Gestern tagte der Unterausschuss Neue Medien des Deutschen Bundestages. Es ging vor allem um die Datenschutzprobleme, die durch den Like-Button von Facebook verursacht werden. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD SH) drohte Websitebetreibern gar mit Bußgeldern in Höhe von 50.000 Euro, wenn auf der entsprechenden Website ein „Like“-Button eingebaut ist. Doch das, was Facebook macht, gibt es bereits seit 20 Jahren. Der Übeltäter ist ein einfaches Bild. Ein interaktives Beispiel.

PrivacyImg - Ein interaktives Beispiel. Konfiguration ueber http://tilli.me/privacyimg
PrivacyImg: Ein interaktives Beispiel für Übertragung von HTTP-Kopfdaten
durch Einbindung von Grafiken. Konfiguration und Löschung der Daten hier möglich.

Ich muss zu Beginn etwas ausholen, um die technischen Grundlagen etwas zu verdeutlichen. 1989 begann die Entwicklung der Web-Protokolls HTTP und der Seitenbeschreibungssprache HTML. Beide zusammen sind die elementaren Grundlagen des größten und meistgenutzten Teil des Internets: das World Wide Web. Seit (fast) ganz zu Beginn von HTML ist es möglich, Bilder und Grafiken auf Webseiten einzubauen. Dabei ist es vollkommen egal, ob die einzubindende Grafik auf dem gleichen Server wie auch die Website selbst liegt oder aber auf einem fremden Server, der tausende Kilometer entfernt ist. Dies hat auch einen guten Grund: Manchmal handelt es sich um dynamische Bilder (z. B. Hit-Counter), die nicht auf dem eigenen Server generiert werden können oder der eigene Traffic (Datenverkehr) ist beschränkt und man ist auf leistungsfähigere andere Server angewiesen. Damit ein Webbrowser Dokumente (und auch Bilder) darstellen kann, stellt der Computer des Site-Besuchers eine HTTP-Verbindung zu den Webservern her. Bei jeder Verbindung werden sogenannte Kopfdaten übertragen (manche von HTTP selbst, andere von darunterliegenden Protokollen wie TCP oder IP), die einige Informationen über den Websitebesucher beinhalten, u. a. die IP-Adresse oder aber Cookies, die für die aufzurufende Website (genauer gesagt: Domäne/Server) angelegt wurden. Außerdem wird ein sogenannter Referrer übertragen; also die Webadresse, von der man zuvor kommt. Bei Bildern heißt dies: Die Website, die das aufzurufende Bild enthält. All dies ist schon seit 20 Jahren so.

Gestern sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, im Unterausschuss Neue Medien, dass es prinzipiell zwei Arten von Einbindung fremder Inhalte gibt: einerseits die Verlinkung und andererseits Frames oder Skripte. Diese Aussage enthält gleich zwei Fehler.

  1. Eine Verlinkung ist keine Einbindung. Inhalte von fremden Server werden eben nicht abgerufen. Der/die Nutzer/in kann durch einen Klick eine andere Seite aufrufen.
  2. Natürlich gibt es die Einbindung von fremden Inhalten in Form von Frames oder Skripten. Aber die häufigste Einbindung fremder Inhalte sind einfache Grafiken, die über das HTML-Tag <img /> geladen werden. Natürlich kann es sich auch um sog. Stylesheets oder andere Dateitypen handeln.

Das interaktive Beispiel

Nach dem Unterausschuss habe ich kurzerhand ein kleines Beispiel programmiert. Die oben angezeigte Grafik läuft auf dem Server tilli.me und legt auf drei verschiedene Arten Bewegungsprofile an. Wohl gemerkt: Es handelt sich hierbei um eine Grafik! Die Datensätze werden anhand der IP-Adresse, einer einzigartigen Computerkennung (Cookie) und eines Nicknames erhoben. Das letzte Beispiel soll somit das Verhalten eines Social Networks andeuten. Damit das Beispiel eindrucksvoll sein kann, wäre es gut, wenn andere Websites die Grafik für Demonstrationszwecke übernehmen (siehe unten). Auf der Konfigurationsseite kann der Nickname angepasst werden, alle gespeicherten Datensätze angezeigt und auch gelöscht werden. Die Daten werden nach 14 Tagen auch automatisch gelöscht.

Was heißt das für den Datenschutz?

