Akismet und der Datenschutz in Europa

Seit 2008 freier Webworker mit Schwerpunkt auf journalistischer Berichterstattung und (Online-)PR. Täglich...

 Sponsorenliebe

Endlich smarte Buchhaltung!

We Billing

Nachdem vor etwas längerer Zeit schon “Google Analytics” im Zusammenhang mit dem Datenschutz in die Diskussion geraten ist, wird seit ein paar Tagen auch über den von Automattic für WordPress angebotenen Anti-Spam-Dienst “Akismet” diskutiert. Das Problem ist die Übermittlung von Daten über europäische Grenzen hinweg und die unterschiedlichen Datenschutzniveaus in Europa und den USA. Sowie die Pflicht zur Auskunft durch den Webseitenbetreiber.

Situation

Aufgebracht wurde die Diskussion von S. Müller, Entwickler einiger WordPress-Plugins. Seiner Aussage nach übermittelt das Akismet-Plugin umfangreiche Datensätze an die Server von Automattic. Dazu gehört unter anderem die IP des Kommentators, der Kommentar, die angegebene Mailadresse, die URL und weitere Daten des Kommentierenden sowie Daten über den Server und das Blog auf dem Akismet eingesetzt wird.

Umstrittene Rechtslage

Wie auch schon in der Diskussion um Google Analytics ist die Rechtslage noch unklar. Bisher stehen nur drei Gerichtsturteile im Raum, die eine Stellung beziehen. Während Berliner Land- und Amtsgerichte die IP als personenbezogen ansehen und sich umfänglich auch mit dem Datenmissbrauch auseinandergesetzt haben, steht einzig das Münchener Landgericht mit einer lapidaren Begründung dagegen.

Die Einordnung von IP-Adressen als personenbezogene Daten ist folglich weiterhin juristisch umstritten. Allerdings ist eine negative Tendenz erkennbar, welche die Einordnung als personenbezogene Daten vorsieht. Folglich auch die Nutzung entsprechender Dienstleister zu einem rechtlichen Aspekt macht. Eine genaue Konstellation der Situation kann auch in einem ausführlichen Artikel bei medien-gerecht nachgelesen werden.

Weiterhin gilt diese Rechtslage allerdings nicht nur für Deutschland. Für Österreich gilt gleiches und in der Schweiz ist die Definition noch um ein Wesentliches enger gefasst worden. Außerdem müssen Schweizer Unternehmen noch wesentlich aktiver über entsprechende Datenverarbeitungen informieren. In ganz Europa bestehen in der Regel ganz ähnliche Richtlinien.

Von Akismet abgefangener Spam bei Dr.Web

Von Akismet abgefangener Spam bei Dr.Web

Akismet abschalten?

Wer Akismet auch weiterhin einsetzen will, dürfte aktuell noch keinen Problemen entgegen sehen und kann das Plugin vorerst ohne größere Bedenken weiter einsetzen. Zur Absicherung ist allerdings ein Hinweis in der Datenschutzerklärung ratsam. Eine Vorlage mit den relevanten Daten hat dazu das Blog “Datenwachschutz” zusammengestellt. Diese kann nach eigenem Ermessen noch um einen Link auf die Privacy Policy von Automattic ergänzt werden.

Generell sollte bei der Verwendung entsprechender Dienstleistungen nicht nur auf Grund von rechtlichen Vorgaben ein Hinweis gegeben werden. Den Nutzern eines Angebots die Transparenz in Bezug auf verwendete und weitergegebene Daten zu ermöglichen, schafft Vertrauen und kann negativen Folgen durchaus vorbeugen.

Bei Heise ist jedenfalls noch abschließend zur Diskussion in Sachen “Google Analytics” ein Statement des Bundesverband Digitale Wirtschaft (BVDW) zu lesen, der in Sachen “Google Analytics” nochmal explizit auf die Terms of Service von Google verweist. Eine entsprechende Verpflichtung durch Automattic besteht allerdings nicht und so bliebe nur der rechtliche Zwang.

