punkt. Denn tatsächlich ist ja Werbefinanzierung mit großem Abstand das Hauptgeschäftsmodell des Internets – und wird es auf lange Sicht bleiben. Und Internet-Werbung wird nur so gut bezahlt werden, wie sie die Möglichkeiten des Internets zu nutzen weiß. Also Anzahl der Einblendungen steuern, Targeting nach Interessen, Wetter, Umgebungsinformationen usw. – man könnte auch einfach sagen: Werbung im Internet ist dann leistungsstark, wenn sie Daten nutzt. Also müssen wir Wege finden, um diese Daten-Nutzung für den User zu einem fairen Teil des Deal zu machen*. Dafür braucht es mehr Transparenz als bisher und effizientere Tools für den User um den Umgang mit seinen Daten zu beobachten und zu steuern. Da ist noch monsterhaft viel Platz für gute Ideen und spannende Startups die sich dieses Themas annehmen werden. Aber auch die bestehenden Unternehmen sind da in der Pflicht…

*der Deal funktioniert natürlich im Prinzip schon lange – McKinsey und IAB Europe haben kürzlich in einer bemerkenswerten Studie festgestellt, dass User digitale Dienste im Gegenwert von ca. 40EUR pro Monat kostenlos erhalten – finanziert durch Werbung.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt, 7 Antworten zum Datenschutz: Uli Hegge, 7 Antworten zum Datenschutz: Christian Bennefeld und 7 Antworten zum Datenschutz: Christian Sauer in der kleinen Interview-Reihe erschienen.

In Internet, Politik datenschutz, datenschutzzentrum, facebook, Internet, like, privatsphäre, uld, werbung, widget

7 Antworten zum Datenschutz: Christian Sauer

Nico — 5.09.2011 — 1 Comment

Die kleine Interview-Reihe 7 Fragen zum Datenschutz geht in die nächste Runde – heute antwortet Christian Sauer, Geschäftsführer der Webtrekk GmbH.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Grundsätzlich denke ich, dass die ganze Diskussion zu dem Thema derzeit zu aufgeheizt ist und leider mit sehr viel mit diffuser Angst argumentiert wird. Das Problematischste an dem Thema ist sicherlich, dass man nicht genügend darüber informiert wird, was über mich auf meinem Rechner gespeichert wird. Hier sehe ich den größten Nachholbedarf und ein branchenverbindlicher Standard wäre wünschenswert. Nicht nur für Opt-outs, sondern auch über die Information zur Profilbildung.

Was ist so schlimm am Like-Button?

Hier kann ich die Datenschutzbehörde ausnahmsweise mal verstehen. Ich bin ja ständig bei Facebook eingeloggt und somit kann Facebook alle Seiten, die ich besuche und die mit einem Like-Button versehen sind, zu meiner Profilbildung heranziehen. Selbst wenn ich nicht auf den Like-Button klicke. D.h. Facebook weiß, wenn ich mir auf Bildde das Oben-ohne Mädchen angucke. Das ist den meisten Internetnutzern einfach nicht bewusst. Angeblich entwickelt Facebook ja auch einen Adserver, auf dem man dann außerhalb des Netzwerks personalisierte Werbung schalten kann.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

In den allermeisten Fällen passiert rein gar nichts. Die wenigsten Unternehmen nutzen die Daten in irgendeiner Form zur Profilbildung, d.h. individualisieren den Content innerhalb einer Seite. In Werbenetzwerken allerdings werden immer häufiger solche Profile gebildet, die sich aus der Nutzung des Internet über verschiedene Seiten zusammen setzen. Hier sollten auf jeden Fall klare Informationspflichten und Opt-out Möglichkeiten geboten werden.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

