Datenschutz-Tool prüft Rechtsverstöße im Web

Der Bundesdatenschutzbeauftragte Peter Schaar hat am Freitag in Berlin das Werkzeug Prividor vorgestellt, das Datenschutzverletzungen auf Websites aufspüren kann. Prividor soll automatisiert das Tracking erkennen, also das heimliche Ausspähen des Surfverhaltens durch Cookies, Flash-Cookies oder DOM Storage. Außerdem versucht Prividor, das Auslesen der Liste besuchter Webseiten mittels JavaScript oder CSS History Stealing aufzuspüren. Darüber hinaus schlägt das Tool mittels einer Blacklist bei problematischen Online-Diensten Alarm auch die Verwendung unverschlüsselter Formulare wird aufgezeichnet. Die Ergebnisse bereitet Prividor in Übersichten auf, die Basis für ein Einschreiten von Aufsichtsbehörden sein können.

Entwickelt hat den "Privacy Violation Detector" das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Garching. Über eine Webschnittstelle legen die Nutzer Listen zu beobachtender Seiten und Webdienst-Blacklists an. Die Websites surft ein auf dem Server installierter modifizierter Firefox an, der das Prividor-Add-on enthält. Dieser arbeitet die Liste der Websites ab und kann dabei auch unterschiedliche User-Agents simulieren.

Mit diesem neuen Werkzeug will Schaar künftig die Webauftritte in seinem Aufgabenbereich kontrollieren; dazu gehören alle Websites der Bundesbehörden sowie der Post- und Telekommunikationsunternehmen. "Einige tausend Stellen" mit ihren Internetangeboten kämen da in Frage, führte der Datenschützer aus. Die mit Prividor erstellten Reports müssten dann von Mitarbeitern ausgewertet werden, bevor man bei Rechtsverstößen mit den Betroffenen "in die Diskussion" gehe und eventuell eine Beanstandung ausspreche.

Bei offensichtlichen Verstößen wie dem verdeckten Auslesen der Browser-History kommt Schaar zufolge gerade bei Unternehmen auch ein "sofortiges Einschreiten" in Frage. Wenn dagegen nur ein paar Cookies gefunden würden, sei die Prüfung damit vermutlich erledigt. Auch die Verwendung von Google Analytics hält Schaar nicht für "den schwersten Datenschutzverstoß". Man befinde sich darüber noch in einer "produktiven Diskussion" mit dem Suchmaschinenkonzern, auch wenn der Hamburger Datenschutzbeauftragte Johannes Caspar die Verhandlungen mit Google Anfang des Jahres abgebrochen hatte.

Nach einer Testphase will Schaar Prividor auch anderen Aufsichtsbehörden wie den Landesdatenschutzbeauftragten zugänglich zu machen. Diese sind teilweise auch für den Schutz der Privatsphäre deutscher Bürger im Internet zuständig, den manche von ihnen auch mit harter Hand durchsetzen. Als "dritten denkbaren Schritt" könnte sich der Datenschützer vorstellen, das aus dem neuen Forschungsetat der Behörde bezahlte und knapp 34.000 Euro teure Open-Source-Werkzeug der Allgemeinheit zur Verfügung zu stellen.

Dass findige Anwälte Prividor zum Anzetteln einer Abmahnwelle nutzen könnten, würde Schaar in Kauf nehmen: "Jeder hat das Recht zu prüfen, ob bestimmte Vorgaben eingehalten werden." Unternehmen und öffentliche Stellen müssten dafür sorgen, "dass sie gesetzeskonform handeln". Wenn Kontrollbehörden selbst Verstöße feststellten, sei es ihre Aufgabe, die Verantwortlichen darauf hinzuweisen und ein Abstellen der Verletzungen zu verlangen. Parallel lobte Schaar aber auch Selbstregulierungsverfahren wie die in die neuen Browsergenerationen einziehenden "Do not track"-Mechanismen. Diese erlaubten es, den Datenschutz handhabbar zu machen. (heb)