Das Unabhängige Datenschutz Zentrums in Niedersachsen hat von sich hören lassen und will ein Verbot des "Like" buttons auf Website durchdrücken. Unabhängig davon, das dieses Institut nach Meinung von Juristen gar nicht zu dem Befugt ist was es vorgibt erreichen zu wollen, ist deren technische Beschreibung des Sachverhalts falsch.
In der Analyse wird vorgegeben, das der Webseiten Anbieter die IP seines Besuchers an eine ausländische Firma weitergibt, welche sich nicht an Deutsches Datenschutzrecht gebunden hat. Zum einen ist die Anonymität der IP, welche wenn überhaupt nur durch ein offizielles Verfahren aufgehoben werden kann, ein zentraler Pfeiler des Datenschutz im Internet. Bei eine IP also von einem Personenbezogenen Datum zu sprechen, ist im allgemeinen höchst Fragwürdig. Nur eine verwindend Minderheit der Nutzer benutzt eine statische IP, etwa Leute wie ich, die als Internet Service Provider Fernwartung machen, und die Geräte zusätzlich per IP Filter sichern. Aber die wissen in der Regel auch, wie man das Problem, z.B. mittels Tor, auch abschalten kann.
Das ist aber nicht der wichtige Fehler. Es ist die Darstellung "Der Anbieter gibt weiter". Vielmehr ist es so, das der Anbieter in seinem Quelltext einen Befehl einbaut, welcher den Rechner des Nutzers anweist, teile der Seite von einem anderen Anbieter zu laden. Das bedeutet, das wenn eine Webseite mit einem Like Button versehen ist, aufgerufen wird, eben nicht die EDV das Anbieters diese Tatsache an Facebook weiterleitet. Vielmehr ist es so, das der Rechner des Nutzers mit dem Abruf der Informationen über das Aussehen und die Funktion des Like Buttons eben auch als notwendige Voraussetzung die Information über diesen Vorgang an Facebook liefert. Das liegt unter anderem daran, das gemäß den technischen Regeln des Internets die Clients den Servern mitteilen, wofür sie einen Datensatz haben wollen. Das dient zum einem dem Urheberrecht, damit Betreiber die Möglichkeit haben, das Einbauen ihres Contents in andere Angebote zu unterbinden. Zum anderen ist das eine Wichtige Funktion um Fehler die durch Überlastung entstehen zu beseitigen, wobei das durch die stetig wachsende Leistungsfähigkeit der Komponenten in den Hintergrund getreten ist.
Die Oben aufgestellte Schlussfolgerung, der Anbieter würde die Daten weitergeben, kann also nur aufrecht gehalten werden, wenn man den Rechner des Nutzer juristisch dem Anbieter zurechnet. Das ist eine Idee, welche von Politiker die im Kreisen der Piratenpartei unter dem Begriff "Internetausdrucker" zusammengefasst werden, immer wieder vorgebracht wird. Dies führt, wie ich hier schon mal ausgeführt habe, regelmäßig zu idiotischen Konsequenzen.
