Es begann sehr harmlos.
In Verbindung mit dem Prozess von Gunter Haug (Ich berichtete: „Gunter Haug heute vor dem LG Heilbronn“) besuchte ich die Webseite des „Landgerichts Heilbronn“. Ich benutze meist Firefox als Browser und habe als sogenanntes „AddOn“ das „NoScript“ installiert. Um es einfach zu sagen, wenn ich eine Seite besuche, so muss ich alles was ich sehen will sozusagen erst freischalten. Also im gegensatz zu den meisten Bloggern, in denen ich eine Blacklist erstelle mit den Dingen, die ich nicht wünsche, erstelle ich hier eine Whitelist mit den Seitenteilen, die ich zu sehen wünsche. Das kann Temporär oder auch Dauerhaft geschehen. Als Blacklist kann ich auch bestimmte Elemente (wie z.B. Google-Analytics) dauerhaft blockieren.
Zurück zur Seite von dem Landesgericht Heilbronn. Wie gesagt, da ich für diese Seite keine (weder in der Sitzung temporär oder schon mal dauerhaft) vorgenommen hatte, wollte das „NoScript“ von mir Infos, wie es verfahren solle. Dabei fiel mir etwas in die Augen. Ich wollte also die Seite temporär frei geben, um meine Suche nach dem Gerichtstermin ohne Hindernisse durchführen zu können. Dementsprechend klickte ich auf „landgericht-heilbronn.de temporär erlauben“:
Da ich mir denken konnte, das die Datenbank evtl. zentral auf dem Justizserver gelegt ist, wollte ich auch noch die Seite „justizportal-bw.de“ temporär frei geben. Da sah ich nun aber plötzlich dieses hier:
„webstatistik-bw.de“? Was sollte das? Schließlich werden normalerweise schon die Logdateien beim Besuch auf dem Server gespeichert. Warum noch diese Seite?
Als erstes habe ich diese Seite dann mal für sich aufgerufen:
Also scheinbar auf einer offiziellen Seite des Landes.
Nun, laut Impressum ist das Land Baden-Württemberg vertreten durch das Innenministerium Baden-Württemberg der Anbieter der Seite „webstatistik-bw.de“. So weit, so gut oder besser nicht, weil der Betrieb des „Webanalyse-Systems“ (man beachte, es geht plötzlich nicht mehr um Statistik, sondern um Analyse!) durch eine Firma „WiredMinds AG“ geschieht.
Auch ist die Erklärung, die an die „Internetbenutzerinnen und -benutzer“ rechts auf der Seite nicht sehr informativ. Zwar wird von „anonymisierter Form“ und „Pseudonymen“ geschrieben, wie großartig verkündet, das sich die „datenschutzrechtlichen Vorgaben“ „aus dem Landesdatenschutzgesetz“ ergeben. Aber kein Wort, was nun und wie zugeordnet gespeichert wird.
Man benutzt also sogenannte Cookies, um in „anonymisierter Form“ unter Verwendung von „Pseudonymen“ Besuchszeiten, Verweildauer und Herkunft zu erheben und zu verarbeiten. Dazu sagt der Text nur aus, das man „etwa“ dies und das „erhebt“ und „verarbeitet“. Über den tatsächlichen Umfang der Erhebung schweigt man sich dort aus.
