Datenschutzrechtliche Gefahren von externen Umfrage-Websites

Aus Piratenwiki
Wechseln zu: Navigation, Suche

von piratgizmo


Meine Ursprünglichen Überlegungen -- einen Blogentry allein zu SurveyMonkey -- hab ich mittlerweile über Bord geworfen. Die Debatten sind weiträumig geführt weshalb ich weiträumig ausholen werde. Also tief Luft holen ;)*

Ursprung allen Übels, das gerade in der Piratenpartei diskutiert wird, war ja die vielkommentierte, vielkritisierte SurveyMonkey Umfrage -- bisher etwas zusehr im Hintergrund gestanden ist dabei, was diese Umfrage so unsicher und unbrauchbar machte.

Bei der Recherche über SurveyMonkey und die Überprüfung der Sicherheit war ich teilweise schon stark Winterkirschen-gefährdet und stelle hier offen die Frage, ob sich der/die Verursacher nicht mit Austritt und den Aufschreien Parteikollegen hätten manipuliert einen Schafspelz umgehängt hat. Täuschen und Ablenken.

  • SurveyMonkey at its Best -- eine Datenkrake*

Was hat eigentlich Parteimitglieder bewogen, die Umfrage zu kritisieren und die Manipulierbarkeit aufzuzeigen? Entdeckt wurde es ja nur dank jener, die sich nun im Zentrum der Kritik und aller Angriffe wiederfinden.

Gleich vorweg, ich bin einer davon -- ich habe mir die SurveyMonkey Umfrage angeschaut -- sogar mitgestimmt, nach Recherchen habe ich Manipulierbarkeit befürchtet und überprüft, ob es tatsächlich möglich ist mehrfach abzustimmen.

Es gilt ja auch sicherzustellen das sie auch gezählt wird und das Ergebnis nicht verfälscht werden kann. Ich gebe meine Stimmzettel bei ordentlichen Wahlen ja nicht bei der Bäckerei ums Eck ab und vertraue blind.

  • Technische Problematik:*

Ja, es war für jeden Laien ganz einfach möglich, beliebig oft abzustimmen. Das brauchte nur einen anonymen Browsermodus bei dem keine Cookies gespeichert werden. Also war für eine Manipulation noch nicht einmal Script-Kiddy <http://de.wikipedia.org/wiki/Script-Kiddie>-Niveau nötig.

  • Die Datenschutzbestimmungen die den Namen nicht verdienen:*

Was neben den technischen Sicherheitskritierien und dem Aufschrei ob der Manipulation -- diese war zu erwarten -- fast untergegangen ist, sind die Nutzungsbedinungen von SurveyMonkey die zusammenfassend mit dem Begriff "Datenkranke <http://de.wikipedia.org/wiki/Datenkrake>" zusammengefasst werden können.

Als kleine Seiteninformation -- die Piratenparteien sprechen sich gegen jegliche Datensammlungen aus und erachten das als Verletzung der Privatsphäre des einzelnen.

In einer politischen Vertrauensfrage ein solches Werkzeug zu verwenden ist schamlos -- entweder wurde SurveyMonkey vorsätzlich verwendet oder aus schierer Unwissenheit -- beides ist für einen Vorstand in der Piratenpartei ein NoGo

Aber beginnen wir doch mit einem ganz einfachen Absatz aus den Nutzungsbedinungen: 

   Ihre Verantwortlichkeiten. Indem Sie unsere Leistungen in Anspruch
   nehmen, stimmen Sie zu, die anwendbaren Datenschutzerfordernisse zu
   befolgen, wie z.B. die Erfordernisse, die Umfragebeantworter über
   den speziellen Gebrauch und die Offenlegung Ihrer Daten, zu
   unterrichten, wenn Sie Umfragedaten erfassen und benutzen.

In der von Hr. Stephan Raab lancierten Umfrage waren diese Nutzungsbedinungen mit keinem Wort erwähnt, es sind keinerlei Hinweise ob der Bedenklichkeit der Nutzungsbestimungen erfolgt.

Für einen Piraten, der sich Datenschutz verpflichtet fühlt sind diese Bestimmungen eine Provokation. Meine Bedenken und Hinweise -- auch per Mail -- wurden ignoriert, nicht einmal beantwortet.

Aber betrachten wir einmal ein paar Details dieser kritischen "Datenschutzbestimmungen" im Detail. 

   Wann geben wir Ihre Umfragedaten an Dritte weiter? Nur unter ganz
   bestimmten Umständen. Im Allgemeinen geben wir Ihre Informationen an
   unsere Dienstleister weiter, die uns wiederum dabei helfen, Ihnen
   unsere Dienste anzubieten. Wir verpflichten diese Dienstleister
   vertraglich dazu, Ihre Daten vertraulich zu behandeln, und nur zum
   Zwecke ihrer Dienste für uns zu verwenden. Wir arbeiten mit
   Datenverarbeitern, die uns dabei helfen, Kreditkarten-Transaktionen
   abzuwickeln. Indem Sie unsere Dienste in Anspruch
   nehmen, ermächtigen SurveyMonkey stellvertretend für Sie derartige
   Unterverträge abzuschließen.

