Warum analysiert man seine Besucher - und mehr zur DSGVO
Jetzt gilt sie wirklich, die Datenschutzgrundverordnung. Während es sicher noch ein paar Tage dauert, bis die ersten Abmahnungen in den Briefkästen kleiner Unternehmen landen, war die DSGVO an anderen Fronten schon ein voller Erfolg: Blogs und Fotoseiten haben dichtgemacht, Facebook lässt mit der neuen Einwilligung zur Datenverarbeitung auch gleich wieder die automatische Gesichtserkennung abnicken, es gibt eine Website, die DSGVO-Mails und sonstige damit zusammenhängenden Mitteilungen anprangert, ohne selbst mit der Verordnung konform zu sein, und amerikanische Websites sperren europäische Besucher aus. Wenn der dicke Kim in Nordkorea mal gewusst hätte, dass man so leicht die imperialistischen Propagandisten dazu bringen könnte, ihr Verbreitungsgebiet einzuschränken, hätte er selber die DSGVO erlassen.
Gerade in den letzten Wochen gab es aber auch so einige Wortmeldungen von DSGVO-Fans, die teilweise einen wirklich bemerkenswerten Tunnelblick offenbarten, der es ihnen offenbar unmöglich macht zu verstehen, warum so viele Leute diese Verordnung ablehnen. Auf zwei Sachen möchte ich mal hier eingehen, und dabei ausnahmsweise nicht auf die Abmahngefahr. Und weil das vielleicht einige auch verlinken wollen, gebe ich mir sogar Mühe, nicht „ficken“ zu schreiben. Außer jetzt eben. Sorry.
Eine Quelle meines Unmuts war ein Podcast, bei dem ein Mann und eine Frau sich gegenseitig versicherten, wie dufte das doch mit dieser Datenschutzverordnung wäre und dass man sich doch keine Sorgen machen müsste und diese ganze Datensammelei ja sowieso unnötig. Und überhaupt, so die Frau, was soll man eigentlich mit diesen Analysetools? Warum will sich einer unbedingt angucken, auf welche Seiten seine Besucher gehen? Und unterschwellig klang aus ihrer Tirade ein „Was für ein Loser muss das sein“ hervor. Und ich hab’s dann nicht mehr ausgehalten.
Aber gut, dann beantworte ich einfach mal die Frage, wofür man als Seitenbetreiber diese Analyse (durch Google Analytics oder Matomo oder andere Werkzeuge) benötigen kann. Was wird denn durch diese Analyse-Tracker üblicherweise erfasst und wofür kann man das verwenden?
- Die IP-Adresse des Besuchers. Sie wird meistens anonymisiert (auch auf Klopfers Web), hilft aber dabei, das Land (gegebenenfalls auch genauer die ungefähre Gegend und eventuell den Provider) des Besuchers herauszufinden. Das kann zum Beispiel Unterstützung dabei bieten, die Inhalte besser anzupassen. Wenn ich viele Besucher aus dem Ausland habe, muss ich vielleicht Dinge erklären, die ich bei Inländern als vorhandenes Wissen voraussetzen kann. Und wenn ich Sachen verkaufen möchte, kann ich so vielleicht besser abschätzen, wo ich die meisten Kunden erwarten kann. Falls jemand seine Seite in mehreren Sprachen oder für mehrere Regionen anbieten will, kann der so leichter erkennen, welche zusätzlichen Sprachen (außer der aktuellen) sich lohnen könnten. Der Provider kann dabei helfen, Probleme im Voraus zu identifizieren. Viele Leute kommen über das O2-Netz? Dann weiß man: Die Verbindung ist oft scheiße, also versuch, die Datengröße gleich noch mal geringer zu halten und binde vielleicht doch nicht mehr als zwei Schriftarten ein.
