Archives For uld

Christian SauerDie kleine Interview-Reihe 7 Fragen zum Datenschutz geht in die nächste Runde – heute antwortet Christian Sauer, Geschäftsführer der Webtrekk GmbH.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Grundsätzlich denke ich, dass die ganze Diskussion zu dem Thema derzeit zu aufgeheizt ist und leider mit sehr viel mit diffuser Angst argumentiert wird. Das Problematischste an dem Thema ist sicherlich, dass man nicht genügend darüber informiert wird, was über mich auf meinem Rechner gespeichert wird. Hier sehe ich den größten Nachholbedarf und ein branchenverbindlicher Standard wäre wünschenswert. Nicht nur für Opt-outs, sondern auch über die Information zur Profilbildung.

Was ist so schlimm am Like-Button?

Hier kann ich die Datenschutzbehörde ausnahmsweise mal verstehen. Ich bin ja ständig bei Facebook eingeloggt und somit kann Facebook alle Seiten, die ich besuche und die mit einem Like-Button versehen sind, zu meiner Profilbildung heranziehen. Selbst wenn ich nicht auf den Like-Button klicke. D.h. Facebook weiß, wenn ich mir auf Bildde das Oben-ohne Mädchen angucke. Das ist den meisten Internetnutzern einfach nicht bewusst. Angeblich entwickelt Facebook ja auch einen Adserver, auf dem man dann außerhalb des Netzwerks personalisierte Werbung schalten kann.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

In den allermeisten Fällen passiert rein gar nichts. Die wenigsten Unternehmen nutzen die Daten in irgendeiner Form zur Profilbildung, d.h. individualisieren den Content innerhalb einer Seite. In Werbenetzwerken allerdings werden immer häufiger solche Profile gebildet, die sich aus der Nutzung des Internet über verschiedene Seiten zusammen setzen. Hier sollten auf jeden Fall klare Informationspflichten und Opt-out Möglichkeiten geboten werden.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

In erster Linie tracken die Unternehmen, um das Erlebnis des Nutzers auf der Seite zu optimieren. Wie könnte ich denn die Nutzerfreundlichkeit meiner Webseite erhöhen, wenn ich nicht weiß, wie viele Nutzer auf der Seite welche Angebote nutzen. Ich finde auch, dass sich z.B. die Checkouts in Online-Shops dramatisch verbessert haben, auch wenn es hier und da noch Optimierungspotenzial gibt. Man stelle sich nur mal vor, wie das aussehen würde, wenn man Abbruchquoten nicht messen dürfte.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Facebook hat das theoretisch schon. Aber natürlich haben die Unternehmen, bei denen ich mich nicht selbst angemeldet habe, das nicht. D.h. man sollte selbst entscheiden, wem man welche Daten gibt. Generell ist die Datenschutzmeinung, dass Cookies personenbeziehbare Informationen enthalten, für mich auch kaum nachvollziehbar. In 99.9% der Fällen werden diese Daten nie mit persönlichen Daten zusammengeführt, wegen der restlichen 0,1% und der theoretischen Zusammenführbarkeit wird das Thema von den Datenschützern aber so kritisch gesehen.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Ich kenne das Abkommen nicht in der Tiefe, aber prinzipiell scheinen mir die amerikanischen Datenschutzbestimmungen doch weniger scharf zu sein, als die deutschen. Von daher kann ich grundsätzliche Bedenken verstehen, wenn personenbezogene Daten in die USA versendet werden. Alleine der Bezug von Google und 23andme gibt mir zu denken.

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Ich würde den OBA-Anbietern empfehlen, möglichst transparent mit den Daten umzugehen. Man braucht eine Opt-out Möglichkeit und eine Information, was über mich in meinem Profil gespeichert wurde. Am besten noch mit einer Erklärung, wie eine Profilbildung entstanden ist.
Webanalysedienste sehe ich weniger kritisch, weil hier keine personalisierte Werbung ausgespielt wird. Aber auch in der Webanalyse sollte größtmögliche Transparenz angestrebt werden, damit das Vertrauen der Nutzer nicht hintergangen wird.

