Youtube und GoogleMaps datenschutzwidrig?

Wenn man weitergehen würde, dürfte man sogar gar keine fremden Inhalte auf seiner Seite einbinden, sondern müßte alles lokal vorhalten. Oder man müßte jedesmal eine ellenlange Liste von Einverständniserklärungen abnciken, damit man die Daten auch an andere Webseiten übermitteln darf.

Genaugenommen dürfte es gar keine Webzugriffe ohne NAT/Proxy geben, weil bereits damit schon die IP-Adresse des Clients zum Server übertragen wird, ohne daß es die entsprechenden Verträge gibt – und die IP-Adresse gilt ja als personenbezogenes Datum.

Ich kann Deinen “Wenn dann” weg nicht nachvollziehen;

Für ein youtube video wär doch ein einfacher link ausreichend, da gibt es doch keinen grund, das video als video einzubinden;

Eine wichtige Frage bleibt noch offen:
Wenn ich ein youtube video auf meiner HP (als video) einbinde, dann würde ich doch annehmen, dass youtube zwar erkennt, wieviele menschen das video laden (und leider auch eine gewisse menge an kontext), aber erkennen wie, _von wo_ aus jemand versucht das video zu laden?
Ist das nicht ein unterschied zum Facebook-button?

Tatsächlich denke ich dass eine angemessene Lösung darin läge, Bilder/ Videos in etwas besserer Thumbnail Qualität lokal vorzuhalten (das kann man sicher automatisieren..) – und mit dem link auf die entsprechenden Seiten zu hinterlegen.

@Alex: Oh, es ist ein Riesen-Unterschied, ob ich einen Link auf ein Youtube-Video auf die Seite packe, oder das Video selbst. Vom Standpunkt der Meinungsäußerung und -präsentation. Ds nur über Links machen zu dürfen wäre eine Verkürzung der Meinungs- und Lehrfreiheit.

Grundsätzlich kann Youtube ähnlich Daten sammeln wie Facebook, denn viele Leute haben auch Google-Cookies. Ich weiß nicht, ob sie es tun, aber sie könnten. Es geht auch nicht so sehr darum, von wo, sondern wer.

“Ein Denkfehler liegt auf Seiten der Browser- und Webseitenprogrammierer, denn eigentlich gehört dieser “Gefällt-Mir”-Button hat eigentlich auf den Webseiten nichts verloren, sondern gehört – wer’s braucht – als Plugin in den Browser.”
Finde ich auch – aber wie bringt man die Website-Betreiber dazu?
Ich würde sogar noch etwas weiter gehen: Eigentlich braucht man gar keinen Inhalt einzubinden, das könnte doch alles über externe Seiten laufen – die Einbindung von Diensten anderer Unternehmen ist eigentlich in jedem Fall illegal, weil (personenbezogene) Daten weitergegeben werden.

Die wichtigste Frage wäre die Frage nach einem sinnvollen Lösungsansatz.

Ein wichtiger Bestandteil eines Lösungsansatzes wäre es zunächst mal, vorerst konservative Politiker komplett zu ignorieren, jene die nach weniger Anonymität im Netz schreien, aber gleichzeitig für mehr Datenschutz sind.

Dann ist es vielleicht auch hilfreich, sich mal zu überlegen, was alles unter “Datenschutz” fällt, und wovor konkret man Angst hat. Wüsste ich mit absoluter Sicherheit, dass Google und Facebook die gesammelten Daten ausschließlich zu Werbezwecken verwendet und verwenden wird, mir wäre es vollkommen egal dass sie meine Daten haben. Ich kann mich nur an eine Google-Werbung erinnern die wirklich mein Interesse geweckt hat, in all den Jahren wo ich jetzt GMail verwende, also who cares. Man hat also konkret Angst davor, dass die Daten einem auf anderen Wegen schaden können.

Dann ist die Frage, wo Verbraucherschutz anfängt. Meiner Meinung nach fängt Verbraucherschutz da an, wo der Verbraucher sich nicht mehr mit angemessenem Aufwandt schützen kann. Es ist heutzutage kaum mehr möglich, ins Netz zu gehen, ohne Cookies zu aktivieren, außer mit einer gut gepflegten Cookie-Liste, und die Anbieter haben natürlich auch ein Interesse daran, es den Leuten möglichst schwer zu machen. Hier kann der Nutzer also nicht sagen, er wechselt einfach den Anbieter, das ganze Netz ist voll von Cookies, man sollte also sinnvolle Gesteze verabschieden. Beispielsweise dass die gesetzten Cookies angemessen sein müssen (idealerweise reicht ein Cookie pro Webseite aus).

Bei Facebook ist das anders. Es gibt hinreichend Alternativen, wenn der Verbraucher es will kann er beispielsweise bei WordPress bloggen, bei Digg oder Reddit seine Seite ranken lassen, und per Jabber chatten. Dass er das nicht tut ist sein Problem. Dass es offenbar keinen Markt für ein Angebot gibt das keine Daten sammelt, das ist ebenfalls ein Teil des Problems, an dem der Verbraucher schuld ist.

