Das Bits und Bäume Forum und der Datenschutz

Ich nehme es zurück. Heise.de ist schon wieder da und dort werden IPs übermittelt…

hi @anon73183378 magst mal sagen wo/wie du die Tracker findest? Bin da kein Pro drin und würde es gerne nachvollziehen.

Liebe Grüße,
Micha

@tantebootsy z. B. kannst du dir unter Firefox ublock und umatrix instalieren. umatrix zeigt dir an, zu welchen Seiten verbindungen aufgebaut werden und durch was (z. B. Skripte, Bilder usw.). Kann man natürlich auch über ublock und umatrix blockieren.

Natürlich kann man das auch im Quelltext nachsehen, aber da lasse ich mal die Anleitung weg.

Ich habe schon herausgefunden, dass sehr viele der Übermittlungen nur stattfinden, weil die Vorschau im Forum aktiv ist, wenn man einen Link postet (auch wenn man diesen nicht besucht). Dann wird ohne eine Seite besucht zu haben sofort die IP übermittelt und auch wenn man ein Thema zurückspringt bleibt die Übertragung (? nur oberflächig geprüft).
Im Endeffekt braucht nur jemand zu irgendeinem Verschörungsportal, Sexseite, Spamseite etc. verlinken (und die Moderatoren merken es nicht) und schon fließen da IPs hin, die man mit anderen Daten verknüpfen kann. Das ist nicht gut…nicht nur aus Datenschutzgründen.

Am besten NACH der umatrix Installation und Aktivierung einmal hierhin gehen und umatrix beobachten: Die Utopie retten – Wie wir die Entwertung von Nachhaltigkeit verhindern

und dann in andere Themen wechseln und schauen, wie es wächst…

Ich interpretiere diesen Thread als Vorwurf, das Bits-und-Bäume-Forum würde absichtlich mit Third-Party-Trackern betrieben werden, und zwar unter anderem mit jenen von den bekannten Werbenetzwerken heise.de, swr.de und drk-wohlfahrt.de. Ganz schlimm ist discourse.bits-und-baeume.org, also wirklich! Die Beweisführung ist stichhaltig und lässt keine Wenns und Abers zu.

Mein lieber Herr Gesangsverein, was bitte ist das denn für ein Unfug?

Zunächst erstmal könntest du bei der Auflistung der Domains stutzig werden, denn nichts davon ist auch nur ansatzweise mit Tracking in Verbindung zu bringen (akamai vielleicht mal ausgenommen). Man hätte an Iframes oder so denken können, aber die gibt es in dem Thread nicht. Als nächstes stützt sich dein Vorwurf auf die Aussage eines Browser-Plugins, von dem du nicht mal einen Screenshot da gelassen hast. Man kann also nicht mal nachvollziehen, was du da eigentlich gesehen hast. Nicht zuletzt klingt dein Tonfall nicht nach Bug-Report sondern eher danach, dass du der Bits-und-Bäume-Bewegung Inkonsequenz und Doppelmoral vorwirfst. Das verstört mich, und ich frage mich, warum du das tust?

Hier mein Ratschlag: nimm bitte mal einen Browser ohne jegliche Plugins oder sonstige Konfiguration, oder starte deinen Firefox mit firefox -P und wähle ein neues Profil aus. Damit besuchst du dann den von dir genannten Beweis-Thread, ohne Login und ohne weitere Aktion. Als nächstes drückst du mal strg+shift+e, womit du im Netzwerk-Tab der Developer-Tools landest, und lädst am besten die ganze Seite nochmal neu. Dann wirst du feststellen, dass bei deinem Request nicht eine einzige Domain außer discourse.bits-und-baeume.org aufgerufen wird, die aber eben die Adresse dieses Forums ist, weshalb ich es besonders merkwürdig finde, dass du sie oben in deiner Liste überhaupt aufführst. Selbst das Vorschaubild der anderen Seite ist serverseitig gecached und wird von der selben Domain geladen.

Lieber @anon73183378 , ich weiß nicht, was du gemacht hast, um in diesem Thread dort Requests auf die von dir genannten Seiten zu sehen. Vielleicht hat dir dein uMatrix einen Streich gespielt. Ich bin mir auch nicht sicher, ob du vielleicht ein Troll bist. Darum schreib ich diesen Text hier auch nicht für dich, sondern damit andere Forenbesucher sich von Inhalten wie diesen hier nicht in die Irre führen lassen.

Dieses Forum hier besteht aus der free and open source Software Discourse. Die kann man runterladen und installieren, und in diesem ursprünglichen Zustand ist die Software frei von Third-Party-Requests. Daran kann man sicher was ändern, aber das muss man schon wollen, und das wär dann tatsächlich zu hinterfragen. Aber ist ja zum Glück nicht der Fall.

