{"id":1426,"date":"2019-02-22T18:42:02","date_gmt":"2019-02-22T17:42:02","guid":{"rendered":"https:\/\/grupp-web.de\/cms\/?p=1426"},"modified":"2019-03-22T17:37:44","modified_gmt":"2019-03-22T16:37:44","slug":"datenschutz-geisteshaltung-meines-gewerkschaftlichen-fachverbands","status":"publish","type":"post","link":"https:\/\/grupp-web.de\/cms\/2019\/02\/22\/datenschutz-geisteshaltung-meines-gewerkschaftlichen-fachverbands\/","title":{"rendered":"Aussp\u00e4hen von eMail-Empf\u00e4ngern durch Mail-Tracking, unzul\u00e4ssige Mailweiterleitungen, und mehr &#8230;"},"content":{"rendered":"\n<p><strong>Ver\u00f6ffentlichungs-Infos und Updates zum Beitrag:<\/strong> Siehe am Ende des Beitrags.<\/p>\n\n\n\n<p>Ich habe den eMail-Newsletter meines gewerkschaftlichen Fachverbands abonniert. Das in diesen Newsletter genutzte Aussp\u00e4hen der Abonnenten <strong>(Tracking)<\/strong> fiel mir schon seit einiger Zeit negativ auf. Bevor ich nachfolgend auf die technischen Aspekte dieses Trackings eingehe, und weitere Erkenntnisse im Rahmen der nachfolgenden Kommunikation mit meiner Gewerkschaft schildere, erst noch ein paar einleitende Gedanken zu diesem Thema.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was wird getrackt? Und ist Tracking gerade f\u00fcr eine Gewerkschaft ok?<\/h2>\n\n\n\n<p>Das Aussp\u00e4hen des Benutzerverhaltens ist ein leider weit verbreitetes \u00dcbel und wird von Unternehmen mit den g\u00e4ngigen Schlagw\u00f6rtern aus dem Marketingbereich (Optimierung, Reichweitenanalyse, &#8230;) gerechtfertigt. In Bezug auf Unternehmen kann ich f\u00fcr dieses Gebaren noch einen Rest an Verst\u00e4ndnis aufbringen. <\/p>\n\n\n\n<p>Bei Organisationen die im weitesten Sinne gesellschaftliche, soziale, kulturelle, personalvertretende oder auch humanit\u00e4re Interessen vertreten, sollten meiner Erwartung nach aber auch weitere Aspekte des gegenseitigen Umgangs, des gegenseitigen Miteinanders beherzigt werden. Die ausschlie\u00dfliche Fokussierung auf satzungsgem\u00e4\u00dfe Kernaufgaben, unter Ausklammerung weiterer ethisch moralischer Aspekte, halte ich f\u00fcr nicht vertretbar. Ein solcher Aspekt ist bei der Nutzung digitaler Medien die klare Respektierung der informationellen Selbstbestimmung aller Beteiligten. So wie man bei meinem eigenen Berufsstand (Lehrkr\u00e4ften, Schulen, \u00c4mtern, &#8230;) in diesem Bereich h\u00f6here interne Ma\u00dfst\u00e4be erwarten kann als bei klar kommerziell orientierten Unternehmen, so gilt dies in gleichem Ma\u00df auch f\u00fcr Personalr\u00e4te, Gewerkschaften, Hilfsorganisationen, &#8230; .<\/p>\n\n\n\n<p>Und unter diesen ethisch moralischen Ma\u00dfst\u00e4ben ist das Aussp\u00e4hen und Erheben von personenbezogenen Angaben, z.B. &#8230;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>ob ich die Mail jemals ge\u00f6ffnet habe,<\/li><li>an welchem Datum und um welche Uhrzeit ich die Mail \u00f6ffne,<\/li><li>von welchem Ort \/ Land der Welt aus ich die Mail \u00f6ffne,<\/li><li>ob ich f\u00fcr das Lesen der Mail ein Mailprogramm und \/ oder einen Web-Browser verwende,<\/li><li>mit welcher konkreten Software ich das mache,<\/li><li>ob ich einen der enthaltenen Links angeklickt habe, wiederum mit Angaben\n<ul><li>zum Datum, zur Uhrzeit, welcher Link in der Mail es war<\/li><\/ul>\n<\/li><li>das automatische Berechnen der &#8222;Qualit\u00e4t&#8220; von mir als Empf\u00e4nger, auf Basis der erhobenen und hier gelisteten Infos,<\/li><li>&#8230;<\/li><\/ul>\n\n\n\n<p>einfach nur verwerflich! Und wenn dieses Ausspionieren dann<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>mit besch\u00f6nigenden Worten,<\/li><li>eventuell sogar noch ohne Angaben des Auftragsdatenverarbeiters (falls ein solcher im Spiel ist),<\/li><li>ohne Angaben des Speicherorts (z.B. den Amazon Data Services Ireland)<\/li><li>&#8230;<\/li><\/ul>\n\n\n\n<p>in der Datenschutzerkl\u00e4rung steht, stellt sich mir die Frage: K\u00fcndige ich hier nur den Newsletter, oder verabschiede ich mich von dieser Organisation komplett?