Facebook verliert Streit um Realnamen und Einwilligungserklärungen

Laut einer Pressemitteilungdes des vzvb verstößt Facebook “mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht”, wie das Landgericht Berlin entschied.

Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Gerichts konnte dieser Aspekt aber offen bleiben, denn die Klausel sei bereits deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Vielen ist nicht klar, warum man im Netz oder anderswo unter Pseudonym auftreten sollte. Zur Beantwortung dieser Frage habe ich 2011 einen Beitrag aus dem Genderwiki übersetzt und hier auf Infobib veröffentlicht: Wem schadet der Realnamen-Grundsatz?

Neben Facebook hat das Urteil meiner nichtjuristischen Meinung hoffentlich auch Auswirkungen auf Researchgate, die kürzlich ebenfalls einen Realnamen-Zwang in ihre Geschäftsbedingungen aufnahm. Ingo Dachwitz äußert sich auf Netzpolitik.org dahingehend jedoch zurückhaltend:

Auch der vom Unternehmen betriebene Klarnamenzwang ist laut einem Gerichtsurteil rechtswidrig. Eine Grundsatzentscheidung im Dauerstreit um das Recht auf pseudonyme Kommunikation vermied das Landgericht Berlin jedoch.

Jetzt: Bundesratssitzung zum Urheberrechts-Wissensgesellschafts-Gesetz – #UrhWissG

Blogthematisch relevant sind heute zwei TOPs:

  1. TOP 10: 332/17 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)

Big Brother Awards 2017: Google Fonts, Coursera und Change.org

Die Big Brother Awards 2017 wurden heute verliehen. Neben dem schon einer breiteren Öffentlichkeit bekannten Preisträger DİTİB wurden auch ein blog-relevanter Preis verliehen: Bildung: Technische Universität München (TUM) und Ludwig-Maximilians-Universität München (LMU) für die Kooperation mit dem auch hier schon erwähnten MOOC-Angebot Coursera.

Darüber hinaus gibt es “tadelnde Erwähnungen” für auch von einigen Bibliotheken akzeptierte und verbotene Ausweiskopien und für Google Fonts in Bibliothekswebseiten. In einem Artikel hatte ich letztes Jahr dargestellt, wie viele Bibliotheken solche Third-Party-Elemente in ihren Webseiten haben. Ergebnis: Mehr Infos gibt es im Artikel. Die Begründung der für diesen Tadel:

Wenn wir eine Internetseite aufrufen, kommt sie so gut wie nie nur von einem Anbieter. Wir surfen eine Netzadresse an und ohne dass wir es merken, werden verschiedene Inhalten von verschiedenen Servern geladen: Texte und Fotos vielleicht vom Anbieter der Seite, Werbung von verschiedenen Werbe-Servern, Videos von Youtube oder Schriftarten von Google. Genauer gesagt sind es die Beschreibungsdateien von Schriftarten, die von Google geladen werden, die sogenannten „Google Fonts“. Dabei entstehen auch Verbindungsdaten – mindestens unsere IP-Adresse verbleibt beim fremden Server. Google weiß also, dass wir bestimmte Schriften über eine bestimmte Seite geladen habe. Aber Google wird mit den Daten schon nichts, Böses tun. Oder? (Siehe Laudatio zum BigBrotherAward 2013 für Google https://bigbrotherawards.de/2013/globales-datensammeln-google)

Wir finden es nicht in Ordnung, dass in der Standardinstallation des beliebten Blogger-Systems WORDPRESS Schriften installiert werden, die direkt von Google-Servern heruntergeladen werden. Ob eine solche automatische Nachladung überhaupt zulässig ist, bedürfte einer gerichtlichen Klärung, schließlich wird der Nutzer ja quasi „betrogen“. Zumindest wird auf den meisten Seiten nicht über dieses Datenschutzrisiko informiert – und selbst wenn, dann wäre es auch schon zu spät.

Wer ein schickes Theme mit Google Fonts findet, seinen NutzerInnen die Wanzen aus Mountain View aber nicht zumuten möchte, kann sie übrigens mit Plugins wie Disable Google Fonts ausschalten.

Library Freedom Project

Library Freedom Project is a partnership among librarians, technologists, attorneys, and privacy advocates which aims to address the problems of surveillance by making real the promise of intellectual freedom in libraries. By teaching librarians about surveillance threats, privacy rights and responsibilities, and digital tools to stop surveillance, we hope to create a privacy-centric paradigm shift in libraries and the communities they serve.

Hier geht’s zur Webseite des Library Freedom Projects, zu dem es auch eine Online-Community gibt.

