Warum Verbindungen zu Facebook und Google?

Question

Wenn man die Login-Seite aufruft, werden Verbindungen zu connect.facebook.net, www.facebook.com, accounts.google.com, apis.google.com, plus.google.com und ssl.gstatic.com aufgebaut.

Zwar kann man die Login-Funktionen dieser Anbieter für NextPit nutzen, aber zu diesem Zeitpunkt hat man noch nicht einmal die Auswahl wahrnehmen können. Ich verstehe den Verbindungsaufbau zu einem dieser Anbieter, wenn dessen Login verwende. Ich sehe aber einen Konflikt mit der DSGVO wenn diese Verbindungen ohne aktive Auswahl durch die Nutzer aufgebaut werden.

Ich bitte um unverzügliche Abschaltung von diesen Verbindungen. Das gilt auch, sollte es ein ähnliches Verhalten (evtl. auch in anderem Zusammenhang) auf anderen Seiten geben.

Pascal P. · Accepted Answer

Hallo zusammen,
inzwischen wurde das Login überarbeitet, sodass Verbindungen zu Google oder Facebook nur aufgebaut werden, wenn der Nutzer auch wirklich das Login nutzen möchte (d.h. explizit auf den Button klickt).
Anschließend öffnet sich dann ein Popup für das Login. Sollte ein Popup Blocker aktiv sein, muss dieser vtl fürden Login eine ausnahme enthalten.

Pascal P. · Answer

Hi Aries,

Danke für den Tipp.
Ich gebe das mal an unsere Entwickler weiter.

LG

Sebastian · Answer

Also ehrlich... könntet ihr bitte aufhören, Verbindungen aufzubauen, denen der Nutzer bereits zugestimmt hat! :-) 

@Aries https://www.nextpit.de/privacy 

Bestimmt interessant für dich: 
**C.II.2.1** Profilangaben des Nutzers - Beschreibung und Umfang der Verarbeitung

Aries · Answer

> Sebastian
>
> könntet ihr bitte aufhören, Verbindungen aufzubauen, denen der Nutzer bereits zugestimmt hat!

Es geht nicht nur um mich.

1. Nicht jeder, der die Seite das erste Mal aufruft, hat den Datenschutzbestimmungen zugestimmt. Die Verbindungen erfolgen **immer**!
2. Es gibt Leute,
 die benutzen die Authentifizierung über Facebook oder Google bewusst nicht und verwenden lieber E-Mail und Passwort. Auch bei denen erfolgt der Verbindungsaufbau zu den beiden genannten Anbietern.

Daneben hat jeder das Recht Teilen einer Vereinbarung zu widersprechen. Auch nachträglich. Ein Teilwiderspruch darf nicht zum kompletten Ausschluß führen, sofern der Widerspruch keinen technisch notwendigen Teil betrifft und vom Betreiber kein Erwägungsgrund für ein berechtigtes Interesse nachgewiesen werden kann.

Welche Daten bei einem Aufruf (ohne Nutzung der Login-Varianten) der Login-Seite an Facebook und Google übermittelt werden, ist in der Datenschutzerklärung nicht erläutert. Kein Betreiber einer Website kann davon ausgehen, dass seine Nutzer den entsprechenden Bedingungen der Dienstleister bei denen zugestimmt hat.

> C.II.2.1 Profilangaben des Nutzers - Beschreibung und Umfang der Verarbeitung

Der Abschnitt hat überhaupt nichts mit meinem Hinweis zu tun. In dem Abschnitt geht es um die Profilangaben und was jeder dort speichern muss bzw. speichern kann. Mein Hinweis richtet sich an den Datenabfluß an Dritte!

René H. · Answer

> [[cite Aries]]
>
> Mein Hinweis richtet sich an den Datenabfluß an Dritte!
>

Solange niemand NextPit verklagt wird sich am Datenabfluß nichts ändern. Wobei die meisten Seitenbesucher vom Datenabfluß nichts mitbekommen.

Sebastian · Answer

Zugegeben, bei der Passage in der Datenschutzerklärung habe ich nur Google & Co. gelesen. 

Trotzdem: Habe ich hier kein Konto oder bin zum ersten Mal auf dieser Seite, hat der Betreiber auch keinerlei Daten von mir, die weitergereicht werden könnten. Daher ist die Bestätigung der Datenschutzerklärung hinfällig. 

Rufe ich eine Seite auf, die Logins über Google, Facebook etc. anbietet, findet natürlich im Hintergrund eine Abfrage statt, ob Logindaten im Browser hinterlegt sind. Gleichzeitig findet auch eine kurze Kommunikation zwischen den Servern und mir statt. Das ist doch normal. Es müssen Daten zwischen den Servern ausgetauscht werden, um die Verbindung zu klassifizieren und um geeignete Datenpakete austauschen zu können. Welcher Browser wird verwendet, welches Betriebssystem, welche Zertifikate werden verwendet und und und. Das ist Internet. 