Generell kann man sagen, dass das Thema leider häufig emotional und nicht sachlich diskutiert wird. Es gibt kaum ein Worst-Case-Szenario, vor dem ich selbst als Nutzer Angst hätte. Ich persönlich lasse alle Cookies zu und mir hat es bisher noch nicht geschadet. Wenn ich dann mal auf mich bezogene Werbung sehe, ist das für mich eher ein Nutzen als ein Schaden.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt, 7 Antworten zum Datenschutz: Uli Hegge und 7 Antworten zum Datenschutz: Christian Bennefeld in der kleinen Interview-Reihe erschienen.

Gestern hat Heise seine Lösung 2 Klicks für mehr Datenschutz vorgestellt, um den vom ULD in Kiel aufgezeigten Datenschutzproblemen entgegenzuwirken:

Das Konzept ist einfach. Standardmäßig bettet heise online deaktivierte Buttons ein, die keinen Kontakt mit den Servern von Facebook & Co herstellen. Erst wenn der Anwender diese aktiviert und damit seine Zustimmung zur Kommunikation mit Facebook, Google oder Twitter erklärt, werden die Buttons aktiv und stellen die Verbindung her. Dann kann der Anwender mit einem zweiten Klick seine Empfehlung übermitteln. Ist er beim sozialen Netz seiner Wahl bereits angemeldet, erfolgt das bei Facebook und Google+ ohne ein weiteres Fenster. Bei Twitter erscheint ein Popup-Fenster, in dem man den Text des Tweets noch bearbeiten kann.

Die Resonanz auf diese Initiative von Heise ist sehr positiv, weil natürlich durch die Äußerungen des ULD eine gewisse Rechtsunsicherheit entstanden ist.

Naja, es gibt nicht nur positive Resonanz. Facebook findet die 2 Klicks für mehr Datenschutz nicht witzig:

Unterdessen hat Andreas van de Castel von Facebook die Beschwerde konkretisiert: “In Absatz I.8 wird untersagt Funktionen von Facebook nachzuahmen. Dies haben Sie mit der Abbildung des Empfehlen Buttons aber getan” erläutert der bei Facebook für Social Plugins zuständige van de Castel seine Interpretation der Sachlage. Allerdings nutzen die 2-Klick-Buttons nach wie vor die unveränderten Facebook-Funktionen, einzig die Form der Einbindung unterscheidet sich.

Sollte heise online der Aufforderung, den angeblichen Missbrauch abzustellen, nicht nachkommen, hätte dies eine Sperrung der Applikation zur Folge (was anhand der genutzten App-ID erfolgen würde) und könnte bei “wiederholter nicht policy-konformer Einbindung zu einem Blacklisting [der] Domain auf Facebook führen”. Damit könnten dann Inhalte von heise.de nicht mehr auf Facebook geteilt werden, erklärt van de Castel die weiteren Konsequenzen.

So, nun nimmt die ganze Thematik, angestossen vom ULD, noch einmal an Fahrt auf. Websitenbetreiber, die jetzt einen Like-Button einbinden wollen, befinden sich nun vollends zwischen Baum und Borke – sie verstoßen entweder gegen geltendes Recht, wenn man der Argumentation der ULD folgt, oder sie verstoßen gegen die AGB von Facebook, wenn man der Argumentation von Facebook folgt. Die Juristen werden sich freuen, unklare Rechtslagen sind ja immer gut fürs Geschäft. Die Argumente von Facebook helfen allerdings nicht gerade, das angeknackste Vertrauen in die Firma, insbesondere bei Themen rund um Datenschutz und Privatsphäre, wieder herzustellen.

Christian BennefeldDie kleine Interview-Reihe 7 Fragen zum Datenschutz geht munter weiter – heute antwortet Christian Bennefeld, Geschäftsführer der etracker GmbH.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

An sich sind Widgets, Tracking-Pixel oder eingebundene Werbeplätze per se nicht problematisch. Sie sind Standard im Internet und Nutzer wie Unternehmen profitieren von diesen – oftmals kostenlos – eingebundenen Inhalten Dritter. Durch die direkte Einbindung der Widgets etc. werden diese jedoch bei jedem Website-Besuch von den Servern des Dienstanbieters geladen. Diese Anbieter haben so die Möglichkeit, in großem Umfang unbemerkt Nutzungsprofile der Website-Besucher über viele Websites hinweg zu sammeln und weiter zu verwerten. Dies ist auch der wesentliche Grund, warum die Dienste überhaupt „kostenfrei“ angeboten werden. Häufig ist dem Website-Betreiber aber gar nicht bewusst, dass er den Dienstanbieter mit den Nutzerprofilen seiner Besucher bezahlt. In der Regel findet dieser Abfluss von Daten völlig unbemerkt statt – Fachleute sprechen daher von dem Phänomen des „Data Leakage“.