In erster Linie tracken die Unternehmen, um das Erlebnis des Nutzers auf der Seite zu optimieren. Wie könnte ich denn die Nutzerfreundlichkeit meiner Webseite erhöhen, wenn ich nicht weiß, wie viele Nutzer auf der Seite welche Angebote nutzen. Ich finde auch, dass sich z.B. die Checkouts in Online-Shops dramatisch verbessert haben, auch wenn es hier und da noch Optimierungspotenzial gibt. Man stelle sich nur mal vor, wie das aussehen würde, wenn man Abbruchquoten nicht messen dürfte.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Facebook hat das theoretisch schon. Aber natürlich haben die Unternehmen, bei denen ich mich nicht selbst angemeldet habe, das nicht. D.h. man sollte selbst entscheiden, wem man welche Daten gibt. Generell ist die Datenschutzmeinung, dass Cookies personenbeziehbare Informationen enthalten, für mich auch kaum nachvollziehbar. In 99.9% der Fällen werden diese Daten nie mit persönlichen Daten zusammengeführt, wegen der restlichen 0,1% und der theoretischen Zusammenführbarkeit wird das Thema von den Datenschützern aber so kritisch gesehen.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Ich kenne das Abkommen nicht in der Tiefe, aber prinzipiell scheinen mir die amerikanischen Datenschutzbestimmungen doch weniger scharf zu sein, als die deutschen. Von daher kann ich grundsätzliche Bedenken verstehen, wenn personenbezogene Daten in die USA versendet werden. Alleine der Bezug von Google und 23andme gibt mir zu denken.

Ich würde den OBA-Anbietern empfehlen, möglichst transparent mit den Daten umzugehen. Man braucht eine Opt-out Möglichkeit und eine Information, was über mich in meinem Profil gespeichert wurde. Am besten noch mit einer Erklärung, wie eine Profilbildung entstanden ist.
Webanalysedienste sehe ich weniger kritisch, weil hier keine personalisierte Werbung ausgespielt wird. Aber auch in der Webanalyse sollte größtmögliche Transparenz angestrebt werden, damit das Vertrauen der Nutzer nicht hintergangen wird.

Generell kann man sagen, dass das Thema leider häufig emotional und nicht sachlich diskutiert wird. Es gibt kaum ein Worst-Case-Szenario, vor dem ich selbst als Nutzer Angst hätte. Ich persönlich lasse alle Cookies zu und mir hat es bisher noch nicht geschadet. Wenn ich dann mal auf mich bezogene Werbung sehe, ist das für mich eher ein Nutzen als ein Schaden.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt, 7 Antworten zum Datenschutz: Uli Hegge und 7 Antworten zum Datenschutz: Christian Bennefeld in der kleinen Interview-Reihe erschienen.

In Internet, Politik datenschutz, datenschutzzentrum, facebook, Internet, like, privatsphäre, uld, werbung, widget

2 Klicks für mehr Datenschutz findet Facebook nicht gut

Nico — 2.09.2011 — 3 Comments

Gestern hat Heise seine Lösung 2 Klicks für mehr Datenschutz vorgestellt, um den vom ULD in Kiel aufgezeigten Datenschutzproblemen entgegenzuwirken:

Das Konzept ist einfach. Standardmäßig bettet heise online deaktivierte Buttons ein, die keinen Kontakt mit den Servern von Facebook & Co herstellen. Erst wenn der Anwender diese aktiviert und damit seine Zustimmung zur Kommunikation mit Facebook, Google oder Twitter erklärt, werden die Buttons aktiv und stellen die Verbindung her. Dann kann der Anwender mit einem zweiten Klick seine Empfehlung übermitteln. Ist er beim sozialen Netz seiner Wahl bereits angemeldet, erfolgt das bei Facebook und Google+ ohne ein weiteres Fenster. Bei Twitter erscheint ein Popup-Fenster, in dem man den Text des Tweets noch bearbeiten kann.

Die Resonanz auf diese Initiative von Heise ist sehr positiv, weil natürlich durch die Äußerungen des ULD eine gewisse Rechtsunsicherheit entstanden ist.

