Die Frankfurter Allgemeine Zeitung vom 18.10.2010 berichtet über ein – neues ? – Datenschutzproblem bei Facebook: Kurz zusammen gefasst geht es darum, dass man sich mit einer fremden Email-Adresse auf Facebook anmelden kann. Tut man das, bekommt der wahre Inhaber der Email-Adresse zwar eine Facebook-Benachrichtigung. Bis er diese Email zur Kenntnis nimmt und ggf. reagiert, hat derjenige, der die fremde Email-Adresse missbraucht, jedoch Zugriff auf den neu angelegten Account. Und das eigentliche Thema ? In dieser Übergangszeit zeigt Facebook bereits eine Reihe von anderen Email-Kontakten, die bei Facebook mit der missbrauchten Email-Adresse verknüpft sind.

Das heißt also: Wer Böses im Sinn hat und einfach mal checken möchte, ob und ggf. welche Email-Kontakte bei Facebook mit der Email-Adresse eines jedenfalls vorläufig ahnungslosen Mitmenschen verbunden sind, kann die fremde Email-Adresse bei Neuanlage eines Facebook-Accounts missbrauchen und sich auf diese Weise Informationen verschaffen, die eigentlich nur dem wahren Inhaber der missbrauchten Email-Adresse zugänglich sein dürften.

Wir haben nicht nachgeprüft, ob das tatsächlich so ist. Auf der anderen Seite gehen wir davon aus, dass die Frankfurter Allgemeine Sonntagszeitung die Story vor der Veröffentlichung sauber recherchiert und dokumentiert hat.

Wenn es sich tatsächlich so verhält, wie von der F.A.Z. dargestellt, würde das natürlich einen eklatanten Verstoß gegen das kleine Einmaleins des Datenschutzes darstellen. Auf diese Weise wird einem Unberechtigten die Möglichkeit gegeben, sich aus welchen Gründen auch immer ein zumindest teilweises Bild über Kontaktdaten eines bestimmten Email-Accounts zu verschaffen, ohne dass ein berechtigtes Interesse des Unberechtigten ersichtlich wäre, vor allem aber ohne jedwede Einwilligung des Inhabers des missbrauchten Email-Accounts.

Die Frage, die sich an diese Feststellung unmittelbar anschließt, lautet: Absicht oder Versehen ? Diese Frage lässt sich natürlich nicht ohne Weiteres beantworten. (Selbst) Die AGBs von Facebook lassen eine derartige Vorgehensweise sicherlich nicht zu. Was in diesem Zusammenhang stutzig macht, ist aber die Tatsache, dass Facebook eine annähernd vergleichbare Funktion im bestehenden Account unter “Finde Personen, die Du kennst” anbietet.

Diese Funktion wird an anderer Stelle des Accounts auch als “Freundefinder” beworben.

Unter dieser Rubrik kann man sich dann für einen Email-Anbieter entscheiden.

Bevor man diese Funktion auslöst, muss man aber das Passwort zum jeweiligen Email-Account eingeben (das von Facebook nach eigener Angabe nicht gespeichert wird !). Ohne die Eingabe des Passworts funktioniert der Freundefinder nicht. Auch wenn man nur den Namen des Email-Accounts eingibt und ohne Eingabe des Passworts auf “Freunde finden” geht, liefert Facebook keinerlei Daten, auch nicht nachträglich bei späterem Einloggen in den Facebook-Account.

Sofern die von der F.A.Z. getroffenen Feststellungen also auf diese Funktion zurückzuführen sind, handelt es sich demnach wahrscheinlich um eine versehentliche Sicherheitslücke, die Facebook unverzüglich schließen sollte und sicherlich auch könnte.

Wenn die Feststellungen der F.A.Z. auf eine andere (Fehl-)Funktion zurückzuführen sind, besteht seitens Facebook erst recht schnellstens Erklärungs- und Handlungsbedarf. Grundsätzlich stellt sich natürlich die Frage, welche Bedeutung einer Bestätigungsmail des berechtigten Email-Account-Inhabers überhaupt zukommt, wenn der Account auch ohne Absenden der Bestätigungsmail postwendend zugänglich ist.

Dass Betreiber wie Facebook grundsätzlich ein vitales Interesse am Aufbau eines umfangreichen Email-Adressenpools incl. Verknüpfungsinformationen haben, ist kein Geheimnis. In einem anderen Zusammenhang – beim Thema der Referenz-Email-Adresse auf Googlemail – hatten wir schon vor Monaten auf einen ähnlichen Missstand hingewiesen. Google ist unverändert ganz scharf darauf, von seinen Googlemail-Nutzern Referenz-Email-Adressen zu erhalten. Aktuell wird man nach dem Einloggen bei Googlemail immer wieder dazu aufgefordert, eine Referenzadresse zu hinterlegen … natürlich mit der ausschließlichen Begründung, eine Möglichkeit zu öffnen, beim Vergessen des Passworts über die Referenzadresse ein neues Passwort zugeschickt bekommen zu können.

