Datenschutz und WordPress

Das ist das gleiche Problem wie mit dem neuen Theme und Google und ich muss gestehen, das mir das bisher auch noch nicht aufgefallen ist. Ich habe es sofort deaktiviert, danke für die Info. Ich finde es ehrlich gesagt mist das auf resourcen von dritten bei einer standard installation zurückgegriffen wird. Solche funktionen sollten erst mal deaktiviert sein und auch bei der aktivierung mit einem Warnhinweis versehen werden.

 

Hatte Deine Frage schon gelesen, doch weil ich so beim Basteln war, verschob ich eine Antwort. Und die andere Seite ist, dass in diesem Forum die Meinungen doch nicht so aufeinander knallen. Bei ähnliche Fragen ging es bei Abakus ab und an schon über reichlich viele Seiten und die Posts wurden immer länger.

Mich würde es eigentlich nicht stören, was Google und Co. an Daten sammeln oder nicht sammeln. Nur wenn ich meine eigenen Statistiken ansehe, da fehlen bei zwei meiner Webseiten bereits 60 bis 70 Prozent der Suchbegriffe und das alles unter dem Deckmantel des Datenschutzes seit Einführung der SSL-Suche. Wer dann trotzdem noch mit reichlich Verspätung wissen möchte, wie häufig wonach gesucht wurde, dem bleibt nichts weiter übrig, als seine Seiten bei Google WMT anzumelden. Nur das Google über WMT und Analytics ja wieder zusätzliche Daten sammeln kann.

So, das war meine Meinung zum Sammeln von Daten allgemein. Mit den Avataren sieht es wohl auch nicht besser aus. Ich meine es gibt nicht so sehr viel geschenkt und Daten lassen sich nun einmal auswerten und verwerten.

 

Oh, schon wieder ein ganz neuer Blog, dessen Betreiber eine Funktion entdeckt hat, die seit Jahren exisitiert und über dessen Gefährlichkeit er mich nun aufklären will... :mrgreen:

Zitat:

Oh, jetzt bekomme ich Angst! Gravatar.com ist schließlich in den USA und da werden diese Daten hin übermittelt und dann werden die Daten auch gespeichert.

Wenn ich unter gravatar.com in die Datenschutzerklärung schaue, dann wird man mit der Seite http://automattic.com/privacy/ verbunden. Gravatar wird also von Automattic betrieben. Jetzt bekomme ich es wirklich mit der Angst zu tun, denn Autumattic ist die Firma, die hinter der WordPress Entwicklung steht... :mrgreen:

Wenn der Betreiber des Blogs sooooo viel Angst vor Automattic hat, dann solte er vielleicht besser serendipity und nicht WordPress verwenden.

Ich hab das mal, etwas weniger polemisch, als Kommentar hinterlassen....

 

Das Problem ist ja nicht die "böse" US-Firma, sondern irgendein unterbezahlter, deutscher Anwalt, der Dir daraus eine Strick drehen will, weil Du z.B. in Deiner Datenschutzerklärung nicht darauf hinweist.

Gruß
Ingo

 

Das ist mit Akismet auch so und es hat zwei Jahre lang keinen Intressiert, bis Heise drüber berichtet hat... Kannst in der Wikipedia nachlesen.

Wäre ja mal interessant zu Wissen, ob der Blog da oben Akisment nutzt, denn in seiner Datenschutzerklärung steht nichts davon...

 

Das ist mit vielen Sachen so, erstmal interessiert es niemanden. Aber wenn dann doch, ist es vielleicht zu spät.

Wenn Gravatare bisher mit Bezug auf Datenschutzbedenken keinen interessiert habe, ist das ja nur die öffentliche Wahrnehmung. Das Problem besteht ja trotzdem.

Gruß
Ingo

 

Hmm... das Problem ist wie bei Akismest: Heute wirst du bei Akismet von WordPress gewarnt, so viel ich weiß.

Auf der anderen Seite muss man in der Datenschutzerklärung ja nur Auskunft geben, wohin die Daten geflossen sind. Wie viele Blogs nutzen zum Beispiel die bloggerei oder das blogoscoop ohne daraufhinzuweisen, dass hierdurch Daten an diese Seiten fließen?

Ich glaube in Deutschland haben die meisten Menschen keinen Bock sich die Datenschutzerklärung durchzulesen. Andernfalls gäbe es bereits genug Abmahnungen wegen dieser hier veröffentlichten Fälle.

Eine Abmahnung zu bekommen ist, wie es so schön heißt, das gute alte Restrisiko.

 

Ob nun jemand die Datenschutzerklärung liest oder nicht, ist erstmal egal. Man muß sie als Anbieter halt zur Verfügung stellen und darin erklären, was mit den Daten der Besucher passiert.

Das viele Blogs auch noch andere externe Datenquellen einbinden und entsprechend Daten "verschicken" macht es ja nicht besser. Dadurch wird das potenzielle Problem nur größer.

Wenn nun jemand in einem Blogartikel auf das Problem hinweist, ist daran doch nichts schlecht. Letztendlich muß natürlich jeder für sich entscheiden, wie er mit den Daten seiner Besucher umgeht und ggf. die Konsequenzen seines Handelns tragen.