Was ist so schlimm am Like-Button?

Die Datenschützer des ULD haben nun erkannt, dass auch der Facebook-Button gewöhnlich direkt von den Facebook-Servern geladen wird. Er ermöglicht Facebook damit die Erstellung sogar potentiell personenbezogener Nutzerprofile – auch außerhalb der eigentlichen Reichweite des Social Media Konzerns. Das bedeutet, Facebook hat mit dem Button die Möglichkeit, völlig unbemerkt detaillierteste Nutzungsdaten auf Millionen von Websites zu sammeln und kann so feingranulare Nutzerprofile erstellen. Aus den Nutzungs- und Bewegungsdaten des Besuchers können nämlich für zielgerichtete Werbung wichtige Attribute abgeleitet werden. Dies sind beispielsweise Kaufverhalten, Kaufkraft und aktuelle (Kauf-)Interessen genauso wie Geschlecht und Alter des Nutzers. Ganz nebenbei können so auch intime Details zu politischer, religiöser oder sexueller Orientierung aus dem Nutzungsverhalten abgeleitet und zu Nutzerprofilen verdichtet werden. Verbindet Facebook diese Nutzerprofile mit den vorhandenen personenbezogenen Daten, wie Name oder Handynummer entstehen personenbezogene Nutzerprofile, deren Erhebung nach den deutschen Datenschutzgesetzen ohne explizite Einwilligung des Betroffenen illegal sind. Gegen diesen Verstoß gehen die Datenschützer nun vor.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Die Technologien zur Analyse und Profilierung von Nutzern sind heute sehr fortgeschritten. Praktisch jedes Unternehmen nutzt beispielsweise Web-Analyse Software, um das Nutzungsverhalten auf der eigenen Website kennen zu lernen und die Website für die Nutzer zu optimieren. Dies muss jedoch im Einklang mit den deutschen Gesetzen erfolgen. Diese schreiben unter anderem vor, dass der Nutzer genau zum Zweck und Umfang der Datenspeicherung aufgeklärt werden muss. Gleichzeitig verbietet es der Gesetzgeber die zunächst pseudonymen Nutzerprofile mit personenbezogenen Daten – zu denen nach Ansicht der Landesdatenschützer auch die IP-Adresse gehört – zu verbinden. Zudem ist es zwingend notwendig, dem Nutzer ein Widerspruchsrecht – auch an seinem nur pseudonym gewonnenen Nutzerprofil – einzuräumen und dieses wirksam umzusetzen. Wenn dies alles vom Website-Betreiber beachtet wird, sind der Nutzer und seine Privatsphäre gut geschützt. Die Realität im heutigen Internet ist jedoch der „Wilde Westen“: Jeder macht, was er will. Gerade die großen Internet-Konzerne verstoßen häufig massiv gegen die deutschen Gesetze – aber bisher ohne, dass seitens der Datenschützer Sanktionen oder Verbote ausgesprochen wurden. Prominentestes Beispiel ist hier sicher Google Analytics. Seit sechs Jahren ist das System am deutschen Markt verfügbar und verstößt nach Ansicht der Datenschützer gegen die Gesetze – nur passiert ist bisher nichts und Google macht weiter wie bisher.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Man muss zwei Szenarien auseinander halten. Zum einen das Szenario des Website-Betreibers, der eine Web-Analyse Software auf der eigenen Website einsetzt. Er kann bei Verwendung einer datenschutzkonformen Software wichtige Anhaltspunkte zur Verbesserung und nutzerorientierten Ausrichtung seiner Website gewinnen.
Zum anderen das Szenario des (Internet)-Werbekonzerns. Er hat das Bestreben, sein eigenes Werbemodell besser zu monetarisieren. Dies kann er dann tun, wenn er die Werbung seiner Kunden möglichst zielgerichtet und streuverlustarm an die Konsumenten aussteuert. Dazu benötigt er eine genaue Kenntnis über das Nutzungs- und Konsumverhalten der Werbe-Konsumenten. Man spricht heute daher vom sogenannten „Behavioural Targeting“ – also der am Nutzungsverhalten des einzelnen Konsumenten ausgerichteten Werbeaussteuerung. So ist ein Pharma-Konzern, der ein Medikament für 20- bis 29-jährige männliche Diabetiker entwickelt hat, bereit, sehr hohe Werbepreise zu zahlen, um genau diese Zielgruppe zu bewerben und damit Streuverluste vermeidet. Der Internet- Werbekonzern kann mit dieser Art der zielgerichteten Werbung seine Werbeerlöse vervielfachen. Dies ist der Hintergrund, warum alle großen Werbekonzerne über vermeintlich „kostenlose“ Dienste massiv Nutzerprofile – auch auf fremden Webseiten – sammeln.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Die Internet-Nutzer sind heute noch sehr unbedarft im Umgang mit ihren personenbezogenen oder anderen intimen Daten und geben diese häufig bereitwillig an. Facebook, Google und Co. bieten im Gegenzug für die Datenangabe kostenlose Dienste wie Social Netzworks, E-Mail, Webspace oder Nachrichten-Aggregation. Zudem sammeln die Konzerne, wie oben geschildert, zahlreiche Nutzerprofile nicht nur auf den eigenen Seiten, sondern über „Like-Buttons“, Werbeeinblendungen und Web-Analysedienste auch auf Seiten, die nicht dem Konzern gehören. Die Datenschützer befürchten nun, dass die freiwillig angegebenen personenbezogenen Daten mit den detaillierten Nutzungsprofilen verbunden werden, was heute technisch kein Problem darstellt. Die Monetarisierung erfolgt entweder über das konzerneigene Werbemodell oder durch den Verkauf der Nutzerprofile an Dritte. Hier ist gerade in jüngster Vergangenheit ein neuer Marketing-Trend erkennbar, bei dem für eine Werbeaussteuerung auf das Profil des Nutzers geboten wird. Das sogenannte „Real Time Bidding“ benötigt granulare Nutzerprofile, die zu Höchstpreisen gehandelt werden.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Das Safe-Harbour-Abkommen ist eine Erfindung der US-amerikanischen FTC, der Federal Trade Commission. Diese hat sich dem Schutz der amerikanischen Konsumenten verschrieben und möchte das Wachstum des amerikanischen Handels fördern. Das Safe-Harbour-Abkommen soll europäischen Unternehmen beim Datenaustausch mit amerikanischen Unternehmen das gleiche Datenschutzniveau bieten wie in Europa. Fakt ist aber, dass die FTC weder jemals die Einhaltung der Bestimmungen bei den amerikanischen Unternehmen aktiv geprüft hat, noch hat es je eine Untersuchung oder gar Sanktionen seitens der FTC gegeben, wenn der Verdacht auf Verstoß gegen die europäischen Datenschutzgesetze vorlag. Das Abkommen ist daher nach meiner Ansicht reine Makulatur, um amerikanischen Unternehmen den Zugang zu Europa zu erleichtern. Es dient aber in keinster Weise dem Schutz der europäischen Bürger gegen die Datensammelwut der amerikanischen Konzerne.