Wie dem auch sei: Es gilt unverändert, dass derjenige, der Dienste wie Facebook nutzt, immer damit rechnen muss, dass seine Daten für andere Zwecke, insbesondere auch für Werbezwecke vermarktet werden. Facebook ist da aber keineswegs ein Einzelfall. Auch andere soziale Netzwerke arbeiten seit geraumer Zeit intensiv daran, die Vermarktung ihres Datenbestandes für Werbezwecke systematisch zu verbessern. Dessen muss man sich bei Nutzung derartiger kostenfreier Dienste einfach bewusst sein … und darf sich nicht wundern, wenn einem plötzlich Werbung eingeblendet wird, die darauf schließen lässt, dass der Betreiber des Dienstes offenbar ein Auge auf den Account – seien es reine Account-Daten oder sei es auch der über den Account veröffentlichte Inhalt – geworfen hat.

Das alles darf aber nicht darüber hinwegtäuschen, dass so ein Lapsus, wie er von der F.A.Z geschildert wird, einem Profi wie Facebook eigentlich nicht unterlaufen dürfte. Fördert eben nicht gerade die Vertrauensbildung. Und dass nur vergleichsweise wenige der ca. 500 Mio. Facebooknutzer die F.A.Z. lesen dürften, ist nur ein schwacher Trost . Außerdem zieht dieses Thema natürlich schon weitere Kreise und wurde z.B. von der ZEIT vom 18.10.2010 auch schon aufgegriffen. Dort wird übrigens auf ein weiteres aktuelles Datenschutzproblem bei Facebook hingewiesen, im Zusammenhang mit den Nutzeridentifikationsnummern und der Weitergabe von Daten bei Nutzung bestimmter Apps, aufgregriffen durch das Wall Street Journal vom 18.10.2010.

Wir erinnern uns: Bevor Ende letzten/Anfang diesen Jahres die Diskussion um den staatlichen Erwerb geklauter Schweizer Bankdaten mit Steuermitteln hochschwappte, gab es den “Pilot-Fall” mit einer CD voller geklauter Bankdaten aus Liechtenstein, die durch Vermittlung des bundesdeutschen Bundesnachrichtendienstes für Millionen EUR bundesdeutscher Steuermittel erworben wurde und über die u.a. Herr Zumwinkel stolperte.

Der Mann, der die Daten seinerzeit geklaut und verkauft hatte, stellte sich jetzt zunächst im STERN einem Interview und veröffentlichte dann sein Buch.

Immerhin, über den Verkauf der geklauten Daten hat er offenbar ausreichend “verdient”, deshalb bietet er das Buch zum Gratis-Downlaod im Internet an. Um der vollständigen und meinungsunabhängigen Berichterstattung die Ehre zu geben, weisen wir hier auf den Download-Link hin. Immerhin eine Möglichkeit, sich aus erster Hand zu informieren, wie wahrheitsgetreu die Aussagen im Buch auch immer sein mögen.

Nach Wochen der Beobachtung ohne eigene Blog-Aktivitäten ist die Zeit gekommen, dem Input einen Output folgen zu lassen.

Die ernüchternde Zwischenbilanz: Datenschutz scheint, was die hierzu veröffentlichten Beiträge betrifft, ein Tagesthema zu sein: Höchste Aktivitäten, wenn ein Thema hochkocht, und genau so schnell ist es wieder von der Bildfläche verschwunden, bis zum nächsten Mal, wenn es wieder Zeit für einen befristeten Aufreger ist.

Schon der tägliche Blick durch den Mainstream lässt darauf schließen, dass der Datenschutz, speziell auch der Webdatenschutz, den selben Stellenwert hat, wie eine Schneekatastrophe, ein Vulkanausbruch und hieraus resultierende Sperrungen des Luftraums, oder ein Hochwasser.

Praktisch alle Online-Tageszeitungen und -Magazine verfügen mittlerweile über Sparten, die sich “Digital”, “Netzwelt” oder “Webwelt” nennen. Was man darin findet, sind oftmals redaktionelle Veröffentlichungen, mit denen sich die Medien z.B. zum verlängerten Marketing-Arm von Apple machen: Seit Wochen wird massiv über das I-Pad berichtet. Aber ist das wirklich von so großem Interesse, was dieses Gerät kann oder nicht kann ? Die wenigsten Mainstream-Auftritte leisten sich eine spezielle Sparte für den Datenschutz: Soweit ersichtlich, derzeit nur die ZEIT und dann noch, im Rahmen des ctrl-Blogs, die TAZ.

Und wie sieht es in den Social Media aus ? Da bestimmen ja nun einmal maßgeblich die Nutzer, die Community-Mitglieder, die Blogger die Themen. Man könnte meinen, sie würden sich mit dem Thema Datenschutz – zumal als teilweise unmittelbar Betroffene – intensiver und vor allem nachhaltiger auseinandersetzen. Um das festzustellen, lohnt sich ein Blick auf den Social-Media-Monitor: Wie nachhaltig wurden bestimmte Datenschutzthemen im Web 2.0 behandelt ? Hier ein paar Auszüge aus dem deutschsprachigen Raum, denen zumindest Tendenzen entnommen werden können.