So zumindest meine (nicht vollständig gefestigte) Meinung zu dem Thema.

@uxul: Auch der Lösungsansatz muß meines Erachtens in den Browser.

Es ist zwar datenschutzmäßig gut gemeint, aber technisch idiotisch, für Weblinks und Cookies den Webseitenanbieter verantwortlich zu machen – zumal die meisten davon ja außerhalb deutschen Rechts sitzen. Was mal wieder meine These untermauert, daß viele Datenschützer nicht so wirklich Ahnung von Technik haben.

Deshalb halte ich es auch für verfehlt, die Webseitenanbieter für solche Links verantwortlich zu machen – denn die Verbindung baut schließlich der Browser des Nutzers auf und nicht der Webseitenanbieter. Und die Cookies speichert ebenfalls der Browser und nicht der Webseitenanbieter. Aber sowas ist halt billige Publicity.

Effektiv müßte das alles im Browser implementiert werden, der dann einfach Daten aus USA nicht holt bzw. dorthin keine Requests, Cookies usw. schickt.

Das ist mal wieder so ein typischer Juristen-Ansatz: Technisch nicht verstanden, nicht konstruktiv, sondern allein auf der Ebene des Verbietens.

“Es gibt aber auch ein Willkürverbot und die Gleichheit vor dem Gesetz. Dann dürfte folglich überhaupt niemand mehr Seitenbestandteile aus den USA in Webseiten einbinden.”

Was es vor allem nicht gibt, ist Gleichheit im Unrecht. “Der hat aber auch, und den bestraft ihr nicht” ist in unserem Rechtssystem keine legitime Verteidigung.

@Oppi: Das stimmt so aber nicht. Das ist so eine Bauernregel, sowas funktioniert da aber nicht, aus mehreren Gründen:

Erstens gilt das Willkürverbot auch beim Bestrafen. Der Staat darf sich in einer Reihe von Falschparkern nicht willkürlich welche rauspicken. Zwar muß er nicht alles verfolgen, aber die Auswahl muß sachbezogen und darf nicht willkürlich sein, weil sonst nämlich der Zweck der Strafe nicht erfüllt wird und er dann gar keinen bestrafen darf.

Zweitens gilt diese Bauernregel, daß es keine Gleichheit im Unrecht gibt, auch juristisch so nicht, bzw. sie gilt nur dann, wenn die Unrechtsfälle eine Minderheit sind, die sich auf die Rechtsanwendung nicht auswirkt. Sobald aber die Unrechtsfälle so viele sind, daß es sich auf die Anwendung und die Maßstäbe auswirkt, kann man sich sehr wohl darauf berufen. (Weiß ich vom Prüfungsrecht her, wo man sich auch auf den Vergleich mit Falschbewertungen berufen kann, sobald die Falschbewertungen ein Ausmaß annehmen, daß sie sich auf den Bewertungsmaßstab auswirken und zu Ungleichheiten in der Bewertung führen.)

Drittens geht es hier nicht um Unrecht sondern umgekehrt um das Recht, was man auf seine Webseite packen darf. Es geht nicht darum, ob jemand für sich in Anspruch nehmen kann, ebenfalls nicht für einen Verstoß gegen Datenschutzrecht bestraft zu werden, sondern ob das Datenschutzrecht überhaupt einen solchen Eingriff in positive Rechte gestattet.

Ich hab ähnliche Diskussionen schon mehrmals geführt und bin immer wieder erstaunt darüber, warum viele Content und Spionage-Schnickschnack in einen Topf werfen. Gedächtnishilfe: “Content” ist das, was der Surfer sehen will. “Spionage-Schnickschnack” sind Cookies, Webbugs, iFrames und JavaScript-Krempel, den der User nicht sieht, von denen er eher Nach- als Vorteile hat und von denen er in den meisten Fällen gar nicht weiß.

Content: Gut. Hoster erfährt IP, User-Agent und Referrer, was auch halbwegs ok ist.
Spionage-Schnickschnack. Schlecht. Tonnenweise Daten an Dritte.

P.S.: Und es gibt einen sehr guten Grund, sich primär gegen facebook zu wenden: Die gigantische Anzahl von Usern machen Data Minig besonders gefährlich, weil die Profile durch den engen Social Graph detaillierter als anderswo werden.

@Linulo: Falsch! Es ist naiv und falsch zu unterstellen, daß sich Webinhalte disjunkt in Content und Spionage trennen lassen. Beides beruht nun mal auf HTTP-Requests, in denen entsprechende Informationen mitlaufen. Ob als Antwort etwas kommt, was man sehen „will” spielt dafür eigentlich keine Rolle. Zumal der Normalbürger das ja auch nicht erkennen kann.

Zumal es ebenfalls falsch ist, bei Webseiten immer (nur) von einem Hoster auszugehen und nur Spionage von Dritten. Bei Goolemaps, Youtube usw. gehen im wesentlichen ähnliche Informationen an „Dritte” wie bei dem von Dir benannten „Spionage-Schnickschnack”. Technisch ist da kaum ein Unterschied. Schau Dir mal die zugrundeliegenden Mechanismen an, dann verstehst Du das besser.