Sobald irgendwo eine Verbindung zu Google oder Facebook aufgebaut wird, gehen die Leute teilweise an die Decke. Dabei ist in keinster Weise ersichtlich, was übertragen wird und welche Informationen ausgetauscht werden. Mehr als andere können die auch nicht sehen. Und wenn mir das schon zu viel ist, sollte ich meinen Router ausschalten.

Andy · Answer

> [[cite Sebastian]]
>
> Trotzdem: Habe ich hier kein Konto oder bin zum ersten Mal auf dieser Seite, hat der Betreiber auch keinerlei Daten von mir, die weitergereicht werden könnten. Daher ist die Bestätigung der Datenschutzerklärung hinfällig. 

Entschuldige, für Datentracking durch Drittanbieter musst du nicht eingeloggt sein. Das sollte inzwischen bekannt sein, denke ich. Es hängt davon ab, welche Module der Webseitenbetreiber eingebaut hat. 

Nach der zitierten Logik bräuchte man ja sonst keine Datenschutzerklärung für alle Websites ohne Login ;). 

> Sobald irgendwo eine Verbindung zu Google oder Facebook aufgebaut wird, gehen die Leute teilweise an die Decke. Dabei ist in keinster Weise ersichtlich, was übertragen wird und welche Informationen ausgetauscht werden. Mehr als andere können die auch nicht sehen. Und wenn mir das schon zu viel ist, sollte ich meinen Router ausschalten. 

Auch hier widerspreche ich deutlich. Es gibt nicht nur alles akzeptieren oder gar nichts ("Router ausschalten"). Dazwischen gibt es auch Wege. 

Und es geht allgemein nicht nur Google oder Facebook, die gelieferten Infos auswerten. Da gibt's genügend andere Drittanbieter, wo man gar nicht weiß, warum die eingebunden sind:

Ruft man nextpit.de zum ersten Mal auf, gibt es direkt etwa auch Datenverkehr von meinem Gerät zu
- cluster-ca.cdnjquery.com
- ssl.p.jwpcdn.com
- static.npstatic.com

Ich hab keine Ahnung, was da genau läuft. Wird das in der Datenschutzerklärung von nextpit erklärt? 

Ein Websitebetreiber entscheidet bewusst, welche Trackingmodule er einbaut. Das ist ein Ansatz, und zwar der, den Aries anspricht. 

Auf Nutzerseite gibt es dann lokale Lösungen zur Abwehr von Datentracking. Und kein Wunder, dass immer mehr sich für diesen Weg entscheiden, da sie sonst keine Chance haben, Einfluss zu nehmen.

René H. · Answer

> [[cite Andy]]
>
> Ruft man nextpit.de zum ersten Mal auf, gibt es direkt etwa auch Datenverkehr von meinem Gerät zu
> - cluster-ca.cdnjquery.com
> - ssl.p.jwpcdn.com
> - static.npstatic.com
> 

Und dann wundern sich die Seitenbetreiber, dass man Werbeblocker einsetzt, und zeigen dann auch noch große Hinweise wie z.B. "Herzlichen Glückwunsch! Ihr Werbeblocker funktioniert" an. Nichts gegen Werbung, aber bitte ohne Tracking.

Sebastian · Answer

Wenn ich **zum ersten Mal** diese Seite besuche und der Datenschutzerklärung noch nicht zugestimmt habe. Darüber reden wir. Es steht jedem frei, diese Seite auch wieder zu verlassen und sie nicht mehr aufzurufen. 

Entwarnung!!! Diese Verbindungen sind wohl doch nicht so schlimm...
cluster-ca.cdnjquery.com => https://openjsf.org
ssl.p.jwpcdn.com => https://www.jwplayer.com

Der Betreiber hier hat sich für einen Login per Google und Facebook entschieden, um es den Gästen leichter zu machen. So wie inzwischen überall im Netz. Ich denke nicht, dass hier "bewusst" ein anderer Gedanke vorrangig entscheidend war. 


Ja, es gibt Mittelwege. Ja, man sich gerne schützen, wie man will. Das ist jedem selbst überlassen. Aber man muss nicht hinter jeder Verbindung zu Google und Facebook sofort seine Daten in Gefahr sehen. Gleiches gilt für Verbindungen, die man selber nicht kennt (s.o.). Es bleibt nämlich nach wie vor die Frage offen: WELCHE DATEN ÜBERHAUPT?? Es können nicht mehr Daten ausgelesen werden, als ohnehin bekannt sind. Das sind reguläre Datensätze, die man für eine Kommunikation im www zwingend braucht. Google hat nirgendswo eine Akte über jeden einzelnen von uns angelegt. Google kann auch nicht mehr verarbeiten als andere.  

Man hat doch hier das beste Beispiel, wie verrückt die Leute deswegen schon sind. Alle Verbindungen werden penibel beobachtet und kritisch beäugt. Dabei wissen sie in vielen Fällen nicht, was dahintersteckt. Trotzdem wird es kritisiert und ist erst mal schlecht. Dabei sind es in den meisten Fällen ganz normale Abfragen, die benötigt werden. So auch die Abfrage von Google und Facebook beim Login.

