Alexander S. ist Informatiker und hat seit 2017 die Zeit abonniert. Gestern hat er eine Datenschutzbeschwerde gegen Zeit Online eingereicht, weil diese über einen in die Seite integrierten Facebook-Tracker sein Leseverhalten an Facebook sendet. Die Behörden weisen schon länger darauf hin, dass das Marketing-Tool rechtswidrig ist, aber viele Verlagen ändern nichts, möglicherweise auch deshalb, weil Verfahren und Urteile dazu noch ausstehen. Alexander S. nutzte für seine Beschwerde eine Textvorlage und Anleitung, die wir heute veröffentlicht haben. Darin sind auch die juristischen Details aufgeführt, mit denen der Tracker gegen die DSGVO verstößt. Alexander, du hast gerade mit Hilfe unserer Vorlage eine Datenschutzbeschwerde gegen die Zeit abgeschickt. Alexander: Ja, ich wollte das schon lange machen, es hat sich nur etwas hingezogen, bis ich dazugekommen bin. Aber dann ging es eigentlich sehr fix, wenn man sich einmal hingesetzt hat. Warum willst du nicht, dass wir deinen vollen Namen nennen? Alexander: Weil ich mein Zeit-Abo behalten möchte. Ich will, dass sie das mit dem Facebook-Tracker ändern, aber ich möchte keinen Stress mit dem Verlag, nicht dass sie mir noch das Abo kündigen. Das klingt so, als wärst du eigentlich ein großer Fan der Zeitung. Alexander: Ja, eigentlich schon. Wenn man wie ich mit Kind weniger Zeit für Nachrichten hat, ist so ein Wochenzeitungsformat schön und sehr praktisch. Zudem mag ich die Zeit einfach für die politische Ausrichtung, ich sehe sie eher links und es ist schwierig gute Zeitungen zu finden, die in diesem politischen Spektrum schreiben. Ich finde auch die Artikel immer sehr gut
Daten- und Informantenschutz Archive
Das Universalmittel gegen Facebook-Tracking?
Für manche eine schöne Aussicht, für andere weniger: Eine technische Lücke im Datenbanksystem von Facebook lädt die Behörden zu Bußgeldern ein. Bild: Eileen Henderson, Gap in the fence on Black Knowe Head – geograph.org.uk – 550211, CC BY-SA 2.0 Immer noch sehen sich Internetnutzer auf einer Vielzahl von Websites und Apps mit einer andauernden Aufzeichnung ihres Verhaltens durch Facebook konfrontiert. Obwohl das im Bereich der europäischen DSGVO in vielen Fällen eine rechtliche Grauzone darstellt, kommen die entsprechenden Verfahren gegen Facebook nicht richtig in Gang, auch weil die irische Datenschutzbehörde damit entweder überfordert ist oder nicht gegen das umsatzstarke Unternehmen agieren will. Dabei ist für viele Nutzer die massenweise und intransparente Sammlung von Verhaltensdaten auf Websites und Apps außerhalb von Facebook besorgniserregend. Doch genau in diesem Bereich findet sich auch eine bemerkenswerte, wenig beachtete, technisch-juristische Schwachstelle im Trackingsystem von Facebook, mit dem Internetnutzer gute Chancen haben, die Entfernung des Trackers aus beliebigen Websites oder Apps zu erzwingen. Für diese Erkenntnis muss ich mich bei der Presseabteilung von Facebook bedanken, die mich vor einigen Wochen überhaupt auf die Idee gebracht haben, dieses Problem im Detail zu recherchieren. In einem Artikel über das Facebook-Tracking beim Bayerischen Blutspendedienst schrieb ich bei der Süddeutschen Zeitung: Die Daten könnten nun bei Facebook profilbezogen gespeichert sein (…). Facebook forderte mehrmals hartnäckig eine Richtigstellung: Facebook nutzt Pixel-Daten nicht dafür (…) Interessen zu den Profilen von Nutzern hinzuzufügen. Ich lehnte die Richtigstellung ab, weil ich meine Formulierung mit den Business AGBs von Facebook belegen konnte und aus gutem Grund
Facebook-Tracker erkennen und dagegen vorgehen
