Nicht nur IP-Adressen und Cookies!

Transkript

1 IP?? Nicht nur IP-Adressen und Cookies! Worauf es beim datenschutzkonformen Webtracking ankommt Dr. Stefan Schleipfer Webtracking V0.34.ppt Vorgehensweise Übliche Vorgehensweise zur Beurteilung von Webtracking: n Datenschutzrecht ist eröffnet, wenn personenbezogene Daten verarbeitet werden. Personenbezug wird vermutet bei: IP-Adressen Cookies führt nicht ans Ziel. Richtige Vorgehensweise: n vom Ganzen ausgehen: e n allgemeine Regeln für alle -Inhalte Seite 2 1

2 Zentrale Bestimmung im TMG zum Webtracking 15 Abs. 3 Satz 1 TMG: n Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien e bei Verwendung von Pseudonymen erstellen, sofern der dem nicht widerspricht. Seite 3 Zentrale Bestimmung im TMG zum Webtracking 15 Abs. 3 Satz 1 TMG: n Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien e bei Verwendung von Pseudonymen erstellen, sofern der dem nicht widerspricht. Grundlegend für die DS-Bestimmungen im TMG: n Anbieter--Verhältnis: nutzt Telemedium (Dienst) Diensteanbieter Seite 4 2

3 Zentrale Bestimmung im TMG zum Webtracking 15 Abs. 3 Satz 1 TMG: n Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien e bei Verwendung von Pseudonymen erstellen, sofern der dem nicht widerspricht. : n aufgezeichnete und ausgewertete Protokolldaten über die Inanspruchnahme eines Dienstes ( Telemedium ) des Diensteanbieters durch den nutzt Telemedium (Dienst) Diensteanbieter Seite 5 e (lokale) Privatsphäre nach Cookie-RL Website-Anbieter IP-Adresse URL t, URL, t, URL, t, URL, Cookie: enthält Cookies e! Speicher- und Transportbehälter für en Seite 6 (Trackingdaten) datenschutzrechtlich sensible Daten einheitlicher IP-Adressen => Bewegungsprofil URL => Interessensprofil 3

4 Zentrale Bestimmung im TMG zum Webtracking 15 Abs. 3 Satz 1 TMG: n Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien e bei Verwendung von Pseudonymen erstellen, sofern der dem nicht widerspricht. Seite 7 Pseudonym Begriffe: n Pseudonym: in BDSG+TMG nicht definiert n pseudonyme Daten: in BDSG+TMG nicht definiert n BDSG definiert Pseudonymisieren = Vorgang, der aus personenbezogenen Daten pseudonyme Daten macht: Passt nicht: e sind von vorn herein pseudonym zu erstellen! Seite 8 4

5 Pseudonyme Daten Kennzeichnende Eigenschaft: Funktionstrennung Inhaber der Inhaber der Daten Pseudonym Pseudonym personenbezogene Angaben anonyme Angaben über die Person pseudonyme Daten Seite 9 Pseudonym Kennzeichnende Eigenschaften: n Kennzeichen einer einzelnen natürlichen Person n Inhaber der Daten kann Pseudonym nicht der Person zuordnen. Pseudonym ist für ihn anonym (Anforderung!). n Inhaber der kann Pseudonym der Person zuordnen. Pseudonym ist für ihn personenbezogen. Seite 10 5

6 Pseudonyme Daten Daten mit Funktionstrennung: n Identifiziert durch Pseudonym n Dateninhaber hat die Daten, aber nicht die. => kann die Daten nicht der Person zuordnen. => pseudonyme Daten sind für ihn anonym (Anforderung!). n Inhaber der hat die, (in der Regel) aber nicht die Daten. => pseudonyme Daten sind für ihn personenbezogen, falls er sie hat. n ausnahmsweise zulässige Zuordnung regeln: Voraussetzungen, Vorgehensweise n Missbrauch verhindern Seite 11 Pseudonyme e Inhaber der Inhaber der Daten Website-Anbieter URL Cookie (Pseudonym) c:\users\<benutzer>\... (Pseudonym) Trackingdaten pseudonymes Administrator Seite 12 6