Erst vorige Woche wurde ein "Verbraucherschutzgesetz" erlassen, das vor Internet Abzocke schützen soll. Auch dieses Gesetzt setzt auf der Oberfläche des Bildschirm des Nutzer als Grenze zwischen Anbieter und Verbraucher und versagt damit kläglich. Das Gesetzt schreit, ähnlich wie damals das Dailerschutzgesetz, vor das der Verbraucher deutlich sichtbar in der Mitte des Bildschirms über die Kosten zu informieren ist. Das wird genauso unterlaufen werden wie damals der Dailerschutz. Zunächst wird der Dubiose Anbieter einen wie auch immer gearteten Kostenpflichtigen Service erstellen. Dann wird er eine Affilliate aufsetzen, mit dem Webseitenbetreiber eine Provision angeboten wird, wenn sie Kunden für seinen Service schicken. Ich habe genau so einen "Dubiose Anbieter" auf Dailerbasis auf meiner Webseite gelinkt, und kurz darauf wegen mangelnden Erfolg gleich wieder gelöscht. Ein halbes Jahr später habe ich als SPAM eine "Hackanleitungen" aus den nicht nachvollziehbaren Tiefen des Fernöstlichen Internets bekommen, wie man das mit dem Link "richtig" macht, so das der Verbraucher nicht mir irritierenden Kostenmeldungen gelangweilt wird. Zu behaupten, das hätte was mit dem Anbieter zu tun, ist natürlich nichts geringeres als üble Nachrede. Dabei war die Anleitung meiner Meinung nach so gebaut, das die Spuren auf dem Rechner so aussehen müssten, weil bei einer regulären Nutzung des Dienstes. entstehen. Frage: Wie soll das arme Schein von Verbraucher denn beweisen, das er die Kosteninformation nie gesehen hat, wenn er nicht über einen Logfile seiner Aktivitäten verfügt? Kommt er regulär auf den Server ist alles in Butter. Es gibt etliche Bereiche, da will der Nutzer so einen Logfile gerade nicht haben! Nein ein Verbraucherschutzgesetz gegen Abo-fallen kann nur funktionieren, wenn man einen Kauf auf Rechnung im Internet schlicht ausschließt, solange keine Geschäftsbeziehung besteht. Dann könnte zwar ein verbreiteter Anbieter wie die Telekom noch so ein Ding drehen, aber das zu erwartende Presseecho würde Sie davon abhalten.
Natürlich haben die Datenschützer recht, das bei dem Facebook Button ein Datenschutz Missstand vorliegt. Aber der Schlüssel liegt bei Nutzer, Respektive der von Im eingesetzten Software. Für diese ist der Nutzer verantwortlich. Somit ist die richtige Herangehensweise an das Problem, ein Leitfaden für Verbraucher herauszugeben, anhand derer er seinen Rechner so im Griff hat, das er mündig entscheiden kann, was er wohin herausgeben will.
Ich selbst verwende Firefox mit der Einstellung, das nur Cookies die an den Ausgebenden Server zurückgeschickt werden, behalten werden. Solche die für andere Server hinterlegt werden, werden man ende einer Session wieder vernichtet. Das ist meiner Meinung nach ein guter Kompromiss zwischen Komfort und Datenschutz. Man kann aber auch alle Cookies am ende einer Session löschen, oder ihre Annahme sogar ganz verweigern. Ersteres simuliert für den Anbieter jedes mal einen neuen Rechner und letzteres einen Rechner der diese Funktion nicht besitzt, das führt aber sehr oft zu Fehlfunktionen weil die Anbieter diesen Fall programmiertechnisch nicht abdecken . Mit BetterPrivacy 1.67 werden alle Cookies vom Flash System am ende einer Session gelöscht. Das mache ich seit dem ruchbar wurde, das Flash für "Supercookie" missbraucht wurde, die einem auf Lebenszeit wieder erkennbar zu machen.
In letzter Zeit wurde ruchbar, das die Firma Kissmetrics ein hypercookie Konstruiert hat, das sogar dann noch funktioniert, wenn man alle "Private" einschaltet und auf Tor geht. Darauf habe ich mir NoScript 2.1.2.6 besorgt. Mit dieser Erweiterung kann man für jede Domain festlegen, ob diese aktiven Content ausführen lassen dürfen. Dann habe ich alles was mit Werbung zu tun hat oder kein Impressum liefert und insbesondere kissmetrics, das Misstrauen ausgesprochen. Seitdem kann hulu mich nicht mehr wiedererkennen! Aber ich generiere für die Anbieter auch keine Werbeeinnahmen mehr. Aus diesem Grund habe ich Werbeblocker bisher immer abgelehnt, und sie auch nicht verwendet. Ich denke, das ein Addon, das ähnlich wie ein Antivirenprogramm Viren die Spione blockiert, die Richtige Antwort auf den Like Button ist.
