11 illegale Dinge, die fast jeder Webmaster macht

08.12.2009 17:20 Uhr20 Kommentare

10 Dinge die Webseitenbetreiber nicht dürfenIn verschiedenen Gerichtsurteilen wurde die IP-Adresse bereits als personenbezogene Information eingestuft. Nun hat der Düsseldorfer Kreis (oberste Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) am 27. November 2009 einen Beschluss veröffentlicht, aus dem hervorgeht, dass die Speicherung der IP-Adresse ohne Einwilligung illegal ist.

Das Erschreckende: Hiervon ist nahezu jeder Webseitenbetreiber betroffen!

Hintergrundwissen

Ich habe in bisher 3 Teilen die aktuelle Diskussion durchleuchtet. In Teil 1 beschrieb ich, warum die IP-Adresse als personenbezogene Information gewertet wird. Mit Teil 2 klärte ich Nicht-Webseitenbetreiber darüber auf, was Webmaster eigentlich in Statistiken lesen, da das Analysewerkzeug Google Analytics in der Diskussion eine prominente Rolle spielt.

In Teil 3 habe ich Ihnen gezeigt, warum Datenschützer eine Bedrohung der Privatsphäre sehen, wenn die IP-Adresse protokolliert wird.

Um eine erneute Abwahnwelle zu vermeiden und sich selbst teure Anwaltsschreiben zu ersparen, wird Ihnen als Webseitenbetreiber nichts übrig bleiben: Vermeiden Sie die Speicherung der vollen IP-Adresse Ihrer Besucher.

11 Dinge, die Sie als Webseitenbetreiber nicht dürfen

Es geht dabei nicht nur darum, was Sie als Webseitenbetreiber speichern. Sobald Sie Dateien von anderen Webseiten einbinden, wird es gefährlich. Fragen Sie den Anbieter, ob dieser die IP-Adresse anonymisiert oder erst gar nicht protokolliert.

Falls der Anbieter Ihnen dies nicht zusichert, dürfen Sie nichts von seinen Servern auf Ihrer Webseite einbinden. Es sei denn, Sie holen zuvor die Erlaubnis Ihres Besuchers ein, dass seine IP-Adresse protokolliert und weitergegeben werden darf.

Hier einige Beispiele, die nun mit Vorsicht zu genießen sind:

  1. Ihr Analysewerkzeug
    Nutzen Sie nicht Google Analytics. Google Analytics ist aus zwei Gründen rechtlich hoch bedenklich: 

    1. Die IP-Adresse Ihres Besuchers wird an einen Dritten (Google) unanonymisiert übertragen.
    2. Die IP-Adresse wird an Server außerhalb der EU übertragen. Das bedeutet, dass personenbezogene Informationen ohne Genehmigung in die Staaten gesendet werden. Äußerst kritisch.

    Bei der Auswahl Ihres Analysewerkzeuges müssen Sie also auf genau diese Punkte achten.

    Tipp: Ich nutze die OpenSource-Lösung Piwik für Webseitenstatistiken meiner Webseite. Aber Vorsicht: Die IP-Adressen werden nicht anonymisiert. Hierfür müssen Sie die Methode getIp() in der Common.php anpassen.

    Update: Google Analytics hat reagiert. Wenn Sie als Webmaster die IP-Adresse anonymisieren lassen, kann Google Analytics wieder eingesetzt werden: Offizielle Anleitung zur IP-Maskierung.