Nicht nur Akismet

Bei der gesamten Diskussion wird gerne vergessen, dass nicht nur die Marktführer entsprechende Daten verarbeiten und speichern, sondern auch die vielen kleineren Dienstleister. Generell dürfte im Falle eines entsprechenden Urteils eine ganze Bandbreite von Dienstleistern betroffen sein.

Dazu gehören nicht nur Statistik-, Analyse- und Anti-Spam-Dienstleister. Auch die von externen Dienstleistern eingebundenen Angebote wie Galerien, Videos und Widgets könnten innerhalb der Datenschutzdiskussion relevant werden.

Verrückt machen lassen, sollte sich allerdings niemand. Wer sich in der Grauzone bewegen will, kann dies bisher ungestraft tun. Noch sind auch in puncto Google Analytics noch keine Abmahnungsfälle bekannt.

Was passiert wenn?

Sollten IP-Adressen tatsächlich als personenbezogene Daten gewertet werden, wird ein Datenschutzhinweis nicht mehr ausreichen. Zumindest für Unternehmen aus der EU gelten bei der Datenübermittlung strengste Richtlinien nach dem EG-Recht, die in den USA in gleichem Umfang nicht zwingend vorgeschrieben sind und so eine Datenübermittlung illegal werden lassen.

Die einzige Ausnahme bietet die Safe-Harbor genannte Datenschutz-Vereinbarung der EU mit den Vereinigten Staaten. Diese können Unternehmen freiwillig erfüllen und so einen legalen Datenaustauch gewährleisten. Dabei steht wieder die Frage des hinter der Webseite stehenden Betreibers im Raum. Kommerziell, privat oder irgendwo in der Grauzone?

Für Google Analytics würde dies maximal die Verpflichtung zum Datenschutzhinweis umfassen. Bei Automattics Akismet wäre die Datenübermittlung nach derzeitigem Stand illegal. Lediglich der Beitritt zum Safe-Harbor würde dem Dienst wieder die notwendige Legalität verpassen.

Akismet-Einsatz im Dr. Web Magazin

Auch hier bei Dr. Web wird Akismet eingesetzt, um Spam auszusortieren. Wie man an obiger Grafik sieht, treffen teilweise täglich viele hundert Spam-Kommentare ein. Das Aussortieren von Hand, so dürfte jedem schnell klar werden, ist praktisch unmöglich. Die Abschaltung von Akismet hätte einen sinnlosen Mehraufwand zur Folge, den kaum ein Seitenbetreiber ohne externe Hilfe bewältigen kann. Immerhin können kleinere Publikationen komplett auf Moderation umstellen. ™

Florian Fiegel

Seit 2008 freier Webworker mit Schwerpunkt auf journalistischer Berichterstattung und (Online-)PR. Täglich konfrontiert mit unzähligen Tools und Technologien im Web.

39 Kommentare

  1. Akismet hat noch weitere entscheidende Nachteile, denn wenn ich bei einem Kommentar unseren Blog als Website eintrage, verschwindet der Kommentar als Spam.

    Warum? ganz einfach!

    Man kann durch Akismet die Konkurrenz oder Blogger, die man nicht leiden kann, in die Spamliste bringen.

    Wie geht das? ganz einfach!

    Probiere mal folgendes aus:

    1. Schreibe mal in deinem Blog zwei Kommentar mit einem fantasie Namen, fantasie eMail, fantasie Domain.

    2. Makiere diese Einträge bei Akismet als Spam.

    3. Schreibe zwei oder drei weitere Kommentare (die aus Müll bestehen) mit den gleichen fantasie Angaben in verschiedenen anderen Blogs die Akismet benutzen.

    Du wirst sehen, mit der fantasie Domain ist es nicht mehr möglich in einem Blog zu kommentieren, der Akismet nutzt.

    Dies kann natürlich durch “böse Buben” genutzt werden, um Blogger in die Spamliste zu bringen.