Das machte mich nun neugierig. Ich gehe also auf deren Seite („WiredMinds AG“) und will mich informieren. Die Seite erweckt den Eindruck, das es hier um eine Marketing-Firma handelt, die den „wirtschaftlichen“ Erfolg von Unternehmen im Web steigen wollen. Ein Mittel dafür scheint die „Webanalyse“ zu sein. Dazu heißt es auf der Seite der Firma:
Kunden & Partner über uns:
„Die WiredMinds Webanalyse überzeugt durch eine präsentationsreife Darstellung. Echte Mehrwerte werden beipielsweise durch die Heatmap aufgezeigt, die alle Klicks festhält – auch dort wo keine Links sind. Hier optimieren wir unsere Website regelmäßig nach.“
(Quelle: wiredminds.de – Webanalyse-Funktionen; Hinweis: Da ich nicht weiß, was beim Besuch der Seite gespeichert wird, ist kein Link hinterlegt)
So wird auf der Seite der Firma mit der Vielfalt der „Analyse-Möglichkeiten“ geworben. Ein angeblicher Kunde meint dazu, das die Firma eine Alternative zu „Google-Analytics“ biete. Alles in allem also eine Daten-Sammlung. Das Ganze mit dem Hinweis, das alles unter „Geprüfter Datenschutz“ steht und einem Verweis auf einen Bericht (!) durch das „TÜV Süd Informatik und Consulting Services“. In dem „Prüfbericht“ des TÜV findet man zu den Daten, die man dort erkennt folgendes:
Funktionsweise
Wie viele andere Web-Analysesysteme auch, setzt WiredMinds auf der Betreiberseite ein Zählpixel ein, mit dessen Hilfe die IP-Adresse des Besuchers erfasst wird. In einem mehrstufigen Erkennungsprozess werden u.a. folgende Informationen ermittelt:
• Name und Herkunft des besuchenden Unternehmens
• Besuchsdatum
• Wertigkeit (Tiefe) der Recherche
• Suchmaschine
• Routinginformationen
Die Identifikation des besuchenden Unternehmens erfolgt über allgemein zugängliche Informationskanäle mittels der Auswertung von Routing-Informationen und über den Abgleich mit einer eigenen Datenbank.
(Quelle: TÜV Süd Informatik und Consulting Services – „Überprüfung der WiredMinds Web-Analyse auf Datenschutzkonformität“ vom 11.10.2011)
Man erfasst also genau wer der Besucher ist und was dieser dort genau macht.
In dem selben „Prüfbericht“ heißt es zur „Datenschutzkonformität“ wie folgt:
Einwilligung / Widerspruchsmöglichkeit WiredMinds verpflichtet seine Kunden über die AGBs dazu, beim Einsatz der Web-Analyse zum einen, einen entsprechenden Hinweis („an prominenter Stelle“) in deren Web-Seiten zu integrieren, zum anderen den Besuchern eine Widerspruchsmöglichkeit anzubieten (über einen Link, den der Kunde im Portal von WiredMinds findet).
(Quelle: TÜV Süd Informatik und Consulting Services – „Überprüfung der WiredMinds Web-Analyse auf Datenschutzkonformität“ vom 11.10.2011; Hervorhebung durch mich!)
Mal abgesehen, dass mir das erste Zitat aus dem „TÜV-Bericht“ im Widerspruch zu diesem zweiten Zitat zu stehen scheint verpflichtet man also die „Kunden“, einen Hinweis an prominenter Stelle zu integrieren. Gut, ich habe mir die Seite des LG-Heilbronn dann noch mal mit einem Browser, ohne irgendwelche Blockier-Einrichtungen angeschaut und fand nirgendwo einen entsprechenden Hinweis „an prominenter Stelle“. Besser gesagt, ich fand nirgendwo einen entsp. Hinweis.
Erst wenn man die kleine Menühinweise auf das Impressum usw. ganz unten auf der Seite gefunden hat und dann noch auf den Menüpunkt „Datenschutz“ klickt erreicht man eine Seite in der im Fließtext der Datenschutzerklärung und dort auch noch recht versteckt (so meine subjektive Meinung) die Möglichkeit des Widerrufs zu finden ist. Ja wenn man nicht, wie ich zufällig schon vorher durch das „NoScript“ auf diese Analyse aufmerksam geworden ist. Ob es Absicht ist, das genau unter dem im Fließtext versteckten „Opt-Out“ der „Web-Analyse“ die „Widerrufsrechte“ für die Verwendung von personenbezogenen Daten steht, um evtl. von der „Web-Analyse“ abzulenken muss jeder für sich selbst spekulieren.
Übrigens, wenn man die „Seitenanalyse“ seines Browsers bemüht, wird dieser „Dienst“ ebenfalls nicht angezeigt. Die Frage ist also, ob man als unbedarfter Besucher einer „behördlichen“ Seite mit solch einer „Schnüffelsoftware“ rechnen muss? Ich persönlich finde nicht!