Alles in Allem kann man sagen, dass hier ein paar Aktivisten in ihrer Freizeit eine Kommunikationsplattform betreiben, die als Musterbeispiel für Alternativen zu kommerziellen Plattformen gesehen werden kann. Wenn da irgendwas nicht optimal läuft, dann liegt das an fehlendem Knowhow, fehlender Zeit, fehlender Manpower oder allgemeiner Verpeiltheit, aber ganz bestimmt nicht an bösen Absichten. Darum muss ich den Vorwurf glatt zurückweisen.

2 Like

Also ich bin in dem Bereich ausgebildet und momentan ist das eine Straftat. Punkt aus.
Da kannst du vor den Behörden argumentieren was du möchtest und wenn du das verharmlost dann darfst du dafür gerne gerade stehen…ist nunmal so, dass wenn man Foren etc. aufsetzt sich auch mit der Legislative auseinandersetzen muss sprich TMG, DSGVO usw.
Ich hätte es auch gleich an die Behörden leiten können…und darauf hab ich nach so einer Antwort wirklich gut Lust.
Da es hier ja auch kein Impressum oder eine Datenschutzerklärung (trotz Voraussetzung) gibt ist der genaue Ansprechpartner (wenn nicht im WHOIS überhaupt aktuell) unklar…und da bleibt dann nur öffentlich darauf aufmerksam machen, DAS da etwas mit den Daten passiert und wenn ihr euch mit dem Thema befasst merkt ihr auch, dass es so nicht in Ordnung ist.

Nachdem ich diesen ausführlichen Post geschrieben und abgeschickt hab, hab ich nochmal in einem der anderen noch offenen Tabs rumgeklickt und musste feststellen, dass in diesem Thread tatsächlich zwei Requests zu Heise und dem DRK vorbeigescrollt sind. Ich muss also die Zurückweisung des Vorwurfs nochmal etwas revidieren.

Was du da gesehen hast, sind keine Tracker oder irgendwelche anderen heimlichen Datentransfers, sondern die Favicons der Seiten, von denen es Links im Thread und darum automatisch generierte Vorschauen gibt.

Ich hatte schon die gecacheten Vorschaubilder genannt. Man könnte davon ausgehen, dass das für alles gilt, aber die Favicons werden offenbar direkt von den Originalseiten durchgereicht. Das ist natürlich ein Problem, da bin ich völlig deiner Meinung. Allerdings könnte man statt DSGVO, Bußgeld!, Straftat! und so weiter auch „ich habe da einen Fehler gefunden, seht euch das doch mal an“ schreiben. „Straftat!“ erinnert mich an den hier, und wenn du dich mit so einem gemein machst, dann weiß ich gleich, in welches Schubfach ich dich schieben muss.

Ich werde jedenfalls einen Bugreport bei den Entwicklern der Discourse-Software einreichen, denn das ist es, was man meiner Meinung nach in dem Fall tun sollte, falls man es nicht selber reparieren und das Ergebnis dann als Pull-Request upstream einfließen lassen kann. Open Source Software eben :+1:

Es geht nicht um die Tracker, es geht um die Übermittlung der IP. Das steht auch so im Beitrag, es werden Verbindungen zu den Servern aufgebaut OHNE ausdrückliche Einwilligung und das ist nicht legal. Also auch wenn ein Favicon oder was auch immer, z. B. von LinkedIn oder so eingebaut ist und das wird von Linkedin geladen dann baut mein Rechner eine Verbindung auf und Linkedin bekommt die IP. IP ist personenbezogen und dafür braucht es einen AV Vertrag (durch Bits und Bäume) und eine vorherige Zustimmung BEVOR etwas übermittelt wird und das findet ja beides nicht statt. Deswegen sollte man es umgehend abschalten.

Liebe Leute, lasst uns erst mal Ruhe bewahren und den Sachverhalt Schritt für Schritt nachvollziehen. Ggf. gibt es Verbesserungsbedarf, vllt. besteht hier und da ein Missverständnis. @anon73183378 jedenfalls erst mal Danke für die Hinweise, wir werden diesen nachgehen.
B&B ist an einem sauberen Datenschutz interessiert + wenn es in diesen Bereichen Nachholbedarf gibt, dann wahrsch. aufgrund von Zeitmangel, da B&B ehrenamtlich läuft. Das soll keine Entschuldigung sondern eine Erklärung sein.
Wir checken die Punkte einfach erst mal gemeinsam durch und schauen dann, wo es Verbesserungsbedarf gibt, den wir bestenfalls zusammen erarbeiten.

EDIT: ah ok, @mcnesium hat nochmal geantwortet, nicht gesehen :slight_smile:

1 Like

@mcnesium FYI: bei Discourse läuft das ganze scheinbar unter dem Namen onebox. Hab grade mal schnell in den Admineinstellungen geschaut – die Deaktivierung der Favicons ist in diesen scheinbar nicht möglich.

Ah guter Hinweis @tantebootsy. Das ist wohl bekannt und liegt tatsächlich an der Dateiendung .ico. Die ist alt und doof und wird per default nicht mehr als Anhang unterstützt (zu Recht!). Wenn man sie jedoch zu den erlaubten Anhängen hinzufügt, werden die Favicons wohl irgendwann auch gecached.

