Einsatz von Akismet verstößt gegen Datenschutz
Eigentlich liegt es auf der Hand, aber erst durch dieses Posting wachgerüttelt, ist es erst klar geworden: Die Verwendung von Akismet dürfte gegen das Bundesdatenschutzgesetz verstoßen. Wie in dem Artikel von Playground aufgelistet wird, werden zum Zwecke der SPAM-Bekämpfung eine Reihe von Daten beim Kommentieren an den Akismet-Server übermittelt und dort verarbeitet bevor das PlugIn dann entscheidet, ob es sich bei einem Kommentar um SPAM oder einen zulässigen Kommentar handelt. Das schöne daran. Akismet funktioniert sehr zuverlässig, denn es erhält Daten von tausenden von Blogs.
Die Idee stammt aus der Schmiede der WordPressgründer. Diese sitzt natürlich in den USA und, wie ich hier in den letzten Monaten gelernt habe, hat man für das nun folgende weder Verständnis noch Gespür.
Akismet überträgt von dem heimischen Blog an den Akismet-Server in den USA für jeden Kommentar u.a. die E-Mail Adresse, die IP, den Namen, den Inhalt des Kommentars, die UserID von angemeldeten Usern, Serverdaten und und und. Aus dem langen Streit wissen wir, das IPs personenbezogene Daten sein können, E-Mail Adressen und Namen sicherlich und die Kombination von alle dem sowieso. Nach dem hohen deutschen (bzw. europäischen) Datenschutzniveau stellt sich daher die Frage, ob die Übermittlung an Akismet überhaupt rechtens ist.
Dabei kommen nach dem BDSG eigentlich nur 2 Konstellationen in Betracht:
- Auftragsverarbeitung
- Oder eine Übermittlung die nach §§ 28-30 BDSG gerechtfertigt ist.
1. Auftragsverwaltung
Eine Auftragsverwaltung liegt etwa im klassischen Outsourcingfall vor. Originäre Aufgaben eines Unternehmens werden an ein anderes ausgelagert. Das ursprüngliche Unternehmen bleibt aber bei dem ganzen Prozess Herr der Daten. Akismet errechnet für den jeweiligen Blogbetreiber, ob es sich bei dem abgegebenen Kommentar um SPAM handelt oder nicht. Von daher könnte man auf die Idee kommen, dass es sich um einen Fall der Auftragsdatenverarbeitung handelt. Doch die Daten, die von den Kommentaren an Akismet gesendet werden, werden dort mit Daten von anderen Webseiten vermengt. Es ist daher keine reine Auftragsdatenverarbeitung.
2. Übermittlung nach §§ 28 ff BDSG
Bliebe also die normale Datenübermittlung nach BDSG. Diese ist zunächst in § 28 Abs. 1 BDSG geregelt. Dafür müsste aber zunächst einer der drei Fälle vorliegen. Als solches kommt eigentlich nur Nr. 2 in Betracht. Die SPAM Bekämpfung dürfte jedenfalls ab einem gewissen Ausmaß und Bekanntheit des Blogs die Wahrung eines berechtigten Interesses sein. Jedoch ist eine Übermittlung nur dann zulässig wenn keine schutzwürdigen Interessen des Betroffenen vorliegen. Im vorliegenden Fall werden die Daten in die USA übermittelt. Die USA hat kein von der EU anerkanntes Schutzniveau. Daher wird nach § 4b BDSG in diesem Fall der Spieß umgedreht. Es liegen keine schutzwürdigen Interessen des Betroffenen vor, die einer Übermittlung entgegenstehen, wenn eine entsprechendes Datenschutzniveau nachgewiesen wurde.
Dies wäre etwa der Fall, wenn Automattic dem Safe-Harbor beitreten würde.
Sofern ich also mit meiner Beurteilung richtig liege, ist die Übermittlung der Kommentardaten durch das Akismetplug-in in die USA datenschutzrechtlich höchst problematisch. Die Konsequenz wäre übrigens, dass eine Datenschutzbelehrung nicht ausreichen würde, die Übermittlung wäre dann nur noch mit ausdrücklicher Einwilligung möglich.
20 Kommentare
An Diskussionen teilnehmen.
[…] more from the original source: Einsatz von Akismet verstößt gegen DatenschutzDiese Beiträge könnten Sie interessieren:Datenschutz im Mietvertrag: Was gilt als rechtskonform […]
[…] Neue Info: Akismet verstößt gegen den europäischen Datenschutz. […]
Das ist sehr sauber begründet und zwingt mich dazu, mein Akismet zu checken. Allerdings sollte nicht unerwähnt bleiben, dass Playground auch ein eigenes Plugin zum Spamschutz am Start hat. Nur der Vollständigkeit halber.
