Bundesamt für Sicherheit in der Informationstechnik

G 2.159 Unzureichender Schutz personenbezogener Daten bei Webanwendungen und Web-Services

Das Benutzerverhalten bei der Bedienung einer Anwendung kann durch das sogenannte User Tracking (üblicherweise ohne explizite Zustimmung des Benutzers) aufgezeichnet werden. Da häufig nicht der Betreiber der Webanwendung oder der von der Anwendung genutzten Web-Services die Datenauswertung durchführt, sondern diese als Dienstleistung integriert, werden die erhobenen Daten in der Regel auf Systemen von Drittanbietern gespeichert. Aus den aufgezeichneten Daten können mittels User Profiling Personenprofile erstellt werden, die nicht konform mit den Datenschutzbestimmungen sind. Damit besteht die Gefahr, gegen gesetzliche Vorschriften zu verstoßen.

Im Folgenden sind Beispiele für die unbefugte Sammlung personenbezogener Daten aufgeführt:

  • Detaillierte Informationen zu Seitenaufrufen und Eingaben bei Webanwendungen und Web-Services werden Benutzern zugeordnet (zum Beispiel mittels Cookies) und über einen längeren Zeitraum protokolliert. Auf der Grundlage dieser Datensammlung können Personenprofile von den Benutzern der Webanwendung oder des Web-Service ohne ihr Wissen erstellt und zum Beispiel unbefugt für Werbezwecke verwendet werden.
  • In den Webseiten der Webanwendung werden Bilder von fremden Servern eingebettet und somit von den Clients der Benutzer geladen. Anhand der angeforderten Bilder können die Betreiber der fremden Server Abrufstatistiken über die Webseiten der Webanwendung führen. Werden darüber hinaus IP -Adressen auf dem fremden Server protokolliert, können den Webseiten-Aufrufen IP -Adressen (und somit eventuell Benutzer) zugeordnet werden. Zusätzlich kann der fremde Server mittels Cookies (engl. Third Party Cookies) das Verhalten des Benutzers detailliert nachverfolgen.
  • In den HTML -Seiten der Webanwendung ist JavaScript-Code eingebettet, der Anweisungen zur Sammlung von Daten über den Client (zum Beispiel installierte Plugins, grafische Auflösung) enthält. Bei dem Aufruf der Webseite werden diese Anweisungen unbemerkt vom Client ausgeführt. Die gesammelten Daten können demnach ohne Kenntnis und Zustimmung des Benutzers als Identifikationsmerkmale zur Erstellung von Benutzerprofilen verwendet werden.
  • Es werden von der Webanwendung oder vom Web-Service personenbezogene Daten zwar rechtskräftig erhoben, jedoch nicht angemessen gespeichert, sodass sie von Dritten unbefugt ausgelesen werden können.
  • Ein Web-Service überträgt personenbezogene Daten zur aufrufenden Anwendung oder zu anderen Web-Services mit ungesicherten Klartext-Protokollen über unsichere Netze.

Stand: 14. EL Stand 2014