Dr. Christian A. Caroli – د. كْرِسْتْيَان أ. كَارُلِي

Datenschutz

Grundsätzliche Standards

Übermittelte Daten beim Seitenaufruf

Bei jedem Aufruf einer Seite aus dem Internet kommt es zu einem Datenaustausch zwischen der Client-Software des Nutzers (bei menschlichen Nutzern in der Regel ein Browser) und dem Server der Internetpräsenz. Vorgesehenerweise erfolgt dieser auf Basis des Hypertext Transfer Protocol (HTTP). Hierbei werden vom Client auch Daten an den Server übermittelt, und zwar:

  • Datum und Uhrzeit des Zugriffs
  • IP-Adresse und Hostname des Zugriffs
  • die Referrer URL, d.h. die zuvor besuchte Internetseite
  • verwendetes Betriebssystem des Nutzers inkl. Versionsnummer
  • verwendete Client-Software des Nutzers inkl. Versionsnummer
  • die aufgerufene Seite bzw. Datei
  • Volumen der gesendeten bzw. ausgetauschten Daten
  • des weiteren sieht dieses Protokoll noch die Übermittlung der vom Client akzeptierten Datenkodierungen, Datentypen und Zeichenkodierungen, wie auch die bevorzugten Sprachen der Inhalte vor

 

Protokollierung

Gängigerweise werden oben angeführte Daten serverseitig protokolliert. Außerdem ermöglichen serverseitige Statistikprogramme eine statistische Auswertung nach bestimmten Sortierkriterien, wie z.B. Länder, Referrer, Aufenthaltsdauer, Einsteigs- und Ausstiegsseiten, Betriebssystemen und Browsern, aber auch nach Typ des Zugriffes (Mensch oder Suchmaschine).

Es kann grundsätzlich davon ausgegangen werden, daß die meisten Internetpräsenzen, die über einen Webhoster betrieben werden, diese Protokollierungen und Auswertungsfunktionen aufweisen. Meist werden sie explizit als ein Teil des Paketes angepriesen. Außerdem wird Betreibern von Internetdiensten die Protokollierung der Zugriffsdaten auf ihren Server aus rechtlichen und sicherheitstechnischen Gründen grundsätzlich angeraten.

Von Seiten des Betreibers dieser Internetpräsenz sind diese Daten und Auswertungen allein dem im Impressum aufgeführten Besitzer zugänglich. Allerdings besteht aus technischer Sicht grundsätzlich die Möglichkeit, daß Mitarbeiter des technischen Dienstleisters, also des Webhosters, sich Zugang zu diesen Daten verschaffen könnten.

Des weiteren werden die gespeicherten IP-Adressen nach spätestens 14 Tagen in den Originalprotokollen trunkiert und somit die individuelle Nachverfolgbarkeit auf Basis dieser deaktiviert. Die statistische Auswertung erfolgt auf Basis von trunkierten Adressen.

 

Matomo (ehemals Piwik)

Im Rahmen dieser Internetpräsenz kommt die Webanalyse-Software Matomo (ehemals Piwik – https://matomo.org/) zur Anwendung. Neben den obengenannten Standarddaten können hierbei noch installierte Plugins des Browsers und die verwendete Bildschirmauflösung ermittelt werden. IP-Adressen werden nur in trunkierter Form verarbeitet. Die hierbei gewonnenen Daten verbleiben hierbei im Zugriffsbereich des Inhabers dieser Internetpräsenz und werden nicht an dritte weitergegeben.

Die Funktion dieser Software kann durch entsprechende Browsereinstellungen bzw. das gezielte Blockieren von entsprechenden Elementen des Seitenquelltextes unterbunden werden. Es besteht aber auch die Möglichkeit, ein Piwik-Deaktivierungs-Cookie anzulegen. Allerdings muß dieser Vorgang aus technischen Gründen für jeden Browser und für jeden Computer einzeln vorgenommen werden und wird hinfällig, wenn das Cookie gelöscht wird.

