Was für eine Fehlentscheidung! Das Landgericht Frankfurt hat geurteilt, dass Websitebetreiber ihre Besucher darauf hinweisen müssen, dass sie dem Tracking mit #Piwik widersprechen können (ich habe das Ureil selber nicht gelesen und stütze mich auf eine Sekundärquelle). Soweit, so nachvollziehbar. Leider gehen die Richter aber einen Schritt zu weit und verlangen, dass dieser Hinweis dem Besucher bereits auf der Startseite und gut sichtbar angezeigt werden muss. Das ist nicht nur unfassbar nervig für die Besucher, die dann ständig diese Hinweise statt der gesuchten Inhalte zu sehen bekommen. Das ist vor allem ein Bruch mit der seit über 10 Jahren eingespielten und wunderbar funktionierenden Praxis alles Rechtliche im Impressum.

Piwik ist in meinen Augen die im Sinne des Datenschutzes für die Besucher und die Betreiber von Websites beste Kompromisslösung. Man kann es so einstellen, dass es die IP-Adressen der Besucher nur in anonymisierter Form speichert, zudem verlassen die Trackingdaten den Hoheitsbereich des Website-Betreibers nicht. Mehr kann man in meinen Augen nicht von Website-Betreibern verlangen. Die haben in der Regel kein Interesse am Verhalten einzelner User, im Gegenteil ist für diese das Verhalten von Nutzermassen von vorrangigem Interesse. Aber es ist für viele eben auch sehr wichtig, wie sich wiederkehrende Besucher verhalten und welche Wege die User auf der Website genommen hat. Ohne solche Analysen ist es schwierig, Probleme bei der Benutzbarkeit der eigenen Website aufzuspüren. Eine Analyse der Benutzung der eigenen Website mittels Piwik und anonymisierter IP-Adresse, mithin also ordentlicher #Pseudonymisierung, ist also im Interesse der Besucher. Und es greift nicht zu sehr in ihr Recht auf informationelle Selbstbestimmung ein. Denn: Man kann Piwik sehr einfach blockieren, wenn man möchte. Tools wie #Ghostery können das, verantwortungsvolle Piwik-Betreiber haben es sogar so eingestellt, dass es die do-not-track-Einstellung im Browser berücksichtigt. Und nicht zuletzt kann man von den Betreibern durchaus verlangen, dass sie den iframe mit der Möglichkeit zum Opt-Out vom Piwik-Tracking in ihr Impressum einbauen. Mit diesem Setting ist allen Genüge getan und alles war gut.

Bis jetzt. Nun stellt ein Landgericht(!) fest, dass Piwik alle möglichen Merkmale der Besucher inkl. der IP-Adresse zu einem Hashwert zusammenfasst, um wiederkehrende Besucher als solche zu identifizieren. Dabei benutzt Piwik eine Technik namens Browser-Fingerprinting. Dieser Umstand war mir bislang gar nicht bewusst und diese Technik stammt in der Tat aus dem Werkzeugkasten der dunklen Seite. Damit können Besucher auch wiedererkannt werden, wenn sie eine Seite im #Pornomodus besucht haben und sie können dagegen tatsächlich auch nichts tun. Ghostery und Co helfen dagegen nicht. Sie müssen darauf vertrauen, dass der Seitenbetreiber #do-not-track respektiert oder auf jeder Seite erst mal die Möglichkeit zum Opt-Out suchen und benutzen. Das wiederum wird daran scheitern, dass das dabei gesetzte Cookie im Pornomodus gerade nicht persistent gespeichert wird. Das ist, sind wir mal ehrlich, ein Verstoß gegen das Recht auf informationelle Selbstbestimmung und insofern haben die Richter das Problem auch korrekt erkannt.

Und jetzt? Die Lösung kann jedenfalls nicht sein, allen Besuchern immer sehr prominent mit Datenschutzhinweisen auf den Sack zu gehen. Das nervt alle und vor allem stärkt es den Datenschutzgedanken nicht, sondern schwächt ihn, weil es Besucher langfristig desensibilisiert. Da wollen wir nicht hin, die Auswirkungen der #EU-Cookie-Richtlinie auf UK-Websites zeigt deutlich, dass da auch niemand ernsthaft hin wollen können will. Das Prinzip Rechtliches ins Impressum hat gut funktioniert und darf nicht aufgeweicht werden. Denn: Für Deutschland ist es der Hinweis auf die Widerspruchsmöglichkeit für das #Tracking, für UK ist es der Hinweis, dass die Seite #Cookies benutzt. Irgendwann haben alle Websites Vorschaltseiten statt ihres eigentlichen Inhalts. Die Benutzung des Webs wird im Namen des Datenschutzes extra lästig gemacht und getrackt wird trotzdem, mindestens von #NSA, #GCHQ und Co., wir müssen also die ganze Sache mal neu denken.