<\/p>\n\n\n\n<p>Ach ja &#8211; von all dem steht zudem nichts in der Datenschutzerkl\u00e4rung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Konkretes Beispiel des &#8222;gewerkschaftlichen Fachverbands&#8220;<\/h2>\n\n\n\n<p>Aber zur\u00fcck zum konkreten Fall, der nach einer Kontaktaufnahme gleich noch weitere datenschutzrechtliche &#8222;Abgr\u00fcnde&#8220; offenbart. Die nachfolgende Analyse wird zeigen, &#8230;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>dass im betreffenden Newsletter Abonnenten-Tracking verwendet wird,<\/li><li>dass meine Mail-Adresse, und weitere Informationen bei einem weiteren, in der Datenschutz-Erkl\u00e4rung nicht genannten Unternehmen gespeichert wird,<\/li><li>dass dieses Unternehmen wiederum seine Server, mit meinen Daten, bei &#8222;<em>Amazon Data Services Ireland<\/em>&#8220; hostet,<\/li><li>dass meine direkten Mail-Anfragen\/-R\u00fcckfragen, und damit meine Mailadresse, mein Klartextnamen, &#8230; via Microsoft Office 365 in der Microsoft Cloud verarbeitet werden,<\/li><li>und dass Anfragen \u00fcber das Kontaktformular auf der Website zum Beispiel zu Google-Mail weiterleitet, ohne vorab auf diese Weiterverarbeitung hinzuweisen.<\/li><\/ul>\n\n\n\n<p>Nachfolgend habe ich die Domain des Tracking-Dienstleister jeweils durch <strong>tracker-domain.irgendwo<\/strong> ersetzt. Ebenso wurde die Domain des &#8222;<em>gewerkschaftlichen Fachverbands<\/em>&#8220; durch &#8222;<strong>gewerkschaft.irgendwo<\/strong>&#8220; ersetzt.<\/p>\n\n\n\n<p>TLDR; &#8211; Sofern Sie die technischen Details weniger interessieren, k\u00f6nnen sie auch direkt zu den <a href=\"#reaktionen\">Reaktionen<\/a> bzw. dem <a href=\"#fazit\">Fazit<\/a> springen.<br \/><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Grundlage des Trackings in Mails<\/h2>\n\n\n\n<p>Wie wird dieses Aussp\u00e4hen (Tracking) in einer Mail durchgef\u00fchrt und wie erkennt man ein solches Tracking \u00fcberhaupt? Beim Surfen im Internet ist der grunds\u00e4tzliche Vorgang vielen AnwenderInnen hinl\u00e4nglich bekannt, z.B. durch Schlagworte wie &#8222;Cookies&#8220;. In eMails sind Cookies nicht so ohne weiteres m\u00f6glich, deshalb wird dies typischerweise durch enthaltene Bilder, Grafiken oder Hyperlinks realisiert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Tracking in Form eines eingebetteten Hyperlinks<\/h3>\n\n\n\n<p>Im Fall von eingebetteten Links ist es \u00fcblich in der Mail nur einen Teil der eigentlichen Information als Werbetext (Teaser) zu platzieren. Interessiert sich der Empf\u00e4nger f\u00fcr den Rest der Information der dann au\u00dferhalb der Mail auf einer Website steht, muss der am Ende des Werbetextes stehende Hyperlink angeklickt werden. Hier der betreffende Teil als Screenshot:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-Tracking-Link-1.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"Tracking-Link in einer Mail - wenn man die Maus dar\u00fcber schweben l\u00e4sst\" data-rl_caption=\"Tracking-Link in einer Mail - wenn man die Maus dar\u00fcber schweben l\u00e4sst\" title=\"Tracking-Link in einer Mail - wenn man die Maus dar\u00fcber schweben l\u00e4sst\"><img loading=\"lazy\" decoding=\"async\" width=\"541\" height=\"99\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-Tracking-Link-1.png\" alt=\"Tracking-Link in einer Mail - wenn man die Maus dar\u00fcber schweben l\u00e4sst\" class=\"wp-image-1438\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-Tracking-Link-1.png 541w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-Tracking-Link-1-300x55.png 300w\" sizes=\"auto, (max-width: 541px) 100vw, 541px\" \/><\/a><figcaption>Tracking-Link in einer Mail &#8211; wenn man die Maus dar\u00fcber schweben l\u00e4sst<\/figcaption><\/figure><\/div>\n\n\n\n<p>L\u00e4sst man die Maus \u00fcber einem Link schweben (siehe oben), kann man typischerweise am unteren Fensterrand den Link zur Information sehen (siehe oben). Die diversen Codes (Zahlen &amp; Buchstaben) repr\u00e4sentieren hier den Personenbezug. Sie sind n\u00e4mlich pro Mail-Empf\u00e4nger individuell und werden beim Tracker-Betreiber wieder eindeutig auf eine dort gespeicherte Person abgebildet. Klickt man einen solchen Link an, ist das ganze eingangs aufgef\u00fchrte Szenario real.