Erstens ist es für die wenigsten Seiten eine Einschränkung, Inhalte von YouTube etc. erst nach Bestätigung des Nutzers anzuzeigen. Ich mache das seit Jahren so: Von meinem Webserver wird ein Bild des Videos oder der Karte angezeigt, der Nutzer klickt drauf, bekommt einen Hinweis angezeigt und hat die Möglichkeit, NEIN zu sagen, oder die fremden Inhalte nachladen zu lassen. Das geht einfach per JavaScript, denn ohne JavaScript arbeiten Youtube etc. eh nicht – und dann müssen auch keine Daten dahin übertragen werden.

Zweitens gibt es so tolle Dinge wie CGI-Proxy-Skripte, die einen großen Teil der Inhalte von den Drittanbietern abholen können. Und die wenigsten dieser Drittanbieter untersagen das. Somit lässt sich von vornherein vermeiden, dass beim Aufruf einer Webseite Daten des Nutzers zu Dritten übertragen werden, da der eigene Webserver das puffern kann.

Drittens gibt es so etwas lustiges wie Hyperlinks. Dass auf tausenden Webseiten die Inhalte und Beiträge Dritter eingebunden werden, weil dann das eigene – ansonsten meist inhaltsleere “Blog” – schön bunt und interaktiv aussieht, ist hart an der Grenze zum Plagiat. Nur weil jemand keine Ideen hat und nur weil ihm Fähigkeiten fehlen, muss er noch lange nicht die Arbeit Dritter mit vorgefertigtem 08/15-HTML-Code, den er oft noch nicht einmal versteht, auf seiner Seite einbetten. Ein einfacher Link reicht völlig aus und setzt Aktivität des Nutzers voraus: Vor Anklicken eines Links wird nichts übertragen.

Viertens ist die von “Linulo” gemachte Unterscheidung “Content” und “Spionage-Schnickschnack” unsinniges Geschwafel. Wir leben in einem Rechtsstaat, in diesem gelten Gesetze. Und die Gesetze verbieten es nunmal, dass Daten – gleich welcher Art – ohne vorherige (!) Einwilligung zu Dritten übertragen werden. Das ist unabhängnig davon, was der Dritte mit diesen Daten macht. Es ist also egal, ob es sich um sinnvolle Inhalte oder “Spionage-Schnickschnack” handelt. Kein Drittanbieter darf die von Linulo erwähnten Dinge wie IP, User-Agent und Referrer ohne vorherige Einwilligung des Nutzers erfahren, das ist nicht im Ansatz “OK”.

@Mario: Funktioniert so technisch nicht. Wenn man etwa von GoogleMaps oder Youtube irgendwelche Skripten herunterlädt, kann man nicht verhindern, daß die das Zeugs direkt von dort holen. Man kann einfach nicht alles über CGI-Proxy-Skripte holen.

Zweitens kann sich das nicht jeder leisten, weil das das Verkehrsvolumen und damit die Kosten massiv erhöht. Denk mal dran, wieviele Webserver schon Lastprobleme bekommen, wenn sie mal in der Presse oder so referenziert werden.

Drittens ist es urheberrechtlich nicht (immer) erlaubt.

Viertens stellt es fachliche Anforderungen, die nicht jeder beherrscht, und Konfigurationsanforderungen, die nicht jeder Hoster zuläßt.

Und davon ganz abgesehen möchte ich im Rahmen meiner Meinungs- und Wissenschaftsfreiheit meine Webseiten doch bitteschön so gestalten können, wie ich es möchte.

So ein Browser Plugin bzw. AddOn gibt es schon, z.B. https://addons.mozilla.org/de/firefox/addon/addthis/

In Kombination mit AdBlock, welches die ganzen Share und Like-Buttons rausfiltert und die Requests gar nicht erst losschickt, erhält der individuelle Benutzer volle Kontrolle.

Ist aber wahrscheinlich nicht massentauglich.

PS: Hier die “Social Media” AdbBlock-Liste: http://www.fixmbr.de/socialmediablock-filterliste-fuer-adblock-plus/

“Und davon ganz abgesehen möchte ich im Rahmen meiner Meinungs- und Wissenschaftsfreiheit meine Webseiten doch bitteschön so gestalten können, wie ich es möchte.”

“Deine” Webseite befindet sich allerdings im “öffentlichen Raum” und von daher geht das SO nicht.

“Das aber wäre verfassungswidrig, weil damit massiv in die Webseiteninhalte eingegriffen würde, darin läge eine Art Zensur und eine Verengung der Meinungsfreiheit.”

Imho eine ziemlich gewagte Konstruktion. Schliesslich erfordert es keinen erheblichen Extra-aufwand, Inhalte datenschutzkonform anzubieten. Bspw. die in den Kommentaren bereits genannten Snapshots für YT-videos incl. Link. In die INHALTE von Webseiten greift hier niemand ein, sondern in die Art der Einbindung der Inhalte.