Das wichtigste an der Diskussion um den Facebook Like Button ist aber, das die Argumentation Verallgemeinert werden muss. Wir leben in einem Rechtsstaat, der in der Verfassung ein Gleichbehandlungsgebot stehen hat. Wenn man den Rechner des Nutzers dem Anbieter der ersten aufgerufenen Seite rechtlich zugeordnet, so das dessen Aussendungen Datenschutzrechtlich diesem Seitenanbieter zuzurechnen sind und außerdem eine IP realitätsfremd als personenbezogene Daten wertest, dann muss man von jedem Inhalt den man von einer andren Domain einbindet, mit dem Betreiber dieser Domain eine Abkommen zum Schutz der Personenbezogenen Daten schießen müsste, so wie man das tun muss wenn man Aufträge mit personenbezogenen Daten an einen Drittanbieter vergibt.
Das würde faktisch auf ein Verbot des Einlinken von Inhalten aus außer europäischen Quellen, und selbst solche von europäischen Quellen sind mit einem massiven Bürokratischen Aufwand beaufschlagt werden. Ich will hier mal Zwei für mich in der Darstellung meiner politischen Meinung wichtige Beispiele aufführen. Das ist zum einen Google Maps. Diese werden auch IMMER gelinkt, weil auch so nur die Interaktivität darstellbar ist. Hier ein Beispiel aus meinen Posts zum Thema Stuttgart 21, bei dem ich einen Kompromiss vorgestellt habe, der nur einen einfache und begrenzte Neuplanung erfordert und damit die Neubaustrecke mit dem Kopfbahnhof verbindet.
Eine Zwischenlösung von S21 und K21 V2 auf einer größeren Karte anzeigen
Das andere Element, das für mich politisch extrem Wichtig ist, ist das einbinden von Videos. Auch dieses wird technisch Per Link durchgeführt, weil für verschiedene Endgeräte verschiedene Technologien gebraucht werden. So versucht Apple mit religiöser Inbrunst das Flash abzusperren, klar, damit lassen sich übers Web Apps bilden, völlig an der Firmeneigenen Prüfung (Privat Zensur) vorbei.
Müsste man solche Inhalte aus Datenschutzrechtlichen Gründen auf den eigenen Server laden, so würde man als Anbieter gezwungen, sich diesen Inhalt anzueignen, anstelle das man einfach nur eine Quellenangabe aus einer Bibliothek für den Inhalt heraus gibt. Damit besteht aber wieder für Leute, die z.B. Karten verlegen, ein Einnahmepotential im Internet. Eine Kartenvorlage, z.B. für eine Firma um als Anfahrskizze zu dienen, kann locker mal ein Paar Hundert bis Tausende Euro kosten, was man heute mit einer Google Map ohne Kosten machen kann. Ich frage mich daher, ob die ganze Aktion Facebook Button nicht aus der "Content Ecke" kommt. Insofern gilt in der Facebookdebatte: Erwehrt euch der Anfänge!
Nachtrag: Soeben finde ich eine Stellungnahme Seitens Facebook. Ist ganz interessant aber eigendlich belanglos für die hier Dargestellte Problematik weil es für die rechtlichen Fragen ausreicht, das ein Dritter die Daten erhält und es in seinem Ermessen liegt, was er damit tut.
Nachtrag: 25.10.:Henning Tillmann hat dankenswerterweise ein prozedurales Beispielbild erstellt, das Anschaulich zeigt wie die Einbindung eines jeden Bildes die Beanstandete IP weitergabe veranlasst.
Chrome bietet auch so einen Dritt-Anbieter-Cookie Schutz. Nennt sich:
AntwortenLöschen[ ] Ausnahmen ignorieren und Drittanbieter-Cookies blockieren.