| Home | Sonstige Artikel | Site Map | |
Der Skandal um die NSA hat ein Thema wieder in den Vordergrund gerückt – den Datenschutz. Nun will auch die Telekom der Internetverkehr über deutsche Knoten leiten – wohlgemerkt den internen Verkehr innerhalb Deutschlands, der scheint vorher erst mal über den Atlantik gegangen zu sein, wo die NSA natürlich leichtes Spiel hat, ihn abzufischen.
Was dabei aber gerne vergessen wird: Neben diesem groß angelegten Ausspähen von Millionen von Benutzern gibt es eine viel größere Gefahr: Die Überwachung einzelner Personen und da sieht es mit dem Datenschutz nicht gut aus.
Vielleicht erinnern sich die älteren Semester noch an die Volkszählung in den Achtzigern erinnern. Was gab es an Diskussionen um sie und Widerstände gegen sie. Bis zum Bundesverfassungsgericht gingen die Gegner, in den Straßen wurde demonstriert. Es wurde das Gespenst des Staates beschworen, der seine Bürger ausspioniert, ganz im Sinne des damals wieder populär gewordenen Romans „1984“, auch weil die Jahreszahl gerade mal wieder anstand. Dabei waren die übermittelten Daten im Verglich zu den heute freiwillig abgegebenen harmlos und noch dazu anonym. Letztes Jahr gab es wieder eine Volkszählung – ohne größeren Widerstand.
Das liegt daran, dass die meisten die Online gehen, viel mehr Daten von sich preisgeben. Und anders als bei der Volkszählung sind diese nicht anonymisiert. Zumindest über eine Sitzung kann jede Website über die IP das Surfverhalten protokollieren. Wenn ich wöllte, könnte ich zum Beispiel feststellen, welche Seiten sie auf meiner Website besucht haben, in welcher Reihenfolge, wie lange sie auf jeder Seite waren, welcher Links sie zu mir geführt hat und wenn sie über einen weitergehenden Link sie verlassen, über welchen dieses war.
Das ist noch das Harmloseste. Da zumindest bei DSL die IP-Adresse bei jedem Login wechselt (bei Internet über Fernsehkabel blieb sie bei mir über Jahre konstant, nun scheint sie alle paar Wochen zu wechseln), speichern die meisten Shops ein Cookie auf ihrem Rechner. Das diente mal dazu einen Rechner zu identifizieren, wenn die IP-Adresse als Kriterium nicht eindeutig war. Inzwischen können Cookies mehr. Sie können das gesamte Surfverhalten, Suchbegriffe, die man eintippt, protokollieren. Kurzum sie können ein Profil von ihnen erstellen. Und über das Login beim Shop bei einer Bestellung sind diese Daten dann personalisiert. Der Anbieter weiß also genau, was sie gerne machen. So verwundert es nicht, wenn sie dann Vorschläge bekommen wie "Das könnte ihnen auch gefallen“ oder „Käufer die xyz erwarben kauften auch“.
Ohne Cookies, dafür unter Mithilfe des Browsers, erfolgt die Verknüpfung von Google Chrome mit einem Google Konto. Ist man angemeldet, hat man zwar einige Annehmlichkeiten, kann z.B. Passwörter und Lesezeichen auf mehreren Geräten zu synchronisieren. Aber Google bekommt nun auch alles, mit was sie machen.
Noch perfider ist die Masche von Facebook. Wer einen Facebook Button oder einen dieser „I like it“ Buttons auf einer Webseite platziert, der sorgt dafür, dass jeder Facebook Benutzer der momentan eingeloggt ist, identifiziert und die URL der Webseite an Facebook übermittelt wird, ohne das der Benutzer auf den Button klickt.
Inzwischen ist dies so in Verruf gekommen, dass es alle Browser in den Einstellungen die Möglichkeit bieten ein „Do not Track“ an den Webserver zu senden. Do not Track ist ein Feld im HHTP-Header, das signalisiert ob der Benutzer eine Verfolgung zulässt oder nicht. Ist dies nicht der Fall, dürfen keine Cookies gesetzt werden und keine Nutzungsprofile angelegt werden. Nur ist dies bisher eine freiwillige Sache. Es gibt keine gesetzliche Verpflichtung sie durchzuführen, auch wenn es Kommentare gibt, die nach dem deutschen Recht damit einen Widerspruch nach §15 Abs. 3 des Telemediengesetzes sehen, damit wäre es für deutsche Anbieter rechtskräftig.