<\/p>\n\n\n\n<p>Der Dienstleister hat nun die Information, dass ich die Mail gelesen habe, kann dazu noch Datum \/ Uhrzeit \/ meinen Aufenthaltsort \/ das zugeh\u00f6rige Land \/ die zum Lesen verwendete Software \/ das verwendete Betriebssystem, &#8230; und welchen Link in der Mail ich angeklickt habe speichern. Aus all diesen Informationen kann und wird dann automatisch meine &#8222;Qualit\u00e4t&#8220; als Empf\u00e4nger berechnet. Ich werde also einem mir nicht bewussten Ranking unterzogen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Tracking in Form eingebetteter Bilder &#8211; h\u00e4ufig sogar nicht sichtbarer Bilder<\/h3>\n\n\n\n<p>Im Fall von Bildern werden diese dann nicht mit dem eMail-Text zusammen \u00fcbertragen, sondern sie werden online auf einem Webserver abgelegt und erneut nur \u00fcber einen personalisierten Hyperlink ins Internet eingebettet. Lassen sich die Empf\u00e4ngerInnen die in einer Mail enthaltenen Bilder anzeigen, wird die zugeh\u00f6rige Datei somit live aus dem Internet abgerufen. Bereits durch diesen Vorgang, einfaches Anzeigen der Mail inklusive der Bilder, ist die ganze obige Palette an Informationen beim Tracker gelandet. <\/p>\n\n\n\n<p>Die Einbettung eines solchen Bilds sieht im Quellcode der Mail z.B. so aus:<\/p>\n\n\n\n<p><code>&lt;img src=\"https:\/\/<em>tracker-domain.irgendwo<\/em>\/stats\/mc_202126_11244460_02b5b45c1308-pn5z6b.gif\" border=\"0\" alt=\"\" height=\"1\" width=\"1\"&gt;<\/code><\/p>\n\n\n\n<p>Auch hier gilt: Die diversen Codes (Zahlen &amp; Buchstaben) repr\u00e4sentieren hier erneut den Personenbezug und werden beim Tracker-Betreiber eindeutig auf eine Person bzw. Mailadresse abgebildet. Werden die Bilder in einer Mail abgerufen, ist das ganze obige Szenario also schon real &#8211; und damit der Empf\u00e4nger die Bilder auch auf jeden Fall anzeigen l\u00e4sst, wird die Mail so gestaltet, dass man das auch hoffentlich macht.<\/p>\n\n\n\n<p>Das Bild kann entweder eines der Bilder in der Mail sein, es kann aber auch ein durchsichtiges Bild mit einem Bildschirmpixel H\u00f6he und Breite sein. In so einem Fall kann es von den Empf\u00e4ngern nicht einmal &#8222;<em>wahrgenommen<\/em>&#8220; werden! Das obige Beispiel war genau ein derartiges 1-Pixel-Transparent-Bild. Empf\u00e4nger kontrollieren somit wom\u00f6glich alle anderen Bilder in der Mail, finden genau dieses Pixel aber nicht! In meinem konkreten Beispiel waren andere Grafiken n\u00e4mlich durch nicht personalisierte URLs wie diese hier in die Mail eingebettet:<\/p>\n\n\n\n<p><code>&lt;img src=\"https:\/\/gewerkschaft.irgendwo\/newsletter\/header.png\"&gt;<\/code><\/p>\n\n\n\n<p>Dieses Vorgehen kann man mit Fug und Recht als Verschleierungstaktik bezeichnen, denn selbst wenn Empf\u00e4nger die Herkunft der sichtbaren Bilder pr\u00fcfen, finden sie das transparente Tracking-Pixel nicht!<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Analyse des Mail-HTML-Quellcodes &#8211; schwieriger als gedacht<\/h3>\n\n\n\n<p>Um so ein Tracking-Pixel (auch gerne besch\u00f6nigend und ebenfalls verschleiernd als &#8222;<em>Z\u00e4hlpixel<\/em>&#8220; bezeichnet) zu erkennen, oder generell einmal den HTML-Coder der Mail zu analysieren, muss man sich den Quellcode der Mail anzeigen lassen. Das funktioniert je nach Mailprogramm unterschiedlich. Beim von mir verwendeten Thunderbird geht das mit der Tastenkombination <code>\"Strg\" + \"U\"<\/code>.<\/p>\n\n\n\n<p>N\u00e4chste \u00dcberraschung, im Gegensatz zu den \u00fcblichen Mails ist bei diesem Anbieter der Mailtext Base64-codiert:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-Teil-in-Base64-Codierung.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"Mailtext - hier HTML-Teil - mit Base64-Codierung\" data-rl_caption=\"Mailtext - hier HTML-Teil - mit Base64-Codierung\" title=\"Mailtext - hier HTML-Teil - mit Base64-Codierung\"><img loading=\"lazy\" decoding=\"async\" width=\"779\" height=\"187\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-Teil-in-Base64-Codierung.png\" alt=\"Mailtext - hier HTML-Teil - mit Base64-Codierung\" class=\"wp-image-1434\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-Teil-in-Base64-Codierung.png 779w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-Teil-in-Base64-Codierung-300x72.png 300w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-Teil-in-Base64-Codierung-768x184.png 768w\" sizes=\"auto, (max-width: 779px) 100vw, 779px\" \/><\/a><figcaption>Mailtext &#8211; hier HTML-Teil &#8211; mit Base64-Codierung<\/figcaption><\/figure><\/div>\n\n\n\n<p>Ob es hier wirklich noch technische Gr\u00fcnde gibt den HTML-Code via Base64 zu \u00fcbertragen entzieht sich meiner Kenntnis, ich gehe aber erst einmal von einer weiteren Verschleierungstaktik aus, denn so ist der Quellcode der Mail erneut nicht direkt einsehbar. F\u00fcr ann\u00e4hernd 100% der Mailempf\u00e4nger ist an der Stelle dann Schluss mit der Analyse.