rating service  security service privacy service
2012/05/29 Spy & Track - Österreich ignoriert Datenschutz-Richtlinie!
Ernüchternde Halbjahresbilanz - Studie offenbart massive Datenschutzverletzungen bei Internetauftritten (http://www.e-monitoring.at/socialmedia) - Datenmissbrauch erfolgt unbemerkt "Drive-by" - Website-Betreiber ignorieren gesetzliche Informationspflichten - strenge Strafen drohen - Aufsicht gefordert - Alternativen leicht möglich

Ernüchternde Halbjahresbilanz

November 2009 verabschiedete die EU strenge Bestimmungen zum Schutz der Privatsphäre im Internet ("ePrivacy"). Seither müssen Website-Betreiber verschärft darauf achten, dass über Benutzer ihrer Seiten nicht unerwünscht persönliche Daten gesammelt oder weitergegeben werden.

Die Richtlinie, in Österreich vor genau einem halben Jahr mit der TKG-Novelle November 2011 umgesetzt, regelt klar und eindeutig, dass persönliche Daten nicht ohne Zustimmung des Betroffenen an Dritte weiter gegeben werden dürfen. Ein persönliches Merkmal ist jede Information, inklusive IP-Adresse, die es erlaubt direkt oder indirekt einen Benutzer und sein Internetverhalten auszuforschen.

Diese Schutzbestimmung soll Betroffene vor Programmen von Drittfirmen schützen, die in Websites unbemerkt eingebaut sind und das Surfverhalten der Benutzer ausspähen und nachverfolgen ("spy & track").


Österreichische Organisationen ignorieren flächendeckend Schutzbestimmungen

Kern der Bestimmung: "Ohne umfassende Information und Zustimmung durch den Webseiten-Benutzer dürfen keine personenbezogenen Daten an Drittfirmen weitergegeben werden."

Wie eine aktuelle Studie zeigt, ignorieren österreichische Einrichtungen geradezu flächendeckend diese Informationspflichten. Details zur Studie und den Verpflichtungen für die Webseitenanbieter werden auf der Datenschutztagung 6. Juni 2012 "Smart Services & Virtualization" (http://seminar.argedaten.at/virtualization.html) vorgestellt.

Hans G. Zeger, Mitglied des Datenschutzrates: "Die Informationspflichten nach ePrivacy-Richtlinie sind völlig eindeutig. Es ist schockierend, dass besonders öffentliche Einrichtungen diese gesetzlichen Vorgaben ignorieren. Hier sind die Aufsichtsbehörden zu raschem Handeln gefordert."


Wer sind typische "spy & track"-Firmen?

Typische "spy & track"-Firmen sind neben Google/US (http://www.googlesyndication.com/, http://www.google-analytics.com/, http://www.2mdn.net/, http://www.googleadservices.com/) und Facebook/US (http://www.facebook.com/) auch Unternehmen wie:
RealMedia/US (http://www.247realmedia.com/), AddThis/US (http://www.addthis.com/), Virtual Minds/DE (http://www.adition.com/), Adworx/AT (http://www.adworx.at/), United Internet/DE (http://www.affili.net, http://www.sedoparking.com/), AtlasSolutions/US (http://www.atdmt.com/), InfoOnline/DE (http://www.ivwbox.de/), Web Measurement/NL (http://www.motigo.com/), ...

Weitergegeben werden persönliche Merkmale der Benutzer mittels verwendeter IP-Adresse, Daten zur Gerätekonfiguration, mittels Cookies transportierte Benutzerangaben oder durch individualisierte URLs.

Meist werden diese persönlichen Daten zur Marketing-Analyse, zum Aufbau von Sozialen Netzen oder schlicht zum Ausspähen von Benutzerinteressen verwendet. Im Schadfall werden sie zu Identitätsdiebstahl und Phishing-Attacken genutzt.


Simpler Tracking-Mechanismus

Der Weitergabemechanismus ist den meisten Benutzern unbekannt, aber vergleichweise simpel in Webseiten zu integrieren (Beispiele siehe Screenshots http://ftp.freenet.at/int/spy-and-track.pdf).

Die Organisation "behoerde-abc" mit der Website http://www.behoerde-abc.gv.at bindet in ihre Webseite Aufrufe der Tracking-Firma "spyuser-xyz" ein (etwa ein http://www.spyuser-xyz.com/plugins/like.php?). Diese Tracking-URL wird automatisch mit der Webseite http://www.behoerde-abc.gv.at aufgerufen und überträgt Benutzerdaten an die Tracking-Firma. Welche Daten übertragen werden, liegt am Geschick des like.php-Programmierers und daran welche Cookie-Informationen beim Benutzer von der Tracking-Firma "spyuser-xyz" abgelegt wurden.

Wechselt der Benutzer zu einer anderen Seite, etwa zum Unternehmen "fungame-uvw", das ebenfalls die spyuser-URL integriert hat, erfährt die Firma "spyuser-xyz" wieder etwas mehr von den Interessen des Benutzers. Und das völlig unbemerkt!

