© E-Commerce 2014 Internet Tracking in Österreich "Frontrunner" oder "late follower"? Hans G....

© E-Commerce 2014

Internet Tracking in Österreich"Frontrunner" oder "late follower"?

Hans G. Zeger, ARGE DATENMauerbach, IIR Security '14 - 15. Oktober 2014

ARGE DATEN

© E-Commerce 2014

ARGE DATENARGE DATEN

Was ist eigentlich Tracking?

Der Begriff Tracking umfasst alle Bearbeitungsschritte, die der gleichzeitigen Verfolgung von (bewegten) Objekten dienen. ... Ziel dieser Verfolgung ist meist das Abbilden der beobachteten tatsächlichen Bewegung zur technischen Verwendung. Solche Verwendung kann das Zusammenführen des getrackten Objektes mit einem nachfolgenden Objekt sein. Solche Verwendung kann aber auch schlichter die jeweilige Kenntnis des momentanen Ortes des getrackten Objektes sein. (wikipedia, 11.10.2014)

statt "Objekt" setzen wir "Person" ein

der tatsächlichen Identität des getrackten Objektes sein.

bekannten Informationen sein. Solche

Verhaltens

des

Verwertung.Verwertu

ngVerwertung

Identifizieren - Kombinieren - Verwerten

sind offensichtlich die Ziele von Tracking

Internet-Tracking in Österreich

Personen

der getrackten Person sein.

der getrackten Perso

n

© E-Commerce 2014


Welche Internet-Tracking-Formen kennen wir? Cookies bekannt, leicht zu unterbinden, schwachIP-Adresse bekannt, oft irreführend (z.B. Internet-

Cafes)MAC-Adressen

weniger bekannt, leicht zu manipulierengut verwertbar

Zählpixel bekannt, vom Benutzer kaum abwehrbar,gut verwertbar

Skripts, Plugins

bekannt, theoretisch leicht zu unterbinden,in der Praxis funktioniert dann "nichts" mehr,sehr effektiv

persönliche Anmeldung

bewährt, erfordert jedoch schon Vertrags- oder zumindest Vertrauensbeziehung,sehr effektiv, letzte Stufe des Tracking

Browser Toolbar

bewährt, erfordert Aktion des Benutzers, kann meist unauffällig installiert werden,extrem effektiv, wird nicht manipuliert


© E-Commerce 2014


Welche Internet-Tracking-Formen kennen wir? II Geräte-Signatur

bekannt, faktisch nicht manipulierbar, gut verwertbar und sehr effektiv

Browserfont weniger bekannt, nicht manipulierbar, sehr gut verwertbar und sehr effektiv

Der perfekte Tracker wird immer eine Kombination aller Techniken einsetzen!


© E-Commerce 2014

Zwei Typen von Tracking

(a) Website-Betreiber versucht Benutzerverhalten zu erkennen, zu steuern und für seine Interessen zu optimieren

(b) Tracking-Betreiber versuchen Benutzerverhalten über viele Webseiten hinweg zu erkennen, zu steuern und für die Interessen ihrer Auftraggeber zu optimieren

© E-Commerce 2014


Warum Tracking?Vielfältige Gründe, aber sehr ähnliches Schema

Je mehr ich über den Benutzer der vor dem Bildschirm sitzt weiß,

desto besser kann ich

auf seine Bedürfnisse eingehenihm Zeit ersparen sich mit Uninteressantem zu

beschäftigenmeine Produkte vermarktenden Preis meiner Produkte festlegen

schneller, impulsiver eine Entscheidung herbeiführen

gefährliche Personen von meinem Geschäft fernhaltennur die Argumente bringen, die der Benutzer gern

hört


die Sicht auf eine unverständliche Welt vereinfachen

© E-Commerce 2014


Wer nutzt in Österreich Tracking?Socialmedia Studie 2012

- "Datenschutzkonformer Einsatz von Facebook LikeIt, Google Analytics & Co"

- Anlass waren neue ePrivacy-Bestimmungen der EU und in Österreich

- damals die Webseiten von etwa 5000 österreichischen Einrichtungen analysiert

- http://www.argedaten.at/socialmedia

2014 wurde Tracking-Analyse aktualisiert

- Websites von über 10.000 Organisationen/Privaten berücksichtigt

- Schwerpunkt der Analyse waren Behörden, öffentliche Einrichtungen, Gesundheitseinrichtungen, "wichtige" Unternehmen (Branchenführer, besonders große Unternehmen, börsenotierte Unternehmen), Parteien

- Methode: Analyse der in einer Website eingebetteten Dritt-URLs


© E-Commerce 2014


ARGE DATEN

© E-Commerce 2014

Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook-Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin):

xxxx.xxxx.xx

Schwangerschaftsnetz.tld

Websites mit Facebook Like Plugin:

Glaubensgemeinschaft.tld

PolitischePartei.tld

ID: dTrGTwDiSl75GjJ73KORYiR1

Facebook.com

Websiteaufrufe automatische

Mitaufrufe – einzigartige ID wird jedesmal übermittelt

in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1


ARGE DATEN

© E-Commerce 2014

Rechtlicher Rahmen?

