Kontakt aufnehmen

Verschlüsselte Kontaktmöglichkeit (PGP): siehe Impressum.

Henning Tillmann

Softwareentwicklung. Mediengestaltung. Sozialdemokratie.

Knorrpromenade 2
10245 Berlin
Tel. + 49 (0) 30 49 20 83 22

Impressum

Der Facebook-Like-Button oder: das Datenschutzproblem seit 20 Jahren (PrivacyImg)

Erstellt am Dienstag, 25. Oktober 2011

Gestern tagte der Unterausschuss Neue Medien des Deutschen Bundestages. Es ging vor allem um die Datenschutzprobleme, die durch den Like-Button von verursacht werden. Das Unabhängige Landeszentrum für Schleswig-Holstein ( SH) drohte Websitebetreibern gar mit Bußgeldern in Höhe von 50.000 Euro, wenn auf der entsprechenden Website ein „Like“-Button eingebaut ist. Doch das, was Facebook macht, gibt es bereits seit 20 Jahren. Der Übeltäter ist ein einfaches Bild. Ein interaktives Beispiel.

PrivacyImg - Ein interaktives Beispiel. Konfiguration ueber http://tilli.me/privacyimg
: Ein interaktives Beispiel für Übertragung von -Kopfdaten
durch Einbindung von Grafiken. Konfiguration und Löschung der Daten hier möglich.

Ich muss zu Beginn etwas ausholen, um die technischen Grundlagen etwas zu verdeutlichen. 1989 begann die Entwicklung der Web-Protokolls HTTP und der Seitenbeschreibungssprache HTML. Beide zusammen sind die elementaren Grundlagen des größten und meistgenutzten Teil des Internets: das World Wide Web. Seit (fast) ganz zu Beginn von ist es möglich, Bilder und Grafiken auf Webseiten einzubauen. Dabei ist es vollkommen egal, ob die einzubindende Grafik auf dem gleichen Server wie auch die Website selbst liegt oder aber auf einem fremden Server, der tausende Kilometer entfernt ist. Dies hat auch einen guten Grund: Manchmal handelt es sich um dynamische Bilder (z. B. Hit-Counter), die nicht auf dem eigenen Server generiert werden können oder der eigene Traffic (Datenverkehr) ist beschränkt und man ist auf leistungsfähigere andere Server angewiesen. Damit ein Webbrowser Dokumente (und auch Bilder) darstellen kann, stellt der Computer des Site-Besuchers eine HTTP-Verbindung zu den Webservern her. Bei jeder Verbindung werden sogenannte Kopfdaten übertragen (manche von HTTP selbst, andere von darunterliegenden Protokollen wie TCP oder IP), die einige Informationen über den Websitebesucher beinhalten, u. a. die IP-Adresse oder aber Cookies, die für die aufzurufende Website (genauer gesagt: Domäne/Server) angelegt wurden. Außerdem wird ein sogenannter Referrer übertragen; also die Webadresse, von der man zuvor kommt. Bei Bildern heißt dies: Die Website, die das aufzurufende Bild enthält. All dies ist schon seit 20 Jahren so.

Gestern sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, im Unterausschuss Neue Medien, dass es prinzipiell zwei Arten von Einbindung fremder Inhalte gibt: einerseits die Verlinkung und andererseits Frames oder Skripte. Diese Aussage enthält gleich zwei Fehler.

  1. Eine Verlinkung ist keine Einbindung. Inhalte von fremden Server werden eben nicht abgerufen. Der/die Nutzer/in kann durch einen Klick eine andere Seite aufrufen.
  2. Natürlich gibt es die Einbindung von fremden Inhalten in Form von Frames oder Skripten. Aber die häufigste Einbindung fremder Inhalte sind einfache Grafiken, die über das HTML-Tag <img /> geladen werden. Natürlich kann es sich auch um sog. Stylesheets oder andere Dateitypen handeln.

Das interaktive Beispiel

Nach dem Unterausschuss habe ich kurzerhand ein kleines Beispiel programmiert. Die oben angezeigte Grafik läuft auf dem Server tilli.me und legt auf drei verschiedene Arten Bewegungsprofile an. Wohl gemerkt: Es handelt sich hierbei um eine Grafik! Die Datensätze werden anhand der IP-Adresse, einer einzigartigen Computerkennung (Cookie) und eines Nicknames erhoben. Das letzte Beispiel soll somit das Verhalten eines Social Networks andeuten. Damit das Beispiel eindrucksvoll sein kann, wäre es gut, wenn andere Websites die Grafik für Demonstrationszwecke übernehmen (siehe unten). Auf der Konfigurationsseite kann der Nickname angepasst werden, alle gespeicherten Datensätze angezeigt und auch gelöscht werden. Die Daten werden nach 14 Tagen auch automatisch gelöscht.

Was heißt das für den Datenschutz?

Das Problem (?) von Facebooks Like-Button ist somit nicht neu. Natürlich hat man durch eine Skript-Einbindung (JavaScript) noch mehr Möglichkeiten als durch ein Grafikeinbindung (z. B. nicht nur zu speichern welche Seiten besucht werden, sondern auch was dort gemacht wird). Die Grundprobleme bleiben aber: bei beiden werden Bewegungsprofile möglich und bei beiden können sie ggf. einer Person zugeordnet werden. Werbeunternehmen machen dies schon lange. Bei Facebook (aber auch anderen sozialen Netzwerken) sogar direkt zu einem Klarnamen. Wenn ich somit auf der PrivacyImg-Konfigurationsseite meinen richtigen Namen als Nickname hinterlege und die Grafik auf Websites vielleicht sogar als 1×1 Pixel große Grafik einbinde (praktisch unsichtbar), kann ein Tracking entstehen, das personengebunde Aktivitäten im Netz protokolliert, ohne dass ich es (im Gegensatz zum sichtbaren Like-Button) mitbekomme.