Naja, es gibt nicht nur positive Resonanz. Facebook findet die 2 Klicks für mehr Datenschutz nicht witzig:

Unterdessen hat Andreas van de Castel von Facebook die Beschwerde konkretisiert: “In Absatz I.8 wird untersagt Funktionen von Facebook nachzuahmen. Dies haben Sie mit der Abbildung des Empfehlen Buttons aber getan” erläutert der bei Facebook für Social Plugins zuständige van de Castel seine Interpretation der Sachlage. Allerdings nutzen die 2-Klick-Buttons nach wie vor die unveränderten Facebook-Funktionen, einzig die Form der Einbindung unterscheidet sich.

Sollte heise online der Aufforderung, den angeblichen Missbrauch abzustellen, nicht nachkommen, hätte dies eine Sperrung der Applikation zur Folge (was anhand der genutzten App-ID erfolgen würde) und könnte bei “wiederholter nicht policy-konformer Einbindung zu einem Blacklisting [der] Domain auf Facebook führen”. Damit könnten dann Inhalte von heise.de nicht mehr auf Facebook geteilt werden, erklärt van de Castel die weiteren Konsequenzen.

So, nun nimmt die ganze Thematik, angestossen vom ULD, noch einmal an Fahrt auf. Websitenbetreiber, die jetzt einen Like-Button einbinden wollen, befinden sich nun vollends zwischen Baum und Borke – sie verstoßen entweder gegen geltendes Recht, wenn man der Argumentation der ULD folgt, oder sie verstoßen gegen die AGB von Facebook, wenn man der Argumentation von Facebook folgt. Die Juristen werden sich freuen, unklare Rechtslagen sind ja immer gut fürs Geschäft. Die Argumente von Facebook helfen allerdings nicht gerade, das angeknackste Vertrauen in die Firma, insbesondere bei Themen rund um Datenschutz und Privatsphäre, wieder herzustellen.

In Social Media datenschutz, datenschutzzentrum, facebook, Internet, like, privatsphäre, uld, werbung, widget

7 Antworten zum Datenschutz: Christian Bennefeld

Nico — 1.09.2011 — 2 Comments

Die kleine Interview-Reihe 7 Fragen zum Datenschutz geht munter weiter – heute antwortet Christian Bennefeld, Geschäftsführer der etracker GmbH.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

An sich sind Widgets, Tracking-Pixel oder eingebundene Werbeplätze per se nicht problematisch. Sie sind Standard im Internet und Nutzer wie Unternehmen profitieren von diesen – oftmals kostenlos – eingebundenen Inhalten Dritter. Durch die direkte Einbindung der Widgets etc. werden diese jedoch bei jedem Website-Besuch von den Servern des Dienstanbieters geladen. Diese Anbieter haben so die Möglichkeit, in großem Umfang unbemerkt Nutzungsprofile der Website-Besucher über viele Websites hinweg zu sammeln und weiter zu verwerten. Dies ist auch der wesentliche Grund, warum die Dienste überhaupt „kostenfrei“ angeboten werden. Häufig ist dem Website-Betreiber aber gar nicht bewusst, dass er den Dienstanbieter mit den Nutzerprofilen seiner Besucher bezahlt. In der Regel findet dieser Abfluss von Daten völlig unbemerkt statt – Fachleute sprechen daher von dem Phänomen des „Data Leakage“.

Was ist so schlimm am Like-Button?