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Zunächst einmal gilt es, den Nutzer transparent über die Datensammlung – auch durch Facebook- Like oder andere „kostenlose“ Dienste aufzuklären. Der informierte Nutzer sollte dann die Kontrolle über seine Daten bekommen. Das bedeutet, es muss ihm zu jeder Zeit die Möglichkeit gegeben werden, auf einfache Weise die über ihn gespeicherten Daten und Nutzungsprofile einzusehen und der Speicherung zu widersprechen. Zudem sollte der Nutzer stets seine explizite Einwilligung erteilen müssen, wenn seine personenbezogenen Daten mit Nutzungsprofildaten verknüpft werden. Um dies zu erreichen, müssen nicht etwa die Gesetze geändert werden. Denn genau diese Punkte schreiben Telemedien- und Bundesdatenschutzgesetze bereits seit mehr als 10 Jahren vor. Es ist nach meiner Ansicht an der Zeit, dass die Datenschutzbehörden unsere Gesetze endlich auch durchsetzen, Verstöße öffentlich sanktionieren um damit zu dem vom Gesetzgeber vorgeschriebenen Schutzniveau zu gelangen. Die Zeit des „Internet Wilden Westens“, wo jeder macht, was technisch möglich ist, muss ein Ende haben. Der „Naivität“ der Bürger, zu glauben, es gäbe etwas kostenlos im Leben, können wir durch Aufklärung alleine nicht begegnen. Dass man auch durch gesetzeskonforme Datensammlung Geld verdienen kann, zeigen einige deutsche Unternehmen, die sich einer Prüfung durch die Datenschutzbehörden unterzogen haben. Die Frage, warum die Internet-Konzerne dies nachhaltig nicht tun, muss den Konzernlenkern gestellt werden.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami, 7 Antworten zum Datenschutz: Martina Pickhardt und 7 Antworten zum Datenschutz: Uli Hegge in der kleinen Interview-Reihe erschienen.