2-Click-Social-Media-Buttons sind keine Lösung

heise.de hat auf seiner Website eine 2-Klick-Lösung eingeführt, die viele andere Websites übernommen haben. Damit ist es möglich, die Funktionalität von Facebook & Co erst nach einem Klick zu aktivieren (Opt-In). Doch konsequenterweise müsste auch jede Grafik, jede Werbeanzeige (die es auf heise.de auch gibt), erst per Opt-In des Besuchers bzw. der Besucherin aktiviert werden. Werden beispielsweise AdWords eingebunden, werden ebenfalls IP und Identifikationsmerkmale (Cookies) an übertragen, die u. U. mit einem eingeloggten -Konto abgeglichen werden können. Da frage ich mich: Warum soll dies bei Facebook untersagt werden, bei aber nicht? Und wie sieht es mit Einbindung von YouTube-Videos oder Flickr-Bildergalerien aus? Bei beiden werden ebenfalls per Skripte fremde Serverinhalte eingebunden, die ein Bewegungsprofil ermöglichen. Konsequenterweise müsste auch dies nur per Opt-In, also Zwei-Klick-Lösung eingebunden werden.

Nein, hier geht es nicht um Facebook oder Google. Die technischen Grundlagen des Webs sind einfach anders als es die deutsche Gesetzeslage aktuell vorsieht. 20 Jahre lang ist das aber nicht groß aufgefallen. Ich möchte mit diesem Artikel nicht Facebook & Co in Schutz nehmen. Im Gegenteil, es gibt sicherlich viel berechtigte Kritik an dem Unternehmen. Nur es bringt nichts, Schnellschüsse wie den Kampf gegen den Like-Button zu beginnen. Wir benötigen eine ruhige Diskussion über Datenschutz, die den technischen Status quo nicht unbeachtet außen vor lässt.

Blogger, bitte mitmachen!

Falls ihr euch für das Thema interessiert, wäre es toll, wenn ihr einfach nur die obige Grafik wie folgt einbindet und in einem kurzen Text auf diese Artikel verlinkt. Die Grafik muss so eingefügt werden:

<img style="border: 2 px solid black;" src="http://tilli.me/privacyimg/einbild.png" alt="PrivacyImg - Ein interaktives Beispiel." width="400" height="400" />

Informiert mich kurz und ich verlinke (nein, ich binde nicht ein :-)) euren Artikel.

Folgende Blogs haben die Grafik eingebunden:

  1. lumma.de
  2. pfannenwender.de
  3. Wirtschaftsfaktor Sprache
  4. werning.com
  5. pottblog.de
  6. LEGALIT.de
  7. blog.stecki.de
  8. rowi.standardleitweg.de
  9. ben82cgn.wordpress.com
  10. jawl.net
  11. vogelgesang.cc
  12. martins-fahrradblog.blogspot.com
  13. kreativbuero.de
  14. dagger.twoday.net
  15. meldekasten.de
  16. horax.io
  17. datenschutzbeauftragter-info.de
  18. penzweb.de
  19. spreeblick.com
  20. eriksblogpage.wordpress.com
  21. wirres.net (sehr lesenswert!)
  22. Dies sollte für einen groben Überblick reichen. Viele weitere Seiten sind unten in den Kommentaren/Trackbacks zu finden.

 

  1. Ping/Trackback
  2. Pingu
    • stevie wonders
  3. Ping/Trackback
  4. Ping/Trackback
  5. Jan Dark
  6. Ping/Trackback
  7. Ping/Trackback
  8. Ping/Trackback
  9. Ping/Trackback
  10. Ping/Trackback
  11. Ping/Trackback
  12. Ping/Trackback
  13. Ping/Trackback
  14. Ping/Trackback
  15. Ping/Trackback
  16. Ping/Trackback
  17. Ping/Trackback
  18. Andreas Sch.
  19. Ping/Trackback
  20. Ping/Trackback
  21. Steffen
  22. Ping/Trackback
  23. Ping/Trackback
  24. Ping/Trackback
  25. Ping/Trackback
  26. Ping/Trackback
  27. Ping/Trackback
  28. Ping/Trackback
  29. Z.
  30. Ping/Trackback
  31. Ping/Trackback
  32. Ping/Trackback
  33. Ping/Trackback
  34. Ping/Trackback
  35. Ping/Trackback
  36. Ping/Trackback
  37. Ping/Trackback
  38. Ping/Trackback
  39. Ping/Trackback
  40. Ping/Trackback
  41. Ping/Trackback
  42. Ping/Trackback
  43. Ping/Trackback
  44. Ping/Trackback
  45. Ping/Trackback
  46. Ping/Trackback

 

avatar

Dein Name

Du kannst diese HTML-Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

latest news

re:publica 2013

Testimonials

Hast du eine Frage an mich, dessen Antwort vielleicht auch andere interessieren könnte? Dann nutze ask.fm:

follow me

Facebook Twitter Tumblr del.icio.us
YouTube YouTube Flickr

Creative Commons Lizenzvertrag
Inhalte unter BY-SA-Lizenz erstellt von Henning Tillmann (falls nicht anders angegeben) (Impressum).
Powered by Eclectic Theme by Your Inspiration Web & WordPress