<\/p>\n\n\n\n<p>Um das also weiter zu analysieren habe ich die Mail als Text-Datei gespeichert, in einem Text-Editor den Base64-Code des HTML-Teils der Mail gesondert gespeichert, und mit dem base64-Utility meines Linux-Systems decodiert in einer weiteren Datei gespeichert.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">cat HTML-Base64-Codierung.txt | base64 -di &gt; 190219_HTML-dekodiert.html<\/pre>\n\n\n\n<p>Damit kann der Quellcode nun eingesehen werden und das obige Tracking-Pixel erkannt werden:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-des-Tracking-Pixels.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"Tracking-Pixel - ganz ans Ende der Mail gequetscht\" data-rl_caption=\"Tracking-Pixel - ganz ans Ende der Mail gequetscht\" title=\"Tracking-Pixel - ganz ans Ende der Mail gequetscht\"><img loading=\"lazy\" decoding=\"async\" width=\"626\" height=\"111\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-des-Tracking-Pixels.png\" alt=\"Tracking-Pixel - ganz ans Ende der Mail gequetscht\" class=\"wp-image-1436\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-des-Tracking-Pixels.png 626w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Newsletter-HTML-des-Tracking-Pixels-300x53.png 300w\" sizes=\"auto, (max-width: 626px) 100vw, 626px\" \/><\/a><figcaption>Tracking-Pixel &#8211; ganz ans Ende der Mail gequetscht<\/figcaption><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Der Absender des Newsletter ist laut Mail-Adresse der Fachverband &#8230; was aber gar nicht stimmt!<\/h2>\n\n\n\n<p>Mein &#8222;<em>gewerkschaftlicher Fachverband<\/em>&#8220; nutzt u.a. f\u00fcr den Newsletter und das Tracking n\u00e4mlich einen externen Dienstleister. Das ist aber so direkt gar nicht erkennbar, denn als Absender-Mailadresse findet sich in der Mail &#8222;<em>newsletter@gewerkschaft.irgendwo<\/em>&#8222;, also eine Mailadresse des Fachverbands. Durch ein Add-On im Mailprogramm Thunderbird (den <a rel=\"noreferrer noopener\" aria-label=\"DKIM Verifier (\u00f6ffnet in neuem Tab)\" href=\"https:\/\/github.com\/lieser\/dkim_verifier\/wiki\" target=\"_blank\">DKIM Verifier<\/a>, die techn. Details sind hier erst mal irrelevant) f\u00e4llt aber an dieser Stelle schnell auf, dass der Mailversand von einer ganz anderen Mail-Domain digital unterschrieben wurde &#8211; die Mail-Domain verbirgt sich dabei hinter dem verpixelten Bereich nach &#8222;<em>Signiert durch:<\/em>&#8222;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_maildaten-in-thunderbird-mit-dkim-sig.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"Mailinfos mit DKIM-Infos des Versenders\" data-rl_caption=\"Mailinfos mit DKIM-Infos des Versenders\" title=\"Mailinfos mit DKIM-Infos des Versenders\"><img loading=\"lazy\" decoding=\"async\" width=\"418\" height=\"104\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_maildaten-in-thunderbird-mit-dkim-sig.png\" alt=\"Mailinfos mit DKIM-Infos des Versenders\" class=\"wp-image-1431\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_maildaten-in-thunderbird-mit-dkim-sig.png 418w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_maildaten-in-thunderbird-mit-dkim-sig-300x75.png 300w\" sizes=\"auto, (max-width: 418px) 100vw, 418px\" \/><\/a><figcaption>Mailinfos mit DKIM-Signatur-Informationen des tats\u00e4chlichen eMail-Versender<\/figcaption><\/figure><\/div>\n\n\n\n<p>Diese Information kann man auch in den Mail-Headern sehen. Da man die aber nat\u00fcrlich nicht bei jeder Mail von Hand aufw\u00e4ndig inspiziert, nimmt die DKIM-Signatur als Nebeneffekt eine einwandfreie Warnfunktion ein. Das orangefarbige Icon wird n\u00e4mlich nur angezeigt wenn eine Diskrepanz zwischen Absender-Maildomain und DKIM-Signatur-Maildomain besteht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Und wo findet diese ganze Tracking-Verarbeitung statt?<\/h2>\n\n\n\n<p>F\u00fcr datenschutzbewusste Anwender ist es nat\u00fcrlich auch ein spannendes Thema an welcher Stelle des Internets, bzw. auch bei welchem weiteren Dienstleister das alles stattfindet. Dazu kann man den Host- und Domain-Anteil des Tracker-Hyperlinks verwenden und damit eine DNS-Anfrage starten &#8211; bequem im Web z.B. via <a href=\"https:\/\/www.heise.de\/netze\/tools\/dns\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.heise.de\/netze\/tools\/dns\/<\/a>. Das sieht dann so aus:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Tracking-Unternehmen-DNS-Abfrage-1.