Aloha ;)

Dass die Daten dann nicht in Deutschland liegen, sondern bspw. in den USA, was womöglich nicht zulässig ist?

das habe ich aber auch, wenn ich meine Daten auf meinem Server (Webspace) ablege.

Ja, hast du - sofern dein Server in den USA gehostet wird. Tatsächlich ist das kein Thema, das man auf die leichte Schulter nehmen sollte. Was persönliche Daten Dritter angeht (und auch deren Verwahrung auf ausländischen Servern) sollte man sehr vorsichtig sein, da setzt man sich schnell rechtlich in die Nesseln.

Die Sache mit den AGB ist prinzipiell auch nicht immer ausreichend. Neben den genannten Bedenken könnte es auch sein, dass es in diesem Fall nicht ausreicht, die AGB zu bestätigen, sondern dass du hier eine ausdrückliche schriftliche Genehmigung brauchst. Bedenke: Das Speichern persönlicher Daten außerhalb Deutschlands bedeutet auch, dass die Daten durch den deutschen Datenschutz nicht länger geschützt werden (da ausländische Hoster nicht an diesen gebunden sind). Es kann gut sein, dass es für diese Aktion nicht ausreicht, sich das durch die AGB implizit erlauben zu lassen.

Vgl. u.a. Wikipedia:

In AGB dürfen auch grundsätzlich keine von der wesentlichen Erwartung abweichenden Regelungen getroffenen werden.

...bzw. BGB § 305c "Überraschende und mehrdeutige Klauseln"

Bestimmungen in Allgemeinen Geschäftsbedingungen, die nach den Umständen, insbesondere nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht, werden nicht Vertragsbestandteil.

Wahrscheinlich entspricht es nicht unbedingt der Erwartung eines Auftraggebers, dass seine persönlichen Daten im Ausland landen. In diesem Sinne wären alle diesbezüglichen Angaben in deinen AGB nichtig.

Also Vorsicht. Ich bin kein Richter und kann dir keine Rechtsauskunft geben. Nur zur Vorsicht mahnen.

Grüße,

RIDER

Moin!

Das Gesagte hier gilt übrigens nicht nur in Verbindung mit Like-Buttons. Das halte ich sogar für das verhätlnismäßig geringere Problem (da da langsam schon ein gewisses Bewusstsein aufkommt, siehe 2-Klick-Lösungen). Das gleiche Problem in Grün gibts mit was, was auf sehr viel mehr Seiten vorkommt und für das so gut wie kein Bewusstsein besteht: für von anderen Domains eingebundene Werbung. Wir hatten die Diskussion schonmal.

Und richtig kommt die Kacke ans Dampfen, wenn die Webseite blockiert weil der Server, der die Werbung / den Like-Button oder sogar gar nichts sichtbares liefern soll via JS antelefoniert wird, nicht reagiert - und inzwischen der Browser nichts anderes mehr tun möchte. Also blockiert.

Meine Extra-Blocks:

p*.focus.de/img/fotos/crop*/*.gif
api.adrtx.net/
beacon.krxd.net/
c.t4ft.de/
cdn.adrtx.net/
cdn.krxd.net/
platform.twitter.com/
rce.veeseo.com/
.mxcdn.net/
.research.de.com/
stats.g.doubleclick.net/
google-analytics.com/
tracking.js
.vgwort.de/*
.webtrekk.net/
script.ioam.de
.doubleclick.net/
syndication.twitter.com/*
www.facebook.com/plugins/*
farm.plista.com/
i.ytimg.com/
.scorecardresearch.com/
cdn.optimizely.com/
xing-share.com/
adquality.*/
meetrics.net/
s-static.ak.facebook.com
static.chartbeat.com
survey.js
facebook.com/connect/
d1.stern.de/*.gif
nuggad.net
dcs.netbiscuits.net
cdn.xplosion.de
cdn.interactivemedia.net
adclear.net
tcmt.t-online.de

Jörg Reinholz

Hallo,

Abhilfe schafft da weniger das Abschalten von JS sondern eher ein Browser-Plugin, das (ähnlich dem in JavaScript implementierten Schutz) Cross-Domain-Aufrufe blockiert.

oder man lässt die für Werbung und Tracking bekannten Domains wie googleanalytics.com, die diversen facebook-Domains, doubleclick.net und andere in der Art per Eintrag in /etc/hosts auf 127.0.0.1 auflösen.

Dann geht für derartige Anfragen nicht mal ein Request raus, und der Verbindungsversuch zum localhost wird in Nullkommanix vom eigenen TCP/IP-Protokollstack abgeschmettert, weil auf den meisten Rechnern, die zum Surfen benutzt werden, vermutlich kein Webserver läuft. Und wenn doch, dann antwortet der eben mit 404, das geht auch sehr flott.

So long,
 Martin

Hallo

Ich muss dann zum Schutz meiner Daten auf Komfort verzichten (JS abschalten) und werde dafür gedisst („Wer JS abschaltet ist selbst schuld“). Nein, das ist pure Selbstverteidigung!

Das reicht ja meistens nicht mal... Selbst bei abgeschaltetem JavaScript liefert auch ohne JavaScript jeder vom $socialMediaAnbieter eingebundene Bild-Button dem $socialMediaAnbieter gewisse Daten (ip-Addresse, Domain der aufgerufenen Seite, ...).