Hier mal ein Test:

https://meta.discourse.org/t/onebox-favicons-and-cloudflares-hotlink-protection/120219/4

In dem Post danach steht noch „a couple of days later“. Bißchen dünne, ehrlich gesagt. Alternativ könnte man die onebox-Vorschau abschalten. Das wär zwar bißchen schade, aber auch kein Weltuntergang. Was denkt ihr dazu?

1 Like

Hast du .ico bereits zu authorized extensions hinzugefügt? War nämlich bereits drin.

Der bringt in unserem Fall, wenig, da meta.discourse.org keine .icos verwendet :wink:

Also muss noch mal der gute alte SWR herhalten:

https://www.swr.de/

Scheint zu funzen:

Capto_Capture 2020-05-29_10-29-30_PM

jedoch nur für neue onboxes. Die alten verweisen weiter auf das Original. Wahrscheinlich kam es Chris von meta.discourse deshalb so vor, als ob es ein paar Tage dauert, bis der Effekt eintritt.

Ob es hier zur rechtlichen Absicherung nun der Editierung der bisherigen onboxes braucht muss letztlich Tilman entscheiden. Auch sollte er sich drum kümmern, dass das Forum in die Datenschutzerklärung aufgenommen wird.

Zumindest habe ich diese nun auf der about-Seite verlinkt (ein Standard seitens Discourse), das ist jedoch wiederum ein Deeplink, daher eig. auch so nicht ganz rechtens.

Datenschutzerklärung muss „über nur einen Klick“ erreichbar sein. Sprich es muss auch im Forum einen Link geben, der überall gut erkennbar ist, durch nichts verdeckt und sofort zu erreichen und muss natürlich alle Angaben, was mit den Daten passiert enthalten (IP Speicherung, Trackingdienste, Kontolöschung, Datenspeicherung, Host, Verantwortlicher usw. usw.). Dient schließlich in erster Linie dafür die User zu informieren, weshalb es auch wichtig ist (sich nicht nur wegen Bußgeld) damit zu befassen.

genau das meinte ich mit „nicht so ganz rechtens“ :wink:

1 Like

Okay, ich baller mal.

Danke für den @anon73183378

Europäische aussen Grenzen?
Saufen oder er saufen?

Bist du noch ganz sauber? Sich wissentlich nicht an Gesetze halten, Bußgeld in Kauf nehmen, Nutzer verarschen und dann noch dumme Sprüche…
Viel Spaß beim Zahlen…wenn du das einer Behörde antwortest. Und sowas auch noch von einem Moderator mit Vorbildfunktion. Wirklich armseelig.

Nochmals: Leute bleibt bitte sachlich und fangt hier jetzt kein Bashing an. Das bringt uns inhaltlich nicht weiter und erzeugt nur sinnlos negative Gefühle. @PattyLuzina kontaktierst du Tilman? Oder @MathiasRenner du? Ansonsten mach ich im Namen von euch, wenn’s ok ist.

Ich habe ihn bereits kontaktiert inkl. nach dem Post die Berliner Datenschutzbeauftragte sowie das Kernteam. Nach Hinweisen, dass der Betrieb nicht legal ist (Fakt und belegbar), dann bekommen euere User gleich Nazibilder und müssen sich Diskussionen auf saufen und ersaufen anhören. Dafür habe ich keinerlei Verständnis und habe vorher den Dialog gesucht. Meine Zeit ist mri aber zu wertvoll um mit uneinsichtigen Menschen zu diskutieren. Missbrauch bei Google und Co. anprangern und selbst so agieren, das sind mir die liebsten. Daher sollen das die Behörden klären, das TMG ist seit Mitte der 90er bekannt, das BDSG seit den 70ern. (Daten)missbrauch ist kein Kavaliersdelikt.

Und bei sowas steht im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. im Impressum. Bei so einer Forumskultur möchte ich auch nicht Mitglied sein, da ist mir meine Zeit zu wertvoll.

Ganz ehrlich, Dialog gesucht? Der Ton macht die Musik! So sehr ich Dein Engagement für Datenschutz respektiere und gut finde, so wenig verstehe ich Deine Vorgehensweise hier. Es gibt unzählige Webseiten, die gegen die DSGVO mutmaßlich wissentlich verstoßen. Da muss man doch nicht ein fortschrittliches, ehrenamtliches Netzwerk vor den Kadi ziehen, das trotz begrenzter Ressourcen schnell einen (kleinen) Fehler eingestanden und eine Lösung in Aussicht gestellt hat. Bin mir ziemlich sicher, dass das auch offizielle Stellen ähnlich sehen und es deshalb zu keinerlei Strafen kommen wird. Nur eben zu weniger Zeit, die wirklichen Datenmissbrauchenden zu verfolgen.

Genießt das gute Wetter draußen!

1 Like