Tag Archive: Datenschutz

Google Analytics ist in Deinem Land leider nicht verfügbar!

Google Analytics ist in Bezug auf Datenschutz vor allem in Deutschland ein sehr leidiges Thema. Deutschland wandert meiner Einschätzung nach immer stärker in Richtung Internetzensur, die lediglich nicht als solche bezeichnet wird. Ein zweites China? Zensur? Nein, das gibt es doch in Deutschland nicht! Hier herrscht doch schließlich Presse- und Meinungsfreiheit. Es könnte lediglich sein, dass die Funktion „in Deinem Land nicht verfügbar“ ist…

Im Fall Google Analytics streitet man sich immernoch über die Art und den Umfang der Daten, die an die Server des Suchmaschinenriesen auf einen langen Weg über den Teich in Richtung USA gesendet und dort vermutlich nicht nur abgelegt, sondern ggf. auch für ein Profiling o.ä. verwendet werden. Immerhin ist Google in den Augen vieler nicht mehr nur die Suchmaschine, sondern das datensammelnde Internetimperium, welches z.B. personalisierte Werbung anzeigt, um möglichst viel Geld zu verdienen.

Laut Aussage der deutschen Datenschützer wurden die Verhandlungen mit Google abgebrochen. „Leider mussten wir zu dem Ergebnis kommen, dass Google unseren Datenschutzanforderungen nicht entsprochen hat“, sagte der Hamburger Datenschutzbeauftragte Johannes Caspar laut einem Bericht der (FAZ). Die Anforderungen versuchte Google unter anderem mit einem Browserplugin umzusetzen, welches das Senden von Daten an Google verhindert. Darüber hinaus bietet Google eine IP-Masken-Methode, mit welcher die IP Adressen anonymisiert an das Unternehmen geschickt werden.

Dass das Browserplugin laut Datenschutzbeauftragtem nicht alle User erreichen kann, leuchtet ein, sofern man es vor dem Hintergrund sieht, dass das Analytics Opt-Out Plugin tatsächlich nur für den Internet Explorer, den FireFox und den Chrome von Google verfügbar ist. Die 10% der Internetnutzer, die z.B. mit dem Opera oder dem Safari durch das weltweite Netz surfen, bleibt der Schutz mehr oder minder verwehrt. Selbstverständlich ein Streitpunkt, den man diskutieren muss.

A pro pos Diskutieren: Wie ich oben bereits erwähnte, behauptet der Hamburger Datenschutzbeauftragte Johannes Caspar, man habe die Verhandlungen mit Google angebrochen, da man den Datenschutzanforderungen der EU nicht entspräche. Interessant ist daraufhin zu lesen, dass Google das ganz anders zu sehen scheint. Entgegen der aktuellen Berichterstattung deutscher Medien heißt es seitens Google: „Uns ist ein Abbruch der Gespräche von seiten der Datenschutzbehörden nicht  bekannt und wir arbeiten weiter aktiv daran, die Bedenken der Datenschutzbehörden auszuräumen.“

Das Suchmaschinenunternehmen betont in dem Artikel noch einmal, dass „Google Analytics dem Datenschutzrecht in der EU entspricht“. Tolle Wurst. Jetzt weiß der eine mal wieder nicht was der andere sagt und umgekehrt. Aber das sind wir von unseren Politikern ja schon gewohnt. Da werden einfach mal irgendwelche Gesetzentwürfe, wie z.B. der Jugendmediendienstestaatsvertrag (JMStV) oder ähnliches erstellt, ohne auch nur über ein Fünkchen Hintergrundwissen zu verfügen, inwieweit eine solche Entscheidung Einfluss auf das Netz haben könnte. Ich habe vor kurzem noch einen interessanten Tweet gelesen, der für das Internet das Baumhaus-Prinzip fordert: „Wer zu alt ist, um ohne Hilfe reinzukommen, soll uns darin auch keine Vorschriften machen.“. Im Moment kommt mir das ganze vielmehr so vor, als habe die Politik Angst die Kontrolle zu verlieren. Das ganze heißt dann, dass die Politiker besorgt um unsere Daten seien. Naja, ich ahne leider jetzt schon, worauf das Ganze vermutlich hinauslaufen wird: Google Analytics ist in Deinem Land leider nicht verfügbar.