@mike: Nein, so einfach ist es nicht. Die Meinungsfreiheit (und übrigens auch die Lehrfreiheit) umfassen auch das Recht der Gestaltung. Wenn ich beispielsweise irgendwelche Informationen geographisch darstellen will, ist es ein Riesen-Unterschied, ob ich diese als Karte in den Text packe und damit unmittelbar visualisiere, oder ob ich den Leser in einem optisch tumben Text auffordere, mal zu klicken. Das ist ein Riesen-Unterschied.

Davon ganz abgesehen ist es technisch unrichtig. Denn mit einer in meine Webseite eingebetteten Karte kann man per Google-API und Javascript sehr viel mehr anpassen und anzeigen, als mit dem Verweis auf eine externe Seite. Manches geht mit dem Verweis gar nicht. Insofern ist es schon deshalb ein Eingriff in den Inhalt. In einer Karte, auf die man per externen Link zeigt, kann man sehr viel weniger darstellen. Es ist mir unklar wie Du zu der Ansicht kommst, daß eine externe Seite, auf die man verweist, gleichwertig wäre.

Ihre Einwände zum CGI-Proxy sind richtig, ich habe allerdings nirgendwo geschrieben, man könne damit ALLE Probleme lösen. Ich habe nur verschiedene Möglichkeiten aufgezeigt. Ob das zulässig ist oder nicht, muss der Webseitenbetreiber im Einzelfall prüfen. Nur weil eine Lösung in einem Fall nicht klappt, heißt das nicht, dass sie deshalb nicht zur Anwendung kommen könnte.

Und ja, jedermann darf seine Webseite gestalten, wie er mag. Aber: Das Argument der “Meinungs- und Wissenschaftsfreiheit” ist teilweise (!) unpräzise:

Die Meinungsfreiheit findet laut Grundgesetz “ihre Schranken in den Vorschriften der allgemeinen Gesetze”. Hier also in den Gesetzen zum Datenschutz. Es schränkt Ihre Meinungsfreiheit nicht ein, wenn Sie den Nutzer darauf hinweisen müssen, dass Daten zu Drittanbietern übertragen werden und sein Einverständnis einholen müssen, bevor dies geschieht.

Außerdem gibt es in diesem Fall gesetzliche Regelungen zur “Datenverarbeitung im Auftrag” (siehe § 11 Bundesdatenschutzgesetz). Dann kann auch ein Eintrag im Impressum ausreichen.

Fazit: Die Meinungsfreiheit ist hier zwar in Einzelfällen gesetzlich eingeschränkt, aber nicht in verfassungswidriger Weise.

Es schränkt die Meinungsfreiheit auch nicht ein, wenn ein Webseitenbetreiber YouTube Videos über AJAX/JavaScript auf Anforderung nachlädt.

Bleibt also nur noch die Freiheit der Forschung und Wissenschaft. Die unterliegt in der Tat keinen Einschränkungen. Hier käme es also auf den Einzelfall an, ob Sie sich darauf berufen können, denn:

Aus “ich habe studiert” und “hier ist mein Blog” folgt noch lange nicht, dass daher alle Artikel im Blog dem vom Grundgesetz geschützten Bereich von “Kunst”, “Forschung”, “Wissenschaft” oder “Lehre” zuzuordnen sind.

Fazit: Auch Wissenschaftler, die ihre Meinung äußern, haben in manchen Details unliebsame und nervige Gesetze zu befolgen, ohne dass damit gleich ihre Grundrechte mit Füßen getreten würden.

@Mario: Schon mal drüber nachgedacht, daß die Proxy-Lösung datenschutztechnisch noch viel schlechter ist? Dann nämlich bin ich es der die Benutzerdaten nach Amiland überträgt. Habe ich aber eine eingebettete Karte, ist es der Browser des Nutzers selbst.

Nicht alles, was sich schlau anhört, ist auch schlau. Die Proxy-Lösung ist es sicherlich nicht.

Ich habe in kleinerem Kontext eine ähnliche Diskussion führen müssen und meinen damaligen Standpunkt mal dokumentiert: http://wiki.piratenpartei.de/Benutzer:Tarzun/Standpunkte/Embedding – Am Ende läufts wie bei Dir darauf hinaus, das Embedding entweder akzeptiert (und per Aufklärung/Browsertechnologie “abgemildert”) wird oder das man es schlicht verbieten und damit das Internet dichtmachen muss. Naja, oder man ignoriert das Gebelle der Weicherts dieser Erde…

Denn mit einer in meine Webseite eingebetteten Karte kann man per Google-API und Javascript sehr viel mehr anpassen und anzeigen, als mit dem Verweis auf eine externe Seite. Manches geht mit dem Verweis gar nicht.

Versteh ich beim besten Willen nicht. Um eine embedded-version einer Karte zu bekommen, muss ich doch auch erst auf der Original(!)seite mir die Karte so zurechtklicken, wie ich sie für meine Webseitenbesucher embedden möchte?
Hast Du da mal ein konkretes Beispiel, welche Karten von Bing, Google-maps, OSM usw. im Original schlechter sind als in der Einbindung?
Oder versteh ich Dich nur falsch?

