Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

Datenschutz und Puzzles: Was hat das miteinander zu tun? Mehr als gedacht

0

Ein klassisches Puzzle zu lösen, kann auch Auswirkungen auf den Datenschutz haben. Lesen Sie hier, warum!

Ende letzten Jahres, also vor wenigen Wochen, gelangte ich zu einigen wichtigen und weit reichenden Erkenntnissen, die den Datenschutz im Internet betreffen. Für mich waren diese Erkenntnisse das Bemerkenswerteste, was ich persönlich in letzter Zeit hervorbringen konnte. Meines Wissens nach sind einige dieser Erkenntnisse gar nicht oder nur sehr wenig bekannt.

Welche Erkenntnis ich meine und wie sie zustande kamen, erfahren Sie gleich.

Erkenntnisse

Den Anfang machte meine lange Untersuchung von Consent Tools. Ich unterzog alle Tools dieser Art, die ich für weit verbreitet halte, einem Praxistest. Das Enddokument ist über 90 Din A4 Seiten lang. Dazu schaute ich mir Webseiten an, die diese sogenannten Cookie Blocker einsetzen. Hierbei tat ich mir etwas schwer, die rechtliche Beurteilung vorzunehmen. Dennoch kamen so viele Befunde, die leicht als Mängel begründbar sind, zustande, dass ich dem Ergebnis den Namen Cookiegeddon gab.

Die Studie schickte ich an die gemeinnützige Datenschutz-Organisation noyb (None Of Your Business). Wenig später wurde ich gefragt, ob eine Videokonferenz möglich sei. Das Team von noyb, darunter auch Rechtsanwälte, brauchten Unterstützung bei der Bewertung technischer Gegebenheiten, die auf Webseiten die Regel sind.

Der Anwalt fragte mich, welche Informationen im Endgerät des Nutzers gespeichert sind. Die Antwort auf diese Frage ist fundamental, weil die ePrivacy Richtlinie in Art. 5 Absatz 3 dies als Kriterium für eine Einwilligungspflicht formuliert. Aus dieser recht kurzen Diskussion und weiteren Untersuchungen ergaben sich Aha-Momente. Danach war es mir plötzlich leicht möglich, eine technisch-rechtliche Beurteilung wichtiger Sachverhalte auf Webseitenn vorzunehmen.

Erkenntnis: Cookies sind keine Textdateien

Cookies sind keine Textdateien: Diese Aussage erscheint lapidar, sagt aber viel über den Datenschutzmarkt in Deutschland. Einige wenige, die als kompetent gelten, sprechen eine Empfehlung aus oder machen eine Aussage. Alle anderen, so scheint es, vertrauen diesen Experten nahezu blind und schreiben das ab, was vorgegeben wird.

So war es auch bei Cookies. In nahezu jeder Datenschutzerklärung war und ist noch zu lesen, dass Cookies Textdateien seien. Dass dies noch nie richtig war und heutzutage erst recht falsch ist, beweist mein Beitrag zu Cookies.

Obwohl ich dort den Beweis erbrachte, dass Cookies keine Textdateien sind, musste ich mich auf eine Diskussion mit jemandem einlassen, der immer noch diesem Glauben anhaftet. Derjenige, den ich aus einem längeren Telefonat und mehreren Mails halbwegs kenne, glaubt dies nur, so meine Annahme, weil es opportun ist. Zu viele falsche Datenschutzerklärungen müssten korrigiert werden, wenn man diesen Fehler zugeben würde. Man kann den Fehler ruhig zugeben, finde ich. Schließlich hatte ich auch falsch abgeschrieben. Damit mir dies nicht mehr passiert, recherchiere ich seit einiger Zeit intensiv selbst und entlarve Falschinformationen durch Beweise. Der Beweis-Ansatz kommt auch daher, weil ich keine Lust mehr habe, mich durch mühselige Diskussionen durchzuquälen und als Bittsteller aufzutreten, wenn jemand Datenschutzverstöße begeht.

Erkenntnis: Im Endgerät des Nutzers gespeicherte Informationen

Die ePrivacy Richtlinie stellt in Artikel 5, Absatz 3 darauf ab, dass für den Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, eine Einwilligung erforderlich ist. Dies gilt, sofern kein berechtigtes Interesse vorliegt, was für dieses Szenario nur dann angeführt werden sollte, wenn es um die Verwaltung angemeldeter Nutzer oder ähnlicher fundamentaler Kernfunktionen geht.

Mein Bestreben war es, herauszufinden, welche Informationen im Endgerät des Nutzers gespeichert sind. Dabei stellte ich fest, dass dies nicht die IP-Adresse ist, jedenfalls nicht im Sinne der ePrivacy Richtlinie. Hierbei stellte ich übrigens auch fest, dass Cookies keine Textdateien sind und warum die ePrivacy Richtlinie auch Cookie-Richtlinie genannt wird.