- Die Seite, auf der der Besucher ist. Natürlich ist man neugierig, welche Inhalte die Leute besonders interessieren. Wenn ein Besuch über mehrere Seiten erfasst wird (über ein Cookie oder anhand der IP-Adresse), ist es besonders spannend, auf welcher Seite der Besuch begonnen hat (scheint ja dann immerhin Leute neugierig zu machen) und auf welcher er endete – ist diese Seite dann vielleicht so widerlich, dass sie Leute vergrault?
- Das Datum und die Zeit, zu der der Besucher auf der Seite ist. Sind die Leute eher während der Arbeit auf der Seite oder danach? Wann ist die beste Zeit, um Wartungsarbeiten auszuführen, weil da besonders wenige Leute kommen? Um welche Uhrzeit lohnt es sich besonders, neue Inhalte einzustellen? Wirken sich neue Inhalte unmittelbar auf die Besucherzahlen aus oder sind die Zahlen relativ konstant?
- Die Adresse der Seite, von der der Besucher auf die eigene Seite gelenkt wurde. Der sogenannte Referrer wird oft von den Browsern gar nicht mehr übertragen (was dann allerdings für Probleme beim Amazon-Partnerprogramm sorgt), aber ist – wenn er vorhanden ist – trotzdem interessant, weil er verrät, wo der Besucher auf die Seite aufmerksam geworden ist. War es eine positive Erwähnung? Oder eher eine negative? Welche Art Seite ist das überhaupt, von der die Leute kommen, denn da könnte es ja gewisse Überschneidungen in der Zielgruppe geben? Lohnt es sich, auf Facebook, Twitter oder Google+ auf Inhalte aufmerksam zu machen, weil von dort dann ein deutlicher Besucherschub kommt?
- Der Browser, das Betriebssystem und ggf. die Bildschirm-Auflösung. Das sind wertvolle Informationen, wenn man das Design der Seite optimieren möchte. Kommen mehr Leute über PC/Laptop oder doch über Handy oder Tablet? Worauf sollte ich das Webdesign am ehesten ausrichten? (Erst die Mobil-Ansicht und die dann erweitern zur Desktop-Ansicht, oder eher die Desktop-Ansicht und die dann entschlacken, um zur Mobil-Ansicht zu gelangen?) Wenn ich die Mobil-Ansicht designe, von welcher Mindestgröße (in Pixeln) kann ich mittlerweile ausgehen? Reicht es, wenn ich als Mindestbreite 360 Pixel annehme, oder sind noch viele Leute mit Handys unterwegs, deren Displays 320 Pixel breit sind? Wie alt sind die Browser, mit denen die Leute unterwegs sind? In den letzten Jahren gab es so einige feine Erweiterungen der Standards, die aber nur in neueren Browsern funktionieren. Kann ich die bedenkenlos einbinden, oder müsste ich zusätzlich Mühe investieren, um ähnliche Funktionen für Leute mit älteren Browsern zu programmieren, weil das noch eine zu große Gruppe ist, um sie zu ignorieren?
- Gegebenenfalls Suchbegriffe, die ihr in die interne Suche eingebt. Das kann nicht nur hilfreich dabei sein, bei den Besuchern beliebte Themen zu erkennen, sondern auch Schwächen im Seitendesign aufdecken: Wenn die Leute häufig nach „Passwort ändern“ suchen, dann muss man sich offenbar Gedanken machen, ob dieser Punkt im Profil nicht zu sehr versteckt ist.
- Oft werden auch noch die Browser-Plugins erfasst. Das ist inzwischen nicht mehr wirklich relevant, weil die wenigsten Seiten heute noch darauf angewiesen sind, dass Flash, Java oder Silverlight installiert sind. Es kann allerdings ganz gut sein zu wissen, dass z.B. viele Leute die Möglichkeit haben, PDFs im Browser zu öffnen, weil man so vielleicht manche Sachen einfacher zur Verfügung stellen kann, die man eh schon als PDF hat und nicht aufwendig in HTML umwandeln will.