Auch ein Restrisiko ist ein Risiko, selbst wenn es noch so klein ist.

Gruß
Ingo

 

Da könnte ich mich jetzt aber auch ein ganz klein wenig mit Dir streiten.

Habe da jetzt nicht alles gelesen über Gravatare, doch das Einbinden einer Grafik von einem entfernten Server ist doch erst einmal nichts weiter als eine Form von Hotlinking. Der Einbindende könnte doch eigentlich nur dann rechtlich belangt werden, wenn die Einbindung ohne Einverständnis des Urhebers erfolgte (ob die Schöpfungshöhe erreicht wird, halte ich für fraglich, ein Urteil sprach dagegen) oder aus Datenschutzgründen, wenn der Einbindende Kenntnis über Einzelheiten hätte.

Stelle Dir vor, jemand bietet Grafiken zum Einbinden an, irgendwann schwirren da Millionen im Web auf anderen Seiten umher und eines Tages kommt der Anbieter der Grafiken auf den Gedanken, eigentlich könnte er ja die Aufrufe zählen und die User Agents und Referrer auswerten. Dafür könnte nach meiner Meinung nicht einer von denen verantwortlich gemacht werden, welche die Grafiken einbanden.

Etwas anderes verhält es sich, wenn von vorherein feststeht; "Binde diese Grafik von uns und wir werten die Zugriffe aus." Bin jetzt überfragt, war das so, ist das so? Hat mich nicht so richtig interessiert, vielleicht habe ich es überlesen. Im Dashboard steht zumindest nichts dergleichen bei den Gravataren.

 

Doch. Genau deswegen dürfen Social Iframes nicht ohne Datenschutzwarnung eingebunden werden. Hotlinking ist ja ein ganz anderes Denkmodell. Es geht hier nicht mehr darum, ob ich mich mit fremden Inhalten schmücke - das ist in diesem Falle gewollt und das Thema damit gegessen.

Es geht jetzt vielmehr darum, ob ich mittels Hotlinking Nutzerdaten von gänzlich Unbeteiligten ohne deren Zustimmung und Wissen nach Übersee senden darf.

Problem
Ich sag's mal drastisch: wenn schon Lavabit mit 400.000 Benutzern schließen muss, um nicht rechtsbrüchig zu werden, wie steht es dann mit Begehrlichkeiten der NSA auf eine Blogplatform mit 70 Millionen Instanzen, die standardmäßig Avatare via gravatar.com hotlinken? Wenn 1+1=2 ist, dann hat die NSA nach FISA rechtmäßigen Direktzugriff auf gravatar.com-Logdateien.
Lassen wir also einmal einen NSA-Mitarbeiter eine bestimmte E-Mail-Adresse in sein Terminal tippen, dann macht in einem Seiten-Thread ein kleines Progrämmchen:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

und spuckt als niedliche Tabelle alle URLs zu den Kommentaren aus, die die gesuchte E-Mail-Adresse in den letzten Jahren seit 2007 in potentiellen 60 bis 70 Millionen WordPress-Sites hinterlassen haben könnte.

Das funktioniert unabhängig davon, ob du bei gravatar.com registriert bist!
Denn, der Graukopf-Avatar (Kommentator ist also nicht auf gravatar.com registriert) ist ein Failure-Hotlink auf gravatar.com, der den Hash der E-Mail-Adresse dieses Nutzers enthält, welcher wiederum seine echte Adresse angab, weil er so gerne benachrichtigt werden wollte, falls jmd. auf seinen Kommentar antwortet...

Ja, natürlich ist das nur ein Steinchen im Bauwerk der Datenschnüffelei. Aber ein wesentliches. Es geht schließlich um ganz persönliche Meinungen einer Zielperson, die diese vielleicht gewohnheitsmäßig überall hinterlässt. Allein daraus kannst du ein Gesinnungsprofil zu einer beliebigen E-Mailadresse erzeugen. Ach, und nicht vergessen: die IP-Adresse steht in den Logs überall mit dabei, womit weitere Querverbindungen verfolgbar werden. Die IP-Adresse gehört nach deutschem Recht zu den personerbezogenen Daten. Ich bin sicher: es ist nur eine Frage der Zeit, bis deutsche Datenschützer den Avatar-Haken in den Einstellungen für illegal erklären.

Niemand kann doch von Automattic erwarten, dass die nun gravatar.com zumachen, so wie Lavabit. Soviel Charakter haben auf der ganzen Welt wohl nur ganz wenige Nasenträger, obwohl von denen die Zeitungen derzeit voll sind. Aber aus dem Blickwinkel des (nicht nur) deutschen Blognutzers ist das ein nicht bewiesener, aber möglicher und darum wahrscheinlicher Datenschutz-Gau der Gesinnungsschnüffelei.
"Globally Recognized Avatar" ist nun einmal "Globally Recognized" :grin:

Lösung
Die Lösung heißt natürlich: lokale Avatare. Es gibt Plugins dafür. Die unterbinden zwar normalerweise gravatar.com-Abrufe im Backend nicht. - Doch da wird schon das nächste Datenschutz-Plugin am Horizont erkennbar - und dafür können wir WordPress wieder lieben.