Thema Steuersünder-CD und Datenschutz

Quelle: Radian6

Thema Vorratsdatenspeicherung und Datenschutz

Quelle: Radian6

Thema ELENA und Datenschutz

Quelle: Radian6

Thema Facebook und Datenschutz

Quelle: Radian6

Die Grafiken sind im Grunde selbst erklärend: Auch im Web 2.0 werden die Themen mit “Spitzen” behandelt. Teilweise (Steuersünder-CD und Vorratsdatenspeicherung) verlaufen sie nach einem Peak im Sande, teilweise (ELENA und Facebook) werden sie einigermaßen gleichbleibend mit wiederkehrenden Peaks behandelt.

Stellt sich die Frage, durch was die jeweiligen Trends bestimmt werden. Sind es am Ende die Mainstream-News, welche die Intensität der Diskussion im Web 2.0 bestimmen ? Hierzu demnächst mehr an dieser Stelle.

Interessant ist immerhin schon mal die Erkenntnis, dass die eher politisch dominierten Themen Steuersünder-CD und  Vorratsdatenspeicherung mit jeweils einer markanten Spitze behandelt werden, während vor allem das Thema ELENA relativ konstant immer wieder Spitzen aufweist. Könnte das daran liegen, dass sich mit diesem Thema vor allem professionelle Interessenvertretungen, nämlich Arbeitgeberverbände und Gewerkschaften, aber auch z.B. die Datenschutzbeauftragten nachhaltig beschäftigen ?

Interessant auch die Tatsache, dass sich mit dem Thema Facebook und Datenschutz in absoluten Zahlen im Verhältnis zu den anderen Themen die wenigsten Posts beschäftigen. Eigentlich erstaunlich, angesichts der Tatsache, dass die von diesem Thema eigentlich betroffene Facebook-Gemeinde doch recht umfangreich ist. Oder vielleicht auch nicht erstaunlich, weil hieraus die Erkenntnis gezogen werden könnte, dass die Facebooker selbst das Thema Datenschutz gar nicht so eng sehen. Wäre auch nicht weiter verwunderlich, nachdem Facebook ja wesentlich von den nach herkömmlichen Maßstäben datenschutzrelevanten Informationen “lebt” und jeder, der sich auf Facebook offenbart, sich dessen auch bewusst ist, das vielleicht sogar ausdrücklich wünscht. Wenn es so ist, schließt sich aber unmittelbar die Frage an, wieso sich z.B. Politiker dann so intensiv mit dem Thema Facebook beschäftigen.

Egal wie, es lohnt sich, den Stellenwert des Themas Datenschutz im Mainstream und im Web 2.0 sowie etwaige Abhängigkeiten zwischen Mainstream und Web 2.0 weiter zu untersuchen.

Also denn, bis die Tage ….

Es zeichnet die Entwicklung um den Datenschutz im Internet aus, dass sich unzählige außerparlamentarische Gremien mit diesem Thema beschäftigen. Kongresse, Arbeitskreise, Pressemitteilungen und Blogs (einschließlich unseres Blogs) bestimmen das Bild. Der Gesetzgeber hinkt dem Stand der Diskussion meist hinterher und langt auch gerne mal daneben, wie zuletzt beim Thema Vorratsdatenspeicherung eindrucksvoll unter Beweis gestellt.

Was die einzelnen Außerparlamentarier mit ihren Statements und Aktionen für Ziele verfolgen, ist nicht immer transparent. Das mahnt zur Vorsicht bei der Beurteilung des Diskussionsstandes … und zwingt dazu, sich umfassend über die Hintergründe von Statements und Forderungen zu informieren, bevor man sie wertet, sei es befürwortet oder ablehnt.

Besondere  Beiträge zur Diskussion leistet immer wieder der Chaos-Computer-Club CCC. Mal veröffentlicht er seine Meinung und seine unbestritten wertvollen Erfahrungen einfach, mal wird er als Gutachter beim Bundesverfassungsgericht bestellt, mal … bietet er ein Forum für solche, die unverhohlen zum Hacken eines Webauftritts auffordern.

So geschehen während des CCC-Kongresses Ende 2009. Da wurde der Webauftritt  von Mindlab, einem führenden Hersteller von Webanalyse-, Segmentierungs- und Targetinglösungen, offen zum potenziellen Ziel von Hackerangriffen proklamiert, sh. nachfolgenden Screenshot:

Bernd Ebert, CTO von Mindlab, hat uns zu diesem Thema Folgendes geschrieben:

“In den letzten drei Monaten wurde aufgrund dieses Aufrufs mehrfach versucht, einen Angriff auf unser Firmennetzwerk durchzuführen. Keiner der Versuche war von Erfolg gekrönt, was wir als Bestätigung unserer Sicherheitsbemühungen auffassen.

Dessen ungeachtet stellt sich die Frage, wieso von ca. 3-5 namhaften Anbietern in Deutschland ausgerechnet Mindlab als Angriffsopfer auserkoren wurde. Also ausgerechnet derjenige Anbieter, der sich bereits am längsten und intensivsten mit dem personenbezogenen Datenschutz in Webanalyseanwendungen auseinandersetzt.