Meine Methode zum Artikel Für meine Analyse zum Facebook-Tracker bei deutschen Medienseiten habe ich alle Einbettungen von Facebook als Tracker gewertet, die Cookies mit *.facebook.com austauschen. Dann ist die Möglichkeit gegeben, dass Leser personenbezogen erkannt werden. Grundsätzlich arbeiten Browser so, dass sie entweder keine oder alle Cookies an eine Website schicken. Es ist also nicht möglich, dass eine Seite die Weitergabe begrenzt, so dass nur anonyme Cookies an Facebook gesendet werden können. Insgesamt 12 verschiedene Tools konnte ich unterscheiden, nicht bei allen konnte ich herausfinden, warum der Verlag sie eigentlich eingebunden hat. Cookie-Banner, die auf den Facebook-Tracker nur hinweisen und ihn nicht bereits bei Aufruf der Seite verhindern, wurden ignoriert (sie sind technisch und juristisch nicht wirksam). Nicht immer erscheinen die Tracker beim ersten Aufruf und auf jeder Seite, es scheint statistische und auch wöchentliche Änderungen bei den Einbettungen zu geben. So prüft man Und so kann man mit Firefox oder Chrome relativ einfach selbst prüfen, ob eine Seite den Facebook-Tracker enthält: Firefox: Im Menü Web-Entwickler/Netzwerkanalyse aufrufen (Oder Strg-Shift-E) Eine Seite aufrufen (oder mit Strg-F5 neu laden) Im Suchfeld („Adressen durchsuchen“) „facebook“ eingeben Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies. Chrome: Im Menü More Tools/Developer Tools aufrufen (Oder Ctrl-Shift-I), dann den Tab Netzwerkanalyse Eine Seite aufrufen (oder mit Strg-F5 neu laden) Im Suchfeld (‚Filter‘) „Facebook“ eingeben Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies. Hinweise und Beschwerden
Facebook trackt Nutzer auf drei Viertel aller deutschen Nachrichtenseiten
Bild: CC-BY 4.0 Oliver Hinzmann Für diesen Beitrag habe ich 130 deutsche Nachrichtenseiten und Verlagsangebote analysiert. Das Fazit: Facebook liest fast überall mit. Durch Tracking-Tools kann der Konzern in vielen Fällen erkennen, welche Artikel ein Facebook-Nutzer anklickt. Die Gesetze untersagen diese Form von Tracking, aber die Verlage stört das nicht. Facebook sammelt persönliche Daten. Sie sind der wichtigste Vermögenswert der 500-Milliarden-Dollar-Firma und die Basis seines Geschäftsmodells. Seit einiger Zeit ist bekannt, dass Facebook nicht nur Daten von Nutzern seiner sozialen Netzwerke sammelt, sondern auch über praktisch alle anderen Internetnutzer. Eine wichtige Sammelstelle dabei sind Nachrichtenseiten und Portale von Presseverlagen. Wie meine Recherche ergab, fließen von den Seiten vieler deutscher Nachrichtenmedien Nutzerdaten an Facebook ab. Der Datenkonzern kann mit seinen Software-Bausteinen Millionen Menschen in Deutschland beim Nachrichtenlesen über die Schulter schauen. Was ist das Problem 2011 gab es mal eine größere Debatte um den Facebook-Button. Die breite Öffentlichkeit erfuhr damals erstmals, dass die standardmäßige Einbindung des Buttons dazu führt, dass Facebook auch externe Seitenabrufe personenbezogen speichern und auswerten kann. Die Debatte und die folgenden Verfahren bis zum EuGH haben dazu geführt, dass der Button auf den meisten Nachrichtenseiten nicht mehr direkt eingebunden wird, sondern erst beim Anklicken eine Verbindung herstellt. Heute ist Facebook in den meisten Nachrichtenseiten auf andere Art verankert. Mit verlockenden Produkten in seinem Business-Portfolio hat der Konzern es geschafft, auf rund 75 Prozent der deutschen Medienseiten präsent zu sein. Die Facebook-Tools können meist artikelgenau und personenbezogen den deutschen Medienkonsum auswerten. Am bekanntesten ist „Facebook Pixel“, ein Bestandteil des
Diskretion war einmal
Wie große Unternehmen, darunter Spiegel und Zeit, Kundendaten rechtswidrig an Facebook geben und sich keiner dafür zuständig sieht
Was hat es mit der neuen Email-Verschlüsselung p≡p auf sich?