Erkenntnis: Die Cookie-Katastrophe

Die Cookie-Katastrophe wird den Kollaps der populären Consent Tools bewirken, hoffe ich jedenfalls. Die bekannten Anbieter von Consent Tools tun jedenfalls regelmäßig so, als könnten Webseite mit deren Wunderwerkzeugen DSGVO-konform gestaltet werden. Dies mag in ganz seltenen Fällen so sein. Diese Fälle zeichnen sich vornehmlich dadurch aus, dass ganz wenige, ganz leicht beherrschbare Tools eingesetzt werden. Ein Beispiel für ein solches, leicht beherrschbares Tool ist Matomo, vorzugsweise in lokaler Installation.

Sobald eine Webseite aber Tools von Google, Facebook, Vimeo, Adobe oder anderen Unternehmen dieser Kategorie einsetzt, können diese Tools nicht zuverlässig arbeiten. Die Gründe dafür sind teilweise sogar beweisbar und in meinem Artikel zu Cookie Popups nachzulesen.

Neben dieser theoretischen Beweisführung habe ich den Nachweis für das Versagen aller mir bekannten Consent Tools auch in der Praxis erbracht und Cookiegeddon getauft. In meinem Cookie Blocker Praxistest wurden u.a. Webseiten großer Firmen und die der Anbieter solcher Consent Tools unter die Lupe genommen. Alle versagten kläglich, ist mein Fazit, was beweisbar ist (alleine deshalb, weil sicher nicht jeder glücklich ist, wenn ich so etwas behaupte).

Wer wissen will, wie schwierig bis unmöglich es ist, eine rechtskonforme Einwilligungsabfrage zu erstellen, sollte sich meine Checkliste für Einwilligungsabfragen auf Webseiten ansehen.

Wer ein praktisches Beispiel für das Versagen der als glaubwürdig angesehenen bekannteren Dienstleister und Anwälte haben will, sollte meinen Artikel zum Google Tag Manager lesen. Dort beweise ich, auch mit Hilfe eines Videos, dass der Google Tag Manager keine cookielose Domäne ist. Vielmehr ist er ein Tool – darauf hätte man auch ohne mich kommen können. Weiterhin ist er nicht cookielos – das ist schon schwieriger zu begreifen, hätte aber den angeblichen Datenschutzexperten für Webseiten bekannt sein müssen. Warum Anwälte hier als Experten gelten, war und ist mir ein großes Rätsel.

Erkenntnis: Einwilligungspflicht für die zahlreiche Tools von Google & Co.

Objektiv kann man zeigen, dass viele Tools von Google inklusive Google Maps und Google reCAPTCHA, aber auch eingebundene Vimeo Videos, zwingend einer Einwilligung bedürfen. Dies ist nicht meine Privatmeinung, sondern beweisbar bzw. schlüssig technisch und rechtlich herleitbar. Ich habe mir meine Herleitung von einem IT-Anwalt bestätigen lassen. Auch Google Analytics in Standardausprägung fällt zwingend unter die Einwilligungspflicht. Sie brauchen sich ab sofort nicht mehr durch Verweise auf die Meinung von Datenschutzbehörden zu rechtfertigen. Beweisen Sie es einfach nach dem Studium meiner Beiträge.

Erkenntnis: Einwilligungspflicht für Google Schriften und andere Hilfsdateien

Die Einwilligungspflicht für Google Fonts kann aus Art. 5 DSGVO, der Datenminimierung, eindeutig hergeleitet werden. Wer das Geschwindigkeitsargument bringt, soll doch einen eigenen File Server verwenden oder sich ein DSGVO-konformes CDN mieten. Gleiches gilt für jegliche andere Art von Hilfsdateien, die nicht auf einem Server eines Dritten liegen, mit dem ein gültiger Auftragsverarbeitungsvertrag o.ä. geschlossen wurde. Als Hilfsdateien bezeichne ich hier folgende externe Dateien:

  • Schriften
  • Bilder
  • Stil-Dateien (CSS)
  • Videos
  • JavaScript-Bibliotheken

Auch YouTube Videos ohne Cookies bedürfen wegen des Prinzips der Datenminimierung einer Einwilligung. Niemand kann glaubhaft erklären, dass bereits ohne das Abspielen eines eingebetteten Videos zahlreiche Datentransfers zu mehreren Adressen (Domänen) stattfinden. Genau dies kann man aber nachweisen, wenn YouTube Videos über ein Script eingebunden werden.