Die Datenschützer des ULD haben nun erkannt, dass auch der Facebook-Button gewöhnlich direkt von den Facebook-Servern geladen wird. Er ermöglicht Facebook damit die Erstellung sogar potentiell personenbezogener Nutzerprofile – auch außerhalb der eigentlichen Reichweite des Social Media Konzerns. Das bedeutet, Facebook hat mit dem Button die Möglichkeit, völlig unbemerkt detaillierteste Nutzungsdaten auf Millionen von Websites zu sammeln und kann so feingranulare Nutzerprofile erstellen. Aus den Nutzungs- und Bewegungsdaten des Besuchers können nämlich für zielgerichtete Werbung wichtige Attribute abgeleitet werden. Dies sind beispielsweise Kaufverhalten, Kaufkraft und aktuelle (Kauf-)Interessen genauso wie Geschlecht und Alter des Nutzers. Ganz nebenbei können so auch intime Details zu politischer, religiöser oder sexueller Orientierung aus dem Nutzungsverhalten abgeleitet und zu Nutzerprofilen verdichtet werden. Verbindet Facebook diese Nutzerprofile mit den vorhandenen personenbezogenen Daten, wie Name oder Handynummer entstehen personenbezogene Nutzerprofile, deren Erhebung nach den deutschen Datenschutzgesetzen ohne explizite Einwilligung des Betroffenen illegal sind. Gegen diesen Verstoß gehen die Datenschützer nun vor.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Die Technologien zur Analyse und Profilierung von Nutzern sind heute sehr fortgeschritten. Praktisch jedes Unternehmen nutzt beispielsweise Web-Analyse Software, um das Nutzungsverhalten auf der eigenen Website kennen zu lernen und die Website für die Nutzer zu optimieren. Dies muss jedoch im Einklang mit den deutschen Gesetzen erfolgen. Diese schreiben unter anderem vor, dass der Nutzer genau zum Zweck und Umfang der Datenspeicherung aufgeklärt werden muss. Gleichzeitig verbietet es der Gesetzgeber die zunächst pseudonymen Nutzerprofile mit personenbezogenen Daten – zu denen nach Ansicht der Landesdatenschützer auch die IP-Adresse gehört – zu verbinden. Zudem ist es zwingend notwendig, dem Nutzer ein Widerspruchsrecht – auch an seinem nur pseudonym gewonnenen Nutzerprofil – einzuräumen und dieses wirksam umzusetzen. Wenn dies alles vom Website-Betreiber beachtet wird, sind der Nutzer und seine Privatsphäre gut geschützt. Die Realität im heutigen Internet ist jedoch der „Wilde Westen“: Jeder macht, was er will. Gerade die großen Internet-Konzerne verstoßen häufig massiv gegen die deutschen Gesetze – aber bisher ohne, dass seitens der Datenschützer Sanktionen oder Verbote ausgesprochen wurden. Prominentestes Beispiel ist hier sicher Google Analytics. Seit sechs Jahren ist das System am deutschen Markt verfügbar und verstößt nach Ansicht der Datenschützer gegen die Gesetze – nur passiert ist bisher nichts und Google macht weiter wie bisher.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Man muss zwei Szenarien auseinander halten. Zum einen das Szenario des Website-Betreibers, der eine Web-Analyse Software auf der eigenen Website einsetzt. Er kann bei Verwendung einer datenschutzkonformen Software wichtige Anhaltspunkte zur Verbesserung und nutzerorientierten Ausrichtung seiner Website gewinnen.
Zum anderen das Szenario des (Internet)-Werbekonzerns. Er hat das Bestreben, sein eigenes Werbemodell besser zu monetarisieren. Dies kann er dann tun, wenn er die Werbung seiner Kunden möglichst zielgerichtet und streuverlustarm an die Konsumenten aussteuert. Dazu benötigt er eine genaue Kenntnis über das Nutzungs- und Konsumverhalten der Werbe-Konsumenten. Man spricht heute daher vom sogenannten „Behavioural Targeting“ – also der am Nutzungsverhalten des einzelnen Konsumenten ausgerichteten Werbeaussteuerung. So ist ein Pharma-Konzern, der ein Medikament für 20- bis 29-jährige männliche Diabetiker entwickelt hat, bereit, sehr hohe Werbepreise zu zahlen, um genau diese Zielgruppe zu bewerben und damit Streuverluste vermeidet. Der Internet- Werbekonzern kann mit dieser Art der zielgerichteten Werbung seine Werbeerlöse vervielfachen. Dies ist der Hintergrund, warum alle großen Werbekonzerne über vermeintlich „kostenlose“ Dienste massiv Nutzerprofile – auch auf fremden Webseiten – sammeln.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Die Internet-Nutzer sind heute noch sehr unbedarft im Umgang mit ihren personenbezogenen oder anderen intimen Daten und geben diese häufig bereitwillig an. Facebook, Google und Co. bieten im Gegenzug für die Datenangabe kostenlose Dienste wie Social Netzworks, E-Mail, Webspace oder Nachrichten-Aggregation. Zudem sammeln die Konzerne, wie oben geschildert, zahlreiche Nutzerprofile nicht nur auf den eigenen Seiten, sondern über „Like-Buttons“, Werbeeinblendungen und Web-Analysedienste auch auf Seiten, die nicht dem Konzern gehören. Die Datenschützer befürchten nun, dass die freiwillig angegebenen personenbezogenen Daten mit den detaillierten Nutzungsprofilen verbunden werden, was heute technisch kein Problem darstellt. Die Monetarisierung erfolgt entweder über das konzerneigene Werbemodell oder durch den Verkauf der Nutzerprofile an Dritte. Hier ist gerade in jüngster Vergangenheit ein neuer Marketing-Trend erkennbar, bei dem für eine Werbeaussteuerung auf das Profil des Nutzers geboten wird. Das sogenannte „Real Time Bidding“ benötigt granulare Nutzerprofile, die zu Höchstpreisen gehandelt werden.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Das Safe-Harbour-Abkommen ist eine Erfindung der US-amerikanischen FTC, der Federal Trade Commission. Diese hat sich dem Schutz der amerikanischen Konsumenten verschrieben und möchte das Wachstum des amerikanischen Handels fördern. Das Safe-Harbour-Abkommen soll europäischen Unternehmen beim Datenaustausch mit amerikanischen Unternehmen das gleiche Datenschutzniveau bieten wie in Europa. Fakt ist aber, dass die FTC weder jemals die Einhaltung der Bestimmungen bei den amerikanischen Unternehmen aktiv geprüft hat, noch hat es je eine Untersuchung oder gar Sanktionen seitens der FTC gegeben, wenn der Verdacht auf Verstoß gegen die europäischen Datenschutzgesetze vorlag. Das Abkommen ist daher nach meiner Ansicht reine Makulatur, um amerikanischen Unternehmen den Zugang zu Europa zu erleichtern. Es dient aber in keinster Weise dem Schutz der europäischen Bürger gegen die Datensammelwut der amerikanischen Konzerne.