Aber wer denkt, damit sind wir am Ende der Geschichte gekommen, der irrt. Wie hieß es noch so schön in der „Datenschutzerklärung“ auf der Seite des LG Heilbronn:
Einsatz einer Web-Analyse-Software
Die Justizverwaltung nutzt zur Optimierung des Angebots die Möglichkeiten einer zertifizierten, datenschutzkonformen Web-Analyse des baden-württembergischen Unternehmens WiredMinds. Sie können der Erhebung und der Nutzung Ihrer Besuchsdaten widersprechen und damit das Website-Tracking unterbinden. Eine genauere Beschreibung und die Möglichkeit sich von der Analyse auszuschließen (Opt-Out) finden Sie auf der folgenden Seite: www.webstatistik-bw.de .
(Quelle: www.landgericht-heilbronn.de – Webseite „Datenschutzerklärung“)
Man will also darauf Hinweisen, das man ein „baden-württembergisches“ Unternehmen mit der Erhebung beauftragt hat. Als Möglichkeit des „Widerspruchs“ wird dann die von mir schon angesprochene Seite „webstatistik-bw.de“ benannt. Da wurde ich dann stutzig. Wie jetzt. Die Webseite, die vom Stil her wie viele andere Behördenseiten aussieht (man nehme nur „justizportal-bw.de“) ist von der Firma WiredMinds? Oder nun doch vom Land und WiredMinds hat nur den zugriff darauf oder verwaltet diese? Laut dem Impressum auf der „webstatistik-bw.de“ Seite ja nicht.
Jetzt also mal „Butter bei die Fische“, wie es im Ruhrpott so schön heißt. Denic aufgerufen und mal nachgeschaut, wem nun die Seite gehört. Und ich muss sagen, nun war ich vollkommen irritiert. Die Seite gehört einem Detlef M. für die Organisation „durato Ltd.“ aus Neuwied am Rhein bei Koblenz (eine nette kleine Stadt, aber irgendwie weit weg von „Baden-Württemberg“, wie es noch in der Datenschutzerklärung vom LG Heilbronn heißt).
Wie jetzt, auf der Seite des LG Heilbronn ist eine Seite von einer Neuwieder Firma eingebunden, die von der Firma WiredMinds für Analysen genutzt wird? Ich muss sagen, das ich da nicht mehr richtig durch geblickt habe. Auf der Webseite von WiredMinds finde ich im Impressum dann die Angaben, wie auch auf der Seite von webstatistik-bw. Und dort auch (wahrscheinlich mit der Definition der Firma, was mit „an prominenter Stelle“ gemeint ist auch einen Link zum Widerruf des „Web-Tracking“ auf deren Firmenseite. Jedenfalls, wenn man weit genug runter scrollt).
Was hat es nun mit dieser „durato Ltd.“ auf sich? Nun, kurz in eine Suchmaschine eingegeben und schon hat man die Webseite dieses Domain-Inhabers: „durato.de“. Ich habe das dann mal sicherheitshalber mit Denic überprüft und außer das diese Domain jetzt von einem Detlef M.-S. und einer Adresse in Koblenz registriert ist, stimmt zumindest die „Organisation“ der beiden Seiten überein. Wenn man dann die Seite Aufruft, so kann einem links als erstes das B-W-Typische Löwenlogo kurz ins Auge springen. Damit fängt nämlich eine wechselnde Bilderfolge von Referenzen an. Ich habe dann herausbekommen (durch warten, bis die Charts einmal durchgelaufen sind), das es das „Ministerium für Kultus, Jugend und Sport“ ist. Aber auch noch mehr Behörden aus B-W sind nach dem Webauftritt Kunden dieser Firma. So listet die Seite z.B. noch folgende Baden-Württembergische Behörden auf: Landesgesundheitsamt Baden-Württemberg; Justizministerium Baden-Württemberg; Stabstelle Verwaltungsreform Baden-Württemberg; OFD Karlsruhe, Karlsruhe.
Nun das LG-Heilbronn ist wohl unter den Justizministerium zu sehen. Nun, was die Firma für, in meinem Fall dem „Justizministerium Baden-Württemberg“ macht, ist daraus nicht zu erkennen. Aber es mutet schon seltsam an, das diese Inhaber der Webseite sind, aus der ich meinen Widerspruch für die Datenerhebung stellen soll, wenn ich die Webseiten des Landes besuche? Was aber einem ins Auge fällt (wenn man gut sucht 😉 ) ist ein Menüpunkt am linken Rand des Webauftritts mit dem Titel „Webstatistik“. Das scheint mir im thematischen Zusammenhang der Webseite doch das, wonach ich gesucht habe. Angeklickt öffnet sich eine PDF-Datei.