Puzzles schärfen die Sinne

Zusammengefasst

Meine Erkenntnisse aus den letzten Wochen sind:

  • Cookies sind keine Textdateien. Damit widerlege ich eine sehr weit verbreiteten Irrglauben
  • Consent Tools funktionieren in der Praxis nicht. Dies widerlegt, was hunderttausende Betreiber von Webseiten für richtig halten
  • Consent Tools funktionieren bereits in der Theorie nicht
  • Im Endgerät des Nutzers sind – im Sinne der ePrivacy Richtlinie – vor allem Cookies gespeichert, nicht aber die IP-Adresse
  • Jedes Tool ist potentiell mit Cookies behaftet. Dafür reicht eine einzige Webseite weltweit, die ein solches Cookie ins Spiel bringt
  • Die meisten populären Tools für Webseiten bedürfen zwingend einer Einwilligung
  • Der Datentransfer in unsichere Drittländer muss für die Entscheidung, ob ein Tool einer Einwilligung bedarf, meistens nicht als Argument bemüht werden
  • Einwilligungsabfragen können kaum rechtssicher gestaltet werden

Ich finde das bemerkenswert. Wenn Sie das anders sehen, schreiben Sie mir! Ich bin für Argumente zugänglich.

Der Weg zur Erkenntnis

Was hat all das mit Puzzlen zu tun? Erst einmal gar nichts. Die Frage, die mir kam: Wie gelangen mir diese Erkenntnisse und die zugehörigen Beweise bzw. warum gerade jetzt und nicht früher? Schließlich beschäftige ich mich seit einigen Jahren intensiv mit dem digitalen Datenschutz.

Es dauert lange, bis man alle rechtlichen Vorgaben verstanden hat. Unter anderem musste ich mir einige Nutzungsbedingungen von Tools wie Google reCAPTCHA erarbeiten, um weiter zu kommen.

Anscheinend muss man sich länger mit einem komplexen Thema beschäftigen, bis neue Gedanken und Erkenntnisse dazu entstehen.

Challenge mit einem Dritten, der es genau wissen will

Was sicer hilfreich war, ist die Diskussion mit einem Juristen von noyb, der mich löcherte, um mehr über die technischen Gegebenheiten auf Webseiten zu verstehen. Dies war für ihn wichtig, um eine Beschwerde gegen einen Datenschutzsünder vorzubereiten. Wir hatten die gleiche Grundhaltung: Etwas meinen und etwas beweisen zu können, sind zwei verschiedene Dinge. Daher habe ich seine Frage nach der Videoschalte aufgegriffen und so gut beantwortet, wie mir möglich. Das reichte, um die Fragestellung zu beenden.

Sie kennen das als Datenschutzbeauftragter oder Datenschutzinteressierter sicher: Sie sind persönlich ganz sicher, dass etwas nicht in Ordnung ist und gegen Datenschutzregeln verstößt, können es Ihrem Gegenüber (Kunde, Gesprächspartner, Datenschutzverweigerer,…) aber nicht plausibel machen.

Mir ging es lange ähnlich. Nun ist ein Status erreicht, in dem nicht mehr diskutiert werden muss. Die Faktenlage ist erdrückend. Bleibt abzuwarten, was die Novelle der ePrivacy-Richtlinie bringt, die teilweise eine positive Entwicklungen, teils aber auch einige Rückschläge erkennen lässt. Es dauert jedenfalls erst einmal, bis die neue Fassung der Richtlinie abgestimmt sein wird und in Kraft tritt.

Aber auch danach gelten einige Fakten weiterhin:

  • Über alle Verarbeitungsvorgänge muss transparent, leicht verständlich und umfangreich aufgeklärt werden
  • Der Zugriff auf Informationen im Endgerät des Nutzers (meist über Cookies) ist nur in engen Grenzen erlaubt
  • Cookies sind keine Textdateien und werden es auch nie sein
  • Damit Tools populärer Anbieter Cookie-behaftet und somit alleine deswegen potentiell einwilligungspflichtig sind, genügt es, wenn weltweit eine einzige Webseite in der Domäne des Tools existiert, die Cookies erzeugt. Das kann gar nicht oft genug gesagt werden, weil die Tragweite dieser Aussage den gesamten Cookie Markt durcheinander bringt

Puzzles schärfen die Wahrnehmung und Kombinationsgabe

Nun zu den Puzzlen und der Verbindung zum Datenschutz.

Umso länger man sich mit einem konkreten Puzzle beschäft, umso eher ist man in der Lage, feinste Farbunterschiede direkt zu erkennen. Was beim Start noch undenkbar erschien, wird nach ein paar Stunden zur Selbstverständlichkeit. So war es auch bei mir, als ich versuchte, die Einwilligungspflicht für Google Analytics und andere Tools hieb- und stichfest herzuleiten, was mir letztendlich auch gelang. Dafür benötigte ich einige Wochen und über 100 A4 Seiten Text, der meine Untersuchungsergebnisse darstellt.

