Schlagwort-Archive: datenschutz

Datenschutz

Schritt für Schritt durchkämme ich meine Installationen auf Servern und Rechnern auf der Suche nach datenschutzkritischen Anwendungen. Das braucht Zeit, weil in den letzten Jahren viel schlicht gewachsen ist, einem auch quelloffene Software nicht immer hilft, weil man immer wieder etwas übersieht oder weil man keine funktionierende Alternativen zu haben scheint.

Ein Beispiel: Allein Firefox in den Griff zu bekommen ist nicht einfach, weil Mozilla eng mit Google kooperiert. Hier im KvFG Wiki habe ich einige sinnvolle Einstellungen und Addons einmal zusammen gefasst: Internetsicherheit

Ein anderes Beispiel: Hier im Blog setzte ich bis vor ein paar Minuten Recaptcha und Akismet ein. Recaptcha gehört schon länger zu Google und Akismet hat seine Server in den USA. Also wurden diese WordPress-Plugins nun ersetzt durch Antispam Bee und Math Captcha.

Und noch ein Beispiel: Im Backend von WordPress kann man einstellen, ob Kommentatoren ein Gravatar-Bildchen erhalten sollen oder dürfen. Diese werden über US Server gezogen und sind damit auch Mist.

Langsam nährt sich das Eichhörnchen von Ast zu Ast …

 

pain in the ass

Ich habe seit einer Woche eine Art Auseinandersetzung mit web.de. Diese schreiben – zumindest, wenn der Absender die Webmail-Oberfläche und E-Mails im HTML Format nutzt – URLs in den E-Mails um und leiten diese über einen eigenen Server.

Phishingwarnung des Thunderbird bei einer Mail von web.de

Also war ich so frei, und hab mal den LFD in Baden-Württemberg und das Datenschutzzentrum (mit web.de auf CC) darüber informiert, dass ich dieses Vorgehen für nicht statthaft halte. Die Antwort von web.de kam recht zügig – allerdings ging dieser Mailprovider mit keinem Wort auf den Umstand ein, dass sie Mails verändern, sondern biss sich mit Textbausteinen am Wort Phishing fest. Mein Fehler. Das hätte ich gleich anders formulieren müssen.

Heute habe ich also ein follow-up formuliert, in dem ich noch einmal ausführlicher meine Position darstelle:

Sehr geehrte Damen und Herren,

ich habe inzwischen eine Antwort von Frau XXX von web.de erhalten
(als EML im Anhang), in der diese mir mit vielen Textbausteinen zum
Thema Phishing antwortet. Nur die wenigsten dieser Textbausteine passen
zum von mir geschilderten Problem ... dafür erschöpft sich die Mail in
allgemeinen Ratschlägen zum Thema Phishing.

Richtig merkt web.de an, dass es sich bei der Phishing-Warnung von
Thunderbird nicht um Phishing im eigentlichen Sinn handelt, da web.de
nicht versucht, die Empfänger von E-Mails zur Eingabe von Benutzernamen
und Passwörtern auf gefälschten Seiten ... zu überreden.

Thunderbird erkennt aber richtig die auch von web.de genutzte
Phishing-Technik, einen Link als solchen anzuzeigen, aber "dahinter" (im
HTML versteckt), eine andere URL aufzurufen. Der für den Empfänger
angezeigte Link ist ungleich der aufgerufenen URL. Das ist der Punkt.

Leider geht web.de mit keinem Wort auf den Umstand ein, dass web.de
E-Mails seiner Nutzer verändert, indem es URLs durch Verweise auf einen
eigenen Server ersetzt, der dann die eigentliche URL aufruft oder auf
diese weiterleitet (Referrer).

Ich halte diese Veränderung von Benutzer-E-Mails aus den folgenden
Gründen weiterhin für sehr kritisch:

Erstens: Ein solches Umschreiben von E-Mails durch web.de wird von den
Anwendern nicht erwartet. Es ist überraschend, so dass aus meiner Sicht
zumindest der Grundsatz von Treu und Glauben tangiert ist.

Zweitens stellt dies einen Eingriff in den Inhalt einer E-Mail dar
(Inhaltskontrolle).
Es kann aus meiner Sicht nicht Aufgabe des "Postboten" sein, Nachrichten
zu verändern - auch wenn er selbst dies als "Verbesserung" wahrnehmen will.
Der Inhalt einer Nachricht steht unter dem Schutz des Grundgesetzes.
Eingriffe könnten deswegen lediglich auf Grund eines Gesetzes
vorgenommen werden - und ein solches Gesetz zur Re-Formulierung von URLs
ist mir nicht bekannt.

Drittens: Ich vermute, web.de handelt wie beschrieben, um Nutzerdaten
einzusammeln. Das kann ja noch angehen, wenn web.de dies für die eigenen
Nutzer macht (diese können evtl. rechtlich bindend einer derartigen
Verwendung ihrer Daten zugestimmt haben, als sie sich zu Freemail
anmeldeten - quasi als Bezahlung mit Daten für die Bereitstellung des
Maildienstes) - aber dass auch die Empfänger von E-Mails, die nicht
Kunden von web.de sein mögen, ebenso abgeschöpft oder mit URL-Rewriting
"beglückt" werden ... das geht schlicht zu weit.

Ich vermute, dass eine Zustimmung zur Veränderung von E-Mails von den
web.de Nutzern nicht rechtlich bindend abgegeben werden kann. Auf Grund
der Tiefe des Grundrechtseingriffs sehe ich hier und für diesen Fall ein
sittenwidriges Rechtsgeschäft vorliegen.

Insgesamt ergibt sich für mich hier ein Bild von web.de, das sich an den
großen US-"Datenkraken" orientiert und deren Verhalten zu kopieren
versucht, indem es grundlegende Rechte (Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme hier:
Nachrichten) seiner Nutzer/innen ignoriert.

In Erwartung Ihrer Stellungnahme - mit freundlichen Grüßen
Dirk Weller

Jetzt bin ich mal gespannt, was passiert. Ich kann – als Laie – meine Vorwürfe sicherlich nicht juristisch wasserdicht formulieren und biete damit bestimmt viele Ansatzpunkte für die entsprechenden Experten, mit denen sie sich aus der Affäre winden können. Unversucht lassen wollte ich es aber auch nicht.