Berichte / Datenschutz

Neues vom Lipperhannes

Hard facts: Analytics, Maus-Tracking
und andere Schnüffeleien
- a happy New Year 2010

Lipperhannes 05.01.2010

Die Beobachtung der Website-Besucher wird immer perfider



Während ich diesen Artikel schreibe, höre ich gerade den Musiktitel, "We have all the time in the world" von Louis Armstrong.
Nach diesem Motto, so scheint es mir, arbeiteten die deutschen Aufsichtsbehörden für den Datenschutz, als es darum ging, den Versuch zu unternehmen, den Weltkonzern "Google", genauer: den deutschen Ableger, die Google Deutschland GmbH, zu bekehren und auf einen mit dem Datenschutz konformen Weg zu bringen.

Ich spreche hier von dem in Deutschland illegalen Einsatz des Java/Scripts "Google-Analytics". Ganze zehn Monate wurde verhandelt, um im November 2009 dann eine Absage erteilt zu bekommen. Dabei hätte es nur einer E-Mail bedurft, um nachzufragen, ob "Google" bereit ist, sein kostenlos angebotenes Tool (Analytics) und dessen Anwendung den hier geltenden Datenschutzbestimmungen anzupassen.
Die Antwort hätte im Januar 2009 ebenso gelautet, wie die im November erteilte Absage.
Was soll's? Die Jungs und Mädels vom ULD (Unabhängiges Datenschutzzentrum Schleswig Holstein) haben es wenigstens versucht.
Trotz alledem: A happy New Year 2010

Maus-Tracking - Es wird aufgerüstet und die Datengier ist grenzenlos

Während Datenschützer sich noch mit "Google-Analytics" und dessen illegalem Einsatz "herumschlagen" müssen, haben deren "Gegner" seit einigen Jahren bereits klammheimlich einen weiteren "Frontalangriff" auf den Datenschutz gestartet - und die "Waffen der Schnüffelei" aufgerüstet.

Mit einem nun ausgereiften "Online-Tool" kann man die Mausbewegungen der Websitebesucher tracken. Es muss lediglich ein kleines Javascript in die Webseite "eingebaut" werden und schon werden alle Bewegungen, die ein Besucher mit der Maus gemacht hat, aufgezeichnet.
Die Anwender solcher Tools können dann die einzelnen Sessions auch als Video anschauen. Das heißt, man bekommt nicht nur den Pfad angezeigt, sondern kann den einzelnen Webseitenbesuch 1:1 nachschauen. Die Entwickler solcher "Tools" brüsten sich mit Aussagen wie: Wir können den Webseitenbesuchern nun über die Schulter schauen.(!) Angezeigt werden neben den Bewegungen der Maus auch die Klicks und gleichfalls die Tastatureingaben in ein Textfeld. Fast alles ist möglich.

Vielleicht noch harmlos.

Das nachstehende Video gibt einen kurzen Einblick von den Möglichkeiten einer Webseitenanalyse ohne Maus-Tracking aber mit IP.

Video 2. Anleitung zu Erweiterungen mit JavaScript. Und mit einer weiteren Java-Scripteinbettung kommen dann die Profis zum Einsatz.

Es ist schon beeindruckend wie einfach es ist, Benutzerdaten in Verbindung mit Maustracking auszuwerten.

Ein weiteres Beispiel:

Hier wird es schon konkreter, und es werden die Mausbewegungen als Video dargestellt. Einer der führenden Anbieter dieser Technick ist die Firma m-pathy. Für den öffentlichen Bereich wird eine vereinfachte Darstellung des Mous-Tracking gezeigt. Eine umfassende Anschauung wird über diesen Link nur nach Vereinbarung angeboten.

