Verstößt Storify gegen das Datenschutzrecht?

Verstößt Storify gegen das Datenschutzrecht?

18. September 2014 | von Tobias Krebs

Es könnte alles so schön sein: Slideshare, Storify und YouTube bieten Einbettungscodes an, mit denen ein Unternehmen ohne große Technikkenntnisse die eigene Webseite mit Präsentationen, Dossiers und Videos befüllen kann. Ohne Gegenleistung machen das diese Angebote natürlich nicht. Meist tracken die eingebundenen Elemente ihre Aufrufe, Verlinkungen und vieles mehr mit Google Analytics und senden die Ergebnisse zum jeweiligen Anbieter – häufig ohne IP-Anonymisierung. Was nicht jeder weiß: Damit verstoßen diese Einbettungen gegen das Bundesdatenschutzgesetz.

Wird in Deutschland das Besuchsverhalten auf einer Webseite getrackt, so muss das letzte Byte der Besucher-IP-Adresse anonymisiert werden, damit keine personenbezogenen Daten erhoben werden. Bei nicht-deutschen Tools ist das Wissen darüber selten vorhanden, die IP meist nicht anonymisiert. Das Präsentationsnetzwerk Slideshare ist so ein ärgerlicher Fall, der den meisten seit Anfang des Jahres bekannt ist. In Deutschland behelfen sich Webseitenbetreiber deshalb gerne mit einer Zwei-Klick-Lösung und einem Hinweis in der Datenschutzerklärung. Wir selbst verwenden in diesem Blog eine Vorschaugrafik mit Link zur Präsentation auf Slideshare, um das Problem zu umgehen.

Datenschutzrechtlich noch unbeachtet: Storify

Weniger bekannt: Auch das beliebte Kuratierungstool Storify lädt bei Einbindung auch auf fremden Seiten Google Analytics und Trackingdienste seiner Partner Chartbeat und MixPanel. Ein Blick ins Entwicklertool Firebug bestätigt: Bei Blogartikeln, die Storify einsetzen, läuft neben unserem eigenen (anonymisierten) Analytics-Tracking noch ein zweites – von Storify, vollständig unanonymisiert.

Firebug bestätigt: Der Eintrag „aip“ fehlt auf der linken Seite. Storify trackt das eingebundene Element ohne IP-Anonymisierung

Firebug bestätigt: Der Eintrag „aip“ fehlt auf der linken Seite. Storify trackt das eingebundene Element ohne IP-Anonymisierung.

Einige Medienangebote, die Storify einsetzen, wie etwa der Radiosender EinsLive, erwähnen das auch deutlich in ihrer Datenschutzerklärung. Im Falle von Slideshare war dieser Hinweis deutschen Gerichten bislang jedoch nicht genug – warum sollte es also bei Storify ausreichen?

Wissen, was getrackt wird – eine Kurzanleitung

Jede Webseite verwendet andere Tools, eine komplette Aufstellung würde den Rahmen dieses Artikels sprengen. Deshalb hier eine Anleitung, wie schnell nachgeprüft werden kann, ob und wie ein eingebundenes Element Google Analytics nutzt. Benötigt wird dafür nur das Webentwickler-Addon Firebug für Firefox. Ist das installiert, folgen diese Arbeitsschritte:

    • Firebug mit einem Klick auf die Taste F12 oder über das Menü „Extras/Web-Entwickler/Firebug/Firebug starten“ öffnen.

 

    • Alle Trackingblocker im eigenen Browser abschalten. Dazu gehören Ghostery, das Deaktivierungs-Plugin von Google Analytics, NoScript und ähnliche Zusatzprogramme. Tipp: Hierfür den privaten Modus/Incognito-Modus des Browsers verwenden – dort sind Plugins standardmäßig komplett ausgeschaltet.

 

    • Es öffnet sich ein Fenster am unteren Seitenrand. Jetzt die Webseite nochmal komplett neu laden.

 

    • Auf den Reiter „Netzwerk“ klicken.

 

    • Den Reiter „Bilder“ anwählen (in manchen Versionen „Grafiken“).

 

    • In der unteren Liste nach der Datei „GET __UTM.gif“ suchen. Nach diesem Namen können noch weitere Werte stehen, aber alle Dateien mit diesem Namensteil sind Zählpixel von Google Analytics. Wenn Analytics eingesetzt wird, ist immer mindestens eine dieser Dateien mit ihrer eigenen UA-Nummer und den Einstellungen zu sehen. Gibt es mehrere UTM.gif-Dateien, dann tracken weitere Analytics-Profile diese Seite. Nun auf die „UTM.gif“ klicken, die angesehen werden soll.
    • Es klappt eine Werteansicht aus. Nun den linken Reiter „Parameter“ auswählen.

 

    • Nach dem Eintrag „aip“ (Abk. für anonymizeIP) suchen. Fehlt er, dann trackt dieses Analytics-Konto ohne Anonymisierung. Im besten Fall steht dort die Zeile „aip 1“. Dann läuft alles, wie es der Gesetzgeber möchte.

 

  • In dieser Parameteransicht können noch zahlreiche weitere Dinge über das dazugehörige Google-Analytics-Konto herausgefunden werden: „utmac“ zeigt etwa die einzigartige UA-Nummer an, „utmhn“ die Herkunfts-URL. So ist schnell einzuschätzen, welches Element auf der Webseite bearbeitet werden muss.
So soll es aussehen: Die Zeile „aip 1“ wird oben angezeigt.

So soll es aussehen: Die Zeile „aip 1“ wird oben angezeigt.

Und nun?

Wir bei quäntchen + glück sind natürlich keine Anwaltskanzlei, aber die rechtlichen Parallelen zwischen Slideshare und Storify sind Grund genug, bei der Einbindung von Storify-Elementen via iFrame eine Zwei-Klick-Lösung ins Auge zu fassen. Vielleicht ist einer unserer Leser rechtskundiger? Über Hinweise und Einschätzungen in den Kommentaren freuen wir uns.

Kommentare

Senf dazu?

Es gibt noch keine Kommentare.

Senf dazu!

Mehr Lesestoff

Zurück nach oben