René H. · Answer

> [[cite Sebastian]]
>
> Es können nicht mehr Daten ausgelesen werden, als ohnehin bekannt sind. 
> 

Aber man kann Datensätze ergänzen. Wenn Du jetzt auf dem Desktop-PC hier im Forum etwas suchst, weiss das auch sofort Dein Smartphone, ob Du das willst oder nicht, selbst wenn Du weder am Desktop-PC noch am Smartphone bei Google angemeldet bist.

Aries · Answer

> [[cite Sebastian]]
>
> Trotzdem: Habe ich hier kein Konto oder bin zum ersten Mal auf dieser Seite, hat der Betreiber auch keinerlei Daten von mir, die weitergereicht werden könnten. Daher ist die Bestätigung der Datenschutzerklärung hinfällig. 

Falsch! Lies mal die DSGVO und mache Dich mal zu Browser-Fingerprinting schlau!

> Rufe ich eine Seite auf, die Logins über Google, Facebook etc. anbietet, findet natürlich im Hintergrund eine Abfrage statt, ob Logindaten im Browser hinterlegt sind. Gleichzeitig findet auch eine kurze Kommunikation zwischen den Servern und mir statt. Das ist doch normal. Es müssen Daten zwischen den Servern ausgetauscht werden, um die Verbindung zu klassifizieren und um geeignete Datenpakete austauschen zu können. Welcher Browser wird verwendet, welches Betriebssystem, welche Zertifikate werden verwendet und und und. Das ist Internet. 

Wenn ich ein Anmeldeformular absende, ist es klar, dass Daten übertragen werden, aber nicht wenn ich die Seite mit dem Anmeldeformular aufrufe!

> Sobald irgendwo eine Verbindung zu Google oder Facebook aufgebaut wird, gehen die Leute teilweise an die Decke. Dabei ist in keinster Weise ersichtlich, was übertragen wird und welche Informationen ausgetauscht werden. Mehr als andere können die auch nicht sehen. Und wenn mir das schon zu viel ist, sollte ich meinen Router ausschalten. 

Ich gehe nicht an die Decke. Ich mache auf einen Mißstand aufmerksam. Soetwas kann für NextPit nämlich auch mal teuer werden. Abgesehen davon sehe ich tatsächlich nicht ein dass Google, Facebook, Microsoft, Twitter, Amazon von mir Daten bekommen, egal welche Website zu welchem Thema oder welche App ich nutzte. Die fünf genannten Unternehmen sind die größten, aber lange nicht alle.

Es ist auch noch lange nicht "normal" nur weil es die fünf größten so machen. Setze das mal in das nicht-digitale Leben um, was im Internet passiert. Das ist alle würden laufend mehrere Leute hinter Dir herlaufen und protokollieren, was Du den lieben langen Tag machst. Irgendwann haben sie aus vielen kleinen, scheinbar unbedeutenden Daten einen großen, sehr persönlichen Datensatz.

Das mag Dich nicht stören, aber andere stört das. Deshalb wurden die Gesetze geschaffen. Diese erlauben, Datensammeln OK zu finden, sie erlauben aber auch, Datensammeln nicht OK zu finden.

Andy · Answer

> [[cite Sebastian]]
>
> Wenn ich **zum ersten Mal** diese Seite besuche und der Datenschutzerklärung noch nicht zugestimmt habe. Darüber reden wir. Es steht jedem frei, diese Seite auch wieder zu verlassen und sie nicht mehr aufzurufen. 

Wie gesagt, Login ist beim ersten Besuch irrelevant. Hier mal am Beispiel für Apps und Facebook erläutert - beim Besuch einer Website mit eingebautem Modul sehr ähnlich:

https://mobilsicher.de/ratgeber/facebooks-unsichtbare-datensammlung

Sebastian · Answer

@René H. Die einen sehen es als Vorteil, die anderen halt nicht. Trotzdem muss es ja einen gemeinsamen Nenner geben, der diesen Datentransfer ermöglicht. In diesem Fall entweder der Login oder der Betreiber der Website, der meine Daten weitergibt, die ich auf seiner Seite eingebe. Dafür brauche ich aber keine Programme, die "dubiose" Verbindungen für mich aufspüren. Es liegt auch nicht an Trackern oder was es da sonst noch gibt. Nein, es ist publiziert und zu 100% nachvollziehbar und meine bewusste Entscheidung. 

@Aries  "Browserfingerprint" sind Daten, die JEDER erhält, wenn ich eine Seite besuche. Das sind zwingend benötigte Datensätze für eine Netzwerkverbindung! Die braucht niemand an irgendwen zu übermitteln, die sind ÖFFENTLICH! 

"...aber nicht wenn ich die Seite mit dem Anmeldeformular aufrufe!" 
Doch, weil sie den Login auf dieser Seite ersetzen. Das sind keine Logins, um auf dein Google-Konto zuzugreifen oder Links zu www.google.com. Diese Module sind in die Website integriert, weil sie die Authentifizierung übernehmen. 