 

 

Grundsätzlich können Links von externen Quellen (z.B. aus Newslettern oder auf fremden Internetpräsenzen) Kampagnen-Parameter beinhalten, die es ermöglichen die Effektivität dieser Quellen zu bestimmen. Diese Links beinhalten darüber hinausgehend jedoch keine benutzerspezifischen Informationen. So könnte ein Link zu dieser Seite im Rahmen der Kampagne „Datenschutz-Beispiel" folgendermaßen aussehen:

 

Anonymität der Daten

Grundsätzlich besteht die Möglichkeit einen Nutzer mittels der verwendeten IP-Adresse und der Uhrzeit des Zugriffes zu definieren. Wie für die meisten Domain-Namen gibt es auch für IP-Adressen weltweit zugängliche whois-Listen, über die nachgeforscht werden kann, wer über die jeweilige Adresse die Administrationsrechte besitzt.

Jedoch gilt für den normalen Internetnutzer, daß er meist mittels eines Providers über das Internet verbunden ist und allein dieser in den offiziellen Verzeichnissen erscheint. So kann in der Regel festgestellt werden, daß der Besucher der Internetpräsenz z.B. ein Kunde bei der Deutschen Telekom AG ist oder über einen Anschluß einer bestimmten Firma oder Institution mit dem Internet verbunden ist.

Bei den meisten Internetprovidern wird zudem bei jeder Sitzung eine neue IP-Adresse vergeben. Bei Firmen und Institutionen besitzen die Computer in der Regel feste IP-Adressen, jedoch werden hier in der Regel die Computer mit Namen versehen, die keinen Rückschluß auf den Benutzer zulassen.

Eine Identifikation wird allerdings technisch möglich, sobald Sie sich dieser Internetpräsenz gegenüber identifizieren (z.B. Anmeldung, Login oder Nutzung von Formularfeldern). Grundsätzlich bleibt Ihnen die Möglichkeit vorbehalten, bei Kontaktaufnahmen Daten pseudonymen Charakters zu verwenden, sofern es sich nicht um einen geschäftlichen Vorgang handelt, bei dem es die Natur der Beziehung zwischen den Vetragspartnern erfordert, daß sie sich ihre hierfür relevanten Daten gegenseitig austauschen.

Am besten kann es mit Telephonnummern verglichen werden, die nicht im Telephonbuch stehen. Bei Mobilfunknummern kann man z.B. durch Servicefunktionen des eigenen Anbieters u.U. das dazugehörige Mobilfunknetz herausbekommen, bei Festnetznummern den ungefähren Ort des Anschlusses und bei Firmennummern die Firma, jedoch kann man ohne behördliche Hilfe nicht den genauen Teilnehmer feststellen, solange er nicht seine Daten preisgibt.

 

Cookies

Diese Internetpräsenz benutzt auch die Technik der Cookies. Hierbei handelt es sich um kleine Textdateien, die durch den Browser auf dem Gerät des Nutzers abgespeichert werden und von der Internetpräsenz über den Browser wieder ausgelesen werden können. Hierdurch können einzelne „Sitzungen“ identifiziert, aber auch die Wiederkehr von Nutzern erkannt werden. Außerdem ermöglicht diese Technik im Falle der Nutzung von Nutzerkonten nach einem Login die Feststellung der Zugriffsberechtigung des Nutzers im Rahmen der Sitzung. In aller Regel beschränkt sich diese Internetpräsenz auf sogenannte Sitzungscookies, die spätestens beim Schließen des Browsers wieder gelöscht werden sollten.

Das Abspeichern von Cookies kann durch entsprechende Einstellung des Browsers (meist im Bereich der Datenschutzeinstellungen) unterbunden werden. Die Benutzung von Benutzerkonten kann hierdurch allerdings aus technischen Gründen blockiert sein.