Was sich da so lesen lässt ist für mich gelinde gesagt Abenteuerlich.
Auf der einen Seite werden die Fehlerquellen einer Analyse aufgezählt. So das z.B. Zugriffe nicht gezählt werden, wenn der Browser die Seite aus dem Cache, statt von Server des Anbieters aus öffnet usw. und noch schlimmer Schutzvorrichtungen, wie Firewalls und Proxies. Auf der anderen Seite werde „Lösungsansätze“ erläutert. Als erstes die Verwendung von „Cookies“. Also im Prinzip ein kleines Programm, mal entwickelt als Hilfe, das man bei wiederholenden Besuchen z.B. nicht immer nachschauen muss, welche Postings man in einem Forum schon gelesen hat. Hier zur Verwendung, um doch noch das heraus zu bekommen, was der Nutzer durch seine Einstellungen im Browser oder Rechner (Firewall) nicht mitteilt oder auch nicht mitteilen will!
Das halte ich für sehr bedenklich!
Nun, leider findet sich auf den Seiten der Behörden keine Infos, in wie weit die Firmen WiredMinds und durato Ltd. zugriff auf die Besucherdaten haben und welche Funktionen diese in dem ganzen Web-System des Landes sie einnehmen. Auch keinerlei Informationen, ob die Firmen oder Produkte dieser Firmen meine Einstellungen am Computer versuchen zu beeinflussen oder zu umgehen.
Heißt es doch bei der PDF von der Firma durato Ltd.:
3.1.2. Lösungsansätze
[…]
1. Cookies
Cookies sind spezielle Textdateien, die ein Webserver zu einem Browser sendet, um dem zustandslosen
HTTP-Protokoll die Möglichkeit zu geben, Information zwischen Aufrufen zu speichern. Man kann zwischen
persistenten Cookies und Session-Cookies unterscheiden. Erstere werden dauerhaft gespeichert, während
letztere nur für die Länge einer Sitzung gespeichert werden. Mit Blick auf diese technische Charakteristik
bietet es sich zunächst an, einen Cookie durch das abspeichern und wiederholte auslesen einer Session ID
als „Ankerpunkt“ für die Identifizierung eines zusammenhängenden Benutzungsvorgangs zu nutzen. Wird ein
persistenter Cookie eingesetzt, kann durch eine Abfrage seiner Existenz zugleich der wiederholte Besuch
registriert werden.
Von der Konsistenz der erfassten Daten bis zur Identifizierung eines wiederkehrenden Benutzers erhöhen
Cookies die Qualität und Aussagekraft der Datenbasis. Demgegenüber ist deutlich darauf hinzuweisen, dass
auch dieses Verfahren lückenhaft ist, denn abhängig von den Benutzereinstellungen akzeptiert nicht jeder
Rechner Cookies, und außerdem können sie problemlos gelöscht werden. Weiterhin ist zu beachten, dass
Webseitenbetreiber den Einsatz von Cookies aufgrund der potentiellen Gefahren und Risiken oft verbieten. In
diesem Fall kann eine Verbesserung der Datenqualität nur über die nachfolgend genannten Techniken
erreicht werden.
(Quelle: durato Ltd. – PDF „Arbeitspapier Webstatistik“)
Also, man preist in dieser PDF also an, das man hier einen Besucher per ID sicher Identifizieren kann und so auch die Nutzungsgewohnheiten über einen längeren Zeitraum prüfen kann (bei Nutzung „dauerhaft“ gespeicherter Cookies). Aber man macht auch aufmerksam, das der Einsatz von Cookies unsicher ist, weil doch (vorsicht Ironie!) die Besucher zum Teil tatsächlich das Speichern von Cookies unterbinden. So was aber auch!