Aber wie jetzt? Datenschutzrecht ist in meinen Augen hier nicht einschlägig. Denn: Es ist datenschutzrechtlich total in Ordnung, wenn Seiten wie sueddeutsche.de oder im Grunde jede deutsche Nachrichtenseite mal eben beim Aufruf eines Artikels 17 andere Websites kontaktiert, die tracken, tracken und noch mal tracken. Wenn das datenschutzkonform ist, was offensichtlich der Fall ist, hilft den Benutzern der #Datenschutz offensichtlich kein Stück weiter. Do-not-track? Könnte man gesetzlich vorschreiben, aber gegen die dunkle Seite hilft das schon mal gar nicht und wir wissen leider, dass die dunkle Seite in der Überzahl ist. Wenn man mal mit SEO-Wichsern und Online-Marketern redet, wird einem deren Mindset ziemlich schnell klar. Man könnte den Browser so einstellen, dass er keine Inhalte mehr von anderen Hosts lädt, aber das würde, auch wenn man es trickreich anstellt, zu unzähligen kaputten Websites führen. Außerdem hilft auch das gegen die dunkle Seite nicht weiter, die finden schon ihre Wege. Gegen #Fingerprinting ist sowieso noch kein wirkliches Kraut gewachsen, auch kein Pornomodus und kein Ghostery.

Die Datenschutzapokalypse ist da, jetzt. Wir können nichts dagegen tun, wir können es nur etwas eindämmen: Unser Nutzerverhalten wird getrackt, getrackt und nochmal getrackt. Dank Fingerprinting können wir selber dagegen auch nicht wirklich etwas tun, wir haben keine Handhabe dagegen. Die einzig gute Nachricht: Fingerprinting basiert auf der weitgehenden Eindeutigkeit der Kombination verschiedener Merkmale, die unser Browser der Website zwingend mitteilen muss, damit das alles so schön fluppt. Dazu gehören u.a. der verwendete Browser, das Betriebssystem, die Bildschirmauflösung, die Größe des Browserfensters und das Vorhandensein und die Versionsnummern verschiedener Browser-Plugins. Bei letzterem gibt es eine gute Nachricht: In absehbarer Zeit wird es so gut wie keine Browser-Plugins mehr geben, denn die Browserhersteller haben keine Lust mehr auf das ganze Heckmeck mit unsicheren und unaktuellen und abstürzenden Plugins. Außer Flash brauchen wir eigentlich auch kein einziges Plugin mehr. Wenn wir also alles rauswerfen, stets den aktuellsten Browser auf einem weit verbreiteten Betriebssystem nutzen (bzw. den Browser das behaupten lassen) und das Browserfenster nur in üblichen Größen betreiben, entziehen wir dem Fingerprinting den Boden. Technisch wäre das möglich, ich sehe hier ganz klar die Browserhersteller in der Pflicht. Es reicht ja, die Trefferquote des Fingerprintings so weit zu reduzieren, dass eben nicht mehr weitgehend eindeutig klar ist, dass man den gleichen User wieder vor sich hat. Bis dahin ist es keine schlechte Idee, immer mal wieder mit verschiedenen Browsern, ohne Plugins, mit Ghostery, Cookie-Manager und wechselnden Fenstergrößen unterwegs zu sein. Ich werde die Tage mal meine Forderungsliste an die Browserhersteller formulieren, jetzt lockt erst mal die schöne Sonne auf der Madeira.

Ach ja, was ist jetzt mit Piwik? Ich bin der Meinung, wir sollten die Füße still halten, do-not-track aktivieren, AnonymizeIP aktivieren und im Impressum das Opt-Out anbieten. Und hoffen, dass Piwik in einer kommenden Version das Fingerprinting abschaltbar macht. Ich brauche das nicht und ich behaupte mal, dass die meisten anderen Websitebtreiber ebenfalls prima ohne sonderlich mehr oder weniger genaues Tracking wiederkehrender Besucher auskommen. Wenn die das Piwik-Cookie nicht löschen, erkennt man die ja ohnehin viel zuverlässiger daran.

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.