Willkommen bei Facebook. Wir wollen Dich doch nur kennenlernen.

Bei „Willkommen bei Facebook. Wir wollen Dich doch nur kennenlernen.“ handelt es sich um einen viralen Film von Alexander Lehmann. Ich hatte schonmal über einen anderen Film (Rette Deine Freiheit) von Alexander Lehmann berichtet. In dem neuen Film geht es darum, was wir sozialen Netzwerken wie Facebook als User offenbaren und was Facebook mit unseren Daten teilweise anstellt oder auch anstellen könnte…

Google Analytics ohne datenschutzrechtliche Bedenken einsetzen

Google Analytics wird wohl eines der am weitesten verbeiteten Tools zur Aufzeichnung des Traffics auf Internetseiten sein. Es ist umfangreich, zuverlässig und kostenlos. Das sind wohl die drei häufigsten Argumente, die für den Einsatz des webbasierten Tools sprechen. Seitens der Datenschützer gibt es jedoch erhebliche Bedenken, da Daten, vor allem IP-Adressen, an im Ausland stehende Server gesendet werden. Das kann man jedoch teilweise unterbinden

Google Analytics bietet seinen Nutzern mit Hilfe einer kleinen Zeile Code die Möglichkeit IP Adressen abzukürzen und diese dadurch zu anonymisieren. Die datenschutzrechtlichen Bedenken dürften damit zwar nicht ausgeräumt, zumindest aber eingedämmt sein. Es liegt prinzipiell am Betreiber der Internetseite selbst, wie viele Daten er bereit ist preiszugeben. Ich für meinen Teil werde meine Webseiten in den nächsten Tagen entsprechend ändern.

Das Ganze ist einfacher als man denkt. Der Code, den man für die Aufzeichnung des Traffics durch Google Analytics in die Website einbinden muss, sieht etwa folgendermaßen aus:

<script type="text/javascript">
    var _gaq = _gaq || [];
    _gaq.push(['_setAccount', 'Analytics-ID']);
    _gaq.push(['_trackPageview']);
    (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
    })();
</script>

Alles was nun getan werden muss ist nach der Zeile, in welcher die eigene Analytics-ID angegeben wird, eine weitere Zeile Code einzufügen, die die IP-Adressen vor dem Versenden der Daten verkürzt und damit anonymisiert. Der modifizierte Code sieht dann so aus:

<script type="text/javascript">
    var _gaq = _gaq || [];
    _gaq.push(['_setAccount', 'Analytics-ID']);
    _gaq.push(['_gat._anonymizeIp']);
    _gaq.push(['_trackPageview']);
    (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
    })();
</script>

(via)

Hacker und verlorene Daten sind StudiVZ scheinbar egal. Es darf nur niemand erfahren…

Sicherlich jeder aus der Szene weiß über das Datenleck der VZ Netzwerke bescheid. Ein junger Hacker (Matthias L. alias „Exit“) hatte vor kurzem mit einem simplen Crawler rund 2,7 Millionen teilweise sensible Datensätze von diversen Schülern speichern können. Matthias L. traf sich dann mit den VZ Verantwortlichen in den Berliner Büros, wurde dort festgenommen, in U-Haft gesteckt und erhängte sich später in der Einzelzelle. Nun kommt raus, dass den Technik-Chefs die Hacker scheinbar herzlich egal sind…

Der Spiegel berichtete mehrfach. Es tun sich langsam aber sicher Zweifel auf, ob das Ganze mit rechten Dingen zugegangen ist bzw. ob die VZ-Netzwerke wahrheitsgemäße Aussagen gemacht haben. Während StudiVZ anfangs von Erpressung durch den Hacker Matthias L. sprach, sieht es laut Chatprotokoll zwischen Matthias L. und dem Technikchef der VZ Netzwerke Jodok B. nun sogar so aus, als habe das Unternehmen dem Hacker ein Angebot unterbreitet Schweigegeld zu zahlen. Viel schlimmer ist darüber hinaus, dass den VZ Netzwerken die Sicherheit der Daten Ihrer User zeimlich egal zu sein scheint. So heißt es im Chatprotokoll vom Technikchef Jodok B.:

du – und andere können bei uns rumhacken, wie sie wollen. Ich bezahl euch sogar gerne dafür!