Uli HeggeKürzlich hatte ich 7 Fragen zum Datenschutz gestellt und heute antwortet netterweise Uli Hegge. Uli Hegge ist Medienunternehmer, war zuletzt Chef des Burda iLabs und davor Gründer des Behavioral Targeting Anbieters Wunderloop.

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

Allen gemeinsam ist das Verlassen der “sichtbaren Gefilde”, d.h. es werden Daten mit externen Systemen ausgetauscht. Per se ist das nicht problematisch, es kommt natürlich auf die Art der ausgetauschten Daten an.
Nur im Einzelfall lässt sich beurteilen, was wirklich passiert. Und für das Verständnis und die Beurteilung ist (falls die entsprechende Offenlegung des Externen fehlt) technisches Verständnis erforderlich, das weit über das des Durchschnitts-Nutzers hinausgeht.
Es ist durchaus möglich, bei der Nutzung nach deutschem Recht Datenschutz-konform zu sein – wenn die Datenschutzrichtlinie korrekt formuliert ist, und eine entsprechende Anonymisierung erfolgt oder wirksam eingeholte Einwilligungen vorliegen.

Was ist so schlimm am Like-Button?

Das er manchmal Seitenaufrufe verlangsamt ;) – Nee, im Prinzip gilt das Gleiche wie für alle Einbindungen externer Plug-ins, siehe oben. Das Besondere des Like-Button ist die automatische Übertragung der IP-Adressen aller Besucher, die eine Site mit dem Like-Button aufrufen. Die IP-Adresse, auch eine dynamische, wird von Datenschützern ganz überwiegend als personenbezogen und damit als datenschutzrechtlich relevant angesehen.
Falls, wie Facebook sagt, die IP-Adressen der deutschen Besucher so anonymisiert werden, dass sie nicht personenbezogen sind, wäre der entsprechende Kritikpunkt hinfällig. Allerdings ist eine für deutsche Datenschützer ausreichende Anonymisierung nicht so trivial, wie sie sich zunächst anhört (die letzten 3 Zahlen filtern, beispielsweise). Entscheidend sind u.a. der Zeitpunkt, zu dem die Anonymisierung stattfindet, und wer diese durchführt. Sobald eine theoretische Möglichkeit bestünde, dass der Anbieter aus für ihn im Zugriff befindlichen Daten einen Personenbezug rekonstruieren kann, wäre das nach dieser Ansicht schon ein K.o.-Kriterium. Die vermeintliche Anonymisierung wäre keine.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Hmm, bisschen offene Frage, oder? Inhalte, Produkte, Werbung können relevanter sein, die User Experience verbessert werden… oder ich werde ausspioniert, aufschlussreiche private Daten verwertet und ich bekomme in meinem ganz realen Leben Probleme.
Und genau das ist das Spannungsfeld, das sich um dieses Thema spannt.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Siehe vorherige Frage: Um bessere Angebote zu machen, und damit mehr Geld zu verdienen. Und dafür ist es für fast alle Business Modelle nicht wirklich relevant, ob da “Uli Hegge” sitzt. Sondern ob da jemand ist, der gerade oder grundsätzlich Interesse an … haben könnte. Auch für die Verbesserung von Datenmodellen ist, sofern es nicht um Direktmarketing geht, “Uli Hegge” als Individuum irrelevant.
Die böse Variante: Um Nutzer auszuspionieren, und dann eben damit Geld zu machen. Allerdings: Richtige Bad Guys setzen Malware ein, weil typischerweise die durch Standard-Tracking erhobenen Daten für “skalierende kriminelle Aktivitäten” kaum ausreichen dürften. Warum? Siehe nächste Frage:

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung,
Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen
die Unternehmen damit jetzt Geld?

