Viele Blogs verwenden mit Plugins Akismet, um Spam abzuwehren. Dabei werden bestimmte Inhalte von Kommentaren oder Trackbacks an den Dienst gesendet und der Dienst beantwortet, ob Spam oder nicht.
Dabei werden laut Akismets API mindestens folgende Daten versandt:
- Numerische Internet-Adresse (IP) des Kommentierenden
- Browser-Kennzeichnung (User-Agent)
- Kommentartext
Zusätzlich können noch übersandt werden:1
- Referrer (von wo der Surfer kam)
- Link des Blogeintrags
- Art des Kommentars (Trackback, Kommentar)
- Name des Kommentierenden
- E-Mail des Kommentierenden
- Webseite des Kommentierenden
1Das machen aber nicht alle Plugins oder Blogs.
Zudem müssen auf Blogs auch nicht alle diese Daten angegeben werden; das ist freiwillig und kann anonymisiert geschehen.
Nach § 28 des BDSG ist eine Übersendung von Daten dann zulässig, wenn:
(3) Die Übermittlung oder Nutzung für einen anderen Zweck ist auch zulässig:
…
2. zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, …
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat,
Jetzt könnte jemand natürlich sagen: Das dient nur dazu, illegale Werbung oder gar Links zu Pornoseiten in Kommentaren, also Strafaten zu verhindern. Und schon wäre es möglich den Dienst zu nutzen.
Ob die Übersendung der IP wirklich einen Datenschutzbruch bedeutet, ist fraglich, da die meisten Kommentare erst nach 24 Stunden freigeschaltet werden und nach dieser Zeit die IP nicht mehr dem Kommentierenden zugordnet werden kann, da der Internetprovider spätenstens nach 24 Stunden eine neue zuweist.
Laut Landesbeauftragtem für den Datenschutz Niedersachsen im Artikel Sind IP-Adressen personenbeziehbare Daten? sind IPs eben nicht immer personenbezogen. Er meint: Inhalts-Anbieter (Content-Provider) und Betreiber von Hosting-Services können eine unmittelbare Identifikation anhand der IP-Adresse grundsätzlich nur bei statischen Adressen vornehmen.
. Eine Zuordnung ist nur dann bei dynamischen IPs möglich, wenn die Nutzerinnen und Nutzer während einer Kommunikationssitzung selbst personenbeziehbare Daten (Formular- oder Broschüren-Anforderung per eMail) hinterlassen oder die dynamischen Adressen von Internet-Nutzerinnen und -Nutzern mit Hilfe Dritter mit normalen Hilfsmitteln und ohne unverhältnismäßigen Aufwand identifiziert werden können
.
Ob der Akismet-Dienst ein normales Hilfsmittel ist und mit wenig Aufwand die Daten ausgewertet werden können, ist eben nicht richtig klar. Wie weit automattic, der Betreiber von Akismet die Daten zusammenführen könnte, um Rückschlüsse zu ziehen, ist nicht einzuschätzen. Zudem nicht klar ist, was automattic mit den Daten anfangen könnte.
Jedenfalls hat es so einige Blogger aufgeschreckt oder -geweckt. Die einen reden von Panikmache, andere rufen gar ziemlich sicher verstößt Akismet gegen den Datenschutz
, ein „Datenschutzbeauftragter online“ tendiert zu Ja, andere wiederum erweitern nur ihre Datenschutzerklärung, ein datenkind konstatiert: Irrsinn. Gar Zigtausende haben Angst vor Abmahnungen wegen Akismet.
Also alles nur ein Sturm im Wasserglas oder die übliche „Deutsche Angst“ etwas falsch zu machen oder gar gegen etwas zu verstoßen!?
Ich halte die Übermittlung von IP, Browserkennung und Kommentartext nicht für problematisch. Es zudem nicht möglich aus diesen Daten auf Personen zu schließen.
Ach, wenn die Novellierung des BSIG zustande kommt, gibt es sowieso keinen Datenschutz mehr. Da sollte sich das Blogoversum nicht so artg über das „böse“ Akismet-WP-Plugin aufregen, das nach Hause sendet.
Kommentar für Blogeintrag
TrackBack-URL:
http://gwendragon.de/blog/Web/Blogging/verstoesst-akismet-gegen-datenschutz.html/trackback↑Artikel