Es kann natürlich schnell der Verdacht aufkommen, dass bei der “Nominierung” rein kommerzielle Beweggründe im Spiel waren. Der CCC wird sicherlich kein Interesse haben, solchen Vorgehensweisen eine Plattform zu bieten ?”

Die von Bernd Ebert aufgeworfene Frage stellt sich in der Tat. Wer sich intensiv mit den Webanalyselösungen der namhaften Anbieter auseinander setzt, wird das beurteilen können.

Wenn man sich mit einem Thema intensiv beschäftigt, muss man intensiv recherchieren. Die Ergebnisse dieser intensiven Recherche kann man unmöglich alle in einen Artikel einbauen, ohne das Ganze unübersichtlich werden zu lassen.

Um die geneigte Leserschaft dennoch an einem Teil dieser Recherche teilhaben zu lassen, haben wir hier einfach mal einige Links zusammen gestellt, die einen interessanten, wegen der unüberschaubaren Menge aber sicherlich nicht repräsentativen  Überblick über den Meinungsstand geben.

Handelsblatt vom 31.01.2010: SPD fordert Ankauf der CD

Zeitong.de vom 02.02.2010: Rupert Scholz äußert Bedenken

Bundesdatenschutzbeauftragter vom 02.02.2010 : Schaar äußert bedenken gegen den Anlauf der CD

Katholisch.de vom 02.02.2010 : Hamburger Weihbischof befürwortet Ankauf der CD

Schweizer Weltwoche vom 03.02.2010 : Profil des modernen Datendiebs

Financial Times Deutschland vom 07.02.2010: FDP gegen Ankauf der CD

WELT-online vom 08.02.2010: Geißler fordert Orden für CD-Dieb

FOCUS-online vom 13.02.2010: Baden-Württemberg wird CD kaufen

Tagesschau-online vom 16.02.2010 : SVP will Bankdaten deutscher Politiker und Parteien screenen

Hannover-Zeitung vom ??? : Kauder warnt vor Ankauf der CD

Schweizer Weltwoche: Interessantes Dossier zur Schweizer Sicht der Dinge

Für Kommentare und Hinweise auf weitere Quellen zu diesem Thema und zu anderen datenschutzrelevanten Themen sind wir dankbar !

Die Diskussion um den Ankauf der “Steuersünder”-CD wird unverändert ebenso heftig geführt, wie sie über kurz oder lang wieder mehr oder weniger vergessen sein wird. Jedenfalls hat diese Diskussion und haben insbesondere die staatlichen Pläne, geklaute Daten zu kaufen, bereits Nachahmer gefunden, wie wir das schon befürchtet hatten: In Nordrhein-Westfalen hat man offenbar schon gekauft, in Baden-Württemberg steht die Entscheidung noch aus. Jedenfalls überschlagen sich offenbar die Angebote … und das macht die Verantwortlichen scheinbar eher glücklich und zufrieden, anstatt dass es bei ihnen Bedenken über die Richtigkeit ihres Handelns auslöst.

Die offiziellen Verlautbarungen zu diesem Thema fallen äußerst dürftig aus und lassen insbesondere keinerlei Schlüsse darauf zu, inwieweit und mit welchen Ergebnissen man sich mit den rechtlichen Problemen auseinander gesetzt hat. Das zeigen sehr schön die auf der Website des Bundesfinanzminsteriums nachzulesenden Verlautbarungen von Bundesfinanzminister Schäuble vom

4.2.2010

und vom  5.2.2010

Bundeskanzlerin Merkel hat sich “nach sorgfältiger Prüfung” entgegen z.B. den vom CDU-/CSU-Fraktionsvorsitzenden Kauder geäußerten Bedenken für den Ankauf der Steuersünder-CD entschieden. WAS die “sorgfältige Prüfung” beinhaltete und mit welchen rechtlichen Erwägungen sie abgeschlossen wurde, ist – soweit ersichtlich – nicht veröffentlicht worden.

Was an der ganzen Diskussion auffällt ? Es geht scheinbar überhaupt nicht mehr um die Rechtslage, um rechtsstaatliches Handeln, um Kriterien der Rechtmäßigkeit staatlichen Handelns. Vielmehr wird plötzlich die “Moral” in den Vordergrund geschoben, die in der Diskussion um die Rechtmäßigkeit des Ankaufes geklauter Daten nun mal kein guter Ratgeber ist. Wenn es nämlich um die Prüfung der steuerstrafrechtlichen Verantwortlichkeit eines “Steuersünders” oder um die Prüfung der strafrechtlichen Relevanz des Ankaufes der geklauten Daten geht, darf und wird die Frage der “Moral” eben überhaupt keine Rolle spielen. Insoweit darf man darauf gespannt sein, wie die Gerichte urteilen werden.

Grundsätzlich haben das Thema selbst und die Diskussion über dieses Thema geradezu groteske Ergebnisse zutage gefördert:

- Die SPD , die Grünen und die Gewerkschaften, die sich sonst wohl eher als  “Hüter” des Datenschutzes und des Rechtsstaats verstanden wissen wollen, werfen alle rechtlichen Bedenken über Bord und fordern ohne Wenn und Aber den Ankauf der geklauten Daten.