Auf diese Weise wird der Benutzer quer durch das Internet verfolgt (getrackt), große Tracking-Unternehmen sind in hunderttausende Webseiten integriert und sammeln unbemerkt die Interessensdaten. Derartige Angriffe werden als "Drive-by"-Attacken bezeichnet. Zu keinem Zeitpunkt ruft der Benutzer bewusst irgendwelche dubiosen Webseiten auf, der gesamte Mechanismus erfolgt im Hintergrund.

Die Identifizierung der Benutzer ist denkbar einfach, viele IP-Adressen sind bestimmten Personen oder Firmen zugeordnet. Viele Tracking-Firmen bieten kostenfreie Dienste an (z.B. Gratis-Social-Media-Account, Gratis-eMail oder Gratis-Webstatistik) und erreichen auf diese Weise, dass sich Benutzer identifizieren und anmelden.

Ein einziger Account bei Facebook, Google und Co reicht, um für alle Zeiten von diesen Firmen getrackt zu werden! Es ist gar nicht notwendig, den Account selbst zu benutzen!


Studie im Auftrag der ARGE DATEN

Im Auftrag der ARGE DATEN erfolgte in den letzten Wochen eine umfassende Web-Analyse österreichischer Einrichtungen. Überprüft wurden die Webauftritte von mehr als 4.500 österreichischen Organisationen:
- 400 öffentlich-rechtliche Einrichtungen (Bund, Länder, Gemeinden, Kammern, ...)
- 600 Großunternehmen (börsenotiert, Branchen- bzw. Marktführer)
- 150 Gesundheitseinrichtungen
- 40 Parteien (inkl. Teil- und Unterorganisationen)
- 160 Telekom- und Internetprovider
- 3150 sonstige Einrichtungen (vorrangig KMUs)

Geprüft wurde, bei welchen Websites unbemerkt vom Benutzer fremde Inhalte aufgerufen wurden bzw. Informationen an Dritte verschickt wurden. Analysiert wurden dabei vorrangig die Einstiegsseiten ("Homepages"), es erfolgte keine Server-Komplettanalyse.

Die Bandbreite dieser Fremdinformationen ist vielfältig und reicht von der relativ harmlosen Einbindung fremder Bilder von Webseiten "befreundeter" Organisationen, über sogenannte Zählpixel von Web-Statistikorganisationen, bis hin zur personenbezogenen Veröffentlichung von Zugriffsstatistiken oder die Weitergabe der persönlichen Benutzerkennungen von Social Media - Accounts, wie facebook.

Im einfachsten Fall werden "nur" IP-Adresse des Benutzers und Details seiner Gerätekonfiguration weitergegeben (etwa ob er gerade ein Notbook oder ein Smartphone benutzt), in vielen Fällen aber persönliche Identifikationsmerkmale, die es der Drittfirma erlauben das Surf- und Benutzerverhalten über hunderte, ja tausende Webseiten hinweg nachzuverfolgen.


Schockierende Ergebnisse

Rund 1200, etwas mehr als ein Viertel der untersuchten Einrichtungen verwendeten Google-Analytics (http://www.google-analytics.com/ga.js). Besonders stark vertreten ist Google-Analytics bei großen Unternehmen (etwa die Hälfte verwenden es), überdurchschnittlich auch bei Webseiten von Gesundheitsdiensten, von Bundes- und Landesbehörden (etwa 30%).

Immerhin 130 verwenden den Facebook-LikeIt-Button in der datenschutzrechtlich bedenklichen Facebook-Skriptversion (http://www.facebook.com/plugins/like.php). Google-Plusone ist noch ein absolutes Minderheitenprogramm, es konnte nur bei 19 Organisationen gefunden werden. Irgendwelche Spy-Dienste von Google (z.B. Werbung, ...) haben hingegen rund 3.500 Organisationen eingebunden, das sind knapp 80% aller untersuchten Webseiten. Egal wohin jemand surft, Google erfährt davon!


Einbindung von Drittfirmen & Trackingdiensten im Regelfall rechtswidrig

Grundsätzlich lassen sich Tracking-URLs zwar datenschutzkonform einsetzen, verlangen aber einen gewissen technischen und rechtlichen Aufwand. Diesen Aufwand scheuen offenbar die meisten österreichischen Unternehmen.

Gemäß ePrivacy-Richtlinie ist die Datenweitergabe des Surfverhaltens an Dritte nur mit Zustimmung des Betroffenen oder im Rahmen einer Dienstleistungsvereinbarung zulässig. Auch Cookies und ähnliche Merkmale, die ein Unternehmen nur für seine eigenen Zwecke sammelt sind nur zulässig, wenn der Betroffene zugestimmt hat oder wenn sie für einen Dienst unbedingt erforderlich sind. So sind etwa kurzzeitige Cookies (sog. "Session"-Cookies), die helfen einen Online-Shop zu betreiben unbedenklich.