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"IP-Adresse des Tracking-Servers im DNS abfragen\" data-rl_caption=\"IP-Adresse des Tracking-Servers im DNS abfragen\" title=\"IP-Adresse des Tracking-Servers im DNS abfragen\"><img loading=\"lazy\" decoding=\"async\" width=\"650\" height=\"172\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Tracking-Unternehmen-DNS-Abfrage-1.png\" alt=\"IP-Adresse des Tracking-Servers im DNS abfragen\" class=\"wp-image-1444\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Tracking-Unternehmen-DNS-Abfrage-1.png 650w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190219_Tracking-Unternehmen-DNS-Abfrage-1-300x79.png 300w\" sizes=\"auto, (max-width: 650px) 100vw, 650px\" \/><\/a><figcaption>IP-Adresse des Tracking-Servers im DNS abfragen<\/figcaption><\/figure><\/div>\n\n\n\n<p>Als Ergebnis erh\u00e4lt man eine, oder in meinem Fall mehrere IP-Adressen. Mit einer IP-Adresse ist dann z.B. \u00fcber RIPE (<a href=\"https:\/\/www.ripe.net\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.ripe.net\/<\/a>) der n\u00e4chste Auftragsdatenverarbeiter feststellbar. Der Newsletter- und Tracking-Dienstleister meiner &#8222;Gewerkschaft&#8220; nutzt n\u00e4mlich f\u00fcr seine Server einen weiteren Unterauftragsnehmer und der stellt sich als <strong>Amazon Data Services Ireland<\/strong> heraus.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">address: Amazon Data Services Ireland\naddress: Digital Depot\naddress: Thomas Streetaddress: Dublin 8\naddress: Ireland<\/pre>\n\n\n\n<p>&#8222;Gro\u00dfartig&#8220; &#8211; in die Verarbeitung meiner Daten sind also schon mal drei Dienstleister in unterschiedlicher Form involviert:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>(M)ein &#8222;gewerkschaftlicher Fachverband&#8220;<\/li><li>Dessen Newsletter- und Tracking-Dienstleister<\/li><li>Und wiederum dessen Unterauftragsnehmer &#8222;<em>Amazon Data Services Ireland<\/em>&#8222;<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Kontaktaufnahme mit dem gewerkschaftlichen Fachverband &#8211; oder wie nun auch noch Microsoft Office 365 und Google-Mail ins Spiel kommt<\/h2>\n\n\n\n<p>F\u00fcr mich wurde es nun h\u00f6chste Zeit meinen Fachverband, in dem ich seit \u00fcber 20 Jahren Mitglied bin, zu kontaktieren und das einmal zu thematisieren. Einerseits ging es mir um den Hinweis, dass in der Datenschutzerkl\u00e4rung der Newsletter- und Tracking-Dienstleister leider komplett fehlt. Andererseits, und dieser Aspekt ist mir eigentlich wichtiger und zu Beginn dieses Postings erl\u00e4utert, geht es mir darum die Verantwortlichen zu fragen was man sich eigentlich bei einem solchen Tracking denkt! Ob man wirklich der Meinung ist dies w\u00e4re f\u00fcr eine Gewerkschaft ethisch moralisch vertretbar!?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cloud-Verarbeitung via Microsoft Office 365<\/h2>\n\n\n\n<p><strong>Vorab-Bemerkung:<\/strong> Von Juristen wei\u00df ich, dass es grunds\u00e4tzlich m\u00f6glich ist personenbezogene Daten via Microsoft Office 365 zu verarbeiten. Allerdings gibt es auch die Aussage, dass es durchaus aufw\u00e4ndig sei den Vertrag zur Datenverarbeitung im Auftrag absolut korrekt abzuschlie\u00dfen. Unabh\u00e4ngig davon stellt sich mir aber eben erneut die Frage ob das, selbst wenn alle Vertr\u00e4ge korrekt abgeschlossen sein sollten, tats\u00e4chlich sein muss. Au\u00dferdem ist diese Information in der Datenschutzerkl\u00e4rung zum betreffenden Zeitpunkt nicht erw\u00e4hnt.<\/p>\n\n\n\n<p>Wie auch immer, die R\u00fcckantwort kam dann prompt per pers\u00f6nlicher Mail, nahm aber nur auf den rechtlichen Aspekt in der Datenschutzerkl\u00e4rung Bezug und informierte mich \u00fcber die Weiterleitung meiner Anfrage an den externen Datenschutzbeauftragten. Ob man es also als Gewerkschaft n\u00f6tig hat die Mitglieder auszusp\u00e4hen wurde in dieser Mail nicht thematisiert.<\/p>\n\n\n\n<p>Interessanter, bzw. f\u00fcr mich noch erschreckender, war aber ein ganz anderer Aspekt der Antwort. Zur Illustration auch hier ein Screenshot aus den allgemeinen Informationen der Mail, um die Ausgabe des schon erw\u00e4hnten DKIM-AddOns angereichert:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190220_Mailantwort-Info-in-Mail.