- Selbst ein Vertreter der katholische Kirche sah sich lt. katholisch.de veranlasst, den Ankauf der geklauten Daten grundsätzlich zu befürworten.

- Eine auf Bundesebene sowohl innerhalb der CDU/CSU, als auch in der FDP – immerhin die Regierungsparteien – aufkommende Diskussion um die Rechtmäßigkeit dieser Aktion wird geradezu im Keim erstickt, indem Kanzlerin Merkel kurzerhand ein  “Machtwort” spricht.

Da liegt der Verdacht nahe, dass es um eine populistische und weniger an den geltenden Gesetzen orientierte Vorgehensweise geht.

Das Ganze hat aber neben der strafrechtlichen Relevanz – Diebstahl, besonders schwerer Fall des Diebstahls, Anstiftung und Beihilfe dazu, Hehlerei, Bildung einer kriminellen Vereinigung, Veruntreuung von Steuermitteln, und so weiter, das alles noch jeweils als Amtsdelikt, wo gesetzlich vorgesehen -  noch eine ganz andere Bedeutung: Bekanntermaßen war der ehemalige Finanzminister Steinbrück in seinen Bemühungen, die Schweizer Regierung zu einer engeren “Kooperation” zu bewegen, nicht sonderlich erfolgreich. Nachdem man auf politischem Weg also nicht zum Erfolg gekommen ist, bedient man sich jetzt anderer, höchst zweifelhafter Methoden, um die politisch/zwischenstaatlich derzeit nicht zu erreichenden Ziele auf anderem, und zwar rechtswidrigem Weg zu erreichen. Das hat nicht nur international verheerende Auswirkungen, schadet also massiv dem Ruf der Bundesrepublik Deutschland, sondern stellt auch die rechtsstaatliche Autorität der Handelnden in Frage: Mit welcher – rechtlichen und moralischen – Berechtigung kann ein Staat von seinen Bürgern gesetzeskonformes Verhalten verlangen, wenn er sich selbst bewusst, also vorsätzlich ins Unrecht begibt ?

Was würde der deutsche Staat wohl sagen, wenn ein anderer Staat die Auslieferung eines Steuerhinterziehers fordert, diese Auslieferung vom deutschen Staat in Übereinstimmung mit der internationalen Rechtslage verweigert wird, und der andere Staat dann Kidnapper bezahlt, die den Steuerhinterzieher von Deutschland in den anderen Staat entführen ?

Und schließlich: Es ist allseits von der “Steuersünder-CD” die Rede. Meinen die Verantwortlichen denn im Ernst, dass sie bei allen 1500 Datensätzen auch fündig werden, es also tatsächlich um 1500 Datensätze von 1500 Steuersündern geht ? So naiv kann wohl niemand sein. Das bedeutet aber, dass man ohne mit der Wimper zu zucken eine mehr oder weniger große Anzahl von unbescholtenen Bürgern, die versteuertes Geld rechtmäßigerweise in der Schweiz anlegen und ihre diesbezüglichen Zinseinnahmen auch ordnungsgemäß versteuern, leichtfertig unter einen Generalverdacht stellt, und sie damit schlicht und einfach denunziert. Von irgendwelchen voreiligen Maßnahmen, wie Ermittlungen, Verhören und Durchsuchungen, die auch diesen unbescholtenen Bürgern drohen, mal ganz abgesehen.

Das alles zeigt: Der Rechtsstaat steht bei diesem Thema auf dem Kopf, und das sollte allen, insbesondere auch den Regierenden, zu denken geben. Immerhin haben sie auf die Verfassung geschworen, und selbst der ehemalige Verteidigungsminister Rupert Scholz (CDU), seines Zeichens namhafter Verfassungsrechtler und Mitautor eines ebenso namhaften Grundgesetz-Kommentars, hat (verfassungs-)rechtliche Bedenken gegen den staatlichen Ankauf geklauter Daten geäußert (so veröffentlich bei N24-online unter Bezugnahme auf ein Interview mit der Bildzeitung).

Bleibt derzeit nur die Hoffnung, dass die bereits zahlreich vorliegenden Strafanzeigen gegen die Handelnden von den Strafverfolgungsbehörden und den Gerichten mit der gebotenen Konsequenz verfolgt und bearbeitet werden, also nicht aus Gründen der “Staatsräson” auf der Strecke bleiben. Das wäre dann nämlich tatsächlich der Exitus für Rechtsstaatlichkeit und Moral …

… demgegenüber sollten es die Regierenden besser mit dem von ihnen eingesetzten Bundesdatenschutzbeauftragten Peter Schaar halten, der auf seiner Website (im Blog) im Zusammenhang mit der aktuellen Diskussion fordert:

Kein Datenschutz nach Kassenlage !

Dem ist nichts hinzuzufügen.

FOMA (Fachforum Online Mediaagenturen) hat am 28. Januar 2010 ein Manifest zum Thema Behavioral Advertising (Targeting) veröffentlicht.

Das Manifest kann hier als pdf herunter geladen werden.

