Benutzerverfolgung durch staatliche Websites: Die Antworten

Vor gut einer Woche stellten wir unser Rechercheergebnis zur Benutzerverfolgung auf staatlichen Websites vor. Dabei verglichen wir die Vorgaben des Telemediengesetzes und der Datenschutzbeauftragten mit der Umsetzung auf Websites staatlicher Behörden.

Neun der 35 untersuchten Websites hatten bis zum Zeitpunkt der Recherche ein Trackingtool installiert, boten allerdings keine Widerspruchsmöglichkeit an. Wie das Rechercheergebnis (pdf) darlegt, steht diese Vorgehensweise im klaren Widerspruch zur Vorgabe der Datenschutzbeauftragten von Bund und Ländern auf Grundlage des Telemediengesetzes. Diese neun Websites sind Angebote des Bundestages, der Ministerien der Verteidigung und für Familie, Senioren, Frauen und Jugend und des Bundesverwaltungsgerichts. Das Verteidigungsministerium hat bisher keine Stellungnahme abgegeben.

Alle betroffenen Betreiber haben wir auf unsere Einschätzung hingewiesen und um eine Stellungnahme oder gegebenenfalls um Richtigstellung gebeten. Die Reaktionen fielen sehr gemischt aus und warfen einige Fragen auf.

Definition eines Nutzungsprofils und Nachprüfbarkeit

Das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) setzt einen Tracker der Init AG ein. Uns ist nicht bekannt, wie die Erhebungen dieses Trackers aussehen. Auf unsere Anfrage antwortete das Ministerium:

Die vom BMFSFJ eingesetzte Statistik-Software erstellt keine individuellen Nutzungsprofile. Einzelne Merkmale, insb. die Browserart (Attribut User-Agent) und Betriebssystem, werden zwar erfasst, aber keinem User zugeordnet. Es werden lediglich die kumulierten Zugriffe auf einzelne Dokumente gezählt.
– Bundesministerium für Familie, Senioren, Frauen und Jugend am 20.07.2015

Auch werden laut Aussage des Ministeriums keine IP-Adressen gespeichert. Über Hinweise aus der Leserschaft, wie der Tracker der Init AG arbeitet, würden wir uns freuen.

„Do Not Track“-Header als Widerspruchsmöglichkeit

Viele der untersuchten Websites akzeptieren den „Do Not Track“-Header als Widerspruchsmöglichkeit. Dazu schrieb der Berliner Datenschutzbeauftragte im Jahr 2011:

[…] so sind sich die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich einig, dass das Setzen der entsprechenden Option durch eine Nutzerin oder einen Nutzer der Erklärung eines Widerspruchs im Sinne von § 15 Abs. 3 TMG gleichkommt. Solche Widersprüche sind von Anbietern von Telemedien zu beachten. Technische Verfahren sind so umzugestalten, dass solche Widersprüche erkannt und umgesetzt werden.

Grundsätzlich ist die Anerkennung des „Do Not Track“-Headers auch sehr begrüßenswert. Es stellen sich lediglich einige Fragen, die es in diesem Zusammenhang zu beantworten gilt:

  1. Ist diese Form des Widerspruch den Nutzern hinreichend bekannt? Ist davon auszugehen, dass das Gros der Internetnutzer mit dieser Option umzugehen weiß? Schon im Oktober 2012 sorgte sich die ehemalige EU-Kommissarin für die Digitale Agenda, Neelie Kroes, um die zu langsam fortschreitende Standardisierung und mangelnde Information der Browsernutzer.
  2. Der „Do Not Track“-Header ist noch kein W3C-konformer Standard. Ist wirklich davon auszugehen, dass jeder Internetnutzer Kenntnis davon hat und in der Lage ist, ihn zu setzen? Ist es dabei akzeptabel, dass noch zahlreiche Browser im Einsatz sind, die das Setzen des Headers nicht ermöglichen?
  3. Das Telemediengesetz spricht von einem Erlaubnis der Erhebung von Nutzungsdaten, sofern der Nutzer nicht widerspricht. Ist es ein aktiver Widerspruch, wenn der Header bereits standardmäßig gesendet wird, wie es beim Internet Explorer 10 der Fall ist? Sind Anbieter immer noch verpflichtet, das als eindeutige Willenserklärung zu verstehen oder wird die Eindeutigkeit des Widerspruchs damit verwässert? (vgl. Telemedicus: Warum „Do not Track“ den Datenschutz nicht retten wird.)

