Chaos-Bildungswerk Hamburg

Workshopmitschrift

Thema: Datenschutz bei Online-Profilen

Termin: Donnerstag, 07.09.2000, 18:30 Uhr

Referent: Peter Schaar, stellv. Hamburgischer Datenschutzbeauftragter

Mitschrift: Sebastian@hamburg.ccc.de

Zum Referenten:

Herr Peter Schaar ist stellvertretender Hamburgischer Datenschutzbeauftragter. Er ist zuständig für Telekommunikation, Medien und Teledienste. Die Webseiten des Datenschutzbeauftragten finden sich unter www.hamburg.datenschutz.de.

Inhalt des Vortrags (in Stichworten):

Das Internet als "Netz der Netze"

Das Internet hat die Arbeit der Datenschutzbeauftragten vor neue Probleme gestellt:

Im Gegensatz zu den früher in Deutschland populären Datennetzen wie BTX oder Compuserve wird das Internet nicht von einer Firma betrieben. Dies hat zur Folge, daß es keine zentrale Verwaltung und damit auch keine festen Ansprechpartner für den Datenschutzbeauftragten gibt. Weiterhin ist das Internet international, die Anwendbarkeit nationalen Rechts ist damit in Frage gestellt.

Datenspuren entstehen im Internet durch die Nutzung von Diensten und den damit verbundenen Datenverarbeitungsvorgängen. Schon rein technisch ist es bedingt, daß sich Rechner eindeutig identifizieren können (IP-Adressen). Nutzungsprofile entstehen durch die Zusammenführung von Datenspuren

Begriffe

Man unterscheidet Bestandsdaten von Nutzungsdaten. Bestandsdaten sind z.B. Name, Titel und Aufgabe des Nutzers. Weiterhin gehören dazu Teilnehmerkennungen und Paßwörter, auch identifizierende Cookies. Nutzungsdaten sind dagegen Identifizierungsdaten in Verbindung mit konkreter Nutzung: Wann wurde was von wem genutzt? Das gilt nicht nur für URLs, sondern z.B. auch die eingegeben Suchbegriffe in Online-Datenbanken.

Einschub: IP-Adressen

Sind IP-Adressen eigentlich personenbezogen? Im Falle der dynamischen Vergabe, wie sie bei den meisten Internetprovidern praktiziert wird, sind sie nicht direkt einer Person zuordbar. Allerdings läßt sich über die Daten des Providers natürlich eine Zuordnung auf Umwegen erzeugen. Damit sind IP-Adressen potentiell personenbezogen. Der Datenschutz ist daher zu gewährleisten. Mit Einführung des IPv6 wird erwartet, daß IP-Adressen fest zugeordnet werden. Damit ist die IP-Adresse dann erst recht personenbezogen.

Online-Profile

Online Profile sind „verdichtete Nutzungsdaten“, verknüpft über Identifikationsdaten. Dies wird derzeit am häufigsten über Cookies realisiert. Die IP-Adresse eignet sich dafür aufgrund der o.g. dynamischen Vergabe nur eingeschränkt. Cookies sind kleine Dateien, die auf der Festplatte des Internetnutzers gespeichert und auf Anfrage automatisch an einen Webserver übermittelt werden.

Cookies enthalten meistens Ids, deren Bedeutung nur der Vergeber des Cookies kennt. Allerdings kommen viele Cookies von Anzeigen-Servern (für die Bannerwerbung), und damit haben die Ids ihre Bedeutung über viele Web-Anbieter hinweg. Beispiel: Doubleclick. Aber auch andere Programme arbeiten mit GUIDs (Global User Ids), z.B. der RealPlayer oder einige Titeldatenbanken für CDs. Programme des letzten Typs können die Nutzungsdaten beispielsweise auch offline erstellen und dann gesammelt bei einer bestehenden Internetverbindung übertragen.