Daten sammeln, Tracking etc. würde ich gerne ein mal definiert haben. Denn unterm Strich ist das nur "IP XYZ war dann und dann auf dieser oder jener Seite". Kommt jetzt deswegen einer bei mir klingeln? Muss ich besser alle 10 Minuten mein Konto checken, ob sich daran jemand zu schaffen gemacht hat? Kennt überhaupt jemand von denen meinen Namen? Nein! Erklärt mir doch mal bitte, welche Daten ihr zu welchem Zweck schützt. Mir ist das in dem hier besprochenen Umfang völlig egal und ich bekomme noch nicht einmal Spammails. Werbung sehe ich nicht, habe einen Adblocker, mehr aber auch nicht. Der ist noch nicht mal großartig konfiguriert und läuft mit Standardeinstellungen. Ich finde rein gar nichts negatives auf meinem Gerät oder sogar in meinem persönlichen, alltäglichen Leben, das Rückschlüsse auf Datenmissbrauch zulassen würde.

Sebastian · Answer

Wie gesagt, steht es jedem frei, die Seite dann auch wieder zu verlassen. Facebook und Google werden auch diesen Schritt sicherlich genaustens protokollieren und vermerken.

Aries · Answer

> [[cite Sebastian]]
>
> @Aries  "Browserfingerprint" sind Daten, die JEDER erhält, wenn ich eine Seite besuche. Das sind zwingend benötigte Datensätze für eine Netzwerkverbindung! Die braucht niemand an irgendwen zu übermitteln, die sind ÖFFENTLICH! 

So? Sind Daten auf Deiner Festplatte öffentlich? Erkundige Dich mal richtig, was Fingerprinting bedeutet. Das ist mehr als das, was Du im Access-Log siehst.

> 
> "...aber nicht wenn ich die Seite mit dem Anmeldeformular aufrufe!" 
> Doch, weil sie den Login auf dieser Seite ersetzen. Das sind keine Logins, um auf dein Google-Konto zuzugreifen oder Links zu www.google.com. Diese Module sind in die Website integriert, weil sie die Authentifizierung übernehmen.

Ja und? Trotzdem dürfen die Daten nicht VOR dem Login abfließen.

> Daten sammeln, Tracking etc. würde ich gerne ein mal definiert haben. Denn unterm Strich ist das nur "IP XYZ war dann und dann auf dieser oder jener Seite".

Ist das Dein ernst? Dann empfehle ich Dir dringend, dich mal intensiv mit den Techniken zu befassen.

> Kommt jetzt deswegen einer bei mir klingeln? Muss ich besser alle 10 Minuten mein Konto checken, ob sich daran jemand zu schaffen gemacht hat? Kennt überhaupt jemand von denen meinen Namen? Nein! Erklärt mir doch mal bitte, welche Daten ihr zu welchem Zweck schützt.

Weil ich mir die Informationelle Selbstbestimmung wichtig ist. Das muss als Begründung reichen.

> Mir ist das in dem hier besprochenen Umfang völlig egal 

Das ist ja auch OK. Wenn ich dazu aber eine andere Sicht habe und auf einen Mißstand zum geltenden Recht aufmerksam mache, muss ich dafür doch nicht rechtfertigen.

> Werbung sehe ich nicht, habe einen Adblocker, mehr aber auch nicht.

Aha! Was machen denn die Werbeblocker? Die blenden nicht nur Werbung aus, sondern verhindern auch Tracking. Ich habe nichts gegen Werbe-Einblendungen, solange sie mich nicht im Lesefluß stört. Ich habe nur etwas dagegen, dass die Werbe-unternehmen mich durch das ganze Internet verfolgen können. Kein Werber der in 10 Zeitungen wirbt, weiß, welche zwei davon ich kaufe. Im Internet passiert genau das und nur weil man es als Laie nicht sieht, wird es als unproblematisch angesehen? Dann hat man sich keine Gedanken gemacht, was genau passiert und ob mit soetwas überall einverstanden wäre, wenn es über all möglich wäre.

> Der ist noch nicht mal großartig konfiguriert und läuft mit Standardeinstellungen. Ich finde rein gar nichts negatives auf meinem Gerät oder sogar in meinem persönlichen, alltäglichen Leben, das Rückschlüsse auf Datenmissbrauch zulassen würde.

Schön! Aber was hat das mit dem Konflikt mit der DSGVO zu tun, die ich anspreche?

> Wie gesagt, steht es jedem frei, die Seite dann auch wieder zu verlassen.

Nur sind dann bereits Daten abgeflossen. Das Gesetz sieht aber eindeutig vor, von mir mich **vor** dem Datenabfluß eine Einwilligung zu holen.

Ingalena · Answer

> [[cite Sebastian]]
>
>...Google hat nirgendswo eine Akte über jeden einzelnen von uns angelegt. 
> 


Beweise es!

Sebastian · Answer

@Aries Ich kenne meinen Browserfingerprint und bei mir steht nicht drin, was auf meiner Festplatte gespeichert ist. Mir ist auch nicht klar, wie du darauf kommst, dass solche Infos mitgesendet werden. 