Insbesondere beim Einsatz von Programmen wie Piwik, die weitere Alternativen zum Opt-out anbieten, sollten diese zumindest ergänzend eingesetzt werden. Denn „Do not Track“ ist definitiv nicht als Standard etabliert.

Hinweis auf Widerspruchsmöglichkeit

Eindeutiger wird es beim Hinweis auf die Widerspruchsmöglichkeit.

Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.
– § 15 Abs. § TMG

§ 13 TMG spricht von einer Unterrichtung zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung. Zu Beginn des Benutzervorgangs informierte lediglich das Bundesministerium für Ernährung und Landwirtschaft über das Tracking. Zugegebenermaßen ist es aber auch wenig realistisch, auf jeder Unterseite einer Website darauf hinzuweisen. Doch zumindest ein Hinweis in der Datenschutzerklärung oder auf vergleichbaren Seiten ist leicht umzusetzen.

Auf die Frage, wo der Nutzer auf seine Widerspruchsmöglichkeit hingewiesen wird, antwortete der Bundestag:

In der Datenschutzerklärung für die Apps des Deutschen Bundestages ist ein entsprechender Hinweis bereits enthalten. In der für bundestag.de geltenden Datenschutzerklärung wird dieser Hinweis ebenfalls enthalten sein.
– Bundestag am 14.07.2015

Wir konnten nach gründlicher Lektüre der Datenschutzhinweise der Bundestags-Website keinen Hinweis auf Widerspruchsmöglichkeiten entdecken. Für den Fall von Änderungen hier eine Archiv-Version des Datenschutzhinweise des Bundestages. Der Vollständigkeit halber ist an dieser Stelle zu erwähnen, dass die Datenschutzerklärung laut Auskunft des Bundestages derzeit aufgrund der Umstellung auf Piwik überarbeitet und die neue Version in Kürze freigeschaltet wird.

Das Bundesverwaltungsgericht zeigte sich einsichtiger.

Ihre Recherchen sind insoweit korrekt, als dass ein expliziter Hinweis auf die Widerrufsmöglichkeit für das Tracking derzeit nicht besteht.
– Bundesverwaltungsgericht am 20.07.2015

Bundesverwaltungsgericht
Das Bundesverwaltungsgericht in Leipzig. Bild: Manecke. Lizenz: Creative Commons BY-SA 3.0.

Auf die Frage, welche Maßnahmen unternommen werden würden, um den Missstand zu beheben, antwortete das Bundesverwaltungsgericht:

Wir werden in Kürze eine Widerspruchsmöglichkeit unmittelbar im Rahmen der Datenschutzerklärung einbinden, die nicht nur auf die bloße Widerspruchsmöglichkeit hinweist, sondern auch ein unmittelbares „Opt-out“ ermöglicht.
– Bundesverwaltungsgericht am 20.07.2015

Eine sehr lobenswerte Reaktion, die von mehr beanstandeten Institutionen wünschenswert gewesen wäre.

Fazit

Die Regelungen des Telemediengesetzes sind immer noch teils uneindeutig, teils schwierig realisierbar. So ist es unklar, wie ein Widerspruch auszusehen hat und wie sich ein aktiver „Do Not Track“-Header als Standardeinstellung eines Browsers auf die Aussagekraft des Widerspruchs nach deutschem Recht auswirkt. Das zeigt sich auch am Ergebnis dieser Recherche. Selbst staatliche Organe erfüllen, aus offenbar unterschiedlichen Gründen, nicht die Vorgaben des Telemediengesetzes. Das ist ein schlechtes Signal für Website-Betreiber, die sich mit der Thematik auseinandersetzen.

Uneinsichtigkeit und fehlende Auseinandersetzung mit dem Thema sind aber auch Gründe für die erkannten Mängel. Die Antwort des Bundestages, dass in der Datenschutzerklärung ein Hinweis auf die Widerspruchsmöglichkeit „ebenfalls enthalten sein“ wird, obwohl das nachweislich nicht ist, ist ein zumindest befremdliches Verhalten.