Verwendet Tracking personenbezogene Daten?DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

Wer sind Betroffener?DSG 2000 § 4 Z 3 "Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,

technische Kennzahlen (z.B. IP-Adressen, Cookies, jede Art von Tracking-Daten,

...)

Wunsch oder Möglichkeit der Identifizierung einer Person reicht


ARGE DATEN

© E-Commerce 2014

Kommunikationsgeheimnis (§ 93 TKG 2003)

schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche[Stammdaten im Rahmen des DSG 2000 geschützt]

Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003)

Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4)

Ausnahmen (Abs. 3):- Rückverfolgung von Notrufen- Aufzeichnungen im Rahmen einer Fangschaltung- Überwachung, Auskunftserteilung bei

Nachrichtenübermittlung (inkl. Vorratsdaten)- wenn technisch für Diensterbringung erforderlich (z.B.

Mailbox)


ARGE DATEN

© E-Commerce 2014

Datenschutz-Grundsätze (§ 96 TKG 2003)Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1)

Übermittlung (Abs. 2) nur, wenn - notwendig für Diensterbringung oder - mit Zustimmung des Betroffenen für

Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar)

Löschung (Abs. 2) der Daten sobald wie möglichz. B.: Verkehrsdaten sind zu löschen, wenn für Dienst

oder Abrechnung nicht mehr erforderlich

nähere Regelung der Datenverwendung in AGB möglich


ARGE DATEN

© E-Commerce 2014

Datenschutz-Grundsätze (§ 96 TKG 2003) IIErweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3)

Informationspflichten: - welche personenbezogene Daten Betreiber/Anbieter

ermittelt, verarbeitet und übermittelt (betrifft auch Standort-/Geo-Daten)

- Rechtsgrundlage und Zweck der Datenverwendung- Speicherdauer der Daten

Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder Übermitteln von Cookies, ..]


ARGE DATEN

© E-Commerce 2014

Datenschutz-Grundsätze (§ 96 TKG 2003) IIIAbs. 3 - Fortsetzung

Ermittlung von Daten nur, wenn - Teilnehmer oder Nutzer Einwilligung erteilt hat oder - der alleinige Zweck die Übertragung einer Nachricht

im Kommunikationsnetz ist oder- wenn dies unbedingt erforderlich ist, damit ein

Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services, ...]


ARGE DATEN

© E-Commerce 2014


Konsequenzen & AusblickTracking ist US-Domaine

Europa hat Anschluss an Tracking-Business verloren

- kaum Eigenentwicklungen

- unklare Zielsetzungen, daraus resultierend unklare / widersprüchliche rechtliche Vorgaben

Datenschutz nur (billige) Ausrede für Versagen?

- datenschutzkonforme Alternativen zu wenig forciert (z.B. PIWIK, ...)

- Regelungen und Möglichkeiten der ePrivacy-Richtlinie und des TKG 2003 werden nicht genutzt (z.B. trackingfreie Einstiegs- und Impressum-Seiten, einfaches Ampel- und Hinweissystem, ordentliche Dienstleistervereinbarungen)

Sonderrolle Österreich

- Österreich hat den Übergang von einer statischen Register-IT zu einer dynamischen Prozess-IT verschlafen(Internet wird immer noch als Art billiges Fernsehen abgehandelt)


© E-Commerce 2014


Ist Österreich "Frontrunner" oder "late follower"?Wohl beides

Jedenfalls "Frontrunner" was die naive Datenlieferung an US-Unternehmen betrifft

Eher "Big Loser" als "late follower" was den selbstbestimmten Umgang mit Internetdaten

betrifft

"Big Data" wird kein Thema der österreichischen IT-, Telekommunikations-

und Internet-Industrie werden


© E-Commerce 2014


Was kümmert's mich? Ich hab ja nichts zu verbergen

Was soll man schon mit diesen Daten anfangen?

- Vielleicht die nächste Grippe-Epidemie verhersagen

- Ob Sie schwanger sind oder heimlichen Kinderwunsch hegen

- Wie sich die Inflation entwickelt

- Ob Sie Steuerhinterzieher sind ...

- ... oder glücksspiel-, alkohol- oder drogenabhängig sind

- Ob Sie ein Kurz- oder Langlebigkeitsrisiko darstellen ...

- ... oder bloß schlechte Bonität haben

- Ob beim nächsten Tornado doch eher Smarties statt Taschenlampen bei der Verkaufskassa aufgestellt werden

Wenn Ihnen gefällt, dass US-Unternehmen diese Entscheidungen für Sie treffen,

dann war mein Vortrag nutzlos, ....


© E-Commerce 2014

ARGE DATEN

Kontakt

Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20

Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]

Verein: http://www.argedaten.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at

© E-Commerce 2014 Internet Tracking in Österreich "Frontrunner" oder "late follower"? Hans G....

Documents

Transcript of © E-Commerce 2014 Internet Tracking in Österreich "Frontrunner" oder "late follower"? Hans G....