Offener Brief: Verwendung der reCAPTCHA und Datenschutzerklärung auf denic.de

per EMail an
DENIC eG
Datenschutzbeauftragter
Postfach 160326
60066 Frankfurt a.M.

Sehr geehrte Damen und Herren,

auf denic.de-Webseiten wird reCAPTCHA verwendet – s. bspw. [2]. In diesem Zusammenhang möchte ich Sie auf die Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Einsatz von reCAPTCHA vom 09.07.2012 aufmerksam machen – s. https://fragdenstaat.de/a/900 [1] dazu.

Ich rege an für die Zeitspanne, in der die denic.de-Geschäftsführung entscheidet, ob reCAPTCHA auf denic.de auch weiterhin eingesetzt wird, den Text der denic.de-Datenschutzerklärung [3] anzupassen und die Besucher im Abschnitt „Weitergabe personenbezogener Daten“ über die Weitergabe von personenbezogener Daten an das Unternehmen Google Inc. bei der Benutzung des whois-Dienstes auf der denic.de-Website mit Rücksicht auf [1] zu informieren. Nach meiner Auffassung ist die Behauptung “Eine Weitergabe personenbezogener Daten an Dritte findet nicht statt” in [3] mit Rücksicht auf die o.g. Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Einsatz von reCAPTCHA in [1] fragwürdig.

Edit 20.04.2014: Dem § 13 des Telemediengesetzes „Pflichten des Diensteanbieters“ habe ich entnommen „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. […] Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

In der denic.de-Datenschutzerklärung [3] habe ich keine Möglichkeit gefunden, mich über die Art, Umfang und Zwecke der Erhebung und Verwendung der vom reCAPTCHA-Dienst erhobenen personenbezogener Daten sowie über die Verarbeitung meiner Daten zu informieren. S. dazu auch http://www.law-blog.de/203/datenschutzerklaerung-webseite/ ,wo zu lesen ist „Jede Webseite, die einen Teledienst darstellt, unterliegt hier besonderen Transparenz- und Aufklärungspflichten gegenüber dem Nutzer. Verstöße können mit Ordnungsgeldern i.H. von bis zu 50.000 Euro geahndet werden.“ .

Nach meinem Rechtsempfinden verletzt DENIC eG als Betreiberin der Website http://denic.de ihre gesetzliche Pflichten bezüglich „Pflichten des Diensteanbieters“ und bitte um eine Stellungnahme dazu.

Quellen
[1] entspricht der Einsatz der CAPTCHA-Lösung den geltenden
Datenschutz-Anforderungen? 09.07.2012 – https://fragdenstaat.de/a/900
[2] Domainabfrage whois – https://www.secure.denic.de/webwhois/
[3] Datenschutzerklärung – https://www.secure.denic.de/de/datenschutzerklaerung.html

Für evtl. Rückfragen stehe ich gern zur Verfügung.

mit freundlichen Grüßen

Gustav Wall

12 Gedanken zu „Offener Brief: Verwendung der reCAPTCHA und Datenschutzerklärung auf denic.de

  1. Patrick Heppler

    Du spuckst ganz schön große Töne bezüglich Datenschutz und wetterst gegen Google, dabei baut dein eigener Blog ungefragt Verbindungen zu gravatar.com und themes.googleusercontent.com auf, bei denen meine IP übermittelt wird und du nutzt Google Fonts. Ernsthaft?

    Antworten
    1. Gustav Wall Beitragsautor

      @Patrick Heppler
      Danke für den Hinweis. Die Devise „Google-Dienste soweit wie möglich vom Markt zu verdrängen“ gilt nach wie vor ;-). Ich finde es schade, dass Wordpess oder Wordpess-Plugins wahrscheinlich standardmäßig so eingerichtet sind, dass – wenn du Recht hast – die Besucher-IP ungefragt übermittelt wird. Hättest du für mich Tipps, welche Module ich in Wordpess deaktivieren bzw. anders konfigurieren muss, um diesem Treiben ein Ende zu setzen? Viele Wordpess-Betreiber würden sich für diese Tipps auch bestimmt bedanken.

      Antworten
      1. Patrick Heppler

        Hallo Gustav,
        schön das du mit Kritik umgehen kannst 😉
        Da die Bilder von Gravatar und die Schrift „Open Sans“ von Google per GET geladen werden, wird natürlich die Client IP übertragen.