Wir wollen hierauf an dieser Stelle nur hinweisen. Unseres Erachtens enthält das Manifest eine sehr lesenswerte Zusammenfassung der mit dem Thema zusammen hängenden Punkte und Probleme, die von uns nicht weiter kommentiert werden soll. Wer zu dem Thema aber etwas beitragen möchte, ist hiermit aufgefordert, über die Kommentarfunktion in die Diskussion einzusteigen.

Wir haben uns an dieser Stelle schon mehrfach mit der Entwicklung in Sachen SWIFT-Abkommen beschäftigt.

Heute tritt das Abkommen formell in Kraft. Von Anfang an war die Befristung des Abkommens in dem Sinne deutlich gemacht worden, dass das Europäische Parlament hierüber im Herbst 2010 abschließend zu entscheiden habe.

Nunmehr haben sich zahlreiche Parlamentarier aller Parteien zu Wort gemeldet und angekündigt, dass das Abkommen in der vorliegenden Form nicht akzeptabel und daher abzulehnen sei. Vor diesem Hintergrund wird allgemein damit gerechnet, dass das EP das Abkommen in der Sitzung am 10. Febraur 2010 kippen wird.

Fragt sich natürlich, warum das Parlament nicht gleich – vor Unterzeichnung des Abkommens – in den Entscheidungsprozess eingebunden wurde. Dann wäre diese “Schleife”, die das Abkommen jetzt nimmt, überflüssig gewesen.

Im Ergebnis ist aber jedenfalls zu begrüßen, dass die Parlamentarier aufgewacht sind. Immerhin geht es u.a. um die Weitergabe von Daten an Drittstaaten, um die Datenspeicherung für die Dauer von 15 Jahren und um im Einzelnen letztlich nicht überprüfbare Terrorismus-Verdachtsmomente aus der Hand amerikanischer Strafverfolger und Gerichte. Dass das SWIFT-Abkommen nur bedingt bis überhaupt nicht zur Terrorismusbekämpfung geeignet und daher unsinnig ist, hat lt. SPIEGEL-Online vom 2. Januar 2010 selbst das BKA in außergewöhnlich kritischer Weise deutlich gemacht.

Aktuelle Berichterstattung zu dem Thema findet sich u.a. bei ARD-Tagesschau vom heutigen Tage (mit Video) und bei netzpolitik.org vom 27.01.2010.

Wir werden das Thema natürlich weiter im Auge behalten.

Datenschutzgerechte Webanalyse und E-Government

Die Stichworte E-Government und Dienstleistungsrichtlinie sind in aller Munde. Ganze Abteilungen, Stäbe, Ausschüsse und Referate sind seit geraumer Zeit damit beschäftigt, die Verwaltung für diese Anforderungen “fit” zu machen.

Dass das insbesondere auch unter dem Gesichtspunkt des Datenschutzes nicht ganz einfach ist, liegt auf der Hand. Wenn z.B. das Online-Angebot eines Landkreises darüber hinaus geht, die Auswahl und Buchung eines Wunschkennzeichens für den PKW anzubieten, und ganze Verfahren, beispielsweise Bauantragsverfahren, online abgewickelt werden, muss die Behörde uneingeschränkt sicher stellen, dass die Einhaltung der datenschutzrechtlichen Vorschriften auf der gesamten Online-Strecke uneingeschränkt gewährleistet wird.

Die Einführung von Online-Verfahren hat nicht nur den Sinn, es dem Bürger leichter zu machen. Neben zahlreichen anderen Aspekten wird es den Behörden maßgeblich auch darum gehen (müssen), ein bestimmtes Arbeitspensum mit weniger Personal zu bewältigen. Weil der öffentliche Dienst es zunehmend schwer haben wird, qualifizierte Fachkräfte zu gewinnen, und weil es schlicht und einfach darum gehen muss, Kosten zu sparen, wo es geht.

Was liegt da näher, als dem Bürger einen Teil der Arbeit selbst zu übertragen ?

Das ist auch völlig in Ordnung. Wie gesagt: Außer denjenigen, die mit den Online-Medien auf Kriegsfuß stehen, werden es die Bürger in der Regel wohl eher schätzen, sich einen Behördengang, möglicherweise auch einen extra hierfür genommenen Urlaubstag zu sparen, weil sie ihren Teil zum Verfahren in aller Ruhe abends am PC-Bildschirm beitragen können.

Um so wichtiger ist es für die Behörden, ihre Websites nicht nur optisch attraktiv, sondern vor allem funktional einwandfrei zu gestalten. Nur auf diese Weise lassen sich die mit der Einführung von Online-Verfahren verknüpften Absichten und Zwecke erfolgreich umsetzen. Gerät der nur interessierte oder auch online-antragswillige Bürger auf einer Behörden-Website regelmäßig ins Abseits, ohne dass er für das Online-Verfahren bildlich gesprochen an die Hand genommen wird, ist der Erfolg der Behörden-Website schon strukturell in Frage gestellt und statt Kostenersparnis nur ein Kostengrab produziert.