Das Problem (?) von Facebooks Like-Button ist somit nicht neu. Natürlich hat man durch eine Skript-Einbindung (JavaScript) noch mehr Möglichkeiten als durch ein Grafikeinbindung (z. B. nicht nur zu speichern welche Seiten besucht werden, sondern auch was dort gemacht wird). Die Grundprobleme bleiben aber: bei beiden werden Bewegungsprofile möglich und bei beiden können sie ggf. einer Person zugeordnet werden. Werbeunternehmen machen dies schon lange. Bei Facebook (aber auch anderen sozialen Netzwerken) sogar direkt zu einem Klarnamen. Wenn ich somit auf der PrivacyImg-Konfigurationsseite meinen richtigen Namen als Nickname hinterlege und die Grafik auf Websites vielleicht sogar als 1×1 Pixel große Grafik einbinde (praktisch unsichtbar), kann ein Tracking entstehen, das personengebunde Aktivitäten im Netz protokolliert, ohne dass ich es (im Gegensatz zum sichtbaren Like-Button) mitbekomme.

2-Click-Social-Media-Buttons sind keine Lösung

heise.de hat auf seiner Website eine 2-Klick-Lösung eingeführt, die viele andere Websites übernommen haben. Damit ist es möglich, die Funktionalität von Facebook & Co erst nach einem Klick zu aktivieren (Opt-In). Doch konsequenterweise müsste auch jede Grafik, jede Werbeanzeige (die es auf heise.de auch gibt), erst per Opt-In des Besuchers bzw. der Besucherin aktiviert werden. Werden beispielsweise Google AdWords eingebunden, werden ebenfalls IP und Identifikationsmerkmale (Cookies) an Google übertragen, die u. U. mit einem eingeloggten Google-Konto abgeglichen werden können. Da frage ich mich: Warum soll dies bei Facebook untersagt werden, bei Google aber nicht? Und wie sieht es mit Einbindung von YouTube-Videos oder Flickr-Bildergalerien aus? Bei beiden werden ebenfalls per Skripte fremde Serverinhalte eingebunden, die ein Bewegungsprofil ermöglichen. Konsequenterweise müsste auch dies nur per Opt-In, also Zwei-Klick-Lösung eingebunden werden.

Nein, hier geht es nicht um Facebook oder Google. Die technischen Grundlagen des Webs sind einfach anders als es die deutsche Gesetzeslage aktuell vorsieht. 20 Jahre lang ist das aber nicht groß aufgefallen. Ich möchte mit diesem Artikel nicht Facebook & Co in Schutz nehmen. Im Gegenteil, es gibt sicherlich viel berechtigte Kritik an dem Unternehmen. Nur es bringt nichts, Schnellschüsse wie den Kampf gegen den Like-Button zu beginnen. Wir benötigen eine ruhige Diskussion über Datenschutz, die den technischen Status quo nicht unbeachtet außen vor lässt.

Blogger, bitte mitmachen!

Falls ihr euch für das Thema interessiert, wäre es toll, wenn ihr einfach nur die obige Grafik wie folgt einbindet und in einem kurzen Text auf diese Artikel verlinkt. Die Grafik muss so eingefügt werden:

<img style="border: 2 px solid black;" src="http://tilli.me/privacyimg/einbild.png" alt="PrivacyImg - Ein interaktives Beispiel." width="400" height="400" />

Informiert mich kurz und ich verlinke (nein, ich binde nicht ein :-)) euren Artikel.

Folgende Blogs haben die Grafik eingebunden:

  1. lumma.de
  2. pfannenwender.de
  3. Wirtschaftsfaktor Sprache
  4. werning.com
  5. pottblog.de
  6. LEGALIT.de
  7. blog.stecki.de
  8. rowi.standardleitweg.de
  9. ben82cgn.wordpress.com
  10. jawl.net
  11. vogelgesang.cc
  12. martins-fahrradblog.blogspot.com
  13. kreativbuero.de
  14. dagger.twoday.net
  15. meldekasten.de
  16. horax.io
  17. datenschutzbeauftragter-info.de
  18. penzweb.de
  19. spreeblick.com
  20. eriksblogpage.wordpress.com
  21. wirres.net (sehr lesenswert!)
  22. Dies sollte für einen groben Überblick reichen. Viele weitere Seiten sind unten in den Kommentaren/Trackbacks zu finden.