Akismet und der Datenschutz in Europa
Nachdem vor etwas längerer Zeit schon "Google Analytics" im Zusammenhang mit dem Datenschutz in die Diskussion geraten ist, wird seit ein paar Tagen auch über den von Automattic für Wordpress angebotenen Anti-Spam-Dienst "Akismet" diskutiert. Das Problem ist die Übermittlung von Daten über europäische Grenzen hinweg und die unterschiedlichen Datenschutzniveaus in Europa und den USA. Sowie die Pflicht zur Auskunft durch den Webseitenbetreiber.
Situation
Aufgebracht wurde die Diskussion von S. Müller, Entwickler einiger Wordpress-Plugins. Seiner Aussage nach übermittelt das Akismet-Plugin umfangreiche Datensätze an die Server von Automattic. Dazu gehört unter anderem die IP des Kommentators, der Kommentar, die angegebene Mailadresse, die URL und weitere Daten des Kommentierenden sowie Daten über den Server und das Blog auf dem Akismet eingesetzt wird.
Umstrittene Rechtslage
Wie auch schon in der Diskussion um Google Analytics ist die Rechtslage noch unklar. Bisher stehen nur drei Gerichtsturteile im Raum, die eine Stellung beziehen. Während Berliner Land- und Amtsgerichte die IP als personenbezogen ansehen und sich umfänglich auch mit dem Datenmissbrauch auseinandergesetzt haben, steht einzig das Münchener Landgericht mit einer lapidaren Begründung dagegen.
Die Einordnung von IP-Adressen als personenbezogene Daten ist folglich weiterhin juristisch umstritten. Allerdings ist eine negative Tendenz erkennbar, welche die Einordnung als personenbezogene Daten vorsieht. Folglich auch die Nutzung entsprechender Dienstleister zu einem rechtlichen Aspekt macht. Eine genaue Konstellation der Situation kann auch in einem ausführlichen Artikel bei medien-gerecht nachgelesen werden.
Weiterhin gilt diese Rechtslage allerdings nicht nur für Deutschland. Für Österreich gilt gleiches und in der Schweiz ist die Definition noch um ein Wesentliches enger gefasst worden. Außerdem müssen Schweizer Unternehmen noch wesentlich aktiver über entsprechende Datenverarbeitungen informieren. In ganz Europa bestehen in der Regel ganz ähnliche Richtlinien.
Von Akismet abgefangener Spam bei Dr.Web
Akismet abschalten?
Wer Akismet auch weiterhin einsetzen will, dürfte aktuell noch keinen Problemen entgegen sehen und kann das Plugin vorerst ohne größere Bedenken weiter einsetzen. Zur Absicherung ist allerdings ein Hinweis in der Datenschutzerklärung ratsam. Eine Vorlage mit den relevanten Daten hat dazu das Blog "Datenwachschutz" zusammengestellt. Diese kann nach eigenem Ermessen noch um einen Link auf die Privacy Policy von Automattic ergänzt werden.
Generell sollte bei der Verwendung entsprechender Dienstleistungen nicht nur auf Grund von rechtlichen Vorgaben ein Hinweis gegeben werden. Den Nutzern eines Angebots die Transparenz in Bezug auf verwendete und weitergegebene Daten zu ermöglichen, schafft Vertrauen und kann negativen Folgen durchaus vorbeugen.
Bei Heise ist jedenfalls noch abschließend zur Diskussion in Sachen "Google Analytics" ein Statement des Bundesverband Digitale Wirtschaft (BVDW) zu lesen, der in Sachen "Google Analytics" nochmal explizit auf die Terms of Service von Google verweist. Eine entsprechende Verpflichtung durch Automattic besteht allerdings nicht und so bliebe nur der rechtliche Zwang.
Nicht nur Akismet
Bei der gesamten Diskussion wird gerne vergessen, dass nicht nur die Marktführer entsprechende Daten verarbeiten und speichern, sondern auch die vielen kleineren Dienstleister. Generell dürfte im Falle eines entsprechenden Urteils eine ganze Bandbreite von Dienstleistern betroffen sein.
Dazu gehören nicht nur Statistik-, Analyse- und Anti-Spam-Dienstleister. Auch die von externen Dienstleistern eingebundenen Angebote wie Galerien, Videos und Widgets könnten innerhalb der Datenschutzdiskussion relevant werden.
Verrückt machen lassen, sollte sich allerdings niemand. Wer sich in der Grauzone bewegen will, kann dies bisher ungestraft tun. Noch sind auch in puncto Google Analytics noch keine Abmahnungsfälle bekannt.
Was passiert wenn?
Sollten IP-Adressen tatsächlich als personenbezogene Daten gewertet werden, wird ein Datenschutzhinweis nicht mehr ausreichen. Zumindest für Unternehmen aus der EU gelten bei der Datenübermittlung strengste Richtlinien nach dem EG-Recht, die in den USA in gleichem Umfang nicht zwingend vorgeschrieben sind und so eine Datenübermittlung illegal werden lassen.
Die einzige Ausnahme bietet die Safe-Harbor genannte Datenschutz-Vereinbarung der EU mit den Vereinigten Staaten. Diese können Unternehmen freiwillig erfüllen und so einen legalen Datenaustauch gewährleisten. Dabei steht wieder die Frage des hinter der Webseite stehenden Betreibers im Raum. Kommerziell, privat oder irgendwo in der Grauzone?
Für Google Analytics würde dies maximal die Verpflichtung zum Datenschutzhinweis umfassen. Bei Automattics Akismet wäre die Datenübermittlung nach derzeitigem Stand illegal. Lediglich der Beitritt zum Safe-Harbor würde dem Dienst wieder die notwendige Legalität verpassen.
Akismet-Einsatz im Dr. Web Magazin
Auch hier bei Dr. Web wird Akismet eingesetzt, um Spam auszusortieren. Wie man an obiger Grafik sieht, treffen teilweise täglich viele hundert Spam-Kommentare ein. Das Aussortieren von Hand, so dürfte jedem schnell klar werden, ist praktisch unmöglich. Die Abschaltung von Akismet hätte einen sinnlosen Mehraufwand zur Folge, den kaum ein Seitenbetreiber ohne externe Hilfe bewältigen kann. Immerhin können kleinere Publikationen komplett auf Moderation umstellen. (tm)
Über Florian Fiegel
Verwandte Artikel
(No Ratings Yet)
Es ist zumindest für mich also gar nicht notwendig die Kommentare überhaupt irgendwo hinzuschicken 
ich spare mir also 2 Plugins!