Einschub: Gegenmaßnahmen

Bei einer Diskussion im Publikum wurden einige Gegenmaßnahmen vorgeschlagen. So sollte man sein Cookie-Verzeichnis regelmäßig analysieren und löschen, z.B. bei jedem Reboot oder sogar täglich. Zusatzprogramme wie der Webwasher erlauben es auch, das Verfallsdatum eines Cookies so zu verändern, daß er z.B. nach 24 Stunden ungültig wird. Die Verwendung solcher Maßnahmen hat aber auch Gegenstimmen gefunden. So ist das Internet zum großen Teil werbefinanziert, dieses System wird so unterlaufen.

Beispiel: Engage-Profildatenbank

Engange ist ein großer Provider und hat mittlerweise ca. 35 Mio. Userprofile gesammelt. Werbung wird interessenbezogen versandt. Diese Profile schließen auch Suchanfragen an z.B. Altavista ein. Das Surferverhalten (URLs) wird aufgezeichnet. Politische und sexuelle Vorlieben werden laut Engage nicht gespeichert.

Beispiel: Doubleclick-Datenbank (Arete-Study; EC DG XV)

Die Doubleclick-Datenbank umfaßt ca. 400000 IP-Adressen. Wahrscheinlicher Beruf usw. werden anhand der Domain-Namen ermittelt. Das gilt auch für das Land. Weiterhin sind gespeichert die Bezeichnung des Berufs, Name des Arbeitgebers, Größe, Umsatz, eingesetzter Browser, Betriebssystem, Service-Provider.

Als Doubleclick in den USA angekündigt hatte, die Daten kommerziell zu nutzen, gab es große Proteststürme, sogar der Aktienkurs fiel. Doubleclick hat daraufhin widerrufen.

Personalisierung von Web-Profilen

Zu vergebenen ID und dem aufgezeichneten Nutzerverhalten fehlt noch der passende Name. Dieser wird ermittelt z.B. aus Mailing-Lists, über Free-Mail-Services, Online-Spiele, Preisausschreiben, Registrierungen oder ganz einfach aus Web-Formularen. Z.B. Online-Formular bei Versandhaus, das Werbung nutzt.

Datenschutzrichtlinien in Deutschland

Technisch nicht notwendige Daten dürfen nicht zwangsweise erhoben werden (z.B. Registrierung für kostenlosen Download). Gegenbeispiele: kostenloser Newsletter benötigt E-Mail Adresse, bei kostenlosem Webspace auch Namen aus rechtlichen Gründen nötig. Es gab eine Diskussion, ob man bei Online-Formularen Lügen darf oder dies einen Betrug ansieht. Dabei wurde die Meinung vertreten, daß Lügen nur dann erlaubt ist, wenn die zugehörigen Daten unzulässigerweise erhoben wurden. In Deutschland sind Nutzungsprofile mit Pseudonymen erlaubt, aber nicht mit Angaben über die konkrete Person.

Rechtsgrundlagen

- Mediendienste-Staatsvertrag (MDStV)

- Informations- und Kommunikationsdienste-Gesetz mit Teledienstedatenschutzgesetz (TDDSG)

- Bundesdatenschutzgesetz (BDSG)

Die ersten beiden Gesetze sind fast wortgleich. Es gibt zwei Gesetze aufgrund der föderalen Struktur Deutschlands (Länder vs. Bund). Das Bundesdatenschutzgesetz gilt eher für das „Offline“-Recht und ist deutlich weniger restriktiv als das Teledienstedatenschutzgesetz.

Problematisch sind beispielsweise Online-Versender. Die Bestellung wird zwar „online“ abgegeben, die eingentliche Bearbeitung findet aber „offline“ statt. Damit findet das Bundesdatenschutzgesetz Anwendung.

§6 TDDSG

zulässige Verarbeitung von Nutzungsdaten:

- soweit dies erforderlich ist, um Dienst zu ermöglichen

- für Abrechnung

- frühestmögliche Löschung, spätestens unmittelbar nach Ende der jeweiligen Nutzung, es sei denn bei Abrechnungsdaten (Brennpunkt: Flatrate)

Grundsatz: Systemdatenschutz

- Datenminimierung, nach Möglichkeit anonyme Nutzungsmöglichkeit oder mit Pseudonym

Anbieterkennzeichnung

Impressum auf jeder (!) Web-Seite. Unzureichend: Nennung eines Verantwortlichen ohne Anschrift, Nennung eines Firmennamens.