Schon mal drüber nachgedacht, daß die Proxy-Lösung datenschutztechnisch noch viel schlechter ist?

Ich heisse zwar nicht Mario, aber datenschutzrechtlich ist bei einem Proxy alles im grünen Bereich. Da werden keine Daten ohne Einverständnis irgendeines Beteiligten übertragen. (Wenn wir mal kompetente Webdeppen ausser acht lassen, deren Wissen das programmieren einer Proxylösung nicht übersteigt)
Sollte ich hier wieder auf der leitung stehen wäre ich interessiert an Deiner Meinung, inwiefern das freiwillige Verschenken MEINER Daten schlechter ist, als das unfreiwilliger Verschenken der daten meiner Kunden/Besucher.

@mike: Sorry, wenn ich Dir’s so direkt sage: Aber Du hast diverse Dinge am Web nicht richtig verstanden und stehst auf mehreren Leitungen:

• Bei GoogleMaps liegst Du falsch. Du verwechselst (oder hältst irrtümlich für dasselbe) die bekannte Webapplikation GoogleMaps mit dem darunterliegenden Javascript-API (siehe u.a. http://code.google.com/apis/maps/documentation/javascript/ ).

  Freilich kann man auf die von Dir erwähnte Art Karten zusammenklicken, wenn einem das reicht. Man kann aber auch über das API selbst Funktionen erstellen, die über die Zusammenklickerei nicht möglich sind. Interaktive oder dynamisch erzeugte Karten, beispielsweise. Eigene Overlays. Eingabemöglichkeiten. Und vieles andere mehr. Und diese Möglichkeiten fehlen eben, wenn man nur auf eine externe Karte verlinkt.

  Es geht auch nicht darum, daß die Karten schlechter sind. Die Kartenkacheln sind die gleichen. Es geht darum, daß die Funktionen fehlen, die man über das API hat. Solange man nur eine einfache, tote Karte mit ein paar Fähnchen anzeigen will, mag die Klickerei reichen – hat aber wiederum den Nachteil, daß man dazu einen Google-Account braucht und die Kartendaten bei Google speichern oder zumindest über die Google Cloud umlenken muß, weil viele Kartenberechnungen dann nicht im Browser, sondern in der Google Cloud stattfinden und nur die Ergebnisse beim Browser landen. Was – nebenbei gesagt – datenschutzrechtlich viel schlechter sein kann, Du es aber eben nicht bemerkst.

  Dein Vorschlag beruht also auf unvollständigem Wissen und ist so nicht realisierbar, es sei denn, man verzichtet auf viele Darstellungsmöglichkeiten. Zumal man damit die Sache datenschutzrechtlich noch verschlimmern kann.

• Ein Proxy funktioniert nicht so, wie Du Dir das vorstellst.

  Sicher kann man einen Proxy aufsetzen. Es bringt nur in der Regel nichts, aus zwei Gründen.

  Der erste Grund ist, daß auch bei einem Proxy Daten durchgeleitet werden. Es ist ein Trugschluß anzunehmen, daß ein Proxy alles anonymisieren würde. Tut er nicht.

  Der zweite Grund ist, daß der Proxy erst dann verwendet würde, wenn man den Browser dazu bringt, ihn zu verwenden. Und das geht im Allgemeinen nicht. Denn wenn man beispielsweise die GoogleMaps API runterlädt, dann holt man ein JavaScript-Modul von Google, was dann den Rest erledigt. Selbst wenn man das lokal spiegelt oder durch einen Proxy leitet, würde das nichts daran ändern, daß dieses Initialisierungsskript den ganzen Rest direkt von Google holt, denn man bringt es ja nicht dazu, einen Proxy zu verwenden. Proxies müssen entweder direkt im Browser eingetragen werden (was die Webseite glücklicherweise nicht kann), oder man muß alle URLs verändern, was bei nachladenden Skripten nicht funktioniert.

  Und selbst wenn man es könnte, würden viele Webseiten dadurch nicht mehr funktionieren, weil viele Webseiten mit den veränderten URLs nicht klarkommen. Ich habe mal versucht, die Admin-Schnittstelle für dieses Blog hier per proxy auf HTTPS umzulenken, funktioniert aber nicht. Erzeugt jede Menge Fehler, weil die WordPress-Software damit nicht klarkommt, wenn die URLs verändert sind. Zumal man auch in den Antwortseiten alle Links (etwa auf eingebettete Bilder) verändern müßte.

  Es funktioniert technisch einfach nicht. Aber um das zu verstehen, braucht es einiges Fachwissen.

• Daß bei Proxies „alles im grünen Bereich” wäre ist reiner Unfug. Das Gegenteil ist der Fall. Denn wenn man einen solchen Proxy betriebe, wie Du es Dir vorstellst (von der technischen Problematik mal abgesehen), würde man damit ja gerade Daten des Nutzers an Dritte übertragen, ohne daß der Nutzer das merkt oder blockieren kann. Deshalb muß die Kontrolle beim Browser verbleiben. Ich halte das für genau den falschen Weg – und ein Torheit.