Let’s encrypt Infobib.de

Let’s Encrypt (englisch, „Lasst uns verschlüsseln“) ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509Zertifikate für Transport Layer Security (TLS) anbietet. Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.[1][2]

Und seit heute ist Infobib.de dabei. Alle Seiten werden automatisch via https ausgeliefert. Besten Dank – nicht nur dafür – an Ecobytes!

Ausweiskopien (und -scans?) sind rechtlich unzulässig

Die auch von einigen Bibliotheken zwecks Mitgliedschaftsverlängerung angeforderten Kopien von Personalausweisen sind rechtlich nicht zulässig, berichtet Heise.de.

Felix Hudy schränkt dieses Verbot auf Datenschutzbeauftrager-info.de ein, da Ausweiskopien zu manchen Zwecken unausweichlich seien. Scans seien jedoch grundsätzlich unzulässig:

Eine automatisierte Speicherung der Ausweisdaten ist nach § 20 PAuswG unzulässig und betrifft z.B. das Scannen von Ausweisen, das nach Ansicht des Verwaltungsgerichts Hannover mit der Möglichkeit der Weiterverarbeitung und Nutzung eine andere rechtliche Qualität aufweist.

Man kann nun argumentieren, dass die Akzeptanz von Ausweisscans eine Dienstleistung für die Nutzer sei. Aber rechtlich zulässig wird es dadurch auch nicht.

Third-Party-Elements in Bibliothekswebseiten – wer liest mit?

Vor einiger Zeit wies ich hier auf ein Interview zu Third-Party-Elements hin. Dabei soll nicht unerwähnt bleiben, dass ich zwischenzeitlich einen Artikel zu diesem Thema in der Informationspraxis veröffentlichen konnte:

Titel: Third-Party-Elemente in deutschen Bibliothekswebseiten
Abstract:

4753 Webseiten wurden mit der Open-Source-Software webXray auf die Einbindung von Elementen untersucht, durch die Dritte über den Abruf einer Webseite durch einen Browser von einem Server informiert werden können. 54,77 % der analysierten Webseiten wiesen solche Third Party Elements (TPE) auf. 18,94 % setzten Cookies ein, 44,81 % banden Javascript von Drittanbietern ein. Google-Services dominieren die TPE-Anbieterliste, sie werden in 30,02 % der untersuchten Webseiten verwendet.

Warum ich den Artikel geschrieben habe, ist im vorletzten Absatz recht gut zusammengefasst:

Dieser Artikel soll einen Beitrag dazu leisten, sich der Verpflichtungen des Bibliothekswesens hinsichtlich der informationellen Selbstbestimmung ihrer NutzerInnen bewusst zu machen. Zur freien Verfügbarkeit von Informationen gehört immer auch die Möglichkeit, diese unbeobachtet nutzen zu können.

Den Volltext gibt es als PDF, HTML und EPUB. Wer übrigens mit einfachen Mitteln mal schauen möchte, welche Webseiten – z.B. auch die eigene Bibliothekswebseite –  Dritte mitschnüffeln lassen, dem sei die Firefox-Erweiterung Lightbeam ans Herz gelegt.

Einbettung von Drittinhalten im Web

Wambach, Tim, Schulte, Laura, Knorr, Konstantin (2016): Einbettung von Drittinhalten im Web. Datenschutz und Datensicherheit – DuD, 40(8), 523-527. URL: http://dx.doi.org/10.1007/s11623-016-0650-6

Abstract:

Einbettungen von Drittinhalten auf Webseiten ermöglichen aus technischer Sicht eine Benutzerverfolgung, die aus datenschutzrechtlichen Gründen kritisch zu beurteilen ist. In der vorliegenden Studie wurden Webseiten von Kliniken und Krankenhäusern auf solche Einbettungen und die damit verbundene Datenverarbeitung untersucht.

Leider sind die Autorinnen nicht nur um den Datenschutz besorgt, sondern auch darum, diesen interessanten Artikel vor einer allzu großen Leserschaft zu schützen. Ich vermute einen starken Zusammenhang zwischen der Resonanz bei den Lesern seit dem 22. Juli 2016 einerseits,

tpe49und andererseits dem Preisschild für alle, die nicht in den Genuss eines Zugangs via Hochschulnetz kommen: tpe_paywalled_science

Firefox und Third Party Elements

Ein etwas älteres, aber sehr interessantes Interview mit den Firefox-Chefentwickler Mark Mayo über Third Party Elements (TPE) – Webseitenbestandteile, die von Servern Dritter nachgeladen werden – und ihre Bedeutung für und vor allem gegen die Privatsphäre. TPE gibt es übrigens auch in ziemlich vielen Bibliothekswebseiten. Mehr dazu hoffentlich zu einem späteren Zeitpunkt.