Unterrichtung

der Betroffene ist vor (!) der Speicherung zu informieren, Beispiel: Cookies

Einschub: Werbe-E-Mails

Werbe-Briefe sind erlaubt, da der Aufwand des Empfängers, ihn wegzuschmeißen relativ gering ist. Bei E-Mails entstehen dagegen unzumutbare Telefonkosten. E-Mail-Werbung muß daher vorher angekündigt werden! Dies ist aber eher Teil des Verbraucherrechts und nicht des Datenschutzes.

Beispiel: defaultmäßig eingeschalteter Button bei Formularen für „Werbung erlaubt“ ist nicht zulässig!

Bei E-Mails muß explizit eingewilligt werden („opt in“), wenn zur Erstellung der Empfängerliste Bestandsdaten verwendet werden. Hat ein Versender aber die E-Mail-Adressen eingekauft, gibt es nur eine Widerspruchslösung („opt out“). Dazu ist auch eine EU-Richtlinie in Arbeit.

Internationale Entwicklung des Datenschutzes

Anfang des Jahres gab es eine Konferenz von Datenschutzstellen verschiedener Länder: „Common Position regarding Online Profiles on the Internet I. (IWG 4/5 May 2000)“

Ergebnisse:

- In Deutschland: Doubleclick verzichtet auf Cookie-Setzung

- Internetprovider müssen Aufklären über Erhebung und Speicherung von Daten, auch wenn Pseudonyme genutzt werden

- Benutzer müssen von Profile-Services informiert werden, bevor der Cookie gesetzt wird.

- Benutzer müssen das Recht haben, Widerspruch einzulegen und trotzdem den Dienst in Anspruch zu nehmen

- Zustimmung muß jederzeit zurückgezogen werden können

- Personalisierung erfordert vorherige Einwilligung

- Überprüfung durch Unabhängige

- kostenlose Nennung der gespeicherten Daten

Aber: USA waren nicht vertreten bei dieser Konferenz

Europäische Datenschutzrichtlinie, die auch Auswirkung auf USA hat: z.B. dürfen Daten nicht in Drittländer exportiert werden, die kein angemessenes Datenschutzgesetz haben "save harbour principles"

Fragestunde (F&A)

F: Was sollte man machen, wenn Verdacht auf Mißbrauch besteht?

A: An den Datenschutzbeauftragen wenden (Eingabe machen).

F: In Firmen laufen oft sämtliche Transfers über Proxies, was darf in den Log-Dateien stehen?

A: Das Teledienstedatenschutzgesetz ist nur eingeschrängt anwendbar auf Arbeitgeber/Arbeitnehmerverhältnis. Es besteht kein Anbieterverhältnis bei dienstlicher Nutzung, anders ist es allerdings bei privater Nutzung. Es gilt also das allgemeine Datenschutzrecht: es ist zulässig, was erforderlich ist oder wo es gute Gründe gibt. Beispiel: Feststellung von Unregelmäßigkeiten (Datensicherheit). Kontrolle durch Arbeitnehmergremien (Betriebsvereinbarung). Verwendung nur für die Zwecke des „guten Grundes“ erlaubt. Transparenz muß gegeben sein. Bei Internetcafes ist die Protokollierung ok, soweit dies wirklich anonym geschieht. Die unbegrenzte Aufbewahrung von Logprotokollen ist auf jeden Fall unzulässig. In der Hamburger Verwaltung gilt: vollständig für zwei Arbeitstage und danach Kürzung, so daß einzelner Abrufer nicht mehr feststellbar, Ausnahme: Notfälle (Zweckbindung).Die Grundsatzfrage lautet immer, ob es eine Alternative gibt. Bei privater Nutzung ist alles ok, wenn der Nutzer explizit zugestimmt hat. Anlaßbezogenes Logging (z.B. bei Abwehr von Angriffen) ist zulässig, wenn den Nutzern bekannt ist, daß es diese Möglichkeit gibt.