UPDATE: Ich empfehle die Software aktuell nicht mehr. Sie ist unausgereift und die Bugs werden oft Monate lang nicht gefixt. Die Kritik war ja berechtigt: Email-Verschlüsselung ist zu kompliziert für den täglichen Gebrauch, z.B. im Journalismus. Seit einigen Jahren haben verschiedene Entwickler deshalb nach Lösungen gesucht. Ein gut durchdachter Ansatz namens „Pretty Easy Privacy“ (p≡p bzw. pEp) bekam 2015 bei einem Crowdfunding über 50.000$, auch dank bekannter Unterstützer wie Juli Zeh, Marc-Uwe Kling und Sibylle Berg. Vor einigen Wochen wurde die Lösung nun in das bekannte Enigmail (Thunderbird-Plugin) eingebaut, ein Plugin für Outlook gibt es schon länger. Das tolle: Die Lösung basiert auf dem klassischen OpenPGP, ist entsprechend kompatibel und genauso sicher – aber macht absolut keine Mühe. Damit gibt es endlich einen Kandidaten für eine „Volksverschlüsselung“, die alle nutzen können – aber insbesondere natürlich sensible Berufsgruppen wie Journalisten. Und mit der Unterstützung für Outlook kann man auch im Umfeld klassischer Büro-IT verschlüsselt kommunizieren (und so z.B. die strengen Datenschutzanforderungen der DSGVO umsetzen). Was ist einfacher geworden Man muss nur noch ein einziges Plugin installieren. Alle benötigten Bestandteile werden bei Bedarf nachgeladen Man muss keine Schlüssel mehr erzeugen. Das geschieht automatisch Man muss die Schlüssel nicht mehr austauschen oder auf einen Schlüsselserver laden. p≡p erkennt automatisch, wenn der Email-Partner eine Verschlüsselung hat und tauscht die Schlüssel mit ihm aus. Spätestens die zweite Email ist also schon verschlüsselt, ohne dass man etwas machen musste. Man muss standardmäßig keine Passwörter mehr eingeben, um die Emails zu lesen Zukünftig: Man muss die Schlüssel
Emails dauerhaft entschlüsselt speichern (mit den Enigmail-Filtern)
Wer regelmäßig und im Alltag mit verschlüsselten Emails kommuniziert (so wie ich), bemerkt irgendwann drei lästige Begleiterscheinungen: Man kann verschlüsselte Emails nicht durchsuchen Man muss beim Browsen der Emails ständig das Passwort eingeben Große Anhänge frieren das Emailprogramm für Sekunden oder Minuten ein Dafür gibt es seit einigen Jahren in Thunderbird eine Lösung: 2014 hatte ich die Idee, dieses Problem mit Filtern zu lösen. Mit einem Crowdfunding und der Unterstützung von einigen Experten habe ich 2015 eine Implementierung in Enigmail organisiert. Mittlerweile werde ich in meinen Informantenschutz-Kursen öfters gefragt, wie man den Filter genau nutzt, deswegen hier ein Tutorial zu der eher unbekannten Option. Sicherheitshinweis Am Anfang ein wichtiger Hinweis: Das dauerhafte Entschlüsseln von Emails verringert auf hohem Niveau die Sicherheit. Es ist für externe Angreifer je nach genutzter Sicherheitslücke möglicherweise leichter, die unverschlüsselten Emails auf dem Computer direkt auszulesen als die Entschlüsselung über Kommandozeilenzugriff und Abfangen des Entschlüsselungs-Passworts durchzuführen. Da sollte jeder seinen Sicherheitsanspruch gegen die Bequemlichkeit abwägen. Die Entschlüsselungs-Filter sind vor allem für die Leute gedacht, die ihre Emails vorwiegend auf dem Transportweg sichern wollen. In Einzelfällen sollte man bei Emails mit besonders sensiblem Inhalt die entschlüsselte Kopie löschen – es bleibt ja die automatische Kopie im Backup. Was sind Filter Filter gibt es in den meisten Emailprogrammen. Das sind einfache Regeln, die normalerweise zur automatischen Organisation der Emails dienen. Bei der Installation von Enigmail (Version 1.8 oder höher) gibt es im Menü von Thunderbird unter Manage message filters je nach Version zwei bis drei neue Aktionen: In
