per EMail an
DENIC eG
Datenschutzbeauftragter
Postfach 160326
60066 Frankfurt a.M.
Sehr geehrte Damen und Herren,
auf denic.de-Webseiten wird reCAPTCHA verwendet – s. bspw. [2]. In diesem Zusammenhang möchte ich Sie auf die Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Einsatz von reCAPTCHA vom 09.07.2012 aufmerksam machen – s. https://fragdenstaat.de/a/900 [1] dazu.
Ich rege an für die Zeitspanne, in der die denic.de-Geschäftsführung entscheidet, ob reCAPTCHA auf denic.de auch weiterhin eingesetzt wird, den Text der denic.de-Datenschutzerklärung [3] anzupassen und die Besucher im Abschnitt „Weitergabe personenbezogener Daten“ über die Weitergabe von personenbezogener Daten an das Unternehmen Google Inc. bei der Benutzung des whois-Dienstes auf der denic.de-Website mit Rücksicht auf [1] zu informieren. Nach meiner Auffassung ist die Behauptung “Eine Weitergabe personenbezogener Daten an Dritte findet nicht statt” in [3] mit Rücksicht auf die o.g. Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Einsatz von reCAPTCHA in [1] fragwürdig.
Edit 20.04.2014: Dem § 13 des Telemediengesetzes „Pflichten des Diensteanbieters“ habe ich entnommen „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. […] Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“
In der denic.de-Datenschutzerklärung [3] habe ich keine Möglichkeit gefunden, mich über die Art, Umfang und Zwecke der Erhebung und Verwendung der vom reCAPTCHA-Dienst erhobenen personenbezogener Daten sowie über die Verarbeitung meiner Daten zu informieren. S. dazu auch http://www.law-blog.de/203/datenschutzerklaerung-webseite/ ,wo zu lesen ist „Jede Webseite, die einen Teledienst darstellt, unterliegt hier besonderen Transparenz- und Aufklärungspflichten gegenüber dem Nutzer. Verstöße können mit Ordnungsgeldern i.H. von bis zu 50.000 Euro geahndet werden.“ .
Nach meinem Rechtsempfinden verletzt DENIC eG als Betreiberin der Website http://denic.de ihre gesetzliche Pflichten bezüglich „Pflichten des Diensteanbieters“ und bitte um eine Stellungnahme dazu.
Quellen
[1] entspricht der Einsatz der CAPTCHA-Lösung den geltenden
Datenschutz-Anforderungen? 09.07.2012 – https://fragdenstaat.de/a/900
[2] Domainabfrage whois – https://www.secure.denic.de/webwhois/
[3] Datenschutzerklärung – https://www.secure.denic.de/de/datenschutzerklaerung.html
Für evtl. Rückfragen stehe ich gern zur Verfügung.
mit freundlichen Grüßen
Gustav Wall
Vor einigen Wochen habe ich festgestellt, dass Google-Captcha auf https://www.denic.de/webwhois/ durch eine andere Captcha-Lösung ersetzt wurde. Hoffentlich hat mein offener Brief an denic.de dazu beigetragen, dass die Riesenwanze Google-Captcha um die denic.de-Abhörvorrichtung dezimiert wurde.
denic.de-Datenschutzbeauftragter hat am 22.04.2014 auf den Offenen Brief geantwortet [1]. Die Antwort ist besser lesbar, wenn Sie in einem Texteditor bspw. Notepad eine leere Datei erstellen und den Quelltext von [1] mit Endung HTML speichern. Danach diese Datei einfach im Browser öffnen.
Du spuckst ganz schön große Töne bezüglich Datenschutz und wetterst gegen Google, dabei baut dein eigener Blog ungefragt Verbindungen zu gravatar.com und themes.googleusercontent.com auf, bei denen meine IP übermittelt wird und du nutzt Google Fonts. Ernsthaft?
@Patrick Heppler
Danke für den Hinweis. Die Devise „Google-Dienste soweit wie möglich vom Markt zu verdrängen“ gilt nach wie vor ;-). Ich finde es schade, dass Wordpess oder Wordpess-Plugins wahrscheinlich standardmäßig so eingerichtet sind, dass – wenn du Recht hast – die Besucher-IP ungefragt übermittelt wird. Hättest du für mich Tipps, welche Module ich in Wordpess deaktivieren bzw. anders konfigurieren muss, um diesem Treiben ein Ende zu setzen? Viele Wordpess-Betreiber würden sich für diese Tipps auch bestimmt bedanken.
Hallo Gustav,
schön das du mit Kritik umgehen kannst 😉
Da die Bilder von Gravatar und die Schrift „Open Sans“ von Google per GET geladen werden, wird natürlich die Client IP übertragen.