7 Weitere TMG-Bestimmungen über e Der Diensteanbieter n muss über Erstellung von en (+ Cookies) unterrichten, 13 (1) 2 n muss Widerspruchsrecht gegen Erstellung von en einräumen, 15 (3) 1 n muss über Widerspruchsrecht informieren, 15 (3) 2 n muss Zusammenführungsverbot beachten, 15 (3) 3 n muss Zusammenführungsverbot durch technisch-organisatorische Maßnahmen absichern, 14 (4) Nr. 6 Seite 13 Bestimmungen im TMG zum Webtracking Generelle Zielrichtung des TMG: n Zuordnung des s zur Person des s verhindern: kein Verweis auf Person des s im => e unter Pseudonym nachträgliche Zuordnung zur Person verhindern => Zusammenführungsverbot n Kompromiss zwischen dem Interesse des s an weitgehender Anonymität in seinem Nutzungsverhalten und dem berechtigten Interesse des Diensteanbieters an der Auswertung der Inanspruchnahme seiner Dienste (Gesetzesbegründung TDDSG 1997) => keine absolute Anonymität! Widerspruchsrecht des s Seite 14 7

8 Angriffe auf pseudonyme e: Typ A A Angriff Typ A: Personenbezogenes Datum in => kein zulässiges pseudonymes mehr! n Angriff A1: personenbezogener n Angriff A2: Eingabedaten als URL-Parameter übergeben n Angriff A3: personenbezogenes Newsletter-Tracking Seite 15 Angriff A1: personenbezogener A Inhaber der Inhaber der Daten Website-Anbieter URL Cookie (Pseudonym) c:\users\<benutzer>\... (Pseudonym) Trackingdaten pseudonymes Seite 16 8

9 Angriff A1: personenbezogener A Verbotene en: n Kundennummer n Login-Name n -Adresse n Zulässige en: n Zufallszahl, ohne Bezug zur Person n Hashwerte der obigen en, von denen nicht zurück auf die Person geschlossen werden kann Seite 17 Angriffe auf pseudonyme e: Typ A A Angriff Typ A: Personenbezogenes Datum in => kein zulässiges pseudonymes mehr! n Angriff A1: personenbezogener n Angriff A2: Eingabedaten als URL-Parameter übergeben n Angriff A3: personenbezogenes Newsletter-Tracking Seite 18 9

10 Angriff A2: Eingabedaten als URL-Parameter Inhaber der Inhaber der Daten Website-Anbieter name=schleipfer,vorname=stefan, Name: Schleipfer Vorname: Stefan Straße: PLZ: Wohnort: Send Übergabe von personenbezogenen (Eingabe-)Daten: n verboten: über URL-Parameter (Methode GET) A (Pseudonym) Trackingdaten pers.bez. URL pseudonymes n erlaubt: im HTTP-Body (Methode POST) Seite 19 Angriffe auf pseudonyme e: Typ A A Angriff Typ A: Personenbezogenes Datum in => kein zulässiges pseudonymes mehr! n Angriff A1: personenbezogener n Angriff A2: Eingabedaten als URL-Parameter übergeben n Angriff A3: personenbezogenes Newsletter-Tracking Seite 20 10

11 Angriff A3: personenbez. Newsletter-Tracking A Anbieter NewsletterVersender CRM-Daten Stammdaten User-ID 4711 Kunden-Nr. -Adresse Newsletter 1 Tracking-Pixel newsl.de/pixel?user=4711 Nähere Info hier newsl.de/produkt1?user=4711 Kunden-Nr. -Adresse... Ablaufdaten Klickdaten User-ID 4711 Newsletter 1 t Versand t Öffnen t Klick + URL 1 Kunden-Nr. -Adresse t Öffnen News 1 t Klick URL 1 t Öffnen News 2 t Klick URL 2 Newsletter 2 newsl.de/pixel?user=4711 Nähere Info hier newsl.de/produkt1?user=4711 User-ID 4711 Newsletter 2 t Versand t Öffnen t Klick + URL 2 Auswertung News 2 #Mails gesendet #Fehler #geöffnet #Klicks URL 2 personenbezogenes! Seite 21 A Bewertung Angriffe Typ A Personenbezogenes Datum in Angriff Wie Wie möglich? schwer? Ausbeute zugeordnete Person Risiko mittel A1. personenbezogener A2. Eingabedaten als URL-Parameter A3. -Adresse in Link in immer -Nutzung mittel mittel Seite 22 11

12 Angriffe auf pseudonyme e: Typ B B Angriff Typ B: Zusammenarbeit mit dem Inhaber der => unzulässige Verarbeitung auf zulässigem pseudonymen n Angriff B1: Zuordnung über n Angriff B2: Zuordnung über IP-Adresse Seite 23 Angriff B1: Zuordnung über Inhaber der B Inhaber der Daten Website-Anbieter URL Cookie (Pseudonym) c:\users\<benutzer>\... (Pseudonym) Trackingdaten pseudonymes Administrator Seite 24 12

