Einsatz von Akismet verstößt gegen Datenschutz

Eigentlich liegt es auf der Hand, aber erst durch dieses Posting wachgerüttelt, ist es erst klar geworden: Die Verwendung von Akismet dürfte gegen das Bundesdatenschutzgesetz verstoßen. Wie in dem Artikel von Playground aufgelistet wird, werden zum Zwecke der SPAM-Bekämpfung eine Reihe von Daten beim Kommentieren an den Akismet-Server übermittelt und dort verarbeitet bevor das PlugIn dann entscheidet, ob es sich bei einem Kommentar um SPAM oder einen zulässigen Kommentar handelt. Das schöne daran. Akismet funktioniert sehr zuverlässig, denn es erhält Daten von tausenden von Blogs.

Die Idee stammt aus der Schmiede der WordPressgründer. Diese sitzt natürlich in den USA und, wie ich hier in den letzten Monaten gelernt habe, hat man für das nun folgende weder Verständnis noch Gespür.

Akismet überträgt von dem heimischen Blog an den Akismet-Server in den USA für jeden Kommentar u.a. die E-Mail Adresse, die IP, den Namen, den Inhalt des Kommentars, die UserID von angemeldeten Usern, Serverdaten und und und. Aus dem langen Streit wissen wir, das IPs personenbezogene Daten sein können, E-Mail Adressen und Namen sicherlich und die Kombination von alle dem sowieso. Nach dem hohen deutschen (bzw. europäischen) Datenschutzniveau stellt sich daher die Frage, ob die Übermittlung an Akismet überhaupt rechtens ist.

Dabei kommen nach dem BDSG eigentlich nur 2 Konstellationen in Betracht:

  1. Auftragsverarbeitung
  2. Oder eine Übermittlung die nach §§ 28-30 BDSG gerechtfertigt ist.

1. Auftragsverwaltung

Eine Auftragsverwaltung liegt etwa im klassischen Outsourcingfall vor. Originäre Aufgaben eines Unternehmens werden an ein anderes ausgelagert. Das ursprüngliche Unternehmen bleibt aber bei dem ganzen Prozess Herr der Daten. Akismet errechnet für den jeweiligen Blogbetreiber, ob es sich bei dem abgegebenen Kommentar um SPAM handelt oder nicht. Von daher könnte man auf die Idee kommen, dass es sich um einen Fall der Auftragsdatenverarbeitung handelt. Doch die Daten, die von den Kommentaren an Akismet gesendet werden, werden dort mit Daten von anderen Webseiten vermengt. Es ist daher keine reine Auftragsdatenverarbeitung.

2. Übermittlung nach §§ 28 ff BDSG

Bliebe also die normale Datenübermittlung nach BDSG. Diese ist zunächst in § 28 Abs. 1 BDSG geregelt. Dafür müsste aber zunächst einer der drei Fälle vorliegen. Als solches kommt eigentlich nur Nr. 2 in Betracht. Die SPAM Bekämpfung dürfte jedenfalls ab einem gewissen Ausmaß und Bekanntheit des Blogs die Wahrung eines berechtigten Interesses sein. Jedoch ist eine Übermittlung nur dann zulässig wenn keine schutzwürdigen Interessen des Betroffenen vorliegen. Im vorliegenden Fall werden die Daten in die USA übermittelt. Die USA hat kein von der EU anerkanntes Schutzniveau. Daher wird nach § 4b BDSG in diesem Fall der Spieß umgedreht. Es liegen keine schutzwürdigen Interessen des Betroffenen vor, die einer Übermittlung entgegenstehen, wenn eine entsprechendes Datenschutzniveau nachgewiesen wurde.

Dies wäre etwa der Fall, wenn Automattic dem Safe-Harbor beitreten würde.

Sofern ich also mit meiner Beurteilung richtig liege, ist die Übermittlung der Kommentardaten durch das Akismetplug-in in die USA datenschutzrechtlich höchst problematisch. Die Konsequenz wäre übrigens, dass eine Datenschutzbelehrung nicht ausreichen würde, die Übermittlung wäre dann nur noch mit ausdrücklicher Einwilligung möglich.

20 Kommentare Schreibe einen Kommentar

  1. Pingback: Einsatz von Akismet verstößt gegen Datenschutz | Info-Blog

  2. Pingback: Wichtigst! Akismet und europäischer Datenschutz

  3. Das ist sehr sauber begründet und zwingt mich dazu, mein Akismet zu checken. Allerdings sollte nicht unerwähnt bleiben, dass Playground auch ein eigenes Plugin zum Spamschutz am Start hat. Nur der Vollständigkeit halber.