Hard facts - nun wird es interessant

Wir kommen zum eigentlichen Maus-Tracking in Vollendung. Wenn ihr einmal den unten angefügten Link aufruft, kommt Ihr auf die Seite von "clixpy.com". Hier kann die eigene Mausbewegung in Echtzeit als Video angeschaut werden. Um zur Demo zu gelangen, bitte einmal auf Try the Demo (rechte Seite) klicken und anschließend mal ca. 30 bis 50 Sekunden auf der Seite bewegen, mal mit der Maus über einigen Textpassagen stehen bleiben oder diese markieren und so weiter. Ihr könnt auch eine Spaß-Mailadresse eingeben. Abschließend dann auf Play Video klicken und siehe da, die Bewegung der eigenen Maus wird als Film abgespielt. (http://www.clixpy.com/) Und wenn dann alle Analysen und Ergebnisse noch zusammengeführt werden, nenne ich dies, die Erstellung von rechtswidrigen Benutzerprofilen.

Es stellt sich zwangsläufig eine Frage:

Warum wird Maus-Tracking von den zuständigen Aufsichtsgremien für Datenschutz nicht beachtet?
Ist es Unkenntnis?
Wohl kaum.
Den Datenschutz-Aufsichtsbehörden fehlt ausreichend Personal, sind an politisch gesetzte Vorgaben der jeweiligen Landesregierungen gebunden, haben keine oder wenig Sanktionsmöglichkeiten und arbeiten auf fehlenden und missverständlichen Grundlagen. Die FDP, der man ja hinsichtlich "Datenschutz" durchaus etwas zutrauen könnte, stellt die freie Entscheidung der Nutzer in den Vordergrund. Ja, eine freie Entscheidung in diesem Zusammenhang ist aber nur dann gut, wenn der Internetnutzer weiß, über was er mit ja oder nein entscheiden kann.

Ein Beispiel:

In den Papieren der Aufsicht für den Datenschutz der Länder wird (u. a.) zu Google-Analytics gesagt, dass der Nutzer mittels Datenschutzerklärung des Webseitenbetreibers die Möglichkeit haben muss, seine Zustimmung oder Ablehnung zu erklären. Die Datenschutzerklärung des Webseitenbetreiber sieht aber so aus, dass geschrieben wird: Mit der Nutzung dieser Webseite stimmen Sie (Besucher der Webseite) zu. Toll !

Was die Landesaufsichtsbehörden der Länder sagen:

Die Zustimmungserklärung in dem Datenschutzhinweis muss an herausragender Stelle der Webseite eingefügt sein. Guter Vorschlag, aber wirkungslos.

Praktisch sieht das dann so aus: Eine Webseite enthält ein Tool (JavaScript) - sagen wir mal "Analytics" welches zustimmungsbedürftig ist. Also eine Anwendung, dessen Nutzung in der Datenschutzerklärung ausgewiesen sein muss. Ich sollte also nach Auffassung der Datenschützer hinsichtlich Zustimmung mit Ja oder Nein beantworten können, (siehe oben). Und jetzt? Hier raufen sich die Nutzer die Haare und fragen zu Recht: Wenn ich aber nicht zustimmen will, wie und was geschieht jetzt, was nun, dann sind meine Daten doch eh schon übermittelt, was soll das alles.

Der vorgeschriebene Datenschutzhinweis, sofern auf die Webseite anwendbar und auch das Impressum wird mit Absicht so gekennzeichnet, dass dieses nicht oder nur schwer auffindbar ausgewiesen ist kleine und farbige Schrift an irgendeiner Stelle. Hier unterstelle ich den Webseitenbetreibern pure Absicht und Verschleierung. Denn wer gibt dem Seitenbesucher vor Eintritt in das Webangebot gerne zur Kenntnis, was im Hintergrund ohne sein Wissen so alles abläuft. Aber genau dies müsste Bestandteil im Sinne des Datenschutzes sein. Alles andere ist Augenwischerei. Denn, würde dem Seitenbesucher dies neutral (ohne Seitenscript und Cookies) vor Einstieg in die Webseite offenbart, wären Tricks und Täuschen überflüssig und so mancher Seitenbesuch wohl auch.



Creative Commons License


Dieses Werk ist unter einer Creative Commons-Lizenz lizenziert.

Salzekurier Über Salzekurier | Privacy Policy | Kontakt | ©2010 Salzekurier