Sorry, aber informier Dich doch erstmal über die Technik, bevor Du solche Behauptungen aufstellst. Es kostet mich unheimlich Zeit, all diese Irrtümer aufzuklären, weil Leute mal drauflosbehaupten, ohne sich näher damit befaßt zu haben.

Ich widerhole mich nochmal, auch wenn ich den Eindruck habe, bewusst falsch verstanden zu werden:

1.) Die meisten Medien lassen sich per AJAX/JavaScript nachträglich auf Benutzeranforderung einbetten. Das ist die sauberste Lösung. Nehmen sie mal die Benutzer mit Volumentarif, die ihr Mobiltelefon als Modem an den Laptop klemmen. Wollen die immer die bunten Karten sehen? Wollen die immer, das irgendein Video sofort im Hintergrund nachläd? Wollen die immer ihr teuer bezahltes Volumen aufbrauchen, nur weil mehrere Megabyte an Googlemaps oder Youtube im Hintergrund übertragen werden? Nein. Schon aus Rücksichtnahme ist also das nachträgliche Einbetten in meinen Augen eine Form der Rücksichtname.

2.) KLEINE Dateien/Datensätze KÖNNEN in MANCHEN Fällen über einen CGI-Proxy nachgeladen werden, wenn man unbedingt auf einen reinen Link verzichten muss/möchte.

3.) Bleibt immer noch die Möglichkeit, einen Vertrag zur “Datenverarbeitung im Auftrag”. Dann ist Einbetten absolut kein Problem mehr.

Nochmal: Ich habe Möglichkeiten aufgezeigt. Zu deren Sinn oder Unsinn habe ich mich niemals geäußert.

Wenn ich schon Daten von Dritten speichern lasse, muss ich mich gefälligst um Datenschutzrechtliche Fragen kümmern. Einfach trotzdem einbetten und dann auf “Meinungsfreiheit” oder “Forschungsfreiheit” pochen, ist eine billige und abgedroschene Phrase. Dass diese Rechte durch die gegenwärtigen datenschutzrechtlichen Anforderungen nicht eingeschränkt werden, habe ich bereits erwähnt.
“Meinungsfreiheit” oder “Forschungsfreiheit” sind in meinen Augen daher hierbei ein klassisches, inhaltsleeres Totschlagargument.

@mario: Durch Wiederholen wird’s auch nicht besser oder richtiger.

• Ich stimme Dir insoweit zu, als manche Medien dazu gebracht werden könnten, erst auf Benutzeranforderung eingebettet zu werden.

  Trotzdem halte ich es für unsinnig.

  Erstens weil nicht alle Funktionen „eingebettete” sind. Es gibt auch Funktionen, die für das gesamte Erscheinungsbild der Seite benötigt werden und nicht nur für ein eingebettetes Video oder eine Landkarte. Und da würde man die Nutzbarkeit der Seite beeinträchtigten, wenn man jedesmal vorher erst eine Freigabe erteilen müßte. Unzumutbar und Publizität verletzend.

• Selbst wenn die nachträgliche Einbettung im Einzelfall technisch möglich ist, wird sie von den Anbietern so nicht unterstützt, weil es eine spezifisch deutsche/europäische Anforderung wäre, die die nicht interessiert. Die wenigsten Webseitenautoren verfügen aber über die Fähigkeiten, Javascript so umzustricken, daß es zu einer nachträglichen Einbettung käme. Und selbst wenn sie es fachlich könnten, heißt das noch lange nicht, daß es für sie auch möglich wäre, weil sie nicht in die Software des Hosters eingreifen könnten oder irgendwelche Content Management Systeme umstricken. Das Ansinnen ist naiv.
• Die Problem, die Du ansprichst (mobil,…) sind berechtigt. Aber Deine Lösungsvorschläge sind falsch. Das Problem muß im Browser gelöst werden und nicht vom Webseitenanbieter. Denn wenn der Webseitenanbieter im Ausland ist, hast Du auch gar nichts davon.
• Zum CGI-Proxy siehe meine Antwort an mike. Funktioniert technisch einfach nicht und ist datenschutzrechtlich noch schlimmer.
• Den Vertrag zur Auftragsdatenverarbeitung kannst Du dir an den Hut stecken. Aus mehreren Gründen.

  Erstens geht es hier ja um Inhalte, deren Anbieter im Ausland sitzen, meistens außerhalb Europa. Die kennen solche Verträge nicht, weil es dort solches Datenschutzrecht nicht gibt.

  Zweitens verbietet deren Recht bzw. deren Geschäftssituation den Abschluß solcher Verträge mitunter, etwa um Haftungen auszuschließen. Oder weil sie nur Verträge mit Partnern eingehen dürfen, die ihrerseits das dortige Recht beachten, etwa Sarbanes-Oxley, was wiederum mit unserem Datenschutzrecht kollidieren kann. Es ist wegen kollidierendem Recht häufig unmöglich, solche Verträge abzuschließen.