Mit des DSGVO (Datenschutzgrundverordnung) der EU ist vieles noch komplizierter geworden. Ich habe meine Seite über die Datenschutzbelehrung mit dem Datenschutzgenerator des Rechtsanwalts Dr. Schwenke entworfen. Da muss man nur in einem Formular die wichtigsten Angaben (z. B. welche Dienste man nutzt ob man YouTube-Videos verlinkt) und der Generator erstellt den nötigen Text. Für den Blog habe ich den Text übernommen und noch durch ein Wordpress-Plugin ergänzt. Gottseidank ist die befürchtete Abmahnschwemme ausgeblieben, wohl auch weil deutsche Gerichte nicht mehr so wirklichkeitsfremd und schnell urteilen wie noch vor einigen Jahren.
Eine andere Dimension ergibt sich, wenn schon das Netz, in dem man unterwegs ist, einem nicht gehört. Der Datenschutz gilt ja nicht nur für die Privatsphäre, sondern auch für Unternehmen. Der Unterschied ist hier, dass man erst mal im Netz des Unternehmens unterwegs ist und dann ins Internet gelangt. Damit gibt es einen Interessenskonflikt. Zum einen das Recht jedes Einzelnen auf Datenschutz. Das ist ein Grundrecht und endet nicht an der Pforte einer Firma. Zum anderen hat die Firma auch Interessen, die sie vertreten muss, bzw., sie muss sich auch gegen ein schädliches Verhalten schützen, z.B. das durch Angestellte ein Schaden angerichtet werden. Das können viele Dinge sein. Es beginnt mit dem Surfen während der Arbeitszeit. Schlussendlich wird man fürs Arbeiten bezahlt. Nach den Rechtsprechungen kann schon mehr als 15 Minuten Surfen pro Tag eine Abmahnung zur Folge haben. Das gilt, zumindest wenn es striktes Internetsurfverbot gibt. Wenn Vorgesetzte dagegen Mails checken oder es geduldet wird, ist die Situation komplexer.
Die Firma kann aber nicht nur, sie muss auch ihre Netze überwachen. Schlussendlich können über das Surfen Trojaner auf die Arbeitsplatzrechner gelangen, die interne Daten ausspähen. Diese Taktik sollen Geheimdienste heute schon einsetzen. Weiterhin kann der Mitarbeiter auch Dinge tun, die verboten sind und die Firma, deren IP-Adresse bekannt ist, wird dann als Verursacher verfolgt. Das kann das Herunterladen von unerheblich geschützten Inhalten oder gar Kinderpornografie sein.
Selbst wenn der Mitarbeiter dann anhand der Logfiles identifiziert werden kann und er zur Rechenschaft gezogen wird (meist verbunden mit einer Kündigung) bleibt doch ein gewaltiger Imageschaden für die Firma. Daher ist es das Interesse des Unternehmens den Schaden zu vermeiden, bevor er entsteht. Dabei werden die Netze überwacht, was wiederum das Recht auf Datenschutz des Einzelnen verletzen kann.
Ein externer Datenschutzbeauftragter kann bei diesem Spagat helfen. Er kann die eigene EDV-Abteilung beraten, welche Maßnahmen zulässig sind und welche nicht, aber auch welche sinnvoll und sinnlos sind. Die meisten Firmen sparen sich leider diese Serviceleistung und verfolgen eine von zwei Strategien: entweder alles zurammeln, also „erlaubt ist nur, was wir erlauben, das sind folgende Seiten …“ oder man schränkt die Freiheit fast gar nicht ein und versucht durch intensive Kontrolle des Datenverkehrs Schaden zu vermeiden. Das geschieht durch Antivirenprogramme, Programme zur Überwachung seltsamer Netzaktivitäten, aber auch Inhaltsanalyse, z.B. ob Fotos in einem großen Umfang Hauttöne als Farbe aufweisen.
Wer in einem Unternehmen arbeitet, bei dem es keine verbindlichen Regeln gibt, dem ist nur zu raten jegliches privates Surfen zu unterlassen. Beim privaten Surfen gibt es noch weniger was man tun kann. Es gibt zwar Dienste und Netzwerke, die die IP-Adresse verschleiern. Aber damit einher geht auch eine gravierende Verlangsamung des Datenverkehrs, zumindest für die kostenlosen Dienste. Das macht man meist nicht lange mit.
© des Textes: Bernd Leitenberger. Jede Veröffentlichung dieses Textes im Ganzen oder in Auszügen darf nur mit Zustimmung des Urhebers erfolgen.
| Sitemap | Kontakt | Neues | Impressum / Datenschutz | Hier werben / Your advertisment here | Buchshop | Bücher vom Autor | |