Quellcode-Analyse entlarvt Datenschutzschlamperei bei Webformularen
08.07.2008
Aktuelle Meldung von Heise:
85 Prozent der Webseiten, die Kontaktformulare als Kommunikationsmittel nutzen, informieren ihre Nutzer nicht über die Verwendung dieser Daten. Das ist das Ergebnis der Studie “Wie Unternehmen im Internet bei Konsumenten Misstrauen säen”[…] Kriterien der maschinellen Analyse: Fragt die Webpräsenz persönliche Daten wie Name, Anschrift und E-Mail-Adresse ab? Ist eine Datenschutzerklärung hinterlegt, die der Nutzer mit höchstens einem Klick vom Kontaktformular aus abrufen kann? […] Bereits Ende 2007 hatte Xamit die Studie “Wissen Sie, was Sie tun? Wissen Sie, wer es noch weiß? – Surfen im Internet” vorgelegt. Auch bei dieser Studie hagelte es Kritik in Sachen Datenschutz: Die meisten Betreiber kommerzieller Websites, die Webstatistiken externer Tracking-Dienstleister wie Google Analytics einsetzen, verraten ihren Besuchern nichts über die damit verbundene Speicherung ihrer Daten. (Die Studie gibt es kostenlos hier).
Bevor nun die Leser hektisch anfangen zu klicken: Ich biete diese Erklärungen hier im Blog in der Tat – auch ohne Kontaktformular und speziell hinsichtlich Mails die mich erreichen.
Ich empfehle sensiblen Bereichen, wie Rechtsanwälten, heute ausdrücklich, gar kein Formular mehr zu verwenden: Trotz ausdrücklicher Hinweise sind zu viele bereit, sensible Daten in Formulare einzutragen und auch ohne SSL-Verschlüsselung abzuschicken. Man sollte seinen (potentiellen) Mandaten hier einfach zur eigenen Sicherheit diese Möglichkeit nicht mehr bieten. Zumal -wie in der Studie richtig angemerkt- manches Formular ohnehin auf den lokalen Mail-Client zurückgreift und damit eine evt. vorhandene SSL-Verschlüsselung umgeht. Wenn der User nur selber eine Mail schicken kann, hat er notgedrungen die Kontrolle was er tut.
Nach der nächsten Woche, wenn ich wieder mehr Zeit habe, werde ich einen Beitrag zur “Datenschutzerklärung” und den vielen Mythen, die sich um sie ranken, schreiben. So zwingend, wie mancher meint, ist sie nämlich gar nicht – und rein deklaratorische Erklärungen entbehren ohnehin jeglicher rechtlicher Grundlage, denn: Entweder es ist eine Einwilligung oder schlichtweg ein gut gemeinter Hinweis.