  4. Pingback: Akismet verstößt gegen Datenschutz? : macreloaded[dot]com - digital life @ change…

  5. Mal eine alternative Sichtweise:
    Akismet ist ein Dienst, der zur Aufrechterhaltung des Betriebs des Blogs (Teledienst) zwingend erforderlich ist (Formuliert man es so, verändern sich die Spielregeln nach TMG). Darauf wird in der Datenschutzerklärung sauber und offen hingewiesen. Wer einen Kommentar abschickt, muss der DS-Erklärung vorher zustimmen. Alle Angaben zum Kommentierer müssen optional sein (Name, Email, Web), da sie für den Betrieb nicht zwingend erforderlich sind (auch TMG).
    Fertig. Sach ich ma aus meiner Sicht und Praxis.

    Ich sehe zunächst keinen Anlass, Aksimet abschalten zu müssen.

  6. Pingback: Gaby’s - Colours of the Soul » Wichtig ! Askimet verträgt sich nicht mit dem Datenschutz

  7. Pingback: Achtung Irrsinn: Die Pseudoängste der Blogger - datenkind/blog

  8. Sehr gut analysiert. Ich denke aber, dass alle Anti-Spam Plugins, die richtig funktionieren sollen, solche Daten verarbeiten und speichern müssen. Damit gebe ich meinem Vorredner recht, der sagte, dass damit Akismet zwingend für den betrieb notwendig ist. Außerdem muss man ja seinen Namen nicht angeben.

    „Die Konsequenz wäre übrigens, dass eine Datenschutzbelehrung nicht ausreichen würde, die Übermittlung wäre dann nur noch mit ausdrücklicher Einwilligung möglich.“
    Danke dafür.
    Disclaimer sind meiner Meinung nach sowieso der größte Müll. Tue schlechtes und distanziere Dich davon.

  9. Akismet ist nicht zwingend erforderlich für den Betrieb eines Blogs. Es gibt genug andere SPAM-Plugins die genauso gut und zuverlässig funktionieren wie Akismet, ohne dass sie gleich jede Menge Daten um den ganzen Globus senden. Hier war lange Zeit etwa SpamKarma2 im Einsatz (das leider nicht mehr weiterentwickelt wird) und mittlerweile AntiSpam Bee und ein Track-/Pingback Validator.

    Das ein SPAM Plugin natürlich mit den Kommentardaten arbeitet ist völlig selbstverständlich. Die meisten tun dies aber auf dem eigenen Webserver, so dass die Daten nie den „Hoheitsbereich“ des Blogbetreibers verlassen.

  10. Pingback: Akismet und der Datenschutz in Europa

  11. Die Nutzung von Akismet hat noch weitere entscheidende Nachteile, denn wenn ich bei einem Kommentar unseren Blog als Website eintrage, verschwindet der Kommentar als Spam.

    Warum? ganz einfach!

    Man kann durch Akismet die Konkurrenz oder Blogger, die man nicht leiden kann, in die Spamliste bringen.

    Wie geht das? ganz einfach!

    Probiere mal folgendes aus:

    1. Schreibe mal in deinem Blog zwei Kommentar mit einem fantasie Namen, fantasie eMail, fantasie Domain.

    2. Makiere diese Einträge bei Akismet als Spam.

    3. Schreibe zwei oder drei weitere Kommentare (die aus Müll bestehen) mit den gleichen fantasie Angaben in verschiedenen anderen Blogs die Akismet benutzen.

    Du wirst sehen, mit der fantasie Domain ist es nicht mehr möglich in einem Blog zu kommentieren, der Akismet nutzt.

    Dies kann natürlich durch “böse Buben” genutzt werden, um Blogger in die Spamliste zu bringen.

  12. Pingback: antispam bee gegen kommentar spam | blogger zeug

  13. Pingback: Akismet wird kostenpflichtig » weigandtLabs

  14. Pingback: Antispam Bee hilft gegen Spam und Captchas | admartinator.de

  15. Pingback: Usability VS Datenschutz – Datenschutzrechtliche Einwilligung ohne Opt-In? | SCHWENKE & DRAMBURG

  16. Pingback: Mit “Akismet Privacy Policies”-Plugin Spamabwehr in Wordpress rechtssicher machen | SCHWENKE & DRAMBURG

  17. Pingback: Akismet Datenschutzproblem : byBlog.eu

  18. Pingback: Blogparade: 10 WordPress-Plugins, die auf keinem Blog fehlen dürfen › Netzpanorama.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


besonders feine footnotes