 

Sicherungsmaßnahmen

Situation

Das Internet wird von vielen zweifelhaften Existenzen als eine rechtsfreie Zone betrachtet, insbesondere da hier ein Agieren über Staatsgrenzen sehr leicht ist, während die Strafverfolgung hieran oftmals scheitert. Schon bei kleineren Internetauftritten ist täglich eine nicht geringe Anzahl an offensichtlichen Attacken zu erkennen, bei denen versucht wird unerwünschte Daten, oftmals in Form von Gästebucheinträgen, einzufügen, E-Mail-Adressen zu sammeln oder gar die Kontrolle über die Internetpräsenz zu übernehmen. So werden gern Adressen wie „guestbook“, „forum“ oder „wp-login“ (üblicher Administratorenzugang bei mittels Wordpress betriebenen Internetseiten) aufgerufen.

 

Blacklists und Sicherheitsfunktionen gegen mutmaßlich attackierende Zugriffe

Bei jedem Abruf erfolgt ein Abgleich der IP-Adresse des Nutzers mit intern gespeicherten Blacklists, die regelmäßig aktualisiert werden. Zugriffe, die über eine in diesen Listen verzeichnete IP-Adresse erfolgen, werden blockiert und erhalten eine Fehlermeldung. In diesem Fall erfolgt außerdem eine Protokollierung der IP-Adresse zusammen mit der Uhrzeit.

Des weiteren beinhaltet diese Internetpräsenz Sicherheitsfunktionen gegen Zugriffe mutmaßlich attackierenden Charakters. Auch hier erfolgt eine Blockierung des Zugriffes, sowie eine Protokollierung der IP-Adresse, der Uhrzeit des Aufrufes der aufgerufenen Seite und der übermittelten Daten.

 

Honeypots

Auf manchen Seiten der Domains dieser Internetpräsenz sind sogenannte Honeypots installiert. Sämtliche Seiten dieses Charakters tauchen nicht im Rahmen der sichtbaren Navigation dieser Internetpräsenz auf.

Die Seitenquelltexte dieser Internetpräsenz beinhalten Verweise zu diesen Honeypots. Bei einer regulären Verwendung der Angebote dieser Internetpräsenz durch menschliche Nutzer mittels eines Browsers bleiben diese jedoch unsichtbar und werden auch nicht aktiviert. Auch seriöse Suchmaschinen, die den Robots Exclusion Standard beachten, sollten keine Verweise zu diesen Honeypots auflisten, da die jeweiligen Seiten durch die Anweisungen der robots.txt und einen noindex-Vermerk im Header blockiert sind. Grundsätzlich kann davon ausgegangen werden, daß bei einer regulären Nutzung dieser Internetpräsenz durch einen menschlichen Nutzer keine Seite mit installiertem Honeypot aufgerufen wird.

Für die Seiten mit installierten Honeypots gelten die dort jeweils aufgeführten Nutzungs- und Datenschutzbestimmungen.

 

Sonderbedingungen Formulare und Nutzerfunktionen

Situation

Ein besonders beliebter Angriffspunkt sind sämtliche Schnittstellen zur Interaktion zwischen dem Nutzer und der Internetpräsenz wie Kontaktformulare, Gästebücher und Foren. Manche SPAM-Bots greifen direkt auf die ihnen bekannten Seiten dieser Art zu und versuchen dort automatische Einträge vorzunehmen. Diese fallen oftmals durch eine auffällig hohe Anzahl an Linkadressen auf. Hinzu kommen noch Vertreter politischer Ideologien und Gesinnungen fragwürdigen Charakters, die in ihrer Verblendetheit sich die Mühe machen, manuell ihren SPAM zu verbreiten, um möglichst viele Links zu ihren fragwürdigen und teilweise verfassungswidrigen Internetauftritten auf ausländischen Servern zu plazieren.

 

Identifizierbarkeit

Sobald sich der Nutzer gegenüber dieser Internetpräsenz identifiziert, indem er sich z.B. in sein Nutzerkonto einlogt oder seine Daten in ein Formular eingibt, besteht die technische Möglichkeit, ihn mit der von ihm benutzten IP-Adresse und den beim Seitenaufruf übermittelten Daten in Verbindung zu setzen. Er gibt somit auch gegenüber dem Betreiber dieser Internetpräsenz zumindest theoretisch seine Anonymität auf.