"Ja und? Trotzdem dürfen die Daten nicht VOR dem Login abfließen." 
Welche Daten?? Meine IP und mein Browserfingerprint, weil ich eine Verbindungsanfrage an diese Module sende. Ein Kommunikationsaufbau mit den Servern. Noch mal: Fühle ich mich dadurch gestört - warum auch immer das so sein sollte - steht es mir frei diese Seite wieder zu verlassen! 

"Ist das Dein ernst? Dann empfehle ich Dir dringend, dich mal intensiv mit den Techniken zu befassen." 
Konkret soll mir dann was genau auffallen?? 

"Weil ich mir die Informationelle Selbstbestimmung wichtig ist. Das muss als Begründung reichen." 
Dann nimm eine VPN-Verbindung und das ganze Thema hat sich erledigt. Tracking, Datenmissbrauch und alles weitere ist somit hinfällig. 

"Das ist ja auch OK. Wenn ich dazu aber eine andere Sicht habe und auf einen Mißstand zum geltenden Recht aufmerksam mache, muss ich dafür doch nicht rechtfertigen."
Darum geht es auch nicht. Vielmehr kommt die Frage auf, wozu ich bei jeder Verbindung eine zusätliche Überwachung in Bezug auf Tracking usw. brauche? Ich wüsste nicht, welchen Vorteil mir das bis jetzt gebracht hätte. 

"Aha! Was machen denn die Werbeblocker?"
Die Werbung ausblenden, die sich teilweise penetrant in den Vordergrund schiebt. Ganz einfach. 

"Schön! Aber was hat das mit dem Konflikt mit der DSGVO zu tun, die ich anspreche?"
Welchen Konflikt siehst du denn überhaupt? Welche Daten sind denn jetzt abgeflossen, die du nicht preisgeben willst? Es beläuft sich auf die Tatsache, dass du diese Seite besucht hast. Wenn ich draußen auf der Straße rumlaufe und einen Supermarkt gehe, sieht das auch Gott und die Welt. Hole ich mir dann von allen Personen eine DSGVO-Konforme Bestätigung ein, dieses Wissen nicht ohne meine Erlaubnis zu teilen?? Denn nichts anderes wird durch deinen Besuch auf dieser Seite vermerkt. Das ist öffentliches Internet und kein privater Club.

Aries · Answer

> [[cite Sebastian]]
>
> @Aries Ich kenne meinen Browserfingerprint und bei mir steht nicht drin, was auf meiner Festplatte gespeichert ist. Mir ist auch nicht klar, wie du darauf kommst, dass solche Infos mitgesendet werden. 

Die Frage gebe ich an Dich zurück: Wie kommst Du darauf, dass solche Infos nicht mitgesendet werden? Das wurde, bevor alles SSL/TLS-verschlüssselt war, mehrfach nachgewiesen und aktuell plädiert Mark Zuckerberg öffentlich, Fingerprinting zu verstärken, um Apples geplanten Privatsphäreschutz in iPhones und iPads zu umgehen.

> 
> "Ja und? Trotzdem dürfen die Daten nicht VOR dem Login abfließen." 
> Welche Daten?? Meine IP und mein Browserfingerprint, weil ich eine Verbindungsanfrage an diese Module sende. Ein Kommunikationsaufbau mit den Servern.

Wenn keine Daten versendet werden, kann man die Verbindungsaufnahme ja abschalten. Du musst mir aber erklären, die eine Verbindung aufgenbaut wird, ohne dass Daten übertragen werden. 

> Noch mal: Fühle ich mch dadurch gestört - warum auch immer das so sein sollte - steht es mir frei diese Seite wieder zu verlassen!

Langsam habe ich das Gefühl, ich kann auch mit einer Wand sprechen...
Mit Verlassen ist nichts verändert. Die Daten sind bereits abgeflossen.

> "Ist das Dein ernst? Dann empfehle ich Dir dringend, dich mal intensiv mit den Techniken zu befassen." 
> Konkret soll mir dann was genau auffallen?? 

Über was schreiben wir?
Kennst Du Suchmaschinen?


> "Weil ich mir die Informationelle Selbstbestimmung wichtig ist. Das muss als Begründung reichen." 
> Dann nimm eine VPN-Verbindung und das ganze Thema hat sich erledigt. Tracking, Datenmissbrauch und alles weitere ist somit hinfällig. 

Ein VPN sichert eine Verbindung zwischen zwei Punkten. Es hindert aber keine Website daran, Daten an Dritte weiterzuleiten. Die Site bekommt höchstens weniger verwertbare Daten. Das liegt aber daran, wie das VPN konfiguriert wurde.

> Darum geht es auch nicht. Vielmehr kommt die Frage auf, wozu ich bei jeder Verbindung eine zusätliche Überwachung in Bezug auf Tracking usw. brauche? Ich wüsste nicht, welchen Vorteil mir das bis jetzt gebracht hätte. 

Doch! Genau darum geht es und um nichts anderes!
Ich habe auch nicht von Überwachung geschrieben, sondern eizig und alleine, dass Verbindungen erfolgen, die an dieser Stelle weder technisch notwendig sind, noch dass NextPit davon ausgehen kann, dass jeder Nutzer bereits rechtlich wirksam einer Datenübermittlung zugestimmt hat.