        Um Gravatar abzuschalten solltest du unter Settings -> Discussion schauen, dort müsste es eine Checkbox „Show Avatars“ geben, dort denn Haken raus. Ansonsten einfach mal nach wordpress disable gravatar googlen suchen 😉

        Das mit den Google Fonts kommt nicht von einem Plugin sondern vom verwendeten Theme. Dort müsstest du im CSS alle Referenzen auf „Open Sans“ entfernen. Am einfachsten wäre wohl, im Template folgende Zeile zu löschen:

        <link rel='stylesheet' id='twentytwelve-fonts-css' href='http://fonts.googleapis.com/css?family=Open+Sans:400italic,700italic,400,700&subset=latin,latin-ext' type='text/css' media='all' />

        Antworten
  2. Andreas

    Theoretisch hast Du selbstverständlich Recht. Praktisch können IMHO seit dem technisch Wechsel auf POST-Requests bei der WHOIS-Abfrage nur noch Deine öffentlichen Browser-Daten an Google übermittelt werden, sprich User-Agent, IP, Betriebsystem, usw.

    Sicherlich sind diese Informationen – gerade wenn man sie miteinander Vernetzt und systematisch auswertet – personenbezogen und unterliegen damit nach derzeitiger Rechtssprechung dem Datenschutz. Nur stellt sich einem geradezu zwangsläufig die Frage, welcher praktische Nutzen sich für wen ergibt, in der Datenschutzerklärung seitenlang zu dokumentieren, wie diese und jene Daten behandelt werden. Alle Textbausteine die ich in dieser Richtung bislang gesehen habe (s. Google Analytics) sind eine schreckliche Krux und sorgen nur bei abmahnfreudigen Anwälten für Begeisterung. Das deutsche AGB-Wesen feiert im Internet seine Renaissance.

    Wahlweise sollte vom Gesetzgeber definiert werden, dass
    1.) die öffentlichen Browser-Informationen nur bedingt unter den Datenschutz fallen und eine Hinweispflicht entfällt, sofern die Daten nach Kriterien XYZ gespeichert und analysiert werden. Sollte ein Seitenbetreiber hiervon abweichen, so muss er _vor_der Erfassung seine explizite Einwilligung erteilen.

    Oder aber
    2.) man einigt sich europaweit auf einheitliche Regeln, wie ein datenschutzkonformer Internetdienst arbeiten darf und muss, verbietet implizite abweichende Datenschutzklauseln und macht den Webseitenbetreiber für deren Einhaltung bzw. im Missbrauchsfall persönlich haftbar

    Im Ergebnis wird entweder der Status Quo legalisiert, oder aber Europa sorgt von Gesetzeswegen für einen Druck, dem sich dann auch internationale Unternehmen fügen müssen, die auf dem europäischen Markt aktiv werden wollen.

    Auf die Einhaltung der derzeitigen Rechtslage ist zwar vermeintlich selbstverständlich, aber letztlich nur eine Arbeitsbeschaffungsmaßnahme.

    Unabhängig von allem Datenschutz der Hinweis auf die künftige Sinnlosigkeit von klassischen Captchas:
    http://www.golem.de/news/sicherheit-google-knackt-eigene-captcha-abfragen-1404-105937.html

    Grüße
    Andreas

    Antworten
    1. Gustav Wall Beitragsautor

      @Andreas
      > Nur stellt sich einem geradezu zwangsläufig die Frage, welcher praktische Nutzen sich für wen ergibt, in der Datenschutzerklärung seitenlang zu dokumentieren, wie diese und jene Daten behandelt werden.

      Meine Intention ist schwerpunktmäßig – Google-Dienste soweit wie möglich vom Markt zu verdrängen – s. http://prismfrei.sprechrun.de/. Wenn dies – warum auch immer – nicht machbar ist, dann müsse geltende Rechtsprechung eingehalten werden. Und weil dies umständlich und kostspielig ist („sorgen nur bei abmahnfreudigen Anwälten für Begeisterung“), hilft diese langwierige Einhaltung der Rechtsprechung Google zu verdrängen. Alles, was Google-Dienste unattraktiv macht, ist zu begrüßen ;-).

      Antworten
  3. Liberaler Mensch

    Grundsätzlich unterstütze ich den Brief ebenfalls. Trauriger Weise gibt es bei der DENIC für Domain-Inhaber auch keinen expliziten Opt-Out von der Captcha-Pflicht. Ich kann als Domain-Inhaber nicht bestimmen ob meine Daten (Owner-C, Admin-C) im Whois angezeigt werden oder nicht. Und ich kann auch leider nicht selbst bestimmen ob ich diese seltsamen Schutzmechanismen zum Schutz meiner Daten wirklich haben möchte.

    Antworten
  4. Michael Rimbach

    Das Thema reCaptcha kam schon mal auf und zwar direkt nach der Einführung auf der denic Webseite. Hier wurde damals bei dem Whois Formular von der GET- zur POST- Methode gewechselt. Das war immerhin schon ein Fortschritt. Ich hoffe, dass reCaptcha jetzt endlich komplett ausgetauscht wird.

    Danke für den Brief, unterstütze ich voll und ganz.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


*