  2. wow, ich habe von der ganzen sache gar nichts mitbekommen.

    was kann denn passieren, wenn die ganze sache tatsächlich als illegal eingestuft wird? muss man dann etwa als blogbetreiber und askimet nutzer mit einer strafe rechnen?

    also wenn ich den artikel richtig verstehe, dann MUSS ich einen datenschutz einfügen, wenn ich das plugin und/oder google analystics nutze?

    das ist ein ganz schöner aufstand wegen datenschutz, während der staat bundestrojaner herumschickt und alle möglichen daten im namen der sicherheit speichert…

  3. Ich möchte noch einmal die oben erwähnte Problematik, dass man bei WordPress-Versionen vor 2.7 die als Spam markierten Beiträge nur mit Akismet anzeigen lassen kann, ansprechen. Gibt es denn wirklich kein Plugin, mit dem der Zugriff auf diese Daten und vielleicht sogar das Freischalten möglich ist?

  4. Danke für den informativen Artikel und die interessante Kommentardiskussion.

    Ich denke, dass Datenschutzproblem lässt sich wie bei Google Analytics durch eine Nennung der Datenübermittlung in die USA an in der Datenschutzerklärung lösen (siehe z.B. meine Datenschutzerklärung unter http://www.webseiten-infos.de/home/datenschutzerklaerung/#Kommentare).

    Hier wurde zu Recht auf die völlig unterschiedlichen Ansätze und Wirkung gegen verschiedene Spamarten von Akismet und Antispam Bee hingewiesen. Erfreulicherweise scheinen sich die beiden Antispam-Plugins miteinander zu vertragen, so dass ich derzeit beide parallel einsetze.

  5. @Rene
    Hast du treffend zusammengefasst.

    @Matthias
    Im Blog von Datenwachschutz (Link oben im Artikel) gibt es einen Hinweis darauf, wie man als Dritter herausfinden kann, ob ein Blog Akismet on Board (muss aber nicht gleich aktiv sein) hat.

  6. Wie bekommen denn die Webseitenbesucher raus ob man Akismet benutzt oder nicht?
    Ansonsten kann man das doch einfach im Hintergrund laufen lassen, ohne das jemand davon irgendetwas merkt. Oder etwas nicht?

  7. @Sergej: Ich weiß, das ist das, was ich mit “beide Plugins (sind) vom Effekt her (begrenzt) vergleichbar” meine. Aber die Resultate beider Plugins müssen unterschiedlich sein, weil beide Plugins völlig verschieden arbeiten. Der Ansatz von Akismet ist z.B. gut geeignet für Blogs mit sehr hohem Kommentaraufkommen, weil diese auch Ziel von manuellen Spammern sind. Daher finde ich es nicht richtig, beide Plugins auf eine Stufe zu stellen.

    Ich weiß auch, dass Dir der Unterschied zwischen beiden Plugins bekannt ist und Du auch nichts anderes behauptest. Hätte mich auch gewundert 🙂 Der Kommentar von André hat mich dazu bewogen, mir das Plugin näher anzusehen, von wegen “Akismet weg, Antispam Bee rein und alles ist toll”.

    Völlig richtig: Am Ende ist es dem gemeinen Blogger natürlich egal, weil manueller Spam wahrscheinlich selten ist, insbesondere bei den Bloggern mit wenig Kommentaren. Aber es besteht ein großer technischer Unterschied zwischen beiden Plugins. Ich will wie gesagt hier keine absolute Wertung vornehmen, das liegt mir völlig fern. Ob das eine oder andere besser ist, weiß ich nicht, kann auch bei jedem Blog anders aussehen. Datenschutztechnisch scheint Antispam Bee besser, Akismet dagegen schlechter zu sein.