  Drittens kannst Du andere nicht dazu zwingen, mit Dir einen Vertrag einzugehen. Google, Youtube usw. denken nicht im Traum daran, mit jedem deutschen Blogger einen Vertrag abzuschließen, nur damit der eine Landkarte in sein Blog packen kann. Die sagen nimm’s wie es ist oder laß es bleiben. Die Vorstellung mit der Auftragsdatenverarbeitung ist naiv.

  (Ich war fast drei Jahre in einer Rechtsabteilung und habe dabei auch häufig mit solchen Verträgen zur Auftragsdatenverarbeitung zu tun gehabt und die Sicherheitsanforderungen darin formuliert. Das ist alles sehr viel schwieriger, als Du Dir das vorstellst, selbst im professionellen Bereich, wo beide Seiten einen Vertrag haben wollen.)

• Du hast keine Möglichkeiten aufgezeigt. Du hast Deine Ideen und Vorstellungen vorgetragen, und die funktionieren so eben nicht. Weil sie auf Halbwissen beruhen, was bekanntlich gefährlich ist.

Zu Google Maps, Youtube, etc.:

Man kann ggf. aber für alle diese Dienste Zwei-Klick-Lösungen implementieren. Copyrightmäßig ist es für Google Maps zB ok, eine Grafik einzubinden, solange die Copyrighthinweise nicht wegretuschiert werden!

“Effektiv müßte das alles im Browser implementiert werden, der dann einfach Daten aus USA nicht holt bzw. dorthin keine Requests, Cookies usw. schickt.”

Was man ggf. über Datenschutzannotationen an den entsprechenden Elementen steuern könnte.

“Es gibt eine Reihe von Javascript-Libraries, die einem den Aufbau von Webseiten erleichtern. Graphik, Funktionen, Editoren, Blog-Plugins usw. usw., und nicht immer werden die auf den lokalen Server kopiert, sondern teils auch direkt vom Anbieter heruntergeladen.”

Hattest Du sowas nicht neulich als unüberschaubar unsichere Methode der Software-Verteilung kritisiert? Dem könnte man ja beikommen, in dem eine Website eine bestimmte Version einer Lib einbindet, und zwar über Hashwert spezifiert (jetzt einfach mal angenommen, Hashes sind kollisionssicher). Wenn die Lib schon im Cache ist, kann man die verwenden (und zwischengespeicherten JIT-Code etc. dafür). Wenn nicht, lädt man sie bitteschön vom Server der Website nach.

@Jens: Freilich ist es unsicher bezüglich Fälschung usw. Aber nicht jede Webseite stellt Sicherheitsanforderungen. Und nicht jeder Blogger kann eine Entwicklungsabteilung wie eine Bank bezahlen. Daß ich es für unsicher halte heißt ja nicht, daß es das nicht gibt.

Beispielsweise hielte ich es für unvertretbar, in eine Telebanking-Seite Googlemaps oder Youtube einzubinden. Hier im Blog tue ich es aber. Weil die Sicherheitsanforderungen ganz anders sind.

@Hadmut: Ich habe nicht behauptet, daß sich Webinhalte disjunkt in Content und Spionage trennen lassen, aber selbstverständlich kann man bei den allermeisten Spionagefunktionen feststellen, dass sie dem User absolut nichts bringen. Das Cookie von doubleclick bringt ihm genausowenig wie der Webbug von IVW. Hast du dir mal angeschaut, wohin deine HTTP-Requests so gehen? Um dir die gewünschten Seiten anzuzeigen würden 10% davon locker reichen.

Natürlich gibt’s immer noch Data Mining bei Amazon und YouTube, wenn man die entsprechenden Seiten ansurft, aber das ist derzeit das deutlich kleinere Übel.

P.S.: Ich bin seit den Anfängen des Internets im Geschäft und weiß glaube ich ganz gut, was so zwischen Browsern und Servern passiert.

@Linuio: Du hast aber so argumentiert.

Und natürlich würden 10% reichen (weshalb ich ja auch ziemliche Werbe- und JavaScript-Blocker einsetze).

Das Dumme daran ist nur, daß sich die Datenschützer-Angriffe nicht auf die restlichen 90% beschränken, weil ihre Argumentation nicht so gebaut ist, daß sie an dieser Grenze halt macht. Die Argumentation betrifft auch Seiten aus den 10%, und dann fühle ich mich in meiner Meinungs-, Wissenschafts- und Informationsfreiheit angegriffen.

Das Problem muß im Browser gelöst werden und nicht vom Webseitenanbieter.