  2. Einblendung von Werbung
    Wenn Sie Werbung einblenden, die direkt vom Server des Werbenden geladen wird (Banner, AdWords, diverse Widgets), kann dieser die IP-Adresse Ihrer Besucher mitprotokollieren.
  3. Skriptarchive / -anbieter
    Auch der gut gemeinte Ansatz, Skripte, wie z.B. die JavaScript-Bibliothek JQuery, über einen zentralen Server einzubinden, ist rechtlich bedenklich. Durch das Einbinden hat der Anbieter die Möglichkeit, die IP-Adresse Ihres Besuchers bei jedem Seitenaufruf zu protokollieren.
  4. Apache Log-Dateien
    Die meisten Webseiten laufen auf einem Apache-Server. Dieser protokolliert in seiner Standardausführung die volle IP-Adresse mit. Dies ist nicht zulässig.
  5. Einbinden von Videos
    Das direkte Einbinden von Videos, z.B. vom Anbieter YouTube, lässt ebenfalls eine Protokollierung der IP-Adresse zu und ist somit unzulässig.
  6. Counterdienste
    Alleine das Anzeigen eines Counters (Besucherzähler) ist datenschutzrechtlich bedenklich. Da die Zähler-Grafik direkt vom Server des Anbieters geladen wird, kann dieser die IP-Adresse mitprotokollieren.
  7. Interaktive Widgets für Twitter, Facebook, Google Friends & Co
    Auch die Widgets (kleine Codebausteine), die Ihre Webseite mit anderen Diensten verknüpfen (und z.B. Ihre letzten Tweets bei Twitter anzeigen), müssen überprüft werden.
  8. IP-Adresse anzeigen
    Ich biete seit vielen Jahren an, dass Webmaster Ihren Besucher zeigen, dass diese nicht anonym sind. Dazu bindet der Webmaster lediglich ein Bild ein, das seinen Besuchern deren IP-Adresse anzeigt.
    Solange mein Provider Logdateien anlegt, ist selbst dieser Service nun bedenklich (ich arbeite an einer Lösung).
  9. Badges
    Badges sind kleine Grafiken, mit denen etwas ausgedrückt werden soll. Zum Beispiel: 

    • Die Aufnahme in einem Verzeichnis
    • Die Unterstützung von Software (z.B. Firefox)
    • Die Unterstützung diverser Aktionen
    • Der PageRank der eigenen Webseite
    • Und vieles mehr

    Wenn Sie solche Badges (wie auch alle anderen Grafiken) direkt vom Server des Anbieters einbinden, müssen Sie sicherstellen, dass der Anbieter die IP-Adresse nicht protokolliert.

  10. Content Delivery Networks
    Ein CDN ist ein meist kostenpflichtiger Dienst, um einzelne Teile einer Webseite (Bilder, Skripte) auszulagern. Da ein Webbrowser nur eine begrenzte Anzahl an Ressourcen von einer Seite zeitgleich lädt, kann durch die Verteilung eine enorme Performancesteigerung erreicht werden.
    Auch hier ist nun zu prüfen, ob das CDN die IP-Adresse mitprotokolliert (ein einfacher Apache-Log reicht bereits!).
  11. Gravatar für Blogs
    In Blogs ist es beliebt, die Avatare (die kleinen Bilder) der Kommentatoren neben dem Kommentar einzublenden. Diese sind zentral bei einem Dienst namens Gravatar hinterlegt und werden bei jedem Seitenaufruf direkt von den Servern den Dienstes geladen.

Das ist nicht nur eine enorme Umstellung, sondern auch für die Interaktivität deutscher Webseiten ein massiver Einschnitt. Selbst auf Anonym-Surfen.com konnte ich noch nicht alle Punkte umsetzen und suche nach Möglichkeiten, dies alles technisch realisieren zu können.

Um hier nochmal eins klar zu sagen: Die wirkliche Gefahr für Webseitenbetreiber geht nicht von Datenschützern aus. Sie geht von Abmahnanwälten aus, die auf diesen Zug aufspringen werden.

Wie gehen Sie damit um? Werden Sie vorsorglich Maßnahmen treffen?

6 Trackbacks

14 Kommentare

  • Udo Send schreibt:

    Sehr interessanter Post!

    Wenn wirklich Abmahnwellen wegen dieser 11 Punkte auf uns zukommen, dann gute Nacht deutsches Internet…

  • Markus schreibt:

    Jeder der sich bei Gravatar anmeldet weiß auch das seine Daten dorthin übertragen werden, wenn er auf Blogs kommentiert. Also was soll da abgemahnt werden?

  • Dennis schreibt:

    Hallo Markus,
    abgemahnt kann werden, dass die IP-Adresse eines jeden Lesers (nicht nur die des Kommentators) an gravatar.com übermittelt wird. Der Leser wird dabei nicht gefragt, ob die „personenbezogene Information“ herausgegeben werden darf.

  • Udo Send schreibt:

    Ich habe eben das Interview mit dem Rechtsanwalt gelesen und dabei ist mir ein Punkt eingefallen:

    12. Die beliebte Anzeige von Feedburner darf ebenfalls nicht mehr angezeigt werden. Zumal Feedburner auch noch von Google geschluckt wurde.