All diese Analyse-Informationen werden auf Klopfers Web nicht mit den Mitgliedsdaten auf der Seite selbst zusammengeführt. Ich kann also nicht sehen, ob Mitglied Hasanova aus Berlin vorgestern zwischen 12 und 13 Uhr über Chrome auf einem Android-Handy auf der Seite unterwegs war.
Ich weiß nicht, wie es euch geht, aber das sind in meinen Augen keine finsteren Machenschaften. Und es sind auch kaum Sachen, die man als kleiner Seitenbetreiber tatsächlich irgendwie unmittelbar zu Geld machen könnte, indem man die Daten an irgendwen verkauft, was ja die größte – und unrealistischste – Angst in der Bevölkerung zu sein scheint, wenn es um den Datenschutz im Internet geht.
(Ganz davon abgesehen, dass auch Facebook und Google eure Daten nicht verkaufen. Im Gegenteil, ihr Geschäft besteht gerade darin, dass sie eure Daten für sich behalten und andere ihnen Geld dafür zahlen, euch Werbung zeigen zu dürfen, die nur aufgrund der Daten, die sie haben, eher auf euch zugeschnitten ist. Auch Cambridge Analytica hat keine Daten direkt von Facebook gekauft, sondern Daten bekommen, die Nutzer von sich und ihren FB-Kontakten durch die Nutzung einer App „verraten“ haben, die angebliche Forscher auf Facebook eingestellt hatten. Ob die CA-Leute dann damit tatsächlich die Wundertaten für die Trump-Kampagne vollbracht haben, mit denen sie prahlten, ist dann doch eher zweifelhaft. Vermutlich hat Hillary Clinton doch eher verloren, weil sie einen lausigen Wahlkampf im Rust Belt der USA gemacht hat, und nicht wegen Facebook-Postings.)
Natürlich wird jemand, der beruflich nicht auf die Aktivität auf seiner Website angewiesen ist und sie eher so nebenbei laufen lässt, nicht so sehr an diesen Informationen interessiert sein. Ich nehme an, das trifft auf die Frau in dem Podcast zu. Aber nur weil ich persönlich mit einem Gabelstapler nichts anfangen kann, käme ich nie auf die Idee, dass auch niemand anderes einen gebrauchen könnte.
Die andere Sache, die mich nervt, ist diese Unterstellung, die von so manchem Blogger oder Heise-Forengnom verbreitet wird: Wer jetzt jammert, stöhnt oder Schwierigkeiten mit der Umsetzung der DSGVO hat, der hat sich vorher offenbar um den Datenschutz nicht gekümmert und Daten offenbar wild widerrechtlich weitergegeben oder gar verkauft.
Da muss man sich erst mal ins Gedächtnis rufen, dass Datenschutz kein Selbstzweck ist und man nicht einfach nur deswegen persönliche Daten schützt, weil sie halt einer Person gehören und die alleine darüber bestimmen soll. Nebenbei stimmt das schon vom Prinzip her nicht: Man hat auch nach Ansicht von BVerfG und EuGH gar nicht das uneingeschränkte Recht, über all seine persönlichen Daten zu bestimmen. Sieht man bei jeder Volkszählung oder auch nur bei der Anmeldung im Einwohnermeldeamt. Und auch die DSGVO sieht vor, dass Daten unter bestimmten Umständen auch ohne Einwilligung der Betroffenen erhoben, gespeichert und verarbeitet werden dürfen.
Datenschutz soll den Menschen schützen. Deswegen ist Datenschutz auch bloß da wirklich sinnvoll, wo ein mangelnder Schutz der Daten einen Menschen irgendwie beeinträchtigen oder gefährden kann. Das ist beim Staat der Fall (dessen Geheimdienste und Sicherheitsorgane werden von der DSGVO aber nicht erfasst). Das ist auch bei Unternehmen der Fall, die zum Beispiel mit Gesundheitsdaten arbeiten oder Einfluss auf die Kreditwürdigkeit oder Wohnmöglichkeiten eines Einzelnen haben. Das ist in gewisser Weise natürlich auch der Fall bei großen sozialen Netzwerken, weil die heutzutage eine große Bedeutung für das Miteinander und den politischen und gesellschaftlichen Diskurs haben.