Ob das Puzzlen meine Sinne geschärft hat, ob es Zufall war oder harte Arbeit, weiß ich nicht genau. Jedenfalls bin ich sicher, Puzzles helfen sehr beim Schärfen des Verstands und der Wahrnehmungsfähigkeiten. Ich kann Ihnen eine solche Nebenbeschäftigung jedenfalls sehr empfehlen.

Falls Sie sich auch für andere Dinge als Datenschutz interessieren und mit dem Puzzlen anfangen möchten, hier ein paar Tipps zum Lösen von Puzzlen:

  • In Wirklichkeit geht es beim Puzzlen darum, ein komplexes Problem in überschaubare Teilprobleme zu zerlegen. Puzzlen bedeutet absichtliches zerlegen, um danach zusammenzusetzen
  • Bei sehr guten Lichterverhältnissen sticht Intuition oft mechanisches Ausprobieren (analog zum Golf spielen)
  • Zuerst die Randstücke finden
  • Randstücke lassen sich schneller finden, wenn die Puzzle-Teile umgedreht sind
  • Puzzle-Teile nach Farben bzw. Bereichen sortieren
  • Nach wenigen gesichteten Teilen erkennt man, welche Farben und Muster häufig genug, aber nicht zu häufig vorkommen, um sie auf einen Haufen zu legen (bzw. nebeneinander; Haufen sind für Puzzle-Teile eine schlechte Idee)
  • Wahrscheinlich sind nur absolute Profis in der Lage, einen komplexen Sortiervorgang nahezu fehlerfrei durchzuführen. Deshalb empfehle ich, sich immer nur ein oder zwei Kriterien gleichzeitig zu widmen, um nicht durcheinander zu kommen. Beispielsweise zuerst die Randstücke finden, dann die Farben sortieren und nicht beides in einem Zug. Auf einer Puzzle-Weltmeisterschaft ist das sicher die falsche Strategie. Für den Normalsterblichen macht es so mehr Spaß und produziert weniger Fehler, die die zunächst gewonnene Produktivität wieder zerstören würden
  • Zum Sortieren eignen sich Plastikbehälter, aber auch Deckel von Puzzlen (nicht den Deckel mit dem Titelbild des aktuellen Puzzles nehmen, außer, Sie lieben Herausforderungen)
  • Auf weißen Papierbögen sind Puzzle-Teile am besten zu erkennen. Format A3 oder größer
  • Passt ein Puzzle-Teil auffallend gut, obwohl es doch letzendlich nicht passt, dann ist die Wahrscheinlichkeit hoch, dass es in der Nähe des angenommenen Standorts seinen endgültigen Platz finden wird
  • Je nach Qualität des Puzzles kann es sogar bei Randteilen vorkommen, dass diese nur vermeintlich an eine Position passen.
  • Unfertigte Puzzle können auf Papierbögen aus dem Künstlerbedarf transportiert werden. Dazu das Puzzle auf einem solchen Bogen legen, oder einen Karton oder eine Künstler-Leinwand verwenden. Puzzle-Matten sind oft zu teuer
  • Eine Tageslichtlampe ist nach Tageslicht die beste Wahl. Hat man nur eine Stehlampe, dann diese auf den Tisch stellen, so dass der Abstand zwischen Lampe und Puzzle-Fläche möglichst groß ist
  • Anfangs 500 Teile Puzzle lösen, dann 1000 Teile Puzzles. Oder direkt zu zweit mit einem 1000er anfangen
  • Neben der Farbgebung eines Teils ist oft auch die Gestaltung der Ausbuchtungen und Ausstülpungen ein gutes Unterscheidungskriterium. Manchmal findet man ein Teil nur deswegen, weil es eine besonders markante Form hat
  • Im Endspiel, wenn nur noch wenige Teile übrig sind, hilft es, die Teile nach ihrer grundsätzlichen Form zu sortieren. Es gibt sechs Grundformen für Puzzle-Teile

Puzzlen Sie auch? Über Ihre Nachricht hierzu würde ich mich freuen, ebenso über Ihre Erfahrungen zum Datenschutz oder auch über Artikelvorschläge. In Kürze erscheint ein Beitrag, der betrachtet, wann es sinnvoll sein kann, Consent Tools einzusetzen. Allerdings sollten Sie von den bekannten Cookie Tools absehen. Ich werde demnächst ein kostenfreies zur Verfügung stellen, das zielführender und ehrlicher ist als die Werbeversprechen, die Sie wahrscheinlich alle kennen.

Übrigens würde ich den bekannteren Puzzle-Shops empfehlen, ihre Webseiten hinsichtlich Datenschutzvorgaben einmal sehr kritisch zu prüfen. Es könnte sein, dass sich bald jemand an sie wendet und im besten Fall eine Auskunft zu den Datenverarbeitungsvorgängen haben will. Hierzu wird es bald ein Tool geben, mit dem solche Anfragen für viele Webseiten fast automatisch erstellt werden können.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutz-und-puzzles
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.