An dieser Stelle sei angemerkt, dass SurveyMonkey CEO der Ehemann der Facebook-Geschäftsführerin ist. Es ist beispielsweise nicht bekannt ob etwa Facebook Datamining-Vereinbarungen mit SurveMonkey geschlossen hat und dies beispielsweise "Dienste für Surveymonkey" sind. 

   Weil uns Ihr Vertrauen sehr wichtig ist, geben wir
   Ihre personenbezogenen Daten oder Umfrageergebnisse nur dann an
   Dritte weiter, wenn gemäß anzuwendenden Rechts, eine drei folgenden
   Vorraussetzungen vorliegen: (a)wir Sie benachrichtigt haben, wie mit
   dieser Datenschutzrichtlinie, (b) wir Ihr ausdrückliches
   Einverständnis erhalten haben, wie z.B. durch die entsprechende
   Markierung eines Opt-In-Kästchen; oder (3) oder wir die
   Informationen anonymisieren, so dass keine Personen identifiziert
   werden können.

Toll, die Umfragedaten werden also weitergegeben. Schon das allein ist ein Witz, da hilft es auch wenig dass die Daten anonymisiert werden, auch ihr ausdrückliches Einverständnis ist zahnlos mit einer Relativierung "wie z.B." zu der vermeintlich sicheren Opt-In-Option

In einem ganz anderen Absatz findet sich etwa, wie die Datenschutzrichtlinie geändert werden kann. 

   Änderungen dieser Datenschutzrichtlinie. Wir sind jederzeit
   berechtigt, diese Datenschutzrichtlinie zu ändern, werden Sie in
   diesem Falle jedoch dahingehend unterrichten, indem wir jegliche
   Änderungen auf dieser Webseite veröffentlichen.

Also auch keine Benachrichtigung der Änderungen, wer verfolgt solche Änderungen ständig mit? Wer ist in der Lage, technische Hilfsmittel zu benutzen? Jene, die das können würden diesen Dienst gar nicht erst benutzen.

Es geht munter weiter mit der Datensammlung von Umfragebenutzern. 

   Nutzungsdaten. Wir sammeln Ihre Nutzungsdaten jedes Mal, wenn Sie
   sich mit unserem System austauschen. Das kann Informationen darüber
   umfassen, welche Webseiten Sie besuchen, was Sie anklicken, wann Sie
   dies tun und so weiter. Zusätzlich behalten unsere Webserver, wie
   die meisten Webseiten heutzutage, Logdateien, die jedes Mal
   aufzeichnen, wenn ein Gerät auf den Server zugreift .Die Logdateien
   enthalten Daten über die Natur eines jeden Zugriffs, einschließlich
   der korrespondierenden Quell-IP-Adressen und Browser-Typen. Bitte
   beachten Sie, dass wir diese Nutzungsdaten nicht mit Ihren
   Umfragebeantwortungen verknüpfen.

Auch aus der Speicherung der IP-Adressen wird kein Hehl gemacht, das "Wir speichern nicht" Siegel ist Ziel der Piratenpartei Österreichs und wurde in der EBV-Sitzung beschlossen -- ohne Gegenstimme.

Warum manche der Abstimmenden noch immer IP-Adressabgleiche fordern sei nun einmal in den Raum gestellt. Auch ist es offenbar gar nicht vorgesehen als Umfrageersteller einfach an komplette IP-Listen zu kommen aber das konnte ich selbst nicht verifizieren. 

   IP Adressen. Unsere Server zeichnet die hereinkommenden IP-Adressen
   von Besuchern unserer Webseite (unabhängig davon, ob der Besucher
   ein SurveyMonkey-Kundenkonto hat) auf und speichert diese
   IP-Adressen in Log-Dateien.

Noch sehr relevant ist 

   Wir verkaufen Ihre Umfragedaten an niemanden!

Und wie ist es mit verschenken? Das wird implizit auch durch Weitergabe an Dienstleister klargestellt. Also die Datenbestände, die erhoben werden werden -- das ist ganz offen festgehalten -- an Dritte weitergegeben.

Man könnte diese Aufzählung hier endlos fortführen, die gesamten Nutzungsbedinungen könnt ihr unter diesem Link <http://de.surveymonkey.com/mp/policy/privacy-policy/> selbst einsehen.

Von „https://wiki.piratenpartei.at/w/index.php?title=Datenschutzrechtliche_Gefahren_von_externen_Umfrage-Websites&oldid=19292
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Pirat*innenpartei
Mitmachen im Wiki
Werkzeuge
Drucken/exportieren