Zunächst einmal gilt es, den Nutzer transparent über die Datensammlung – auch durch Facebook- Like oder andere „kostenlose“ Dienste aufzuklären. Der informierte Nutzer sollte dann die Kontrolle über seine Daten bekommen. Das bedeutet, es muss ihm zu jeder Zeit die Möglichkeit gegeben werden, auf einfache Weise die über ihn gespeicherten Daten und Nutzungsprofile einzusehen und der Speicherung zu widersprechen. Zudem sollte der Nutzer stets seine explizite Einwilligung erteilen müssen, wenn seine personenbezogenen Daten mit Nutzungsprofildaten verknüpft werden. Um dies zu erreichen, müssen nicht etwa die Gesetze geändert werden. Denn genau diese Punkte schreiben Telemedien- und Bundesdatenschutzgesetze bereits seit mehr als 10 Jahren vor. Es ist nach meiner Ansicht an der Zeit, dass die Datenschutzbehörden unsere Gesetze endlich auch durchsetzen, Verstöße öffentlich sanktionieren um damit zu dem vom Gesetzgeber vorgeschriebenen Schutzniveau zu gelangen. Die Zeit des „Internet Wilden Westens“, wo jeder macht, was technisch möglich ist, muss ein Ende haben. Der „Naivität“ der Bürger, zu glauben, es gäbe etwas kostenlos im Leben, können wir durch Aufklärung alleine nicht begegnen. Dass man auch durch gesetzeskonforme Datensammlung Geld verdienen kann, zeigen einige deutsche Unternehmen, die sich einer Prüfung durch die Datenschutzbehörden unterzogen haben. Die Frage, warum die Internet-Konzerne dies nachhaltig nicht tun, muss den Konzernlenkern gestellt werden.

Vielen Dank!