Aber das ist weniger der Fall beim Friseur oder beim Metzger nebenan. Ganz ehrlich: Bei wem war es denn schon mal ein Problem, dass man beim Automechaniker in der Kundendatei war (und vielleicht zweimal im Jahr dann eine Erinnerung gekriegt hat, dass man die Reifen wechseln sollte)? Hat es tatsächlich irgendeine Relevanz, ob die eigenen Daten einfach so im Computer der Werkstatt gespeichert sind oder ob der Meister noch ein Blatt Papier hat, auf dem zusätzlich steht, dass die Daten im Computer der Werkstatt gespeichert sind, weil sie für Abrechnungs- und Kontaktzwecke gebraucht werden?
Natürlich kann man jetzt fundamentalistisch sein und sagen: „Gesetz ist Gesetz, und es ist gut, dass sich auch der Automechaniker mal Gedanken über den Datenschutz macht.“ Aber das ist doch nutzlose Korinthenkackerei, wenn man irgendwas aus Prinzip macht, obwohl es faktisch kein Plus für die Betroffenen bringt (und in manchen Fällen der Verzicht auf diese Daten sogar eher nachteilig wäre, wenn etwa derjenige ständig vergisst, seine Winterreifen aufzuziehen). Selbst wenn die Adressdaten da geklaut werden würden, hätte das realistisch gesehen keine andere Auswirkung, als wenn die Diebe die Daten aus einem Telefonbuch abgeschrieben hätten. Was man dem Mechaniker aufdrückt, ist auch kein Datenschutz selbst, sondern Bürokratie. Der Autoschrauber würde mit einem Verfahrensverzeichnis seinen Umgang mit den Daten ja sowieso nicht ändern – aber er hätte ein Papier, auf dem stünde, wie er es sowieso schon macht. Das ist ungefähr so sinnvoll wie ein Landesverband der Bergwacht in Mecklenburg-Vorpommern.
Auch an Schulen wird es schwieriger durch die DSGVO. Lehrer dürfen zum Beispiel nicht mehr die persönlichen Daten ihrer Schüler mit nach Hause nehmen. Das heißt dann allerdings auch, dass sie die Zeugnisse und Leistungseinschätzungen für weiterführende Schulen nicht mehr zu Hause tippen dürfen, sondern sich das Lehrerkollegium um die Rechner an der Schule prügeln muss, um diese Aufgabe zu erledigen. Den Eltern zum Beispiel beim Elternabend pflichtgemäß die Datenschutzbelehrung vorzubeten und rechtssicher das Einverständnis abzuheften, dass man die Eltern eventuell per E-Mail kontaktieren darf, wird sicherlich auch für Freudenschreie unter unseren Paukern hervorrufen. Es macht die sowieso schon nicht leichte Arbeit der Lehrer schwerer, und ich kann mir nicht vorstellen, dass dieses Mehr an Bürokratie keinen Einfluss auf die Zeit hat, die ein Lehrer für seine Schüler aufwenden kann. Dieser Datenschutz schützt die Menschen, um deren Daten es geht, vor gar nichts.
Und bei Internetseiten ist es ähnlich. Die IP-Adresse ist weniger personenbezogen als der Name, und unsere Namen halten wir im normalen Leben ja auch nicht geheim. Nur über den Internetprovider könnte man aus der IP-Adresse (für eine beschränkte Zeit) auch den Haushalt/Anschlussinhaber ermitteln – und an die Information kommt auch nicht jeder ran. Aber die DSGVO schützt die IP-Adresse genauso wie den bürgerlichen Namen, die Mailadresse oder das Geburtsdatum. Das ist schon der Hauptgrund, wieso viele Websites überhaupt betroffen sind von der DSGVO, weil selbst ohne Google Analytics und die Einbindung von Like-Buttons oft der Webserver des Hosting-Providers die IP-Adressen der Besucher in seine Protokolle schreibt (und der Kunde das auch gar nicht selber abschalten kann), was damit eine regelmäßige Verarbeitung personenbezogener Daten wird, wodurch die Ausnahmen für ganz kleine Fische in der DSGVO nicht mehr gelten. (Wer es nicht weiß: IP-Adressen identifizieren Computer im Internet; so wie man für den Versand eines richtigen Pakets eine Empfänger-Adresse benötigt, so benötigen die Rechner im Internet IP-Adressen, um Datenpakete hin- und herschicken zu können.)