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"DKIM-Signatur zeigt Microsoft als Absender an\" data-rl_caption=\"DKIM-Signatur zeigt Microsoft als Absender an\" title=\"DKIM-Signatur zeigt Microsoft als Absender an\"><img loading=\"lazy\" decoding=\"async\" width=\"604\" height=\"162\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190220_Mailantwort-Info-in-Mail.png\" alt=\"DKIM-Signatur zeigt Microsoft als Absender an\" class=\"wp-image-1446\" srcset=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190220_Mailantwort-Info-in-Mail.png 604w, https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190220_Mailantwort-Info-in-Mail-300x80.png 300w\" sizes=\"auto, (max-width: 604px) 100vw, 604px\" \/><\/a><figcaption>DKIM-Signatur zeigt Microsoft als Absender an<\/figcaption><\/figure><\/div>\n\n\n\n<p>Im <em>Von:<\/em>-Feld, das hier unkenntlich gemacht ist, steht als Absender die Mailadresse der Gewerkschaft, mit deutscher Domain. Die Signatur stammt aber erneut nicht von der Gewerkschafts-Maildomain, sondern von einem Mailserver der Firma Microsoft! Holla die Waldfee &#8211; nun war der Blutdruck aber endg\u00fcltig im kritischen Bereich. Ich sende also an die ganz normal aussehende DE-Domain der Gewerkschaft, und die R\u00fcckantwort kommt von einem Microsoft-Server &#8211; daf\u00fcr gibt es eigentlich nur zwei M\u00f6glichkeiten:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Der Mailserver der Domain wird von Microsoft betrieben<\/li><li>Die Gewerkschaft hat einen eigenen Mailserver, bzw. einen Mailserver bei einem anderen Provider, hat die Domain oder einzelne Mail-Accounts aber bei Microsoft Office 365 als g\u00fcltige Maildomain \/ Mailabsender verifiziert und dort registriert.<\/li><\/ol>\n\n\n\n<p>Wie schon im Artikel &#8222;<a href=\"https:\/\/grupp-web.de\/cms\/2018\/12\/12\/digitale-verantwortungslosigkeit-an-schulen-mailprovider\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Digitale Verantwortungslosigkeit an Schulen: Mailprovider<\/strong><\/a>&#8220; gezeigt habe ich als n\u00e4chstes den MX-Eintrag der Domain abgefragt, was mich zu einem Mailserver f\u00fchrt der erst mal nach meiner Gewerkschaft als Betreiber aussieht &#8211; der Name lautet &#8222;<em>mail.gewerkschaft.irgendwo<\/em>&#8220; (Domain-Anteil wieder modifiziert).<\/p>\n\n\n\n<p>Wir sind also bei Option 2. Entweder nutzt die gesamte Gewerkschaft Microsoft Office 365, oder einzelne Mitarbeiter. Da fehlt es mir bei O365 noch etwas an Hintergrundwissen. Mit den mir zur Verf\u00fcgung stehenden O365-Mitteln h\u00e4tte ich nur als Admin eine gesamte Domain f\u00fcr alle User bei Microsoft hinterlegen k\u00f6nnen. Ob das auch mit einem einzelnen Office 365 Account geht entzieht sich leider meiner Kenntnis (f\u00fcr nachweisbare R\u00fcckmeldungen zu diesem Thema w\u00e4re ich dankbar).<\/p>\n\n\n\n<p>Da eine Mailadresse, sowie der Mailinhalt, ebenfalls personenbezogene Daten darstellen \/ beinhalten bin ich hier also bei der n\u00e4chsten Eskalationsstufe angekommen &#8230; denn auch dieser Umstand ist in der Datenschutzerkl\u00e4rung der Gewerkschaft in keiner Weise vermerkt.<\/p>\n\n\n\n<p>Au\u00dferdem ist es meines Erachtens nach nicht ganz abwegig anzunehmen, dass nicht nur die Mailfunktion von Microsoft Office 365 verwendet wird, sondern in der t\u00e4glichen Arbeit, z.B. f\u00fcr das Schreiben von Dokumenten oder die Verarbeitung von Mitgliederlisten, auch Word, oder Excel in der Cloud zum Einsatz kommt. Aber das ist wie gesagt nur eine Annahme &#8230;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">R\u00fcckmeldung des zust\u00e4ndigen, externen Datenschutzbeauftragten<\/h3>\n\n\n\n<p>Ich mache es ganz kurz &#8211; auch der externe Datenschutzbeauftragte hat meine Mail, und damit meine Mailadresse als personenbezogenes Datum, \u00fcber die Microsoft-Server verarbeitet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cloud-Verarbeitung via Google-Mail &amp; GMX<\/h2>\n\n\n\n<p>Bis zu diesem Zeitpunkt war meine gesamte Kommunikation noch rein auf den Newsletter und das enthaltene Benutzer-Tracking bezogen. Durch die Nutzung eines weiteren nicht genannten Cloud-Dienstleisters aufgeschreckt, wollte ich es nun genauer wissen &#8211; sorry liebe Gewerkschaft. Ich habe ja oben schon geoutet, dass ich nicht bis ins Detail wei\u00df wie man vorgehen muss um Mail-Adressen die zu einer regul\u00e4ren, selbstregistrierten DE-Domain geh\u00f6ren, als Absender in Microsoft Office 365 verwenden kann. Wom\u00f6glich ist das nur eine Aktion einer einzelnen Person. Um also eine weitere Verifikation durchzuf\u00fchren, fragte ich deshalb \u00fcber das allgemein verf\u00fcgbare Online-Kontaktformular auf der Homepage an.