Die Zwei-Browser-Lösung gegen Datentracking
Dass riesige Datensammlungen von Millionen Internetnutzern gesammelt werden, ist nichts neues. Aber der Fall um das WOT-Plugin, den der NDR heute aufgedeckt hat (Nackt im Netz), zeigt, wie schnell man die angeblich anonymen Daten realen Personen zuordnen kann – auch Kollege Dirk von Gehlen wurde in der Datensammlung enttarnt (Video). Die Tipps, die seit zwei – Jahren – dazu – kursieren und auch jetzt wieder im NDR-Beitrag verlinkt sind, halte ich aber für wenig brauchbar. Es gibt zwei große Richtungen, die ich aus unterschiedlichen Gründen kritisiere: Grundsätzlich problematisch finde ich alle Arten von Tipps, die Sicherheit nur vortäuschen. Nicht immer müssen böse Absichten dahinterstehen, wie beim oben genannten WOT-Plugin oder beim ebenfalls als Datensammler enttarnten Ghostery. Auch gut gemeinte Anti-Cookie-Plugins bringen am Ende genauso wenig wie mühsame Browser-Konfigurationen: denn sie helfen nicht gegen die neuen Identifikationsmethoden wie z.B. Browser-Fingerprinting. Und die Plugins, die wirklich helfen (z.B. Noscript), machen Websites unbenutzbar. Google sammelt die Daten auch so, z.B. über nahezu ubiquitär eingebettete Webinhalte (Fonts, Tracking-Pixels, Google-Plus-Buttons, Youtube-Einbindungen) oder die firmeneigenen DNS-Server. Also: Gebt diesen Kampf auf. Ein alltagstauglicher Browser ist eindeutig und die History landet bei irgendwem in der Datenbank! Datenschutz-Experten (z.B. Mike Kuketz ) empfehlen oft Tools wie TOR. Das stimmt, das Tool ist sehr wirksam beim Schutz vor Geheimdiensten, vor allem in Verbindung mit gehärteten Betriebssystemen wie Tails oder Whonix – und Datentracking schafft man sich damit natürlich auch vom Hals. Aber für die tägliche Surf-Praxis sind diese mehrfach umgeleiteten Verbindungen viel zu langsam. Das sind komplexe Tools, die
Propaganda per Filter und Verstärkung
Die leise Gefahr für Journalismus und Pressefreiheit in Krisenzeiten Straßenumfrage ade: In den letzten Jahren hat sich die Arbeitsweise von vielen Journalisten radikal geändert: Soziale Netzwerke wie Twitter oder Facebook dienen als Sensor für die Meinung der Bevölkerung, als Gruppenmedium zwischen Kollegen, als Recherchetool und als zusätzlicher Marketingkanal für die eigenen Beiträge. Je stärker ein Journalist in diesen Netzen Informationen aufnimmt und wieder abgibt, desto wichtiger wird die Neutralität dieser Netze, da es sonst zu erheblichen Verzerrungen kommen kann. Nun ist das leider schon länger nicht mehr der Fall: Twitter, Facebook oder Google formen unsere Streams nach unseren Leseinteressen. Der Buchautor Eli Pariser warnte 2012 in „The Filter Bubble“ davor, dass wir uns dadurch intellektuell isolieren. Größer wäre das Problem nun, wenn die Filter in diesen Netzwerken absichtlich nach politischen Interessen geschaltet wären.