Überraschende Nebenaspekte

Im Zuge der Auswertungen wurde auch die Stadt Wien als "Spy & Track" - Organisation identifiziert. Der Grund liegt in der Bereitstellung des Stadtplanes, den jede Webseite einbinden kann (http://www.wien.gv.at/ows/maps/showmap.ashx?). Nebenaspekt dieses grundsätzlich erfreulichen Services ist jedoch, dass bei der Stadt Wien jeder Webseitenaufruf mitprotokolliert werden kann. Wer sich also für 123people, faz, love.at oder bestimmte facebook-Seiten interessiert, http://www.wien.gv.at erfährt davon.

Auch dieses Beispiel zeigt Handlungsbedarf. Um Datenschutzkonform zu sein, müsste die Stadt Wien eine Dienstleistungsvereinbarung anbieten, in der Auswertungen der IP-Adressen und Benutzerdaten ausgeschlossen werden.


Hohe Strafen möglich

Wer entgegen den Bestimmungen des Datenschutzgesetzes (DSG 2000) oder des Telekommunikationsgesetzes (TKG) persönliche Daten verwertet oder weiter gibt, muss mit hohen Strafzahlungen rechnen:
- bis zu 25.000,- nach § 52 DSG 2000 wegen unzulässiger Datenverwendung und
- bis zu 37.000,- nach § 109 TKG 2003 wegen mangelnder Information der Benutzer.

Diese Strafen können mehrfach ausgesprochen werden, theoretisch pro Benutzer einer Webseite, die die ePrivacy-Bestimmungen missachtet.

Weiters kann jedes Unternehmen, das im Wettbewerb mit dem Täter steht auch nach UWG, wegen unlauteren Wettbewerbs vorgehen. Wer gesetzliche Vorgaben missachtet, der verschafft sich einen unlauteren Wettbewerbsvorteil. Die dazu verhängten Strafen können auch mehrere 100.000,- Euro betragen.

Auch für Anwälte bieten diese Datenschutzverletzungen ein lukratives Betätigungsfeld. Im Zuge von Abmahnverfahren können 2-300,- Euro pro Mahnschreiben fällig werden und das bei jedem Zugriff auf eine Webseite.

Im Zuge der Studie werden nur statistische Informationen über die potentiellen Rechtsverletzer veröffentlicht. Sollten bekannte Einrichtungen in nächster Zeit nicht ihr Verhalten ändern, wird die ARGE DATEN diese Organisationen abmahnen, zur Anzeige bringen und auch namentlich veröffentlichen.


Rasches Handeln erforderlich

Hans G. Zeger: "Schon die Stichprobenanalyse zeigte, dass sich viele Organisationen überhaupt nicht um den Schutz ihrer Webbenutzer kümmern und deren Daten frei Haus an die 'Spy & Track' - Firmen liefern. Neben der Rechtsverletzung begehen sie auch einen Vertrauensbruch gegenüber ihren Kunden und Interessenten. Geradezu schockierend ist jedoch das Verhalten von Behörden und sonstigen öffentlich-rechtlichen Einrichtungen. Hier wäre eine besonders penible Beachtung von Gesetzen zu erwarten, hier haben wir aber überdurchschnittlich viele Problemfälle gefunden."

In Deutschland war vor einiger Zeit die Situation ähnlich, als jedoch die dortigen Datenschutzbehörden begann die Webseitenbetreiber abzumahnen, gelang es doch nach einiger Zeit mit den Big-Playern Muster-Dienstleistungsverträge zu vereinbaren.

Jetzt sind die österreichischen Aufsichtsbehörden gefordert. Sie sollten zumindest die öffentlichen Einrichtungen kontaktieren und auf die gesetzlichen Verpflichtungen aufmerksam machen.

Hans G. Zeger: "Für die Bundesbehörden ist auch der Datenschutzrat zuständig. Ich werde daher dafür sorgen, dass das Thema auf die nächste Tagesordnung kommt."


Datenschutzkonforme Nutzung von Social Media und Webstatistik möglich

Besonders ärgerlich ist, dass die großen Anbieter auch Nutzungsformen anbieten, die wesentlich weniger massiv in Grundrechte eingreifen, österreichische Einrichtungen ignorieren diese jedoch mehrheitlich.

Hans G. Zeger: "Deutschland hat gezeigt, dass EU-Länder nicht völlig hilflos Google, Facebook und Co ausgeliefert sind. Diese Firmen haben ein Interesse in allen EU-Märkten vertreten zu sein und sind auch bereit datenschutzfreundlichere Regelungen zu vereinbaren. Die Initiative muss jedoch von den Staaten und Aufsichtsbehörden ausgehen, ein einzelner Webseitenbetreiber hat keine Chance. Und die 'Spy & Track' - Firmen werden nicht freiwillig auf Benutzerdaten verzichten, besonders dann, wenn der Rechtsbruch nicht durch sie erfolgte, sondern durch die lokalen Unternehmen."

mehr --> Beispiele Webseiten mit fragwürdigen Aufrufen durch "Spy & Track" - Unternehmen
mehr --> Telekommunikationsgesetz (TKG) - aktueller Stand

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2014webmaster