Aber man kann sich eben auch hier fragen: Ist das sinnvoll? Ist die Privatsphäre der Leute bislang tatsächlich beeinträchtigt worden, weil sie auf dem Kunst-Blog von Lisa Pinselstrich ihre IP-Adressen hinterlassen haben könnten? Und selbst wenn die liebe Lisa dann Schriftarten von Google Fonts und Bilder von Imagetwist eingebunden hat und diese Seiten dann eben auch die IP-Adressen kriegen – wo ist da jetzt konkret die Beeinträchtigung? Klar, Google könnte dann, wenn man auf vielen Seiten unterwegs ist, anhand der gleichen IP-Adresse und der Referrer (siehe oben) feststellen, auf welchen Seiten man war. (Das tut Google allerdings laut eigener Aussage nicht, und der Abruf der Schriftarten erlaubt Google auch keinen Zugriff auf Cookies anderer Google-Seiten.) Ich frage aber noch mal: Wo wäre da jetzt konkret die Beeinträchtigung? Kein Mensch bei Google fummelt anhand der IP-Adresse die Surf-Historie irgendeines Typen raus (von dem man nicht mal den Namen weiß), um irgendwas Zwielichtiges anzustellen. Da würde ich mir mehr Sorgen machen, wenn die Daten bei einem staatlichen Geheimdienst landen würden. Aber für die gilt die DSGVO sowieso nicht, und die Schlapphüte zapfen auch direkt die Internet-Backbones an oder schummeln notfalls einen Schnüffeltrojaner auf den Rechner der Zielperson.
Und zusätzlich: Ich benutze Google als Suchmaschine, hab ein Android-Smartphone und bin täglich auf Youtube, so wie zig Millionen anderer Europäer. Die Daten, die ich Google so direkt liefere, sind weitaus aussagekräftiger als die, die sie durch Google Fonts von mir kriegen könnten. Und wenn ich mich in Otto Normalbürger versetze, der von dem ganzen Technikscheiß keine Ahnung hat und sich noch nie so wirklich mit Datenschutz beschäftigte, aber das halt doch irgendwie gut findet, weil er aus den Medien gelernt hat, dass seine Daten a) furchtbar wertvoll wären und b) von bösen Datenkraken missbraucht werden, wird das Ergebnis sehr traurig für Lisa Pinselstrich und ihren Kunstblog, denn der gute Otto würde sich bei der kleinen Seite denken: „Boah, die Sau will meine Daten absaugen, der gebe ich mein Einverständnis nicht!“, aber wenn Google fragt, wird der Gedankengang eher lauten: „Das ist aber echt dreist… allerdings kann ich auf Google auch nicht verzichten… Na, wird schon nicht so schlimm sein, wenn ich da anklicke und die nervige Meldung da wegmache.“ Da haben wir’s den Großen aber mal so richtig gezeigt mit der Datenschutzgrundverordnung.