 

Protokollierung

Bei der Nutzung von Benutzerschnittstellen im Rahmen dieser Internetpräsenz wie z.B. Kontaktformularen können neben den eingegebenen Daten auch die IP-Adresse des Nutzers und der Zeitpunkt mitprotokolliert werden. Die Nutzung dieser Daten zwecks straf- oder zivilrechtlicher Verfolgung bei Mißbrauch oder illegaler Verwendung von Angeboten im Rahmen dieser Internetpräsenz bleibt ausdrücklich vorbehalten. Des weiteren können sie bei über diese Internetpräsenz zustandegekommenen Verträgen im Streitfalle zum Nachweis der Identität des Vertragspartners verwendet werden. Dem Nutzer bleibt es vorbehalten, jederzeit über andere angebotene Wege Kontakt mit dem Betreiber der Internetpräsenz aufzunehmen.

 

Archivierung

Korrespondenzen werden in der Regel vom Betreiber dieser Internetpräsenz archiviert. Dies gilt für Briefsendungen, Telefaxe, E-Mails, Kontaktformular-Anfragen und ähnliche Formen der Kommunikation. Fernmündliche Anfragen können protokolliert werden.

Grundsätzlich werden alle hierbei übermittelten Daten und Inhalte vertraulich behandelt, sofern der Publikation nicht ausdrücklich zugestimmt wird.

 

Serverstandorte

Der Hauptserver dieser Internetpräsenz befindet sich auf dem Territorium der Bundesrepublik Deutschland. Allerdings können Backup-Systeme auch auf Servern mit Standorten auf dem Territorium der Republik Österreich installiert sein.

 

Nutzung der Daten

Allgemeine Grundsätze

Die im Rahmen dieser Internetpräsenz gewonnenen Daten werden nur intern benutzt und nicht an dritte weitergegeben.

Sie dienen v.a. zur Auswertung des allgemeinen Nutzerverhaltens wie z.B. häufig verwendete Suchbegriffe, durchschnittliche Dauer der Seitenbesuche, benutzte Browserversionen, aber auch zur allgemeinen Identifikation von Gefahrenquellen für den einwandfreien technischen Betrieb dieser Internetpräsenz. Grundsätzlich werden keine persönlichen Profile erstellt.

Diese Seite beinhaltet grundsätzlich keine Systeme zur personenbezogenen Werbung durch Dritte.

Daten, die im Rahmen der Auftragsverarbeitung an den Betreiber der Internetpräsenz weitergeleitet werden, werden nur in einem für den Auftrag notwendigen Umfange zweckgebunden verarbeitet.

 

Besonderheiten

Falls die Abwicklung einer Anfrage oder die Durchführung eines Dienstes es erfordern, können die hierfür notwendigen Daten an berechtigte Dritte weitergegeben werden. Dies trifft insbesondere bei externen Diensten und Dienstleistungen zu. Diesbezügliche Hinweise befinden sich jeweils an Ort und Stelle bzw. in den AGB des jeweiligen Dienstes.

Grundsätzlich kann eine Weitergabe der zur Verfügung stehenden Daten auch an staatliche Institutionen innerhalb der Bundesrepublik Deutschland oder auf deren Anordnung hin an Dritte erfolgen, sofern eine gesetzliche Berechtigung hierfür vorliegt.

 

Nutzer- / Kundenrechte

Nutzer dieser Internetpräsenz bzw. von durch den Inhaber angebotenen Dienstleistungen haben das Recht auf Anfrage innerhalb einer angemessenen Frist eine Auskunft über die über sie erhobenen persönlichen Daten und deren Verarbeitung zu erhalten, eventuelle Korrekturen vornehmen zu lassen, der Nutzung ihrer Daten für werbliche Maßnahmen zu widersprechen oder, sofern nicht gesetzliche Aufbewahrungsfristen dem entgegenstehen, löschen zu lassen.

Dementsprechende Anfragen können über die im Impressum angegebenen Kommunikationskanäle gestellt werden.