Für die in der ersten und zweiten Frage genannten Dienste: Nein, zumindest wäre mir das nicht bekannt bisher. Da muss ich schon noch selbst bei einem Kauf/Gewinnspiel/… aktiv diese Angaben machen.
Und Geld wird z.B. durch mehr Nutzung = höhere Werbeerlöse / bessere Produktangebote = höhere Conversion/Upsells / präzisere Zielgruppenaussteuerung = höhere Kontaktpreise verdient.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Tja, wenn das wirklich nachvollziehbar und kontrollierbar wäre. Und hat schon mal jemand versucht, Ansprechpartner für die Informationspflicht der US-Unternehmen zu finden, und das auch durchzusetzen? Ich kenne (noch) niemanden.
Abgesehen davon sind die Anforderungen, gemessen an den aktuellen Diskussionen, nicht gerade anspruchsvoll.

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Das mit dem Geld verdienenen funktioniert teilweise schon gar nicht so schlecht – allerdings nur für die wirklich Großen wie Google und Facebook. Durch die (notwendige) Masse an Daten und deren derzeit mehr oder weniger geschickte Nutzung ist die Qualität der Services (meist) sehr gut und eine ständig optimierte Vermarktung möglich.

Das Verständnis von “Datenschutz” muss sich grundsätzlich wandeln, die entscheidenden Fragen neu gestellt und beantwortet werden: Wer oder was muss vor wem geschützt werden? Die bisherigen Denkmodelle hinter den Gesetzen und deren mehrheitlicher Auslegung sind definitiv nicht auf die Internationalität und die technischen Möglichkeiten des Internets ausgelegt.

Kurzform: Was tatsächlich passiert, wie das kontrolliert werden kann, und wie die Nutzer mit ihren Daten umgehen können (wenn sie wollen), sind meiner Meinung nach die zentralen Fragen.
Ist es beispielsweise möglich, die technische und rechtliche Bewertung in ein simples, verpflichtendes und zertifiziertes Ampel-Modell zu bringen? Nur als Denkanstoss: Grün ist anonym, Gelb bedarf expliziter Nutzerentscheidungen, Rot ist personenbezogen und verlangt nach Opt-in. Und diese Informationen gibt es an einer zentralen Stelle auf jeder Site für alle genutzten Dienste, in einem einheitlichen Format.
Die Zertifizierung bedingt klare, verpflichtende Regelungen mit eindeutigen Zuständigkeiten. Das heisst das Gegenteil von dem, was gerade in der EU passiert.
Und die Back-ends können über sichere (ja, ich weiß) APIs gegenseitige standardisierte Abfragen machen. Verschiedene Anwendungen nutzen die gleiche Privacy-Infrastruktur, während der Nutzer über seinen Key den zentralen Access kontrolliert. Eingesetzt wird es vom Browser-Plugin bis zum personalisierten Fernseher.

Wahrscheinlich in der Form kompletter Blödsinn, aber ich halte es für notwendig, andere Denkrichtungen mal in Praxis-Szenarien zu übersetzen.

Eine Anmerkung zum Schluss: Relevant ist übrigens auch sicher die Beobachtung, dass in jeder Befragung die Nutzer ganz überwiegend superharte Datenschutz-Regelungen und entsprechende Funktionen fordern. Tatsächlich gibt es reichlich Beispiele, dass überhaupt nicht reagiert wird, sobald die wahrgenommenen Vorteile überwiegen. Zuletzt schön zu beobachten beim Versuch deutscher Social Networks, sich über das Thema Datenschutz in Abgrenzung zu Facebook zu profilieren und Nutzer zu gewinnen – der Erfolg ist an den Nutzerzahlen abzulesen.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes, 7 Antworten zum Datenschutz: fukami und 7 Antworten zum Datenschutz: Martina Pickhardt in der kleinen Interview-Reihe erschienen.

Martina PickhardtKürzlich hatte ich 7 Fragen zum Datenschutz gestellt – heute antwortet Martina Pickhardt.Martina Pickhardt ist Senior Management Consultant und seit 2004 als freie Strategieberaterin in den Bereichen Personalisierung und neue Medien tätig. Sie bloggt zu selten auf themenriff.de und twittert als @pickihh

Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?

“Problematisch” ist da eine Frage der Perspektive. Für manche ist es ein Know-How Problem diese Dinge auf ihren Websites richtig einzubauen, einige wissen nicht, was bei diesen “Einbauten” eigentlich im Hintergrund passiert – nämlich sogenannte “Bewegungsdaten” aufzuzeichen, d.h. wohin klicke ich auf einer Website (wobei “ich” im Regelfall eine IP-Adresse ist, und die dritte Gruppe weiß manchmal nicht, wie sie die diese Daten intelligent verwerten soll.