    Einen ähnlichen Ansatz wie Deinen hatte ich übrigens selbst schonmal ausprobiert, was recht gut geklappt hatte. Dafür hatte ich das Skript von WP für die Verarbeitung der Kommentare umbenannt. Spam war nahezu 0, bis auf die manuellen Spamkommentare. Ich würde aber nicht auf die Idee kommen, diesen Ansatz mit Akismet zu vergleichen. Das wäre so, als würde ich eine Axt mit einer Motorsäge gleichsetzen. Mir war es aber zu umständlich, bei jedem Update von WP die Datei umzubenennen, deshalb könnte Dein Plugin eine vernünftige Alternative *dazu* sein.

    Nach dieser Diskussion werde ich Akismet aber wohl auch erstmal entfernen. Der Anzahl der Kommentare in meinem Blog zufolge müsste Antispam Bee perfekt sein… lol

  8. Ich setze jetzt auch schon länger AntiSpam Bee ein und bin vollstens zufrieden. Alles wird gut aussortiert und bisher kein echter Spam, der sich durchgeschlichen hat. Unter den Spams kann man das ja noch kontrollieren und unspammen wenn von Nöten. Die Captchaabfragen (wenn vorhanden) können dann auch wieder deaktiviert werden. *dieeinemsowiesoaufdensenkelgehen*

  9. Rene, das sehe ich ein wenig anders. Das was du schreibst, hat sicherlich seine Richtigkeit. Auch der Vergleich der dahinterstehenden Technik trifft absolut zu. Doch dem einfachen Blogger da draußen ist es nahezu latte, ob das bestimmte Antispam-Plugin Blacklisten abgleicht, heuristische Algorithmen verwendet oder Felder austauscht. Er will Ergebnisse sehen und sich um das Thema Spam keine Gedanken mehr machen.

  10. @Sergej: Das ist alles richtig, was Du sagst. Ein heuristischer Algorithmus ist IMHO nie 100% zuverlässig. Meiner Meinung nach funktioniert Akismet recht gut, vom Datenschutzproblem mal abgesehen. Was ich nur sagen will ist, dass wenn jemand Antispam Bee durch Akismet ersetzt (oder umgekehrt), er einen Apfel durch eine Birne ersetzt. Beide Plugins verfolgen einen völlig anderen Ansatz. Ich wage nicht zu behaupten, was besser ist, ich habe Dein Plugin nicht ausprobiert und ich habe auch keine Ahnung, was genau bei Akismet passiert. Vielleicht sitzen da ja 1000 Chinesen, die den manuellen Spam ihrer Landsleute wieder aussortieren…

    Begrüßen würde ich einen Ansatz, der Antispam-Regeln verteilt und die WP-Installationen bzw. -Plugins würden den Spam dann selbst aussortieren. Bedeutet weniger Traffic und mehr Rechenleistung, würde aber das Datenschutzproblem lösen.

  11. @Ad

    Du hast mich falsch verstanden 😉 ich habe YAWASP gegen Antispam Bee getauscht und brauche jetzt weder YAWASP noch Trackback Validation! Antispam Bee erledigt die Aufgaben beider Plugins zusammen…

    @Sven

    Wieso bist du skeptisch? Ich meine installiere es doch einfach und fertig. Du bist doch der WordPress Profi schlechthin und müsstest doch wissen das Akismet die Weisheit nicht mit Löffeln gefressen haben KANN!

    Ich habe Akismet damals aus Datenschutzgründen rausgeworfen und bin froh eine Alternative gefunden zu haben.

  12. @Sven
    Wo hast du zwischen den Zeilen meines Kommentars eine Behauptung rausgelesen, Antispam Bee sei besser als Akismet? Ich und andere Anwender des Antispam Bee Plugin halten es für eine durchaus ausgereifte Alternative, allerdings ob diese tatsächlich besser ist oder eher nicht, entscheidet jeder für sich.

    @Rene
    Das ist richtig, steht auch auch so auf der Beschreibungsseite des Plugin. Ich habe ja oben im Kommentar auch angedeutet, dass es auch auf die Größe und Popularität des Projekts ankommt. Da spielen auch andere Werte eine nicht unwichtige Bedeutung.

