Plädoyer für eine vernünftige Übermittlung von Daten an Dritte

Ich kritisiere seit jeher die unbekümmerte Übermittlung von personenbezogenen Daten an Dritte, die heute im Internet vollkommen üblich ist: Sei es im Rahmen von externen Analyse-Tools oder Werbung. Normalerweise wird entweder ein javascript eines externen Anbieters in die eigene Webseite eingebaut oder auch einfach nur eine Grafikdatei, die von einem externen Server geladen wird. Darüber werden dann die Zugriffe des Nutzers direkt beim externen Anbieter erfasst, u.a. mit Referer und IP. Angeblich geht es auch nicht anders, dies soll das einfachste und somit beste Verfahren sein. Das ist falsch.

Gerade ich sehe mich, wegen meinem rigorosen Ablehnen dieser Form der Übermittlung immer wieder Angriffen ausgesetzt. Zumal es ja angeblich keine Alternativen gibt und man mir unterstellt, ich wöllte “Analytics & Co. ganz verbieten”. Das ist Unsinn. Und es ist nicht nur im Interesse der Nutzer und Webseitenbetreiber, sondern auch im Interesse der Dritten über meine Vorschläge nachzudenken.

Zunehmend werden AddOns wie “NoScript” und “AnonGoogle” im FireFox eingesetzt. Das Ergebnis ist, dass die bisherige Erfassung von Nutzern schlicht unbrauchbar wird, da zunehmend User nicht erfasst werden. Das ironische: Mein Datenschutzkonformer Vorschlag löst gleich auch dieses Problem.

Ich setze darauf, dass man mit den 90er Methoden der externen Verlinkung aufhört und endlich auf das (inzwischen auch ältere) SOAP-Modell nutzt. Hier ist es möglich, ein Skript zu erstellen, das auf dem Server des Anbieters läuft. Zu denken ist etwa an ein einfaches PHP-Skript, dass direkt beim Anbieter die Relevanten Daten des Nutzers ausliest, wie etwa den Referer, von mir aus auch (erstmal!) die IP. Die Daten werden dann vom Seitenanbieter direkt erhoben. Hier ist es auch möglich, die IP z.B. in einen Hash zu übersetzen, der Rückschlüsse nicht möglich lässt.

Diese Daten werden dann via SOAP (wer es nicht kennt: Vergleichbar einem RSS-Feed) an den externen Anbiter übermittelt. Dabei liegt es alleine beim Seitenanbieter, welche Daten er übermittelt. Durch das Verfahren wird auch nicht zwingenderweise (wie bisher) die IP des zugreifenden Clients übermittelt, sondern (wenn überhaupt) dann nur die IP des Servers des Seitenanbieters der den Dienst nutzt. Nur wenn der Anbieter dann (bewusst und gewollt) die IP des Users (die er ja selber ausgelesen hat) übermittelt geht die auch an den Dritten.

Das Ergebnis ist, dass die Seitenanbieter die volle Kontrolle haben und auch berechtigt in der Pflicht stehen. Der Nutzer weiss, dass ihm erstmal keine Inhalte von externen Datenkraken untergeschoben werden un…