Um Gravatar abzuschalten solltest du unter Settings -> Discussion schauen, dort müsste es eine Checkbox „Show Avatars“ geben, dort denn Haken raus. Ansonsten einfach mal nach wordpress disable gravatar
googlensuchen 😉Das mit den Google Fonts kommt nicht von einem Plugin sondern vom verwendeten Theme. Dort müsstest du im CSS alle Referenzen auf „Open Sans“ entfernen. Am einfachsten wäre wohl, im Template folgende Zeile zu löschen:
<link rel='stylesheet' id='twentytwelve-fonts-css' href='http://fonts.googleapis.com/css?family=Open+Sans:400italic,700italic,400,700&subset=latin,latin-ext' type='text/css' media='all' />Ich finde hinter dem fragdenstaat-Link was über Betonplatten. Nichts über Google.
Danke für den Hinweis – im href-Link im Quellcode ging eine Null in 900 verloren – jetzt ist die richtige Anfrage auf fragdenstaat.de verlinkt.
Theoretisch hast Du selbstverständlich Recht. Praktisch können IMHO seit dem technisch Wechsel auf POST-Requests bei der WHOIS-Abfrage nur noch Deine öffentlichen Browser-Daten an Google übermittelt werden, sprich User-Agent, IP, Betriebsystem, usw.
Sicherlich sind diese Informationen – gerade wenn man sie miteinander Vernetzt und systematisch auswertet – personenbezogen und unterliegen damit nach derzeitiger Rechtssprechung dem Datenschutz. Nur stellt sich einem geradezu zwangsläufig die Frage, welcher praktische Nutzen sich für wen ergibt, in der Datenschutzerklärung seitenlang zu dokumentieren, wie diese und jene Daten behandelt werden. Alle Textbausteine die ich in dieser Richtung bislang gesehen habe (s. Google Analytics) sind eine schreckliche Krux und sorgen nur bei abmahnfreudigen Anwälten für Begeisterung. Das deutsche AGB-Wesen feiert im Internet seine Renaissance.
Wahlweise sollte vom Gesetzgeber definiert werden, dass
1.) die öffentlichen Browser-Informationen nur bedingt unter den Datenschutz fallen und eine Hinweispflicht entfällt, sofern die Daten nach Kriterien XYZ gespeichert und analysiert werden. Sollte ein Seitenbetreiber hiervon abweichen, so muss er _vor_der Erfassung seine explizite Einwilligung erteilen.
Oder aber
2.) man einigt sich europaweit auf einheitliche Regeln, wie ein datenschutzkonformer Internetdienst arbeiten darf und muss, verbietet implizite abweichende Datenschutzklauseln und macht den Webseitenbetreiber für deren Einhaltung bzw. im Missbrauchsfall persönlich haftbar
Im Ergebnis wird entweder der Status Quo legalisiert, oder aber Europa sorgt von Gesetzeswegen für einen Druck, dem sich dann auch internationale Unternehmen fügen müssen, die auf dem europäischen Markt aktiv werden wollen.
Auf die Einhaltung der derzeitigen Rechtslage ist zwar vermeintlich selbstverständlich, aber letztlich nur eine Arbeitsbeschaffungsmaßnahme.
Unabhängig von allem Datenschutz der Hinweis auf die künftige Sinnlosigkeit von klassischen Captchas:
http://www.golem.de/news/sicherheit-google-knackt-eigene-captcha-abfragen-1404-105937.html
Grüße
Andreas
Nachtrag: Ich habe das Thema einmal aufgegriffen und bei mir im Blog kommentiert:
„Hält sich die DENIC an den Datenschutz?“
@Andreas
> Nur stellt sich einem geradezu zwangsläufig die Frage, welcher praktische Nutzen sich für wen ergibt, in der Datenschutzerklärung seitenlang zu dokumentieren, wie diese und jene Daten behandelt werden.
Meine Intention ist schwerpunktmäßig – Google-Dienste soweit wie möglich vom Markt zu verdrängen – s. http://prismfrei.sprechrun.de/. Wenn dies – warum auch immer – nicht machbar ist, dann müsse geltende Rechtsprechung eingehalten werden. Und weil dies umständlich und kostspielig ist („sorgen nur bei abmahnfreudigen Anwälten für Begeisterung“), hilft diese langwierige Einhaltung der Rechtsprechung Google zu verdrängen. Alles, was Google-Dienste unattraktiv macht, ist zu begrüßen ;-).
Grundsätzlich unterstütze ich den Brief ebenfalls. Trauriger Weise gibt es bei der DENIC für Domain-Inhaber auch keinen expliziten Opt-Out von der Captcha-Pflicht. Ich kann als Domain-Inhaber nicht bestimmen ob meine Daten (Owner-C, Admin-C) im Whois angezeigt werden oder nicht. Und ich kann auch leider nicht selbst bestimmen ob ich diese seltsamen Schutzmechanismen zum Schutz meiner Daten wirklich haben möchte.
Das Thema reCaptcha kam schon mal auf und zwar direkt nach der Einführung auf der denic Webseite. Hier wurde damals bei dem Whois Formular von der GET- zur POST- Methode gewechselt. Das war immerhin schon ein Fortschritt. Ich hoffe, dass reCaptcha jetzt endlich komplett ausgetauscht wird.
Danke für den Brief, unterstütze ich voll und ganz.