Ein ernsthaftes Problem sehen einige darin, das das “Ich” der IP-Adresse unter Umständen mit anderen personenbezogenen Daten der Website (zum Beispiel, wenn ich meinen Namen und meine Adresse hinterlassen habe) kombiniert werden und es zu mißbräuchlicher Nutzung kommen könnte.

Was ist so schlimm am Like-Button?

Wenn ein Benutzer zu dem Zeitpunkt, an dem der den Like-Button klickt, bei Facebook eingeloggt ist, ist dieser Klick seinem persönlichen Facebook-Konto zuzuordnen. Im Fall, das er es nicht ist, wird die IP-Adresse übertragen. Datenschutzrechtlich ist momentan jedoch vorgesehen, das ein User über die Übertragung solcher “personenbezogenen” Daten BEVOR er den Like-Button klickt, informiert wird.

Oberflächlich gesehen ist der Like-Button überhaupt nicht schlimm, denn zumindest als Facebook-Nutzer ist es ja auch exakt der Zweck des Klicks auf den Button, das dieses “Like” meinem Konto zugeordnet wird und andere sehen können, was ich gut finde.

Viele finden es kritisch, das Facebook technisch in der Lage ist, auf Personenebene Interessensprofile und Bewegungsmuster zu erkennen und zu analysieren. Noch kritischer ist, das Facebook als amerikanisches Unternehmen nicht ohne weiteres über das deutsche oder europäische Datenschutzrecht zu fassen ist.

Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?

Unternehmen können Bewegungsprofile anlegen um Zielgruppen zu bilden und diese für Werbezwecke anderen Unternehmen zur Verfügung stellen. Solange diese Zielgruppen anonymisiert und pseudonymisiert sind, ist alles in Ordnung.

Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?

Damit sie erfahren, was die Nutzer interessiert. Je genauer ein Unternehmen dies weiß, umso präziser können sie im Internet Werbung für ihre Produkte platzieren. Davon versprechen sie sich höhere Umsatzzahlen und bessere, weil interessiertere und damit langfristigere Kunden.

Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?

Namen, Adresse, Bankverbindung und Namen der Haustiere erhalten die Unternehmen erst in dem Moment, in dem ich diese Daten in einem Formular eintrage (zum Beispiel, wenn ich etwas im Internet kaufe). Die Bankverbindung wird bei vielen eCommerce-Anbietern überhaupt nicht beim Unternehmen direkt gespeichert, sondern bei einem dritten Dienstleister, der den Zahlungsprozess regelt.

Ob ein Unternehmen diese Daten anderen Unternehmen zu Werbezwecken zur Verfügung stellt, hängt davon ab, welche Einwilligung ich zur Nutzung der Daten gebe. Diese Einwillung wird meistens am Ende eines Bestellvorgangs über eine sogenannte Checkbox abgefragt und muss aktiv gegeben werden. Das heißt der User soll sich über dieses Einverständnis im Klaren sein und er darf nicht dazu gezwungen werden, sondern gibt sein Einverständnis stets freiwillig. Bankverbindungsdaten dürfen übrigens nicht zu Werbezwecken weitergegeben werden.

Alle anderen Daten werden pseudonymisiert und anonymisiert zu Zielgruppen zusammengefasst. Diese Zielgruppen werden anderen Unternehmen für Werbezwecke zur Verfügung gestellt. Dummerweise gibt es hier sehr viele Varianten, wie das genau geschieht und es gibt immer wieder schwarze Schafe.

Transparenz für den User gibt es derzeit nicht, einen erkennbaren Schaden allerdings auch nicht.

Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?

Ja, es wäre sicher sehr spannend eine Überprüfung auf Einhaltung des Safe Harbour Abkommens der beigetretenen Unternehmen durchzuführen. Vorausgesetzt man findet den entsprechenden Ansprechpartner in den Unternehmen. <- Zynismus

Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?

Transparenz, Transparenz, Transparenz. Und bei der Nutzung von Webdiensten die Wahlfreiheit lassen, zwischen kostenlos und werbefinanziert auf Basis meiner Daten auf der einen Seite und Abogebühr und Werbefrei auf der anderen Seite.

Vielen Dank!

Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes und 7 Antworten zum Datenschutz: fukami in der kleinen Interview-Reihe erschienen.