> "Aha! Was machen denn die Werbeblocker?"
> Die Werbung ausblenden, die sich teilweise penetrant in den Vordergrund schiebt. Ganz einfach. 

Und sonst nichts? Träum weiter! Die blockieren auch die Tracker.

> "Schön! Aber was hat das mit dem Konflikt mit der DSGVO zu tun, die ich anspreche?"
> Welchen Konflikt siehst du denn überhaupt? Welche Daten sind denn jetzt abgeflossen, die du nicht preisgeben willst? Es beläuft sich auf die Tatsache, dass du diese Seite besucht hast. Wenn ich draußen auf der Straße rumlaufe und einen Supermarkt gehe, sieht das auch Gott und die Welt. Hole ich mir dann von allen Personen eine DSGVO-Konforme Bestätigung ein, dieses Wissen nicht ohne meine Erlaubnis zu teilen?? Denn nichts anderes wird durch deinen Besuch auf dieser Seite vermerkt.

Da ist sie wieder: Die Wand!
Wenn ich auf NextPit.de bin, will ich einfach nicht dass andere irgendwelche Daten von mir bekommen. Gut, es gibt Auftragsdatenverarbeiter, aber Facebook und Google (von vielen anderen) verwenden die Daten eben nicht nur zur Auftragsdatenverarbeitung.

Im Supermarkt erfährt der Großhändler nicht, dass ich im Supermarkt XY bin, wie meine Laufwege sind und wo ich mich wie lange aufhalte.
Im Supermarkt erfährt die Firma, die die Werbeplakate gemacht hat nicht, dass ich im Supermarkt XY bin, wie meine Laufwege sind und wo ich mich wie lange aufhalte..

> Das ist öffentliches Internet und kein privater Club. 

Jetzt wird es komisch...
Was soll das Argument "öffentlich"?
Wenn Dir die Geldbörse auf dem Marktplatz gestohlen wird, ist das OK?
Wenn Dir jemand auf dem Bürgersteig die Faust ins Gesicht rammt, ist das OK?

> ...Google hat nirgendswo eine Akte über jeden einzelnen von uns angelegt. 

Ähhh... Glaubst Du das wirklich? Du wirst Duich wundern, wer von Dir bereits eine Akte hat. Da sind Unternehmen dabei, deren Existenz kennst Du nicht einmal und die sitzen in Ländern rund um die Welt. Oder kanntest Du Cambridge Analytica, bevor bekannt wurde, dass die 90 Millionen Datensätze (oder wieviel waren es am Ende?) von Facebook abgerufen haben?

Sebastian · Answer

Ich höre nur Daten, Daten, Daten. Daten fließen ab, Daten werden weitergegeben usw. ABER WELCHE DATEN??? Steht hier irgendwo meine Adresse, steht hier irgendwo meine Bankverbindung? Blutgruppe?? Keine Ahnung... Wo ist für mich persönlich der Nachteil, wenn ich nextpit.de öffne und Google wegen einem Login-Modul registriert, dass meine IP auf der Seite war? Wo ist da ein Nachteil? 

Das hier ist ein öffentliches Netzwerk, das von jedem besucht werden kann. Wenn Google unbedingt alle IPs festhalten will, die diese Seite besucht haben, dann sollen sie es tun. Sie werden aber nicht meine Adresse von meinem Provider deswegen bekommen. Sie werden auch nicht meine Personalakte meines Arbeitgebers oder meine Kontoauszüge damit auslesen können. 

Ich höre hier bisher nicht konkretes in Bezug auf meine "Daten". Für mich ist das hier nur ein abstrakter Begriff, der offensichtlich für alles und gleichzeitig auch für nichts steht. 

Was passiert eigentlich, wenn ich mir ein neues Handy zulege und gleichzeitig eine neue Nummer? Melde mich mit einem anderen Google-Konto an und surfe los. Bricht das System dann zusammen? Hilfe, eine bisher nicht verfolgte Person!! Wer ist es? Was macht er? Hilfe!!

Andy · Answer

@Sebastian Meinen Link oben hast du vielleicht nicht ganz verstanden.

Dein Beispiel neues Handy:
> Was passiert eigentlich, wenn ich mir ein neues Handy zulege und gleichzeitig eine neue Nummer? Melde mich mit einem anderen Google-Konto an und surfe los. 

Machst du das? Vermutlich nicht. Google als dein Vertragspartner beim Android-Handy kennt in der Regel sowieso deine Namen, Adressen, Zahlungsmittel und viele Interessen, Wünsche. Ein neues Handy wird deinem gespeicherten Profil hinzugefügt. Und bei einem neuen Google-Konto wird halt ein weiteres Profil angelegt. Da ist man schnell eindeutig identifizierbar. 

Weiteres kleines Beispiel, bleibe mal bei dem von dir genannten Google:
Nicht jeder bekommt bei einer Google-Suche nach demselben Begriff dieselben Ergebnisse. Das wird nicht von dir gesteuert. Wäre aber doch eigentlich besser, oder? 
Von der  "personalisierten Werbung" fange ich gar nicht erst an. 