<\/p>\n\n\n\n<p>Die Anfrage wurde intern offenbar weitergeleitet &#8211; ob direkt an eine GMail-Adresse oder nicht kann ich ohne interne Quellen nicht sagen. Fakt ist jedoch, dass meine Anfrage bzw. die verwendete Mailadresse (das ist ein personenbezogenes Datum) bei Google-Mail und bei GMX landete, denn ich bekam gleich zwei getrennte Antworten von Personen die diese Mail-Provider nutzen. Das ist eventuell &#8222;<em>nur der Fehler eines einzelnen Mitglieds<\/em>&#8222;, \u00e4ndert aber f\u00fcr mich als Betroffener leider nichts. Hier der Screenshot der Mail via Google &#8230;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a  href=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190222_Google-DKIM-Sig-einer-Kontaktform-Anfragenantwort.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"GMail-Antwort auf Anfrage via Online-Kontaktformular\" data-rl_caption=\"GMail-Antwort auf Anfrage via Online-Kontaktformular\" title=\"GMail-Antwort auf Anfrage via Online-Kontaktformular\"><img loading=\"lazy\" decoding=\"async\" width=\"269\" height=\"24\" src=\"https:\/\/grupp-web.de\/cms\/wp-content\/uploads\/2019\/02\/190222_Google-DKIM-Sig-einer-Kontaktform-Anfragenantwort.png\" alt=\"GMail-Antwort auf Anfrage via Online-Kontaktformular\" class=\"wp-image-1455\"\/><\/a><figcaption>GMail-Antwort auf Anfrage via Online-Kontaktformular<\/figcaption><\/figure><\/div>\n\n\n\n<p>&#8230; den von GMX habe ich gespeichert, kann aber ohne Preisgabe der Mailadresse hier nichts zeigen.<\/p>\n\n\n\n<p>Noch einmal: F\u00fcr diese beiden Antworten ist eventuell nicht ganz direkt die Gewerkschaft verantwortlich, denn es ist eine weit verbreitete Unsitte Mails an den ach so einfach im Smartphone hinterlegten GMail-Account, oder an andere Sammelkonten weiterzuleiten. Wenn ich das also zu Gunsten der Gewerkschaft ins Feld f\u00fchre, w\u00e4re trotzdem doch einmal eine Mitarbeiter- \/ Mitglieder-Schulung zum Thema Datenschutz-Compliance eine gute Idee. Letzteres unter der ebenfalls wohlwollenden Annahme, dass \u00fcberhaupt irgendeine interne Datenschutz-Policy existiert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"reaktionen\">Reaktionen<\/h2>\n\n\n\n<p>Erfreulicherweise gab es aber auch Reaktionen der Gewerkschaft.<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Das Benutzer-Tracking in Mails \u00fcber die Mailingliste wurde komplett deaktiviert.<\/li><li>Das Abonnement der Mailingliste wurde ge\u00e4ndert, und mit einer eigenen Informationsseite zum Datenschutz ausgestattet. Darin wird nun die Nutzung externer Dienstleister deklariert, allerdings leider ohne diese konkret zu benennen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">Fazit<\/h2>\n\n\n\n<p>Rund um das personenbezogene User-Tracking einer einzelnen Mail des Newsletters meines gewerkschaftlichen Fachverbands kam ich also zur Erkenntnis, dass meine Daten ohne weitere Kenntlichmachung an folgenden Stellen verarbeitet werden:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Beim gewerkschaftlichen Fachverband,<\/li><li>bei dessen Newsletter- und Tracking-Dienstleister der zu diesem Zeitpunkt in der Datenschutzerkl\u00e4rung nicht genannt wird,<\/li><li>der seinerseits seine Server (auf denen personenbezogene Daten gespeichert sind) im aktuellen Fall bei &#8222;<em>Amazon Data Services Ireland<\/em>&#8220; (als Server-Hoster) hat.<\/li><li>Und als f\u00fcr mich erschreckenden Abschluss werden Mail-R\u00fcckfragen bzw. -Anfragen ohne vorherige Information des Anfragenden <ul><li>einerseits ganz offiziell \u00fcber einen Cloud-Dienstleister wie Microsoft Office 365 verarbeitet, oder<\/li><li>organisationsintern an Personen weitergeleitet die dann ihren offenbar privaten GMail-Account f\u00fcr die Kommunikation verwenden. <\/li><\/ul><\/li><\/ol>\n\n\n\n<p>Wie schon eingangs dargestellt ist das aus meiner Sicht f\u00fcr eine Einrichtung im gewerkschaftlichen Umfeld, die auf Versammlungen z.B. auch sagt, man solle sich vor einem Amtsarztbesuch ggf. erst an eine Verbandsvertretung wenden, ein absolutes Unding.