Klar, womit das hoffentlich noch ein wenig klarer wird.

Jede Ressource, die von $socialMediaAnbieter stammt und von $irgendJemandem auf seiner eigenen Seite eingebunden wird, löst einen Request bei $socialMediaAnbieter aus, um die Ressource zu laden. Damit ist schon einmal der UA-String mit OS, Browser, akzeptieren Kompressionsverfahren, Sprachen und Applikationen sowie eventuell weiteren Infos vorhanden.

Handelt es sich um aktive Ressourcen, konkret JavaScript, übermitteln diese, gerade, wenn auch nicht nur, bei Social-Media-Anbietern weitere Infos über ermittelbare Systemeigenschaften, wie installierten Schriften, an den $socialMediaAnbieter.

Durch eine genügend breite Datenbasis und eine entsprechende Sammelwut lässt sich dadurch das Sufverhalten aufgrund der IP-Addresse analysieren, womit über kurz oder lang möglicherweise auch die Person hinter der IP-Addresse ziemlich zuverlässig "gefunden" werden kann.

Anders ausgedrückt: Werden alle diese Informationen miteinander kombiniert, lassen sich Internetbenutzer recht zuverlässig identifizieren. Lassen sie sich identifizieren, lassen sie sich auch wiederholt identifizieren, also wiedererkennen. Lassen sie sich wiedererkennen, lässt sich ihr Verhalten, ihre Wege und die von ihnen genutzten Dienste tracken.

Das geschieht, völlig egal, ob ich als der Besucher dieser Seiten beim vom Seitenbetreiber eingebundenen $socialMediaAnbieter Kunde bin oder nicht, ob ich damit einverstanden bin, oder nicht. Mir bleibt, so ich das unterbinden will, nur die aktive Gegenwehr mit den erwähnten Komforteinbußen.

Dass das Tracking passiert, mag vielen egal sein, manchen ist es das aber nicht. Das Datenschutzgesetz stellt Schutzregeln für alle auf, egal, ob sie von diesen allen genutzt werden, oder nicht. Das sind gesetzliche Mindestanforderungen, die Anbieter zu erfüllen haben und die im Bedarfsfall eben mit einer Klage durchgesetzt werden müssen.

Abhilfe schafft da weniger das Abschalten von JS …

Das (selektive) Abschalten von JavaScript gehört definitiv zu den notwendigen Maßnahmen.

… sondern eher ein Browser-Plugin, das (ähnlich dem in JavaScript implementierten Schutz) Cross-Domain-Aufrufe blockiert.

Da gibt es ja Einige, von denen nicht alle einen guten Ruf haben. Ich sag nur „AdBlock Plus“ (ABP) mit seiner Werbeanbieter-bezahlt-und-fällt-dann-unter-Gute-Werbung-Whitelist. Momentan teste ich uBlock (für Firefox und Chrome), das ist noch Beta, nutzt u.A. die ABP-Listen, kommt mit weniger RAM aus als ABP, hat aber eine etwas gewöhnungsbedürftige Benutzeroberfläche. Zudem läuft noch nicht alles kugelrund.

Aber auch das ist, wie du sagst, u.U. eine Komfort-Einbuse.

Das kommt auf den Betrachtungsstandpunkt und den Einzelfall an. Kann ich mir sicher sein, dass bestimmte Inhalte garnicht erst geladen werden, fällt Traffic weg, fällt in diesen Fällen die Trackingmöglichkeit weg und sehen so manche Webseiten sehr viel übersichtlicher aus.

In Einzelfällen fehlen aber auch einzelne Bedienelemente, z.B. wegen Fehlalarmen. uBlock z.B. raubt mir die in einer bestimmten Boardsoftware vorhandene Möglichkeit, einem Posting zuzustimmen (kenn' wa ja). Die Software stellt die Funktion mit FontAwesome, konkret dem Daumen-hoch-Icon, dar. Du darfst raten, was dann passiert. }:-(

Was auf der JavaScript-Seite die Gegenwehr erschwert, ist die um sich greifende Unsitte, JavaScripte von allen möglichen Seiten einzubinden und diese wiederum weitere Skripte aufrufen zu lassen. So war es bis vor kurzem noch möglich, ein auf irgendeiner Seite eingebundenes Youtube-Video in NoScript mit der Freigabe von zwei zu Youtube gehörenden Servern (www.youtube.com und *.ytimg.com) zu erlauben. Mittlerweile wird von einem dieser Skripte nach deren Einbindung weitere Skripte von https:www.//youtube.com eingebunden, welche nach deren Aufruf wiederum weitere Inhalte von zufälligen Contentservern einbinden. Ich komme so mit bestenfalls drei Reloads zum Film.

In anderen Fällen, die nichts mit YouTube zu tun haben müssen (war hier nur ein Beispiel), müsste ich Inhalte von mir unbekannten Quellen erlauben, damit eine Seite funktioniert. Dabei kann die Aufrufkaskade bis zum funktionieren der Seite durchaus wesentlich länger als in obigem Beispiel sein, was dann im Regelfall auf den dankenden Verzicht auf die Nutzung der Seite/des Dienstes hinausläuft.

So unterschiedlich können die Folgen sein.

Tschö, Auge