G 2.159 Unzureichender Schutz personenbezogener Daten bei Webanwendungen
Das Benutzerverhalten bei der Bedienung der Webanwendung kann durch das sogenannte User Tracking (üblicherweise ohne explizite Zustimmung des Benutzers) aufgezeichnet werden. Da die Datenauswertung häufig nicht vom Betreiber der Webanwendung durchgeführt, sondern als Dienstleistung integriert wird, werden die erhobenen Daten in der Regel auf Systemen von Drittanbietern gespeichert. Aus den aufgezeichneten Daten können mittels User Profiling Personenprofile erstellt werden, die nicht konform mit den Datenschutzbestimmungen sind. Damit besteht die Gefahr, gegen gesetzliche Vorschriften zu verstoßen.
Im Folgenden sind Beispiele für die unbefugte Sammlung personenbezogener Daten aufgeführt:
- Detaillierte Informationen zu Seitenaufrufen und Eingaben bei Webanwendungen werden Benutzern zugeordnet ( z. B. mittels Cookies) und über einen längeren Zeitraum protokolliert. Auf der Grundlage dieser Datensammlung können Personenprofile von den Benutzern der Webanwendung ohne ihr Wissen erstellt und z. B. unbefugt für Werbezwecke verwendet werden.
- In den Webseiten der Webanwendung werden Bilder von fremden Servern eingebettet und somit von den Clients der Benutzer geladen. Anhand der angeforderten Bilder können die Betreiber der fremden Server Abrufstatistiken über die Webseiten der Webanwendung führen. Werden darüber hinaus IP-Adressen auf dem fremden Server protokolliert, können den Webseiten-Aufrufen IP-Adressen (und somit evtl. Benutzer) zugeordnet werden.
- In den HTML -Seiten der Webanwendung ist JavaScript-Code eingebettet, der Anweisungen zur Sammlung von Daten über den Client (z. B. installierte Plugins, grafische Auflösung) enthält. Bei dem Aufruf der Webseite werden diese Anweisungen unbemerkt vom Client ausgeführt. Die gesammelten Daten können demnach ohne Kenntnis und Zustimmung des Benutzers als Identifikationsmerkmale zur Erstellung von Benutzerprofilen verwendet werden.
- Es werden von der Webanwendung personenbezogene Daten zwar rechtskräftig erhoben, jedoch nicht angemessen gespeichert, sodass sie von Dritten unbefugt ausgelesen werden können.