Aber auch dafür hat man Möglichkeiten parat, wie es im letzten Absatz zu den Cookies heißt:
2. Zählpixel
Grundsätzlich kann ein Web-Server jeder Datei und jedem Element die Information mitgeben, dass sie nicht auf einem Proxy-Server zwischengespeichert werden soll. Eine grundsätzliche Aktivierung für alle Dateien ist nicht ratsam, da die Netzbelastung dadurch exponentiell steigen würde. Daraus ergibt sich die Idee, jeder Seite mit Inhalt lediglich ein kleines und schnell übertragbares Element beizufügen, welches die Info „Bitte nicht auf dem Webserver speichern“ enthält. Dieses wird dann immer vom anbietenden Web-Server „abgeholt“. Im Regelfall wird das kleine Element als 1 X 1 großes transparentes GIF realisiert. Aufgrund
seines erzwungenen Abrufs vom Webserver löst das Pixel das Problem der Proxyserver, und die entsprechenden Anfrageeinträge im HTTP-log können so als Basis einer validen Statistik dienen. Derart wird das Pixel zum Zählpixel.
(Quelle: immer noch diese PDF von durato Ltd.)
Hier setzt man also auf das Prinzip, das man dem Browser sagt, das ein „Pixel“ nicht gespeichert werden soll, sondern immer vom Server abgefragt werden muss. Womit wir wieder bei der Analyseform von der „TÜV-Geprüften“ Baden-Württembergischen Firma „WiredMinds“ sind. So erhält man dann die Info über jede kleinste Bewegung des Besuchers. Verbunden mit einem ID durch ein Cookie also über Monate beobachtbar und ein genaues Bewegungsprofil erstellbar.
Aber das mit dem Pixel ist noch nicht alles. Im nachfolgenden Absatz wird dem interessieren Leser (also, wer es geschafft hat bis zu dieser PDF zu kommen) noch mitgeteilt, das man das obige System noch mit der Kombination mit verschiedenen Scripten zu verfeinern. Es folgen noch weitere Erläuterungen, sowie die Punkte „3. Session Reconstruction“ und „4. CMS Logs“ zu diesem Thema „Lösungsansätze“.
Also alles in allem sehr beruhigend, oder etwa nicht?
Zudem ja der „TÜV-Bericht“ in keinster weise von „Anonymisierung“ bei der Technik mit dem „Zählpixel“ berichtet. Im Gegenteil, scheint das Verfahren die Identifizierung und die Missachtung der „informationelle Selbstbestimmung“ geradezu zu fördern.
Da ich erheblichen Aufwand betreiben musste, um diese offiziellen Infos zu bekommen, aber noch nicht einen Hinweis gefunden habe, was nun auf der Seite „landgericht-heilbronn.de“ wirklich passiert, bin ich als Nutzer alles andere als „beruhigt“.
Im Gegenteil, man fühlt sich eher so, als ob das Land versucht mit scheinbarer Transparenz einiges zu verstecken. Kann sein, das dies nicht so ist, aber es bleibt die Frage, warum dann eine Webseite, die den ersten Anschein einer „behördlichen“ Domain hat, dessen Web-Optik und das Impressum diesen Eindruck noch bestätigt, aber einer Firma gehört, die nirgendwo in den Infos der Seite auftaucht, wo diese eingebunden ist, noch auf der Seite dessen Domain sie besitzt.
Nun, wenn man das alles jetzt so raus gefunden hat, kann man ja auf der Seite seinen „Widerruf“ der Nutzung bekannt geben. Wie oben aufgezeigt, kann man ja genau wählen, auf welchen Seiten man nicht „analysiert“ werden will. Ich war zuerst mal über den Umfang der Analysierten Seiten erschrocken und dann frage ich mich, wie denn sicher gestellt wird, das die Besuche von einem nicht „analysiert“ werden?
Und ich hab natürlich gesucht wie und wurde auch direkt fündig. Man setzt einem einfach Cookies auf den PC. Diese bleiben nach der Info des Browsers bis zum 1. Januar 2020, also gut 8 Jahre gültig.
Das bedeutet für mich im Umkehrschluss, das nun gut 8 Jahre lang registriert wird, das ich (oder meinetwegen „ein“) Besucher der Seite nicht registriert werden will für eine Analyse. Mit jedem Klick, mit jedem Wechsel auf eine andere HTML-Seite des Webauftritts wird wieder registriert, das ich nicht registriert werden will, dank des „Zählpixels“ und weiteren Methoden. Ist das nicht auch eine Art der Analyse? Und was ist mit den Logfiles? Diese werden ja normalerweise auf dem Server gespeichert, auf der die Webseite liegt. Darüber und ob diese nicht auch „Analysiert“ werden, keinerlei Infos von Seiten der Webbetreiber. Zudem wird doch gerade die Methode mit dem „Zählpixel“ als alternative, sozusagen unabhängig von Cookies angepriesen. Wie verhindern also diese „Widerrufs-Cookies“ die Analyse durch diese sogenannten „Zählpixel“?