[…] Wie ernst und brisant diese Meldung wirklich ist kann ich selbst nur schwer einschätzen aber jeder der nicht gerade scharf auf eine eventuelle Abmahnung ist sollte sich schnellsten mit dem Thema beschäftigen! (Details bei medien-gerecht.de) […]
Mal eine alternative Sichtweise:
Akismet ist ein Dienst, der zur Aufrechterhaltung des Betriebs des Blogs (Teledienst) zwingend erforderlich ist (Formuliert man es so, verändern sich die Spielregeln nach TMG). Darauf wird in der Datenschutzerklärung sauber und offen hingewiesen. Wer einen Kommentar abschickt, muss der DS-Erklärung vorher zustimmen. Alle Angaben zum Kommentierer müssen optional sein (Name, Email, Web), da sie für den Betrieb nicht zwingend erforderlich sind (auch TMG).
Fertig. Sach ich ma aus meiner Sicht und Praxis.
Ich sehe zunächst keinen Anlass, Aksimet abschalten zu müssen.
[…] ich kam erst vorhin dazu mich intensiver damit zu beschäftigen. Hier ein Ausschnitt aus einem Artikel den Ihr Euch eventuell einmal ganz durchlesen solltet: Akismet überträgt von dem […]
[…] grundsätzliche Diskussion an sich könnte ja durchaus interessant sein, wenn die ganzen Hysteriker ihren Rand halten würden und sich eingehend mit der Materie befassen täten. Schlimmer noch, die […]
Sehr gut analysiert. Ich denke aber, dass alle Anti-Spam Plugins, die richtig funktionieren sollen, solche Daten verarbeiten und speichern müssen. Damit gebe ich meinem Vorredner recht, der sagte, dass damit Akismet zwingend für den betrieb notwendig ist. Außerdem muss man ja seinen Namen nicht angeben.
„Die Konsequenz wäre übrigens, dass eine Datenschutzbelehrung nicht ausreichen würde, die Übermittlung wäre dann nur noch mit ausdrücklicher Einwilligung möglich.“
Danke dafür.
Disclaimer sind meiner Meinung nach sowieso der größte Müll. Tue schlechtes und distanziere Dich davon.
Akismet ist nicht zwingend erforderlich für den Betrieb eines Blogs. Es gibt genug andere SPAM-Plugins die genauso gut und zuverlässig funktionieren wie Akismet, ohne dass sie gleich jede Menge Daten um den ganzen Globus senden. Hier war lange Zeit etwa SpamKarma2 im Einsatz (das leider nicht mehr weiterentwickelt wird) und mittlerweile AntiSpam Bee und ein Track-/Pingback Validator.
Das ein SPAM Plugin natürlich mit den Kommentardaten arbeitet ist völlig selbstverständlich. Die meisten tun dies aber auf dem eigenen Webserver, so dass die Daten nie den „Hoheitsbereich“ des Blogbetreibers verlassen.
[…] Aspekt macht. Eine genaue Konstellation der Situation kann auch in einem ausführlichen Artikel bei medien-gerecht nachgelesen […]
Die Nutzung von Akismet hat noch weitere entscheidende Nachteile, denn wenn ich bei einem Kommentar unseren Blog als Website eintrage, verschwindet der Kommentar als Spam.
Warum? ganz einfach!
Man kann durch Akismet die Konkurrenz oder Blogger, die man nicht leiden kann, in die Spamliste bringen.
Wie geht das? ganz einfach!
Probiere mal folgendes aus:
1. Schreibe mal in deinem Blog zwei Kommentar mit einem fantasie Namen, fantasie eMail, fantasie Domain.
2. Makiere diese Einträge bei Akismet als Spam.
3. Schreibe zwei oder drei weitere Kommentare (die aus Müll bestehen) mit den gleichen fantasie Angaben in verschiedenen anderen Blogs die Akismet benutzen.
Du wirst sehen, mit der fantasie Domain ist es nicht mehr möglich in einem Blog zu kommentieren, der Akismet nutzt.
Dies kann natürlich durch “böse Buben” genutzt werden, um Blogger in die Spamliste zu bringen.
Bin genau der gleichen Meinung.
Genau
[…] vorzubeugen ist bei wordpress von haus aus akismet installiert. dabei ist zu beachten das dies laut medien-gerecht.de gegen das bundesdatenschutzgesetz verstösst. eine ebenso wirksame alternative ist sergej müllers […]
[…] die Datenschutzproblematik oder über die mögliche gezielte Denunzierung von einzelnen Kommentierenden bei diesem Verfahren […]
[…] Besucher bereits die geeignete Alternative zu den Captchas ist, doch dagegen spricht zum einen die Datenschutzproblematik und zum anderen etwas, was nur die allerwenigsten User wissen: die Benutzung des Plugins ist […]
[…] Einsatz von Akismet verstößt gegen Datenschutz bei medien-gerecht […]
[…] Einsatz von Akismet verstößt gegen Datenschutz bei Medien-Gerecht […]
[…] Problemen kommen kann. Nach dem ich mich etwas kundig gemacht habe, bin ich auf einen Beitrag von medien-gerecht vom Januar 2009 und von Playground aus dem Oktober 2010 gestoßen. Die darin beschriebene Problemtank kann man […]
[…] es Datenschutzprobleme (Infos bzgl. der Datenschutzproblematik findet ihr unter anderem hier und hier, ansonsten einfach mal Google nach “Akismet Datenschutz” befragen). Zum Thema […]