Auf dem Weg zur Einführung einer breiten Palette an funktionierenden  Online-Verfahren werden die Behörden nicht um den Einsatz leistungsfähiger, individuell konfigurierbarer Webanalyse-Lösungen herum kommen. Dabei sollte und wird es nicht darum gehen, lediglich Statistiken zu sammeln. Vielmehr muss der Bürger auf seinem Weg über die Website und durch das Verfahren begleitet, manchmal vielleicht sogar “an die Hand genommen” werden, um den erfolgreichen Abschluss z.B. einer Online-Antragstellung zu gewährleisten. Auf dem Weg über die Auswertung der Webanalyse muss sichergestellt werden, das die Website mit allen ihren Informations- und Downloadangeboten dem reibungslosen Ablauf eines Online-Verfahrens ergonomisch angepasst wird. Mit einer leistungsfähigen Webanalyse können die “dunklen Ecken” einer Behörden-Website ebenso identifiziert werden, wie Interessenschwerpunkte oder die Pfade, die ein Bürger im Online-Verfahren über die Website geht, ermittelt werden können. Etwaige durch permanente Auswertung der Webanalyse gewonnene Erkenntnisse über das Besuchsverhalten auf der Behörden-Website können und müssen unmittelbar und nachhaltig in Änderungen, Ergänzungen, also Verbesserungsmaßnahmen umgesetzt werden. Nur auf diese Weise lassen sich die Akzeptanz und der Erfolg von Online-Verfahren ständig steigern. Insoweit können die Behörden unmittelbar auf umfangreiche Erkenntnisse aus Online-Erfahrungen der gewerblichen Wirtschaft zurückgreifen. Dass es im einen Fall z.B. um die Steigerung von Online-Umsätzen geht, im Bereich E-Government dagegen um die Erhöhung der Anzahl erfolgreich eingeleiteter oder abgeschlossener Online-Verfahren, macht dabei dem Grunde nach überhaupt keinen Unterschied.

Besonderes Augenmerk müssen die Behörden natürlich auf die Einhaltung des Datenschutzes richten. Nicht nur, aber vor allem auch bei Einsatz einer Webanalyse-Lösung gilt es, unter allen Umständen zu vermeiden, dass Daten oder sogar Auswertungen über das Besuchsverhalten eines Bürgers mit personenbezogenen Daten zusammengeführt werden bzw. – besser – zusammengeführt werden können.

Die leidige Diskussion darüber, ob es sich bei der IP-Adresse eines die Behörden-Website ansprechenden Rechners um “personenbezogene Daten” im Sinne der Datenschutzgesetze handelt, kann dabei völlig vernachlässigt werden.

Warum das so ist ? Weil die IP-Adresse für die “redliche” Webanalyse überhaupt nicht benötigt wird. Wer als Website-Betreiber keinerlei Ambitionen hat, nur über den Einsatz einer Webanalyse-Lösung direkt oder auf Umwegen personenbezogene Informationen des Bürgers zu erhalten, muss die IP-Adresse des Rechners noch nicht einmal erfassen, geschweige denn speichern oder auswerten. Dem “redlichen” Betreiber einer Website dient die Erfassung und die mehr oder weniger lang andauernde Speicherung der IP-Adresse ausschließlich zu dem Zweck, die Geo-Daten des Besuches auszuwerten, also festzustellen, in welchem Land, in welcher Region, ggf. in welcher Stadt der Besuchsrechner steht. Die Erhebung dieser Geo-Daten macht auch durchaus Sinn, sei es, um nur zu ermitteln, in welchen geographischen Bereichen sich Nutzungsschwerpunkte befinden, oder sei es zu dem Zweck, in bestimmten geographischen Regionen gezielte Kampagnen zur Förderung des Online-Angebotes anzubieten und anschließend eine unmittelbare Erfolgskontrolle zu haben.

Die Erhebung der Geo-Daten ist sicherlich am einfachsten über die Erfassung und Speicherung der IP-Adresse zu bewerkstelligen. Sinn macht dabei nur die Speicherung der vollständigen IP-Adresse, weil jedwede Kürzung/Veränderung der IP-Adresse zur Abbildung verfälschter und damit unzutreffender Geo-Daten führen kann. Um auch nachträgliche Auswertungen länger zurück liegender Zeiträume zu ermöglichen, kollidiert diese “Lösung” aber mit den Vorschriften und auch der verstärkt aufkommenden Diskussion darüber, unter welchen Voraussetzungen die IP-Adresse überthaupt erfasst/gespeichert werden kann und vor allem, wie lange sie ggf. gespeichert werden darf.

Diese wie gesagt leidigen Probleme und Diskussionen können aber völlig dahin gestellt bleiben, wenn man auf die Erfassung/Speicherung der IP-Adresse schlicht und einfach verzichtet und die Erfassung sowie Speicherung der Geo-Daten auf andere, datenschutzrechtlich uneingeschränkt unbedenkliche Art und Weise sicherstellt. Das ist mit überschaubarem Mehraufwand beim Aufsetzen der Webanalyse-Lösung ohne weiteres zu machen, man muss es nur wollen. Wer sich für dieses IP-freie Tracking entscheidet, hat keine Probleme mit diesbezüglichen Diskussionen und Nachforschungen über die Gewährleistung des Datenschutzes auf der getrackten Website und kann sich vollumfänglich den wirklich wichtigen Aspekten der Webanalyse widmen … nämlich, das Thema E-Government nicht nur mit Worten, sondern vor allem mit Taten einen deutlichen Schritt voran zu bringen.

