Das Gute am Web ist die Möglichkeit, Informationen per Hypertext (HTML) verteilt zur Verfügung stellen zu können. Bei der Abfrage von verteilten Inhalten werden auch die IP-Adresse des Anfragenden und ggf. über das HTTP-Protokoll auch Informationen über die gerade besuchte Seite an die Stellen weitergegeben, welche Teile der verteilten Informationen zur Verfügung stellen. Dies sind nach deutschem Recht aufgrund der IP-Adresse personenbezogene Daten. Der Benutzer bemerkt davon meist nichts.
Die überaus nützliche Funktion gängiger Webbrowser, automatisch alle für ein Dokument benötigten Teile ohne weiteres Zutun des Benutzers im Hintergrund zu laden, sind hierfür verantwortlich. Die ausliefernden Firmen (bspw. Google) können jedoch das Verhalten des Benutzers der Webseiten anhand der dort eintreffenden Anfragen und der in ihnen enthaltenden Referrer-Informationen genau beobachten und analysieren. Auch Webauftritte öffentlicher Stellen, wie https://www.berlin.de geben so Informationen an Dritte weiter.
Selbst sensible Informationen können über diesen Weg an Firmen gelangen, die oft in einem Land mit geringem Datenschutzniveau residieren. Die Informationen werden zum Teil in den Parametern der URL übertragen, wie die Electronic Frontier Foundation (EFF) schon vor Jahren bemängelte.
Abhilfe schaffen
Programmierer von Web-Applikationen und Betreiber von Webseiten sollten darauf achten, dass Ihr Angebot dem einen Riegel vorschiebt. Ein HTML-Meta Element im <head>
-Element des ausgelieferten HTML-Kodes weist den Webbrowser an, Referrer-Informationen nur in bestimmten Situationen mit zu senden. Folgendes Beispiel verbietet die Weitergabe von Referrer-Informationen komplett.
<meta name="referrer" content="no-referrer">
Das W3C hat 2017 die Candidate Recommendation für eine Referrer Policy verabschiedet. Sie beschreibt fein granuläre Optionen für diese Art der Informationsweitergabe. Hier wird auch das Content Attribut referrerpolicy
beschrieben. das in einem Anker Element eingesetzt werden kann. So kann für einen bestimmten Verweis in einer Webseite die Weitergabe der Herkunftsinformation konfiguriert werden – in diesem Fall keine Weitergabe.
<a href="https://example.com" referrerpolicy="no-referrer">
Betreiber von Webseiten haben auf die Entwicklung der von ihnen verwendeten Web-Applikation oft wenig Einfluss. Aber auch sie können durch überlegte Konfiguration des Webservers die Weitergabe regeln. Für den Apache Webserver kann mit einer Direktive ein HTTP-Header für bestimmte Webseiten gesetzt werden.
<IfModule mod_headers.c>
Header always set Referrer-Policy "same-origin"
</IfModule>
Für alle adressierten Webseiten (global, Virtual Host, Directory, Files oder Location) wird so ein HTTP-Header bei der Übertragung gesendet, der dem Webbrowser mitteilt, Herkunftsinformationen nur dann weiterzugeben, wenn eine Resource von der gleiche Domäne geladen wird. Eine derartige Direktive kann auch in .htaccess-Dateien gespeichert werden. Das ist für Betreiber wichtig, die ihre Webseite über einem Provider anbieten. Leider erlauben nicht alle Webhoster die Einstellung einer solchen Option über .htaccess-Dateien.
Mit der Version 59 verschleiert Firefox nun einige Informationen aus dem Referrer-Header – aber standardmäßig eben nur einige und nur in einem sogenannten "privaten Fenster", wie Heise online mitteilt. Die Einstellung der Optionen überfordern viele Benutzer dieses Browsers. Die Standard-Einstellung entspricht oft nicht dem Schutzbedürfnis des Benutzers.
Betreiber in der Pflicht
Es stellt sich die Frage, wer für eine gegebenenfalls rechtswidrige Weitergabe von personenbezogenen Daten durch eine Webseite verantwortlich ist. Der Betroffene (also der Benutzer der Webseite) hat für die Weitergabe in der Regel keine informierte Zustimmung erteilt. Unterlässt es ein Betreiber von Webseiten, sich die Einwilligung vom Benutzer einzuholen, verstößt er wahrscheinlich gegen bestehendes Recht. Interessant ist auch, was passiert, wenn die Einwilligung nicht erteilt wird. Werden dann nur Teile der Webseite angezeigt und ausgeführt? Das geht sicherlich nicht.
Ist es einem Betreiber zuzumuten, dass dieser dem Betroffenen zunächst eine Liste von allen Stellen mit deren Datenschutzniveau präsentiert um sich bestätigen zu lassen, das dorthin Daten weitergegeben werden dürfen? Ein Mechanismus, wie die oftmals den Drive des Weberlebnisses störenden Cookie-Banner, würden hier nicht einmal ausreichen. Es müsste eine explizite Seite sein, die keine Teile von anderen Anbietern lädt. Bisher wird von fast keiner Webseite ein solches Einverständnis abgefordert, obwohl oft Daten weitergegeben werden.
Wird man zukünftig erst eine Reihe von Einwilligungen erteilen müssen, wie schon anderswo die Akzeptanz seitenlanger Software-Nutzungsverträge, um eine einzelne Webseite vom Betreiber präsentiert zu bekommen? Das ist sicherlich nicht im Interesse der Beteiligten.
Anbieter in der Pflicht
Ein Anbieter von Web-Applikationen könnte mit seinem Produkt einen Schaden für den Betreiber provozieren, wenn die Produkteigenschaft der Weitergabe von personenbezogenen Daten an Dritte dem nicht bekannt ist. Oft wissen Betreiber meist kleiner Webauftritte selbst nur wenig darüber, welche Informationen sie genau an welche Firmen und in welchen Ländern weitergeben. Sie machen sich darüber einfach keine Gedanken! Dabei wäre es für Entwickler von Web-Applikationen einfach, bestimmte Informations- und Skript-Kode-Anbieter außen vor zu lassen, in dem man ihre Skripte, CSS-Styles oder Schriften lokal auf der eigenen Webseite speichert und von dort aus zur Verfügung stellt, solange die Lizenzen der Software das zulassen. Dies erfordert dann natürlich einen geringfügig höheren Aufwand beim Konfigurationsmanagement für diese Applikation.
Betroffene in der Pflicht
Auch wenn man dem Betroffenen nicht vorwerfen kann, wenn ohne sein Wissen Daten weitergegeben werden, so sollte er jedoch immer vorsichtig sein, auf welchen Webseiten er welche Daten hinterlässt, und welche Webseiten er überhaupt besucht. Er sollte aktuelle Browser-Versionen benutzen, sich über Schutzmöglichkeiten der einzelnen Browser-Software informieren und diese auch nutzen.