13 Angriffe auf pseudonyme e: Typ B B Angriff Typ B: Zusammenarbeit mit dem Inhaber der => unzulässige Verarbeitung auf zulässigem pseudonymen n Angriff B1: Zuordnung über n Angriff B2: Zuordnung über IP-Adresse Seite 25 B Angriff B2: Zuordnung über IP-Adresse dynamische IP-Adresse Website-Anbieter AccessProvider Internet Einwahldaten Kunden-Nr. Anschlussinhaber Zeitpunkt von Zeitpunkt bis t, URL, IP-Adresse +t Pseudonym pseudonymes Seite 26 13

14 IP-Adressen: Anschlussinhaber Website-Anbieter dynamische IP-Adresse Fall : Smartphone B # 1 dynamische IP-Adresse Fall : Heimnetzwerk 1 10 statische IP-Adresse 100 > Fall : Firmennetzwerk Seite 27 B Bewertung Angriffe Typ B Zusammenarbeit mit dem Inhaber der Angriff Wie Wie möglich? schwer? Ausbeute B1. Zuordnung über (Cookie) manchmal sehr schwer B2. Zuordnung über IP-Adresse schwer zugeordnete Person Risiko hoch AnschlussInhaber hoch Seite 28 14

15 Angriffe auf pseudonyme e: Typ C C Angriff Typ C: Zuordnung über Vergleich mit bekannten Daten => unzulässige Verarbeitung auf zulässigem pseudonymen n Angriff C1: Online-Händler: Vergleich mit Bestelldaten n Angriff C2: personenbezogenes Login Seite 29 Angriff C1: Online-Händler: Vergleich mit Bestelldaten C Online-Händler URL Abruf Info-Seite Ware 1 Klick auf Warenkorb Abruf Info-Seite Ware 2 Klick auf Warenkorb Gehe zur Kasse Klick auf Bestell-Button Abruf Info-Seite Ware 1 Klick auf Warenkorb Abruf Info-Seite Ware 2 Klick auf Warenkorb Gehe zur Kasse Eingabe Daten Klick auf Bestell-Button Waren: Ware 1, Ware 2 Name: Schleipfer Vorname: Stefan Straße: PLZ: Wohnort: Bestelldaten POST Bestellnummer Zeitpunkt t Schleipfer Stefan Ware 1 Ware 2 Suche in allen en ein mit Klick auf Bestellbutton zum Zeitpunkt t und in den 15 min vorher Abruf Info-Seite Ware 1 Klick auf Warenkorb und (in bel. Reihenfolge) Abruf Info-Seite Ware 2 Klick auf Warenkorb Seite 30 15

16 Angriffe auf pseudonyme e: Typ C C Angriff Typ C: Zuordnung über Vergleich mit bekannten Daten => unzulässige Verarbeitung auf zulässigem pseudonymen n Angriff C1: Online-Händler: Vergleich mit Bestelldaten n Angriff C2: personenbezogenes Login Seite 31 C Angriff C2: personenbezogenes Login Website-Anbieter Stammdaten Login: username Benutzername, Passwort Passwort: Kunden-Nr. Benutzername Nachname Vorname Session-ID Session-ID Session-ID (Tracking-ID) Session-ID, Tracking-ID Session-ID, Tracking-ID Session-ID, Tracking-ID Session-ID, Tracking-ID t, URL, t, URL, t, URL, Seite 32 16

17 C Bewertung der Angriffe Typ C Zuordnung über Vergleich mit bekannten Daten Angriff Wie Wie möglich? schwer? Ausbeute C1. Vergleich mit Eingabedaten C2. personenbezogenes Login zugeordnete Person Risiko niedrig niedrig Seite 33 Bewertung und Vergleich aller Angriffe Angriff Wie Wie möglich? schwer? Ausbeute zugeordnete Person Risiko mittel A1. personenbezogener A2. Eingabedaten als URL-Parameter A3. -Adresse in Link in immer -Nutzung mittel B1. Zuordnung über (Cookie) manchmal sehr schwer hoch B2. Zuordnung über IP-Adresse schwer AnschlussInhaber hoch C1. Vergleich mit Eingabedaten niedrig C2. personenbezogenes Login niedrig mittel Seite 34 17

18 Fazit datenschutzkonformes Webtracking n Datenschutzrechtlich zulässige e: nur anonyme (oder pseudonyme) Nutzungsdaten ins (Typ A) kein Versuch der Zusammenführung zur Person weder durch Zusammenarbeit mit Dritten (Typ B) noch durch Ausnutzen von Kontextinformation (Typ C) Widerspruchsrecht des s n Von Angriffen der Typen A und C geht eine viel größere Gefahr für die Rechte der aus als von Angriffen des Typs B (IP-Adressen, Cookies). Seite 35 Vielen Dank Seite 36 18