Lobenswert ist, dass – zumindest bei einigen Institutionen – die Mängel eingesehen werden und die Behebung angekündigt wird.

Ich hoffe, Sie entnehmen meinen Antworten, dass wir uns mit dem Inhalt Ihrer E-Mail auseinander gesetzt haben und sofern erforderlich, selbstverständlich auch entsprechende Anpassungen vornehmen werden.
– Bundesverwaltungsgericht am 21.07.2015

Das entnehmen wir der E-Mail. Liebe Grüße an das Bundesverwaltungsgericht.

Wir werden die Angelegenheit weiter beobachten.

Nachtrag
Das Bundesministerium der Verteidigung meldete sich am 28.07 ebenfalls zurück. Die Antwort legten wir in einem gesondertem Artikel dar.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Wenn ich mich vor meinen Computer, Tablet, Laptop, Telefon setze und im Internet stöbere, möchte ich dabei nicht zwingend beobachtet werden. Weder mit dem Blick über meine Schulter noch anderswie.
    Es mag ein Gesetz geben, das vorsieht, dass dies auf in Deutschland gehosteten Webseiten nicht getan werden darf.
    Gleichzeitig ist für mich nicht direkt und spontan ersichtlich, welche Webseiten tatsächlich auf einem Server liegen, der innerhalb des passenden Jurisdiktion steht.
    Es würde für mich als Nutzer auch unvertretbaren Aufwand bedeuten, zu prüfen, ob eine Website Tools nutzt, um mein Verhalten zu erforschen.
    Nicht nur Google nutzt inzwischen Browser-Figerprinting. Ein expliziter Tracker ist damit, in enger Definition, nicht mehr nötig, da diverse Anfragen, die zum Fingerprinting dienen, ohnehin als regulär zu betrachten wären.
    „Do not Track“-Header Informationen können, müssen aber nicht, und schon gar nicht korrekt, ausgewertet und umgesetzt werden.
    Als durchschnittlicher Webseiten-Betreiber kann ich, beim Einsatz vorgefertigter Tools, CMS, PlugIns, Shops, Bibliotheken, Mailinglisten, nur sehr eingeschränkt darauf Einfluss nehmen, ob meine Webseite Tracking-Informationen sammelt und übermittelt. Der Aufwand der Unterbindung hält sich in einigen Fällen ggf. in Grenzen. Die volle Verantwortung beim Einsatz von Fremdprodukten würde ich aber nie übernehmen wollen. Was geschieht, wenn Daten sowohl von dem einen Server der nicht sammeln darf, wie auch von dem anderen, der sammelt, kommen – das mag ich mir nur ungern vorstellen.

  2. DNT ist mir bekannt, seit man es im Browser aktivieren kann. Damals beschäftigte ich mich mit DNT und fand heraus, dass z.B. Google auf einen DNT header ebenfalls mit einem header antwortete. Er lautete sinngemäß „we do not respect DNT“. Das hat mir die Faust in der Tasche geballt, weil die wenigsten header lesen (können).
    Dann fand ich heraus, dass der DNT-header bei der Fingerprinting-Methode ein willkommenes Bit ist, um die Wiedererkennung zu erhöhen.
    FAZIT: DNT is nix für mich! Ich setze auf harte Abwehrmaßnahmen, die nicht auf Freiwilligkeit aufbauen. Nebenbei bemerkt halte ich es für einen netten Versuch von Verarschung, wenn man den Leuten glauben machen will, es gäbe so etwas wie Respekt oder Moral im Kommerz und eine freiwillige Selbstkontrolle würde genügen. Wie blöd muß man sein, um das zu glauben?

  3. Leider sind die meisten User nicht so technisch versiert wie du und werden immer „auf der Strecke“ bleiben.

  4. Ich finde es toll, dass Ihr diese Aufgabe übernehmt. Aber sollte das nicht von den Datenschutzbehörden (Bund für Bundeswebseiten, Länder für Landeswebseiten) übernommen werden und eventuell dort per IFG Anfrage (je nach Land) einsehbar sein?

  5. Opt-out ist löblich?

    Löblich wäre wohl eher eine Opt-in Lösung zu bezeichnen, wenn der Besucher erst um Erlaubnis gefragt wird bevor irgendwelche Daten vom Staat gespeichert werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.