Demnach scheint das Hacken in den Holtzbrinck’schen Netzwerken seitens der Techniker fast schon gestattet bzw. toleriert zu werden. Ganz nach dem Motto „Was sie nicht weiß, macht sie nicht heiß…“ darf scheinbar nur niemand von den Sicherheitslücken und den vielleicht schon verlorenen Daten erfahren:

Wenn ich jemanden dafür bezahle, möchte ich, dass das nicht publik wird.

Das Lustige ist, dass das Angebot scheinbar wirklich seitens der VZ Netzwerke ausging und gar keine Erpressung war. Denn Matthias L. antwortete auf die Frage, was er denn mit dem Datensammeln erreichen wolle, nicht etwa damit Geld zu erpressen, sondern behauptete lediglich:

gar nichts, das war’n just4fun projekt

Erst daraufhin scheint sich der Technikchef zu einer möglicher Bezahlung bzw. die Möglichkeit ein Schweigegeld zur Verfügung zu stellen, geäußert zu haben. Es lässt fast vermuten, als sei das Gang und Gebe in den Netzwerken. Denn das Schweigen seitens Matthias L. dürfe:

uns das auch was kosten

so der VZ Technikchef Jodok B.. Scheinbar habe Matthias L. erst daraufhin spontan eine Summe genannt, welche 80.000 Euro Betrug. Es schien in seiner Aussage gegenüber der Kripo so, als hätte er das nicht geplant, sondern spontan entschieden:

Wenn die mir Geld anbieten nehme ich es gerne an.

Interessant ist nun, dass es keine weitere Stellungnahme von den Verantwortlichen der VZ Netzwerke gab. Zu Details wolle man sich nicht äußern. Ganz schön verzwicktes Ding, was die sich da wieder eingebrockt haben. Dass es den Technikern völlig egal zu sein scheint, wer in den Netzwerken alles herumhackt und, dass es der Fall sein könnte, dass dadurch auch Daten an unbefugte Dritte gelangen, erschreckt mich schon ein wenig.

Die Aussagen und das Verhalten des Technikchefs bzw. der VZ Netzwerke hinsichtlich eigentlich einzuhaltender Datenschutzrichtlinien sind meiner Meinung nach völlig verantwortungslos. Vielleicht spiegelt das aber auch nur das scheinbare Unmvermögen der dort angestellten Techniker bzw. der gesamten Technikabteilung wider. Vielleicht ist Holtzbrinck mit dem Betrieb der Netzwerke schlichtweg überfordert, versucht gleichzeitig aber keinen Imageschaden davonzutragen…

Es wird Zeit, dass auch die angeblich 14 Millionen Mitglieder über dieses Verhalten und den nicht nachzuvollziehbaren Standpunkt unterrichtet werden. Mal schauen, was man da machen kann…

Extra für euch: Mein KSK Zugang inkl. TAN Liste

Es gibt Dienste, die sind so gefährlich und brisant, dass ich mich persönlich auch mit einem großen Securityteam in petto nicht dran trauen würde. Aber im Web 2.0 Zeitalter ist alles möglich. Also sind die User wieder gefragt. Es gilt mitzumachen und nicht nur Daten, sondern die sensiblen Daten rauszurücken.

Philipp Schreiber, Sven Körner und Ingo Frick scheinen drei solch schmerlose Personen zu sein. Da man sich ja auf ganz vielen verschiedenen Diensten immer einloggen muss, haben besagte drei Personen vor einigen Wochen eingelogged.de ins Leben gerufen. Super!

Das tolle an der Sache ist, dass ich jetzt meine ganzen Daten von Youtube, StudiVZ, Xing, ICQ, eMail, Online-Banking und was weiß ich nicht alles (über 290 Dienste werden angeboten) bei denen speichern soll. Klar, das mache ich doch glatt. Vor allem gebe ich meine Daten einem jungen Startup in die Hand, welcher sich unter dem Logo mit der Bezeichnung „beta“ schmückt. Da läuft es also scheinbar noch nicht ganz gerade.

Aber das ist ja nicht so schlimm, denn erstens sind es ja nur meine Daten und zweitens sind die Benutzernamen und Passwörter angeblich hochverschlüsselt in der Datenbank abgelegt. Wow, HOCHVERSCHLÜSSELT. Na dann kann ja gar nichts mehr passieren…