    Meiner Meinung nach, ist auch Akismet nicht in der Lage manuellen Spam effizient zu erkennen. Im Gegenteil: das Antispam-Plugin aus dem Hause Automattic setzt immer öfters echte Kommentare auf die Spamliste, was einen Mehraufwand für den Administrator bedeutet. Gegen händischen Spam in Blogs existiert bis dato kein Heilmittel, wobei doch, es gibt ein Plugin, ist aber noch sehr jung.

    Mit meinem smarten Plugin will ich doch nur aufzeigen, dass Spamschutz in WordPress auch ohne die mitgelieferte Software funktioniert. Klein, schnell, effektiv. Ob es einer in seinem Blog einsetzt oder eher bei dem Monster Akismet bleibt, ist seine Sache. Es geht mir darum, den Markt zu beleben. Meine Blogs sind seit 2 Monaten absolut clean, was ich auch euch vom ganzen Herzen wünsche.

  13. Interessante Diskussion. Als CEO von Automattic kann ich bestätigen dass Akismet keine Informationen abspeichert. Ein Kommentar plus meta-data wird an Akismet geschickt, Akismet macht die Spam-Analyse, schickt ein Urteil zurück, und Kommentar plus meta-data werden abgeworfen und vergessen. Wir machen das auch schon seit über 3 Jahren ohne Probleme.

  14. Ich habe mir Antispam Bee mal angesehen… Sergej, wir kennen uns und das soll keine Wertung sein. Ich habe Dein Plugin auch nicht ausprobiert. Soweit ich das sehen konnte sortiert das Plugin nicht wie Akismet Spam aufgrund einer heuristischen Erkennung des Kommentars aus. Es tauscht das “alte” Kommentarfeld gegen ein neues aus und schaut dann, ob Kommentare über das “alte” reinkommen. Je nach dem ist das dann Spam oder nicht. Das hilft IMHO gegen automatische Spambots, aber nicht gegen manuell abgesetzten Spam, dagegen hilft nur Heuristik. Insofern sind beide Plugins zwar vom Effekt her (begrenzt) vergleichbar, unter der Haube aber so unterschiedlich, wie es nur geht.

    Ich bin aber auch nicht unbedingt Anhänger von Akismet und die Tatsache, dass die Kommentare fröhlich durchs Netz geschickt werden versetzt mich nicht direkt in Hochstimmung 🙂 Wobei das nur meine persönliche Meinung ist. Im Moment sehe ich keine echte Alternative zu Akismet. Vielleicht sind die Kommentare hier Anstoß für eine deutsche Lösung, die dem deutschen Datenschutzgesetz entspricht.

  15. ich würde gern wissen warum sergej müller glaubt dass seine eigenentwicklung nach 2 monaten besser ist als akismet, das es 1. schon viel länger gibt und das 2. auf die weisheit der massen setzt (weshalb es daten braucht)? bin ob dieser sache eher unangenehm berührt.

  16. Da ich noch WordPress 2.3.3 benutze, macht mich Sergej Müllers Kommentar nachdenklich. Was passiert denn mit den z. B. von Antispam Bee als Spam markierten Kommentaren? Wenn sie nicht sofort gelöscht werden, dann müssen sie doch noch irgendwo abgelegt und somit auch wieder auffindbar sein – oder übersehe ich etwas? Bei dieser Gelegenheit: Danke an Sergej Müller für “Antispam Bee”, das ich seit heute anstelle von Akismet im Einsatz habe.

  17. @Hannes: Die unter dem Link zu findende Argumentation kann ich ehrlich gesagt nicht nachvollziehen. Eine IP-Adresse ist rein technisch gesehen eine Adresse für ein Gerät, aber nicht die Adresse eines Nutzers. Es gibt keine eindeutige Zuordnung zwischen IP-Adresse und einem bestimmten Nutzer. Man denke nur an NAT, Proxy-Server, dynamische IP-Adressen (z.B. können zwei IP-Adressen in der Statistik einem Anschluss zugeordnet werden, weil die Erhebung vielleicht von 12-13 Uhr lief und der Anschluss um 12:30 eine neue IP bekommen hat) etc. Hinter manchen IP-Adressen befindet sich der gesamte Kundenstamm eines Unternehmens oder die Mitarbeiter eines Unternehmens.