Dir ist offenbar nicht aufgefallen, dass das hier keiner bestreitet. Aber: solange das Problem im Browser nicht gelöst ist, muss es der Betreiber lösen. Eben durch 2-Klicklösungen etc.
Ich habe btw. immer noch nicht verstanden, was konkret gegen 2-Klicklösungen spricht. Mal als Beispiel eine Webseite mit mehreren Embedded-YT-Videos, da kann man mit bösen bösen Cookies nachhelfen, dass aus der 2-Klick-lösung eine einmal-Klicklösung wird. Das problem ist genau wo?
Hast Du konkrete Webseiten-Beispiele, wo eine 2-Klicklösung für den Benutzer unzumutbar wäre?
Zu google-maps: Ich wusste nicht, dass das Fähnchen- und Schnickschnacksetzen bei den Google-maps nur eingebettet geht, nicht auf der (evtl. zu verlinkenden) Googleseite. Is nich meine Baustelle. Bei OSM geht sowas. Sogar ohne Konto.

Selbst wenn die nachträgliche Einbettung im Einzelfall technisch möglich ist, wird sie von den Anbietern so nicht unterstützt, weil es eine spezifisch deutsche/europäische Anforderung wäre, die die nicht interessiert.

Wen meinst Du mit Anbieter? Webseite A, die Angebot von Webseite B einbindet? Oder Webseite B?

Den Lösungsansatz in den Browser tun ist schwierig. Es ist ja bereits jetzt möglich, ohne Cookies zu surfen, auf den Seiten, die sich das gefallen lassen. Die Leute machen es halt nicht.

Alleine darum geht es doch. Es sind sehr viele Idioten unterwegs die überhaupt kein Interesse daran haben, sich wirklich damit auseinanderzusetzen, was sie da tun. Der Computer soll “einfach funktionieren”. Und ich gehe davon aus, dass das meiste Geld mit ebensolchen Leuten gemacht wird, und sich die meisten Anbieter ein Fernbleiben anderer Leute leisten können.

Wenn die Lösung nicht idiotensicher ist, reicht sie nicht aus, denke ich.

Übrigens zum Thema Cookies: Bei dir kann man auch nicht kommentieren ohne Cookies. Und JavaScript. Bei Ebay kann man nicht bieten. Google ist noch so freundlich wenigstens das Suchen zu erlauben.

Als einer der “vielen Idioten die unterwegs sind” wollte ich Euch fragen was so schlimm daran ist, das Drittanbieter an meine Daten kommen. Ich sehe einfach die daraus angeblich resultierende Gefahr nicht und kann das ganze Gereden nicht nachvollziehen.
Ich will verstehen warum sich so viele aufregen, aber dennoch mitspielen.
Ich würde auch gerne wissen wer von euch auf nein Klickt, wenn er gefragt wird ob er die auf der Webseite eingebundenen Inhalte sehen möchte und sich damit den bösen Datendieben schutzlos aussetzt.

Als Idiot möchte ich nochmal erläutern wie wir Idioten denken, damit ihr verstehen könnt wie vollkommen egal uns es ist das Google weiss das wir bei Amazon Musik CDs und bei Ebay gebrauchte Socken erwerben.
Solange wir keinen eindeutigen Nachteil durch den Datenmissbrauch haben, wird er einfach geduldet. Es soll Menschen geben die freuen sich über individuell zugeschnittene Werbung, da sie es als Kaufempfehlung sehen.

Und obwohl ihr Recht habt ist uns uns einfach egal !

Sorglosigkeit und Dummheit sind manchmal ein Segen

@Andre:
Nehmen wir an, Du willst für Wohneigentum einen Kredit aufnehmen. Dann kann eine Bank ebenfalls ein “personalisiertes” Angebot erstellen. Das kann dann z.B. auch bedeuten, dass Du nur deutlich schlechtere Konditionen bekommst, als Leute, über die Sie noch nichts wissen. Klassisches Beispiel: Wohngegend (ist ja jetzt schon so, und lässt sich auch nicht vermeiden – finde ich aber sehr unschön). Wenn man in einer Gegend mit vielen Bonitätsschwachen wohnt, wird man automatisch als Bonitätsschwach eingestuft – trotz Vorlage von guten Gehaltsnachweisen etc. und erhält dann schlechtere Konditionen (Risikozuschlag). D.h. hier muss man also selbst recherchieren, wo man überhaupt wohnen darf. Nun gibt es natürlich noch viele weitere Parameter, die irgendwie bewertet werden (was man z.B. einkauft: ob neu oder gebraucht). Das Bewertungschema kennt man dann aber nicht und kann sich so auch nicht mal darauf einstellen.

Anderes Beispiel: Private Krankenversicherung. Auch hier kann man wegen Korrelationen schlechter abschneiden als nötig.

Prinzipiell gilt natürlich, dass man mit Daten auch einen für sich selbst positiven Effekt erreichen kann. Auf so ein Glücksspiel will ich mich aber nicht einlassen – sondern eben selbst bestimmen, auf Grundlage welcher Daten ein Gegenüber mich bewertet.

So ein Browser Plugin bzw. AddOn gibt es schon, z.B. https://addons.mozilla.org/de/firefox/addon/addthis/

In Kombination mit AdBlock, welches die ganzen Share und Like-Buttons rausfiltert und die Requests gar nicht erst losschickt, erhält der individuelle Benutzer volle Kontrolle.

Ist aber wahrscheinlich nicht massentauglich