Was ist mit dem „Widerruf“, wenn man das setzen von Cookies nicht erlaubt? Dann ist dieser angebliche Widerruf scheinbar nur Augenwischerei und eine Nebelkerze mit der der Bürger darüber hinweg getäuscht wird, das eine Analyse seiner Bewegungen auf der Webseite weiterhin erfasst und analysiert werden.
Wie zu allen anderen Erfassungen fehlt hier auch eine klare Aussage über die Funktionsweise und den technischen Grenzen des Widerrufs!
Mir kommt dies alles in allem sehr Merkwürdig vor. Wie wir wissen ist nicht nur die Behörden das Problem. Schon bei den sogenannten Staatstrojanern wurde klar, das man gerne die juristische Unbedenklichkeit ausblendet. Hier sind aber noch mindestens 2 Firmen involviert, die neben der Auftragsarbeit auch diese Daten missbrauchen könnten. Da Frage ich mich, wie ein Missbrauch hier von Seiten des Auftragsgebers, dem Land Baden-Württemberg sicher gestellt wird?
Neben der Sicherstellung ist auch die Frage, in wie weit die „informationelle Selbstbestimmung“ hier sicher gestellt wird. Dieses Recht basiert auf die beiden ersten Artikel des Grundgesetz. Umgesetzt wird dieses Recht in dem Bestimmungen des Bundesdatenschutzgesetz (BDSG). In diesen heißt es zu dem hier angesprochenen Thema:
§ 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
(Quelle: Bundesministerium für Justiz – Gesetze im Internet: „Bundesdatenschutzgesetz“)
Zwar wird eine Erhebung von Daten nach dem §3a des BDSG eben unter der Bedingung der Anonymisierung und der Pseudonymisierung als zulässig beschrieben. Aber die Frage stellt sich, ob die Erhebung an sich überhaupt zulässig, bzw. Notwendig ist.
Dazu heißt es unter §4 des BDSG:
§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2.
a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würdeund keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss,zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(Quelle: Bundesministerium für Justiz – Gesetze im Internet: „Bundesdatenschutzgesetz“)
Schon im ersten Satz wird klar festgelegt, dass eine Erhebung der Daten nur auf Grund einer Rechtsvorschrift oder durch „Einwilligung“ erfolgen darf. Da die angebliche Optimierung der Webseiten nicht auf einer Rechtsvorschrift basiert, ist (meiner Meinung nach) also ein sogenanntes „Opt-In“-Verfahren für die Erhebung der Nutzungegewohnheiten notwendig. Also das der Nutzer der Erhebung und Analyse der Daten zustimmt und nicht, das er diese widerrufen muss per dem oben aufgeführten „Opt-Out“-Verfahren. Das bei diesem „Opt-Out“-Verfahren einem auch noch 25 Cookies (je benutzten Browser!) auf die Festplatte gesetzt werden, macht das ganze noch unwirklicher. Würde man ein, meiner Meinung nach gesetzeskonformes „Opt-In“-Verfahren verwenden, könnte das setzen von Cookies ganz vermieden werden und nur diejenigen, die sich an der „Optimierungsanalyse“ beteiligen wollen, bekommen ein (natürlich vorher erklärt) Cookie aufgespielt, die das Skript dann zulassen könnten. Und das man mit dem Widerruf die Erhebung wirklich stoppt, ist auch Fraglich. Das (Java-) Skript selbst läuft -trotz Widerruf- weiter im Hintergrund:
Ebenso, wie die Cookies, die im übrigen nicht auf die besuchten Webseiten bezogen speichert, die trotz Widerruf weiter gespeichert bleiben:
Cookies ohne Widerruf
Cookies mit Widerruf
Wie man sieht, bleiben die Cookies vorhanden, obwohl im 2. Bild die Erhebung für alle Seiten widerrufen wurde. Da wäre es nur logisch, wenn mit dem Widerruf die beiden Cookies entfernt worden wären und auch das Java-Skript nicht mehr aktiv im Hintergrund laufen würde.