Man stelle sich vor, man sei Nutzer eines von Google angebotenen Dienstes, z.B. Google Sites. Bei der Arbeit mit diesem Dienst besteht u.a. die Möglichkeit, z.B. Bekannte, Freunde, Arbeitskollegen am Ergebnis dieser Arbeit teilhaben zu lassen, indem man sich eines hierfür angebotenen Einladungs-/Informationstools bedient.

Da gibt man dann alle email-Adressen ein, die man mit seiner “message” erreichen will. Unter anderem vielleicht jemanden mit einer firmenbezogenen email-Adresse, bestehend aus x=Vorname@yz=Firmenname.tld .

Gesagt, getan. Das Tool funktioniert prima, nach Abschluss des Sendevorgangs bekommt man eine Bestätigung. Und komfortablerweise werden einem die Adressaten mit email-Adressen in einem gesonderten Fenster angezeigt und als eine Art “Teilnehmer” gespeichert.

Überraschenderweise wird die o.g. email-Adresse aber nicht angezeigt, sondern stattdessen eine GMail-Adresse x=Vorname.Nachname@googlemail.com.

Diese Googlemail-Adresse war dem Nutzer des Google-Dienstes bislang nicht bekannt, sie war auf dem PC dementsprechend auch nirgends gespeichert. Also kann sie eigentlich nur via Google “reingerutscht” sein. Und viel wichtiger: Es gibt diese email-Adresse und sie gehört zu der Person, die eben nur unter ganz anderer Adresse angemailt wurde.

Switched Google also kurzerhand “fremde” email-Adressen auf GMail-Adressen um ? Und wenn das der Fall ist: Zu welchem Zweck ? Hat Google es nötig, seinen GMail-Dienst auf diese Weise zu pushen ?

Worauf diese Mutation ggf. zurückzuführen ist, kann man sich vorstellen: Beim Anlegen eines GMail-Kontos kann man (muss aber nicht !) ein Referenz-email-Konto angeben. Über diese Angabe sind die neue GMail-Adresse und die Referenz-email-Adresse jedenfalls bei Google miteinander verbunden. Beim Absenden der Einladung aus Google Sites werden die Adressen mit dem Datenbestand auf GMail abgeglichen. Wenn eine Adresse als Referenzadresse in einem GMail-Account auftaucht, wird mit der entsprechenden GMail-Adresse bestätigt.

Wir haben das mehrfach verprobt, immer mit dem selben Ergebnis. Und es spricht eine Vermutung dafür, dass es sich hierbei nicht um einen Bug handelt. Oberhalb des Feldes, in dem man im GMail-Account die Refrenzadresse eingeben kann, findet sich nämlich der folgende, etwas nebulös formulierte und blass abgebildete Hinweis:

Hinweis: Bei einigen Google-Diensten besteht die Möglichkeit, dass Ihre Kontakte Ihre primäre E-Mail-Adresse ermitteln können, wenn Sie Ihre alternative E-Mail-Adresse an Ihre Kontakte weitergeben.

Wenn sich die erste Vermutung bestätigen sollte, wäre das wohl ein eklatanter Verstoß gegen Datenschutzgrundsätze, weil

- auf diesem Weg eine bislang unbekannte email-Adresse ohne Wissen der betreffenden Person preisgegeben wird;

- eine Verbindung zwischen zwei möglicherweise bewusst getrennt gehaltenen email-Adressen hergestellt wird;

- beim Nutzer des Google-Dienstes automatisch eine völlig andere als von ihm eingegebene email-Adresse gespeichert wird, weshalb es bei künftigen emails an die betreffende Person zu ungewünschten Zustellungen kommen kann, mit allen hieraus möglicherweise resultierenden Konsequenzen.

Wir haben Google Deutschland vor Veröffentlichung dieses Beitrags Gelegenheit zur Stellungnahme gegeben. Hierauf meldete sich der Datenschutzbeauftragte von Google Deutschland und teilte mit, dass er das Thema zunächst mit Google USA klären müsse. Um Google die Möglichkeit zur vorherigen Stellungnahme offen zu lassen, hielten wir die Veröffentlichung dieses Beitrags noch zurück. Gestern wurde uns mitgetelt, dass sich das feedback aus den USA noch verzögere. So weit, so gut. Wenn es um ein solches Thema geht, könnten 10 Tage vielleicht auch reichen, um sich einen Überblick über das Problem zu verschaffen. Es spricht nicht zuletzt aufgrund des zitierten Hinweises Einiges dafür, dass man sich bei Google der aus unserer Sicht sehr problematischen Funktion bewusst ist. Um so unverständlicher, dass die Möglichkeit, vor Veröffentlichung des Beitrags Stellung zu nehmen, nicht genutzt wurde.