Das geht soweit, dass sich Leute die Auswahl von Nachrichten aus der Welt von fremden Diensten zusammenstellen lassen. 

Und diese ganze Datensammelei ist Google, Facebook und anderen tatsächlich so viel wert, dass sie dafür bezahlen, um Nutzungsdaten und Profile auf ihren Servern zu ergänzen, etwa auch hier an diese Website. Für wertlose unwichtige Daten wird da bestimmt nicht bezahlt. ;) 

Und wenn man das alles verstanden hat, kann man sich auch mal der gesellschaftlich-politischen Ebene nähern und mal überlegen, welche Macht da schon lange entstanden ist. 

Immerhin verkaufen Google und Facebook die Daten nicht, da hab ich eher Angst bei kleineren Anbietern beim Shoppen oder so.

Aries · Answer

Sebastian, ich bin hier raus. Pascal hat verstanden, worum es geht., Das ist wichtig.

Sebastian · Answer

@Aries Der hat es auch geschafft, endlich mal ein konkretes Beispiel zu nennen! Ich bin ja noch immer auf den Inhalt deiner Festplatte im Browserfingerprint gespannt.

Aries · Answer

> [[cite Andy]]
>
> Ruft man nextpit.de zum ersten Mal auf, gibt es direkt etwa auch Datenverkehr von meinem Gerät zu
> - cluster-ca.cdnjquery.com
> - ssl.p.jwpcdn.com
> - static.npstatic.com
> 
> Ich hab keine Ahnung, was da genau läuft. Wird das in der Datenschutzerklärung von nextpit erklärt? 

cdnjquery.com gehört zum System der häufig verwendeten jQuery Library. Das ist eine umfangreiche JavaScript-Bibliothek, die Entwickler gerne verwenden, um das Rad nicht selbst neu erfinden müssen.

jwpcdn.com gehört zum JW Player über den Videos auf NextPit.de eingebunden sind. Dass hierhin laufend eine Verbindung aufgebaut wird, auch wenn gar kein Video auf der Seite vorhanden ist, stößt mir auch schon länger sauer auf.

npstatic.com ist auf die NextPit GmbH registriert. darunter laufen offenbar Host zur Auslieferung von statischen inhalten, um die Last vom Hauptsystem zu verringern. Das wird vor allem zur Verteilung der Requests auf mehrere Hosts gemacht.

Sowohl die JQuery Library wie auch der JW Player könnte von NextPit lokal auf den eigenen Systemen gespeichert werden. Aus Bequemlichkeit und zur Entlastung der eigenen Systeme wird soetwas aber leider oft vom Anbieter selbst geholt. Auch das müsste in den Datenschutzbestimmungen erklärt sein, bevor das erste mal ein Abruf erfolgt. Abgesehen davon, dass der Abruf meistens von Systemen außerhalb der EU erfolgt und selbst der Privacy Shield mit den USA vom EuGH am 16.07.2020 für ungültig erklärt wurde, ist soetwas sehr fragwürdig.

Sebastian · Answer

@Andy Ich habe deinen Link weiter oben sehr wohl verstanden. Mir ist auch schon lange bewusst, dass Facebook ein SDK anbietet, welches gerne verwendet wird. Nicht nur Facebook bietet so etwas an. Die sog. "Bubble" ist auch nicht neu. 

Das alles funktioniert aber nur dann, wenn die User auch in dieser Blase bleiben. Also News nur über Angebote von Google beziehen oder nur Dinge kaufen, die ihnen per Werbeeinblendung in Chrome vorgeschlagen werden. Diese Blase lässt jeder auch ganz einfach zerplatzen, indem er seinen Kopf einschaltet und auch ein anderes Angebot nutzt. Beziehe ich in allen Lebenslagen meine Informationen und Konsumgüter nur von einem Anbieter, wird dieser eine Anbieter auch bald alles über mich wissen. Ich muss kein Einstein sein, um das zu begreifen. 

Nur wie man sieht, sind nicht die Tracker schuld an diesem Umstand, es sind auch nicht die Login-Module auf Websites daran schuld - es ist jeder selber dafür verantwortlich. Google wird an so vielen Stellen schlecht gemacht, nur komischerweise tragen ca. 80% aller Nutzer ein Smartphone mit Android OS bei sich, auf dem sie natürlich ihr Facebook-Profil verwalten. Hmm...  

Meiner Meinung nach braucht man kein Anti-Tracking und muss sich nicht vor Logins von Google verstecken - man braucht nur sein Hirn und nicht mehr.

Ingalena · Answer

> [[cite Sebastian]]
>
> (...)komischerweise tragen ca. 80% aller Nutzer ein Smartphone mit Android OS bei sich, auf dem sie natürlich ihr Facebook-Profil verwalten. Hmm...  
> 


Beweise es!

Du präsentierst immer wieder deine Mutmaßungen als Fakten.
Das geht nicht!