In wie weit hier wirklich der Widerruf wirklich beachtet wird, liegt wohl nur im guten Glauben des Nutzers! Und, wie bereits weiter Oben erwähnt wird ja scheinbar bei jedem Klick beim Besuch der Seiten neu registriert, dass dies nicht erhoben werden soll. Also irgendwie „erhebt“ man, das man nicht mehr „erheben“ soll!
Alles Dinge, die man mit einem „Opt-In“-Verfahren vermieden werden könnte.
Ich bin durchaus interessiert, was das Innenministerium Baden-Württemberg, das ja laut Impressum der Domain „webstatistik-bw.de“ als Anbieter zu sehen ist, dazu sagt. Deswegen habe ich Ihnen mit der Veröffentlichung diesen offenen Brief geschrieben:
12. Februar 2012
An das
Land Baden-Württemberg
vertreten durch das
Innenministerium Baden-Württemberg
– Herr F. S. –
Dorotheenstraße 6
70173 StuttgartBetrifft: Analyse der Webseiten Ihrer Webauftritte
Sehr geehrter Herr S.,
sehr geehrte Damen und Herren,als ich vor einiger Zeit wegen eines Termins auf der Webseite „landesgericht-heilbronn.de“ war, stieß ich per Zufall darauf, das auf dieser neben der Seite „justizportal-bw.de“ auch noch eine Webseite „webstatistik-bw.de“ eingebunden ist, für die Sie sich laut Impressum verantwortlich zeichnen.
Zuerst einmal empfinde ich als Nutzer es merkwürdig, das eine Analyse-Seite unter einer anderen Verantwortung läuft, als die aufgerufene Seite (hier „landesgericht-heilbronn.de“). Besonders, da lt. meinen Recherchen umgehend mit einem Erfassen eines Bewegungsprofils des Besuchers der Seite gestartet wird. Allein dies ist schon irritierend. Noch irritierender ist, das man dieses mit einem sogenannten Widerruf angeblich verhindern kann. Nur haben versuche von mir dazu geführt, das mit dem sogenannten Widerruf nicht nur weitere sogenannte „Cookies“ auf meinen Rechner installiert werden, sondern die „analyse-Cookies“ weiterhin erhalten bleiben, wie auch das Javascript des Webauftritts „webstatistik-bw.de“ weiterhin aktiv ist.
Weiter empfinde ich persönlich es als irritierend, das die Webseite für die Analyse-Vorgänge weder dem Land, noch der in der Datenschutzerklärung angegebenen Firma „WiredMinds AG“ gehört, sondern einer nirgendwo aufgeführten Firma aus Koblenz oder Neuwied (irritierender weise gibt es auch da unterschiedliche Angaben), einer „durato Ltd.“. Auch wird mir bei der Betrachtung der Service, die diese beiden Firmen anbieten nicht klar, ob nun die Analyse und die entsprechenden Programme dazu von der Firma „WiredMinds AG“ oder „durato Ltd.“ stammen und wer welche Zugriffe auf die erhobenen Daten hat.Scheinbar ist Ihr Vertragspartner die „WiredMinds AG“, jedenfalls nach den Datenschutzerklärungen auf diversen Landesseiten. Diese verweist bezüglich der Datenschutzkonformität auf einen Prüfbericht des „TÜV Süd Informatik und Consulting Services“. Dort heißt es u.A.:
„Einwilligung / Widerspruchsmöglichkeit WiredMinds verpflichtet seine Kunden über die AGBs dazu, beim Einsatz der Web-Analyse zum einen, einen entsprechenden Hinweis (“an prominenter Stelle”) in deren Web-Seiten zu integrieren, zum anderen den Besuchern eine Widerspruchsmöglichkeit anzubieten“Ich habe einen entsprechenden Hinweis „an prominenter Stelle“ weder auf der Seite des Landgerichtes Heilbronn, noch auf der Seite „justizportal-bw.de“ an „prominenter Stelle“ gefunden. Bei beiden Seiten muss man erst über die sehr klein geschriebenen und mit Taubengrau recht unscheinbar gehaltenen Menüpunkt „Datenschutzerklärung“ (die sich zu allem Überfluss erst durch vollständigem „runterscrollen“ finden lassen) hangeln, um dann in einem Fließtext überhaupt erst zu erfahren, das es eine solche Analysesoftware gibt und das man über einen weiteren Link diese Analyse aktiv widerrufen muss, wenn man dies nicht wünscht.