Die Politiker und Datenschützer wollen das Pferd beim Schwanz aufzäumen. Jede Datenerhebung wird erst mal als schlecht betrachtet, jedes persönliche Datum als sehr schützenswert, jeder Mensch erst mal zu blöd, um alleine zu wissen, was er für Daten preisgibt, und erst dann wird versucht, Ausnahmen zu definieren, unter denen die Datenverarbeitung doch noch erlaubt werden darf. Das Ziel war ein Gesetz, das auf diese Art alle Fälle abdecken sollte. Das Resultat ist ein ungenaues, widersprüchliches, praxisfernes Monstrum mit absurden Eigenheiten. Ob man eine nicht rein private Website mit 50 Besuchern am Tag hat oder eine mit zwei Millionen Besuchern am Tag: Der Aufwand für die DSGVO ist für beide gleich, sofern weniger als zehn Leute daran arbeiten. Aber bei der Seite mit zwei Millionen Besuchern ist es wahrscheinlicher, dass die Ressourcen da sind, um die Arbeitslast etwas besser zu verteilen. Ähnlich ist es bei einem Online-Shop. Ob jemand in seinem Shop nun eine Bestellung im Monat oder 100 Bestellungen am Tag hat – der Aufwand für die DSGVO ist exakt gleich, wenn weniger als zehn Leute mit der Verarbeitung von persönlichen Daten zu tun haben. (Ab dieser Grenze ist ein Datenschutzbeauftragter Pflicht.)
Das hätte man cleverer regeln können. Man hätte schauen sollen, welche Art von Daten in welchem Zusammenhang bei welchen Unternehmen, Vereinen, Behörden etc. tatsächlich ein Risiko für die Menschen darstellen würden, um so die Erhebung, die Weitergabe und die Nutzung tatsächlich praxisnah zu regulieren. Man hätte so auch zum Beispiel konkreter bestimmen können, dass Banken, Versicherungsunternehmen, Vermieter oder Auskunfteien nur bestimmte Daten aus bestimmten Quellen für ihre Profilbildung beziehen dürfen, ohne gleichzeitig ein Datenschutz-Problem daraus zu machen, dass Kurts Katzenblog Youtube-Videos direkt einbindet. Und wenn dann ein Besucher immer noch findet, dass seine Daten nicht verwendet werden sollten, soll er das über seine Browsereinstellung regeln, das würde dann immerhin auch nicht erfordern, dass er denen, denen er misstraut, was die Datenverarbeitung angeht, wiederum trauen muss, dass sie die Datenschutzregeln einhalten.
Es ist auch nicht überall sinnvoll, seine Daten exportieren zu können. Das mag bei Banken eine hervorragende Idee sein, aber seine Kommentare von einem Wordpress-Blog auf Tumblr übertragen zu wollen, wäre für mich ein Anzeichen von einsetzendem Schwachsinn. Selbst das Recht auf Vergessen kann in Zukunft eher ein technologisches Hemmnis sein, falls die Visionen wahr werden und die Blockchain-Technologie als eine Art Ersatz für notarielle Beglaubigungen eingesetzt wird – denn aus der Blockchain kann man im Nachhinein nichts löschen, ohne die ganze Blockchain zu kompromittieren. (Das ist jetzt auch ein Problem mit der Bitcoin-Blockchain, weil irgendwelche Schurken darin Kinderpornografie versteckt haben, die man nun nicht wieder loswird.)
Daten sind Informationen. Und wir Menschen sind soziale Wesen, für die der Austausch von Informationen eine Grundlage unseres Zusammenlebens, unserer Entwicklung, unserer Wissenschaft und unserer Wirtschaft ist. Und es funktioniert nicht, all seine Informationen festzuhalten wie Gollum den Ring. So, wie wir einige Informationen über uns automatisch verbreiten, andere ganz freigiebig und wieder manche Informationen nur mit sehr engen Personen oder gar niemandem teilen, so muss auch der Datenschutz differenzierter werden, um einerseits seine Aufgabe erfüllen zu können, andererseits aber auch nicht zur Zwangsjacke zu mutieren.
In einem Forum zeterte jüngst jemand, im Supermarkt würde ja auch niemand seine Daten erheben, und daher wäre es unerhört, wenn im Internet jemand sich für seine Daten interessieren würde. Ich frage mich immer noch, ob er die Überwachungskameras im Markt einfach nur vergessen oder tatsächlich noch nie bemerkt hat…