Nervgetötet ich bin

Posted by Jesco Freund at May 3, 2009 1:20 p.m.

Oder: Wie (wir) Blogger und Datenschutz-Aktivisten unsere eigenen heheren Datenschutz-Anforderungen immer wieder Lügen strafen… Provokant? Ja, das soll es sein. Ich möchte mit diesem Beitrag zum Nachdenken anregen, ob wir selber uns in puncto Datenschutz so korrekt verhalten, wie wir es von anderen immer wieder einfordern. Und um es ganz deutlich zu sagen: ich möchte hier nicht mit dem Finger auf irgendwen zeigen. Bei vielen Dingen habe ich mich selbst erwischt und musste mir virtuell eins auf die Finger geben.

Fangen wir einmal mit den Daten an, die (fast) jeder Blog-Betreiber sammelt und in vielen Fällen hortet: Den Webserver Logs. In meinen Augen ist es kein Problem, ein Webserver-Log zu führen, solange die Besucher einer Site mittels Datenschutzerklärung darüber aufgeklärt werden und dieses nur bestimmungsgemäß verwendet wird – also zur Fehlersuche und ggf. zur Erstellung anonymisierter Statistiken. Doch hier geht es bereits los: Viele Statistiken sind gar nicht so anonym, sie beinhalten Listen der Top 10 Besucher oder ermöglichen es, den Klickpfad einer einzelnen IP nachzuvollziehen. Darüber hinaus wäre es einmal interessant herauszufinden, wie lange die Logs tatsächlich aufbewahrt werden. Meine Behauptung: Viele Serverbetreiber rotieren zwar ordnungsgemäß, lassen alte Logs aber für Monate oder gar Jahre in Backup-Archiven vor sich hinschlummern.

Doch dies sind läßliche Sünden, wenn man es mit einem anderen Unding vergleicht, das im Web und vor allen in Blogs häufig anzutreffen ist. Die Rede ist von eingebetteten Tools oder Inhalten, die dafür sorgen, dass auch Dritte mitbekommen, wen oder was ich da gerade angesurft habe. Als besonders dreist empfinde ich dabei Tracking-Tools wie etwa Google Analytics, oder eingebettete Werbung, die von Servern Dritter bezogen wird. Kaum weniger bedenklich sind aber die Auswüchse des Web 2.0: Waren früher Links an der Tagesordnung (und auch Gegenstand so mancher juristischer Auseinandersetzung), so scheint das Web 2.0 nicht mehr ohne Embedding klarzukommen. Eingebettete wird alles, was nicht niet- und nagelfest ist, von Videoclips über Fotos bis hin zu Icons und Logo-Grafiken, die von meinem Browser ungefragt von den großen Plattformen abgerufen werden, was dort natürlich Spuren hinterlässt. Selbst vermeintlich harmlose Features wie Pavatare zwingen Besuchern eines Blogs auf, Inhalte von Servern Dritter zu laden. Wie diese mit den übermittelten Informationen umgehen, kann kein Blogbetreiber auf Dauer vorher nachprüfen.

Die Krönung dieser Entwicklung spiegelt sich für mich jedoch in den vielen eingebetteten Grafiken und Bannern wider, die von selbsternannten Kämpfern für die informationelle Selbstbestimmung in deren Seiten eingebunden sind. Nun will ich weder dem AK Vorratsdatenspeicherung noch der Aktion Überwach! vorwerfen, dass diese über eingebettete Banner auflaufende Zugriffsprotokolle speichern, weiterverwenden oder gar an Dritte weitergeben. Es zeigt mir jedoch, dass viele Seitenbetreiber selbst nicht in Datenschutzkategorien denken, auch wenn die Teilnahme an solchen Aktionen sicherlich gut gemeint ist.

Was kann man daraus lernen? Ich selbst bin in viele der Fettnäpfchen getreten, habe selbst aus Bequemlichkeit Google Analytics und Adsense genutzt, bedenkenlos Banner oder Grafiken eingebunden oder Comic Strips in Einträgen eingebettet. Um zu zeigen, was man ändern kann, habe ich zwei kleine Empfehlungsskataloge aufgestellt. Zunächst hier derjenige, der sich an die Betreiber von Webservern richtet:

• Gebe niemals Logdateien ohne Not an Dritte. Wenn eine Behörde von Dir Auskünfte haben möchte, gibt es dafür festgelegte Vorgehensweisen. Bestehe auf deren Einhaltung.
• Verwende keine Statistik-Tools, die Daten an Server übermitteln, auf denen Du nicht root bist.
• Rotiere Deine Logs regelmäßig und lasse dabei alte Logs tatsächlich löschen.
• Wenn Du unbedingt Backups von Deinen Logs machen musst, dann fasse die Rotationsstände in separaten Backup-Archiven zusammen und lösche diese, wenn Du den Rotationsstand auch auf dem Server löschst.
• Lasse Backups mit brisantem Inhalt (etwa Logdateien) nicht unverschlüsselt auf nicht vertrauenswürdigen Systemen (z. B. FTP Backupspace des Providers) herumliegen.

Natürlich gibt es auch ein paar Empfehlungen an Webmaster und Redakteure:

• Denke vor jeder Veränderung an Deinem Blog/Wiki/… darüber nach, ob die Veränderung Auswirkungen auf den Datenschutz hat
• Prüfe, ob es möglich ist, Grafiken auf Deinem eigenen Server zu hosten, statt diese von Servern Dritter einzubinden. Seriöse Angebote stehen in der Regel unter Lizenzen, die ein solches Vorgehen zulassen.
• Verzichte auf Zierwerk, das von Servern Dritter eingebunden wird (Buttons, Banner etc.)
• Verzichte auf JavaScript oder andere aktive Inhalte, die Verbindung zu Servern Dritter aufnehmen.
• Wenn Du unbedingt etwas einbetten möchtest, dann tue dies möglichst serverseitig (etwa per RSS), so dass ein Besucher Deiner Seite nur mit Deinem Server kommunizieren muss.

3 comments | Defined tags for this entry: blog, freedom, privacy, server

Comments