Diese Sammlung von Daten halte ich gemäß §3a des BDSG für bedenklich und das sogenannte „Opt-Out“-Verfahren nicht vereinbar mit dem §4, Abs. 1. Nach meiner Lesart würde ich hier ein sogenanntes „Opt-In“-Verfahren, also die aktive Zustimmung zur Analyse für juristisch richtig halten.
Zudem erhält man keine Angaben über Speicherungen von sogenannten Logfiles. Da diese ebenfalls jede Bewegung des Besuchers erfassen lässt sich selbst bei einer „Anonymisierung“ der „Erfassungsdaten“ durch die Firmen „WiredMinds AG“ oder „durato Ltd.“ durch einen einfachen Abgleich, Daten wie IP-Adresse und u.U., z.B. bei der Ausfüllung von Formularen ohne weitere Nachforschung auch die Realdaten des Besuchers ermitteln.
In der gesamten Komplexität erscheint mir, dass da die Anforderungen der einzelnen Elemente evtl. den Datenschutzbestimmungen entsprechen, für sich einzeln gesehen. Aber dadurch, das hier scheinbar (wie man anhand der Erläuterungen der involvierten Firmen entnehmen muss) mehrere Module miteinander vermischt werden und der fehlenden Aussage, was nun eigentlich Erfasst wird, bei einem Besuch der Seite muss ich die Rechtmäßigkeit doch stark anzweifeln. Das fehlen einfachster Mitteilungen über weitere Datenerhebungen (wie z.B. Logfiles) lassen vermuten, das ein wirklich Anonymes erfassen von Besuchern nicht erfolgt.
Das angebliche Ziel dieser Erfassung, die Verbesserung der Webauftritte macht eine Erfassung bis auf Widerruf nicht notwendig. Da es vor allem um die Bedienbarkeit geht und um den Weg, wie jemand zu einem bestimmten Ziel kommt.
Neben dem, dass Bedienungsfreundlichkeit und auch „barrierefreier Webauftritt“ bereits sehr gut erforscht wurden und man auf diese Erkenntnisse zurückgreifen könnte, ist das Ziel auch mit Besuchern zu verwirklichen, die sich zum einen „Freiwillig“ daran beteiligen und vor allem, wenn man klar und transparent erläutert, was und wie man die Bewegungen der Besucher erfasst.
Dies erfolgt derzeit meiner Meinung nach von Ihrer Seite her nicht. Weder ist bekannt, was das Javascript auf der Seite macht, noch was die beiden Cookies, die beim Besuch versteckt (nicht der Seite zugeordnet) auf den Rechner gespeichert werden und auch nach einem „Widerruf“ weiter aktiv bleiben.
Was mir aufgefallen ist und einige Screenshots findet man in einem Artikel von mir auf meinem Blog: http://gehirnsturm.info/?p=3510
In diesem wird dieser „offene Brief“ ebenfalls abgedruckt.In Erwartung einer Antwort über diese „Transparenz gegenüber dem Bürger“ verbleibe ich
mit freundlichen Grüßen
(Der Name des Empfängers wurde natürlich von mir hier „Anonymisiert“)
[Update]
Hier habe ich versucht, mit meinen bescheidenen Kenntnissen die seltsamen Verbindungen und Maßnahmen durch das Innenministerium Baden-Württemberg bei dem Besuch der Internetnutzer auf verschiedene Seiten des Landes aufzuzeigen. Aber wenn man noch tiefer gräbt, stößt man auf weitere Merkwürdigkeiten. Vor allem stolpert man immer wieder darüber, das der Besucher der Seiten nur sehr versteckt und oberflächlich informiert wird, was da überhaupt passiert (ja das „was“ wird sogar meiner Meinung nach überhaupt nicht erläutert).
Auf jeden Fall hat meine weitere Recherche dazu geführt, das ich einen 2. Teil geschrieben habe. Auf diesen möchte ich nun hier hinweisen:
Link:
– Gehirnsturm: [Update] * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher?
– Gehirnsturm: [Klappe 3] * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher?
Pingback: [Klappe 3] * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher? |
Pingback: [Update] * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher? |