    Ich vergleiche das mit Autos: Derjenige, der das Auto fährt, muss nicht der Halter des Fahrzeugs sein und bei IP-Adressen ist die Lage IMHO ähnlich.

    Wenn ich mit einem Bus fahre (= NAT, Proxy) bin ich ja auch nicht automatisch der Busfahrer.

  18. Wow, danke für das Feedback. Auf Alternativen dachte ich in einem zweiten Artikel einzugehen. Aber schonmal danke für die tollen Hinweise. Steht nun mit auf meiner ToDo und kommt in der nächsten Zeit, steht auch höher als anderes Punkte. Weil aktueller.

  19. Ich habe auch ungefähr 3 Monate YAWASP benutzt aber bin zu AntiSpam Bee gewechselt weil das Plugin viel schlanker ist und seit der neuesten Version auch Trackback Validation unterstützt 😉 ich spare mir also 2 Plugins!

    PS: Außerdem kenne ich Sergej’s Plugins schon länger, hab 3 andere im Einsatz und vertraue lieber seinem Plugin, als Akismet, meinen Spam an.

  20. Die Abschaltung von Akismet bedeutet nicht gleich “Dunkelheit im Tunnel”. Es gibt auf dem Markt Alternativen (ob die von mir entwickelte oder andere), die ebenfalls zuverlässig und effektiv ihre Dienste leisten.

    Andererseits im Falle von Dr.Web würde ich wahrscheinlich auch auf den Rivalen setzen, da bereits Erfahrung damit gesammelt. Sobald man sich nicht jeden zweiten Tag die Liste mit Spamkommentaren durchschauen muss, ob da vielleicht doch echte Kommentare falsch markiert wurden.

    Ach, und wusstet ihr, dass bei WordPress kleiner 2.7 eine Verwaltung (ansehen, editieren, freischalten) von Spameinträgen ohne Akismet gar nicht möglich ist? Ist ein Kommentar manuell oder von einem Plugin als Spam markiert, so hat man Null Möglichkeiten sich diesen zwecks Weiterbearbeitung anzuschauen. So zwingt WordPress Blogger indirekt dazu, das hauseigene Antispam-Plugin zu nutzen.

  21. Habe Akismet mittlerweile gegen Antispam Bee ausgetauscht und bin 100% zufrieden 🙂 Es ist zumindest für mich also gar nicht notwendig die Kommentare überhaupt irgendwo hinzuschicken 🙂

  22. Hallo DrWeb Team,

    vielen Dank für diese Situationsanalyse. Meiner persönlichen Ansicht nach, sollte es bei beiden Diensten ( Akismet + Google Analytics ) genügen, einen entsprechenden Hinweis in der Rubrik “Datenschutz” einzubauen. Alles andere ist eher juristisch – bürokratischer Aufwand. User die unerkannt bleiben wollen – Warum auch immer ?! – bieten sich eh’ eine Vielzahl von Anonymisierungs-Tools.

  23. Danke für den Artikel und die Informationen, die mich ein weiteres Mal über den Einsatz von Akismet nachdenken lassen. Auch wenn ich den virtuellen Türwächter (noch) sehr schätze, wäre ich an einer Alternative, bei der es die oben beschriebenen Bedenken nicht gibt, interessiert. Seit einer Weile nutze ich ergänzend “Bad Behaviour”, das wohl recht gut wirkt. CAPTCHAs, Rechenaufgaben und ähnliches mag ich selber nicht und möchte derartiges meinen Besuchern auch nicht zumuten; auf Moderation möchte ich trotz der geringen Besucherzahl ebenfalls nicht umstellen. Der hier beschriebene Anti-Spam-Trick klingt gut; ich werde ihn prüfen. Welche Möglichkeiten zum Schutz eines WordPress-Blogs vor Spam gibt es noch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.