<\/p>\n\n\n\n<p>Und um das noch als klare Forderung an alle eingangs beschriebenen Organisationsformen, nicht nur Gewerkschaften, zu formulieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Bevor Werkzeuge zum User-Tracking genutzt werden, denken Sie doch bitte unabh\u00e4ngig von den Minimalvorschriften einer EU-DSGVO erst einmal dar\u00fcber nach ob das \u00fcber kurz oder lang bei den Abonnenten eventuell bitter aufst\u00f6\u00dft und damit negative Auswirkungen auf das eigentliche T\u00e4tigkeitsfeld hat.<\/li><li>Verzichten Sie doch einfach auf Lese- und Klick-Tracking in Mails.<\/li><li>Nutzen Sie auf der Web-Site weder Google-Analytics (auch nicht in der Variante mit gek\u00fcrzter IP-Adresse), Google-Fonts, Google-APIs, sonstige Tracker, &#8230; .<\/li><li>Versuchen Sie generell irgendwelche Komponenten von Dritten im Webauftritt, in Mailings, &#8230; zu vermeiden.<\/li><li>\u00dcberlegen Sie sich ob Sie tats\u00e4chlich internationale Dienstleister als Mailprovider, oder dar\u00fcber hinaus f\u00fcr weitere Dienstleistungen einsetzen.<\/li><\/ul>\n\n\n\n<p>Die EU-DSGVO ist eine rechtliche Minimalforderung! Man muss, insbesondere wenn man selbst eine Organisation ist die in einem speziellen Bereich ethisch moralische Anspr\u00fcche geltende macht, ihre M\u00f6glichkeiten nicht bis zum letzten Buchstaben aussch\u00f6pfen. Echtes Datenschutzbewusstsein ist bei Mitgliedern, F\u00f6rdermitgliedern, m\u00f6glichen Partnern und Neumitgliedern, in der \u00d6ffentlichkeit, &#8230; unter Umst\u00e4nden sogar ein Wettbewerbsvorteil gegen\u00fcber &#8222;Mitbewerbern&#8220;. Sehen Sie Datenschutz nicht als eine Bel\u00e4stigung und Behinderung Ihrer Arbeit, sondern als Vorteil!<\/p>\n\n\n\n<p>Und liebe Mail- und Newsletter-Empf\u00e4ngerInnen: Werdet aktiv! Lasst euch diese Aussp\u00e4haktionen insbesondere bei diesen Organisationen nicht gefallen. Beschwert euch!<\/p>\n\n\n\n<p style=\"text-align:center\"><strong>It&#8217;s time to change!<\/strong><\/p>\n\n\n\n<p><strong>Ver\u00f6ffentlichungs- und Update-Historie:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Dieser Beitrag wurde zwar am 22.2.2019 als Entwurf begonnen, aber zur Nachpflege \/ Erg\u00e4nzung des gesamten Vorgangs danach noch weiter bearbeitet und erst am 19.3.2019 ver\u00f6ffentlicht.<\/li><li>21.3.2019: Vorbemerkung im Abschnitt &#8222;<em>Cloud-Verarbeitung via Microsoft Office 365<\/em>&#8220; erg\u00e4nzt, und Abschnitt &#8222;<em>R\u00fcckmeldung des zust\u00e4ndigen, externen Datenschutzbeauftragten<\/em>&#8220; erg\u00e4nzt.<\/li><li>22.3.2019: Den Abschnitt &#8222;<em>Reaktionen<\/em>&#8220; erg\u00e4nzt.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Ver\u00f6ffentlichungs-Infos und Updates zum Beitrag: Siehe am Ende des Beitrags. Ich habe den eMail-Newsletter meines gewerkschaftlichen Fachverbands abonniert. Das in diesen Newsletter genutzte Aussp\u00e4hen der Abonnenten (Tracking) fiel mir schon seit einiger Zeit negativ auf. Bevor ich nachfolgend auf die technischen Aspekte dieses Trackings eingehe, und weitere Erkenntnisse im Rahmen der nachfolgenden Kommunikation mit meiner &#8230; <a title=\"Aussp\u00e4hen von eMail-Empf\u00e4ngern durch Mail-Tracking, unzul\u00e4ssige Mailweiterleitungen, und mehr &#8230;\" class=\"read-more\" href=\"https:\/\/grupp-web.de\/cms\/2019\/02\/22\/datenschutz-geisteshaltung-meines-gewerkschaftlichen-fachverbands\/\" aria-label=\"Mehr Informationen \u00fcber Aussp\u00e4hen von eMail-Empf\u00e4ngern durch Mail-Tracking, unzul\u00e4ssige Mailweiterleitungen, und mehr &#8230;\">Weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":1478,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[16,15,14,17],"class_list":["post-1426","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","tag-ausspaehung","tag-datenschutz","tag-mailtracking","tag-tracking"],"_links":{"self":[{"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/posts\/1426","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/comments?post=1426"}],"version-history":[{"count":34,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/posts\/1426\/revisions"}],"predecessor-version":[{"id":1493,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/posts\/1426\/revisions\/1493"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/media\/1478"}],"wp:attachment":[{"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/media?parent=1426"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/categories?post=1426"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/grupp-web.de\/cms\/wp-json\/wp\/v2\/tags?post=1426"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}