Pippi · Answer

> [[cite Ingalena]]
>
> > [[cite Sebastian]]
> >
> > (...)komischerweise tragen ca. 80% aller Nutzer ein Smartphone mit Android OS bei sich, auf dem sie natürlich ihr Facebook-Profil verwalten. Hmm...  
> > 
> 
> 
> Beweise es!
> 
> Du präsentierst immer wieder deine Mutmaßungen als Fakten.
> Das geht nicht!
> 

Da hast du vollkommen recht Ingalena.

Die Diskussion hier wird langsam anstrengend 🥴

Tenten · Answer

> [[cite Ingalena]]
>
> > [[cite Sebastian]]
> >
> > (...)komischerweise tragen ca. 80% aller Nutzer ein Smartphone mit Android OS bei sich, auf dem sie natürlich ihr Facebook-Profil verwalten. Hmm...  
> > 
> 
> 
> Beweise es!
> 

Einen Beweis bräuchte ich da jetzt nicht, denn es ist ja so. Über die 80 % kann man natürlich diskutieren aber es spielt ja letztendlich keine Rolle, ob es 80% oder vielleicht nur 60% sind. Aber, was wesentlich entscheidender ist, es taugt nicht als Argument. Nur weil ich mich bei einer Sache so verhalte, bedeutet das nicht, dass ich mich in allen Angelegenheiten genauso verhalten muss oder mich nicht beschweren darf. Weil ich das eine hinnehme, muss ich nicht zugleich auch das andere hinnehmen.

Aries · Answer

> [[cite Sebastian]]
>
> Nur wie man sieht, sind nicht die Tracker schuld an diesem Umstand, es sind auch nicht die Login-Module auf Websites daran schuld - es ist jeder selber dafür verantwortlich. Google wird an so vielen Stellen schlecht gemacht, nur komischerweise tragen ca. 80% aller Nutzer ein Smartphone mit Android OS bei sich, auf dem sie natürlich ihr Facebook-Profil verwalten. Hmm...  

Du kommst immer mit anderen Themen. Hier verbindet sich eine Webseite mit Google und Facebook und kein Anwender kann das vorher erkennen und verhindern. Also nichts mit freiwillig!

Es geht nicht darum, was die Nutzer freiwillig nutzen!
Es ist auch nicht so, dass die Nutzer für alles selbst verantwortlich sind. Vieles gleicht im Internet betrügerischem Handeln und selbst die Betreiber von Websites nutzen häufig irgendwelche Module, ohne sich bewusst zu sein, was die machen.

Pascal P. · Answer

Hallo zusammen,

Sinn und Zweck dieses Threads sollte die Information an uns Sein (daher auch Support).
Dies ist erfüllt und ich habe das weitergegeben. Es wird allerdings etwas Zeit brauchen, bis hier eine Analyse und Entscheidung vorliegt.

Es geht hier auch nicht drum, was Google/Facebook etc. generell speichern, das wissen die Firmen letzendlich nur selber.
Hauptsächlich geht es um die Einhaltung der DSGVO unsererseits und ist von Aries ein nett gemeinter Hinweis das nochmals genauer anzuschauen und zu überprüfen welche Aufrufe auf externe Seiten notwendig sind und in der Datenschutzerklärung deklariert werden müssen und welche erst auf Interaktion mit dem User passieren (z.b. klick aufs Google Login).
Darüber in gewissen Rahmen zu diskutieren ist vollkommen okay, aber eine Grundsatzdisskusion wie viel Datenschutz notwendig ist brauchen wir hier nicht zu führen.

Fakt ist jedenfalls, dass der Zugriff auf externe Ressourcen (also auf externe Domains) immer deklariert oder mit Nutzerinteraktion zusammenhängen müssen. 
Wird auch hier anschaulich beschrieben anhand von Social Media Plugins: https://www.keller-digital.com/Blog/118/dsgvo-social-media-plugins-und-externe-ressourcen (Quelle nicht auf Rechtliche richtigkeit überprüft, dazu kenne ich mich dann doch zu wenig aus)

Somit möchte ich die Diskission an der Stelle bremsen und bitten wieder aufs eigentliche Thema, der verwendung externer Ressourcen bei Nextpit zurükzukommen.

PS: Richtig, @Aries npstatic.com ist unsere Domain für Statische Files etc. (analog androidpit.info früher, mit Der Domainänderung hat sich auch diese geändert.)

LG

Andreas V. · Answer

Guten morgen zusammen,

nachdem "die Technik" sich da Ganze angeschaut hat, können wir das Problem bestätigen und haben bereits mit der Behebung begonnen. Hierbei zeigen sich einige andere Dinge auf und es wird ein klein wenig dauern, bis alles zur vollsten Zufriedenheit erledigt ist.

Wir freuen uns auf weitere Hinweise, falls euch etwas auffällt.

Aries · Answer

Vielen Dank für die Info. Ich war bereits informiert :D Durch Zufall, weil ich Fabi einen anderen Fehler gemeldet habe.

Die Lösung habe ich nicht ausprobiert, sie klingt aber gut. DIe kritisierten Verbindungen konnte ich nicht mehr beobachten (cool)

Mir sind aber zwei Verbindungen zu snigelweb.com aufgefallen, wenn man nicht eingeloggt ist. Die werden in der Datenschutzerklärung nicht genannt.