  • BM schreibt:

    Das ist ja schrecklich wen eine Horde an Anwälten Abmahnbriefe rausschickt. Dan wäre muss ich ja Privat Insolvenz anmelden.

    Das dürfen die doch nicht machen. Es muss eine Lösung gefunden werden.

  • iptvtoday schreibt:

    Sehr schöne Zusammenstellung. Endlich spricht mal jemand Punkt 4 an. Denn dies wird in der ganzen „Analytics“-Debatte gerne vergessen. Streng genommen hilft bei den meisten der Verzicht gar nicht. Man müsste den Hoster wechseln oder noch besser: selber hosten. An den Aufwand mag ich gar nicht denken. Aber selbst wenn nur die Hälfte der genannten Punkte mal zum Problem werden, wäre das wohl der Tot der meisten kommerziellen Seiten. Wenn Banner von Zanox, Adwords & Co bzw. Conversiontracking auch nicht mehr zulässig wären, dann gute Nacht! Abwandern die einzige Lösung?

  • Dennis schreibt:

    Hallo iptvtoday,
    der einzige Ausweg wäre, dass alle Dienste die IP-Adresse maximal anonymisiert speichern. Wenn z.B. YouTube dies verbindlich zusichert, dann darf ich die Videos problemlos einbinden.

    Aber dass sich das jemals im EU-Ausland durchsetzen wird, wage ich zu bezweifeln. Aktuell sehe ich jedenfalls keine Möglichkeit, den Anforderungen der Datenschützer in vollem Umfang gerecht zu werden.

    Wie du sagst, bliebe dann nur noch auszuwandern.

  • Timmy@Musik schreibt:

    Noch wurde kein Urteil aus oberster Instanz gesprochen und Google-Analytics arbeitet gerade an einer Lösung, wie es auch auf der Webseite ersichtlich ist. Mal sehen was das ganze noch so mit sich bringt, ich bin jedenfalls gespannt.

  • Allu Tihim schreibt:

    Ich muss sagen, ich kriege das Kotzen wenn ich solche Artikel lese. Gravatar darf man nicht benutzen, eine Statistik sich nicht generieren lassen, und Werbung auch nicht schalten. Und am besten seinen Besuchern auch keine YouTube Videos zeigen.
    Was wenn nicht? Ja dann muss man jeden Abend mit einem mulmigen Gefühl schlafen gehen. In der Angst leben am nächsten Morgen eine Abmahnung im Briefkasten zu haben. Seine Existenz durch einen Streitwert von 20.000 EUR verlieren…

    Ich hoffe der Autor dieses Blogs lässt auch kritische Kommentare zu…

  • Dennis schreibt:

    Hallo Herr Tihim,

    klar lasse ich kritische Kommentare zu. Falls Sie das Kotzen wegen dem Inhalt kriegen, kann es gut verstehen. Wenn es an meinem Schreibstil liegt, würde ich mir jetzt Sorgen machen. 😉

    Das Schlimmste ist, wie ich finde, dass die Gesetzeslage wieder mal nicht eindeutig ist. Google Analytics hat übrigens zwischenzeitlich reagiert und bietet eine Anonymisierung der IP-Adresse an.

  • Rene schreibt:

    Ich find das immer wieder lustig, denn das Internet beweist selber immer wieder das es im Internet kaum recht gibt. Gerade diese Counter dienste haben ja wohl ca. 70% aller webseiten im netz wenn nicht sogar mehr.

  • Rob W. schreibt:

    [quote]Google Analytics hat übrigens zwischenzeitlich reagiert und bietet eine Anonymisierung der IP-Adresse an.[/quote]

    muß man das als Webmaster im Script einbauen oder ist das Enduser-seitig zu konfigurieren? Gibz einen Link mit Infos dazu?

    Sehr interessanter Hinweis jedenfalls!

  • Dennis schreibt:

    Hallo Rob,
    gute Idee, ich habe den Link im Artikel als Update hinzugefügt! Da müssen Sie als Webmaster aktiv werden, nicht der Enduser.

  • Nils schreibt:

    Der fünfte Link im Text, „Offizielle Anleitung zur IP-Maskierung“ (http://www.google.com/support/analytics/bin/answer.py?hlrm=en&answer=181782) ist (jetzt) ein toter Link. Gruß.