Einschub: Besteuerung privater Internetnutzung am Arbeitsplatz

Der Interneterlaß von Eichel ist aus Sicht des Datenschutzbeauftragten nicht zulässig, da er Vollprotokollierung bedingt.

F: Wie ist es bei E-Mails? Beispiel: E-Mails wurden falsch zugestellt und landen z.B. beim Postmaster. Der Admin hat die E-Mail gelesen und von Hand weitergeleitet. Durfte er das?

A: Nein, auf keinen Fall. Die E-Mail muß automatisch an den Absender zurückgeleitet werden. Der Postmaster darf nur die Header bekommen.

F: Aber wie sieht es bei geschäftlichen E-Mails aus, wenn z.B. ein Kollege im Urlaub ist?

A: Bei Briefen gibt es die Unterscheidung, ob der der Name der Firma und dann der des Mitarbeiters genannt wurde, oder umgekehrt. Diese Unterscheidung gibt es bei E-Mails nicht. Es muß daher davon ausgegangen werden, daß die E-Mails privat sind. Sonst kommt man schnell in den strafrechtlichen Bereich (Fernmeldegeheimnis). Dies gilt insbesondere auch für Admins.

F: Ist Content-Filtering erlaubt?

A: Wenn technisch notwendig, dann ja. Beispiel Virenscanner. Darüberhinausgehend wird es problematisch, z.B. bei Filterung anhand von bestimmten Schlüsselbegriffen.

F: Was ist mit E-Mails, wenn der Mitarbeiter die Firma bereits verlassen hat?

A: Die E-Mail darf nicht an Chef weitergeleitet werden! Auch wenn der Mitarbeiter informiert war, da dies dem Außemstehenden u.U. nicht klar war.

F: Wenn der Mitarbeiter im Urlaub ist?

A: Hier hilft nur eine klare Dienstvereinbarung im voraus. Die Sache muß transparent sein. Ansonsten reingucken nicht erlaubt.

F: Wie sieht es bei Hackerangriffen aus?

A: Dies ist ein Ausnahmefall. Daten dürfen erhoben werden mit der Zweckbindung, den Angriff abzuwehren. Hinterher muß alles gelöscht werden, soweit es nicht für die Strafverfolgung relevant ist. Gegenangriffe sind auf keinen Fall erlaubt.

F: Ein Verhaltenskodex entwickelt sich gerade, auch in anderen Ländern. Wie ist die Entwicklung? Ist bereits das Maximum erreicht oder wird es evtl. deutlich besser?

A: Das hängt vom politischen Prozeß in den jeweiligen Ländern ab, insbesondere den USA.

Viele Anzeigen von Privatisierungsdiensten/Anonymisierungsdiensten finden sich in US-Zeitschriften. Bürgerrechtsgruppen haben das Thema erkannt. Es ist noch mehr möglich, aber es gibt auch mächtige Lobbies auf der Gegenseite, die erst recht weltweit agieren.

Beispiel P3P: Webkonsortium hat einen Kompromiß vorgeschlagen, er erlaubt die Zusammenführung von Daten unter Gewährleistung der Transparenz. Für USA ist dies ein Fortschritt, hier eher ein Rückschritt, da von „opt in“ zu „opt out“ (explizite Erlaubniserteilung vs. Widerspruchsrecht) übergegangen wird.

Randbemerkung: Anonymosierungsdienste

Man sollte darauf achten, wer diesen Dienst anbietet: "Wenn ich ein Geheimdienst wäre, würde ich Anonymisierungsdienste betreiben."

Weitere Informationen zum Thema finden sich u.a. auch auf den Webseiten des Berliner Datenschutzbeauftragten. Ein Abzug dieses Servers befindet sich auf der ChaosCD Blue.