Vergabe von ID-Nummern durch Cursorbilder
Wieder einmal wurden heimlich GUIDs vergeben
Seit diesem Sommer gibt es für Websites die Möglichkeit, ihren Besuchern einen kleinen Gag anzubieten. Laden die sich nämlich ein kleines Programm von Comet Systems herunter, dann wird der Cursor auf den entsprechenden Websites zu einem kleinen Bildchen und stellt beispielsweise ein UFO, einen Baseball, ein Kätzchen oder irgend etwas anderes dar. Da kann man also den Besuchern ein bisschen Zusatzvergnügen geben und sich über die Gestaltung der Website selbst hinaus noch eine Identität zulegen. Besonders gerne werden diese Cursors von Websites eingesetzt, die auch auf Kinder ausgerichtet sind. Das kommt gerade rechtzeitig vor dem Weihnachtsgeschäft. Erst vor kurzem hatte Bill Clinton, der zwar auch online einkaufen gehen wolle, dazu aufgerufen, beim Online-Shopping alles genau zu überprüfen und vor allem auch jederzeit darauf zu achten, auf seine persönliche Daten zu achten.
Nicht verwunderlich ist, dass die Idee von Comet Systems wieder einmal als Mittel entlarvt wurde, Daten über Internetbenutzer zu sammeln. Immerhin, so wirbt die Firma - "Comet is everywhere" - selbst, hätten bereits 16 Millionen Menschen die Software heruntergeladen und würden 60000 Websites das Programm nutzen, um ihren Besuchern zum Teil eigens gestaltete Cursor anzubieten. Es war einmal wieder Richard Smith, der seit der Aufdeckung der von Microsoft heimlich vergebenen ID-Nummern zum Spürhund für heimliche Trackingversuche der Menschen im Netz wurde und auch jetzt entlarvt hat, dass das scheinbar harmlose und witzige Angebot natürlich auch wieder Daten der Benutzer der Software heimlich sammelt. Und wie man dies so gerne macht, hat man das den Menschen auch nicht angekündigt, die sich die Software heruntergeladen haben, sondern erst wieder darauf gewartet, bis dies entdeckt wurde. Die Software für den Cursor vergibt ID-Nummern, die an die Server der Firma zurückgeschickt werden und es dieser ermöglichen, die Benutzer im Internet zu verfolgen und aufzuzeichnen, welche Websites besucht wurden.
Auch Vizepräsident Al Gore hatte auf seiner Website zur Präsidentschaftsbewerbung auf den Kinderseiten den Cursor von Comet angeboten (hier die alte Version, der von Google im Cache gespeicherten Website). Schnell wurde das Angebot aber am Montag wieder entfernt, als die Praktiken von Comet bekannt wurden. Gleichwohl verteidigt al Gore weiter die Selbstregulation der Wirtschaft. Gestern erst kündigte er die Veröffentlichung eines Berichts an, in der die Fortschritte bei der Förderung des E-Commerce dargelegt würden, wozu auch die Selbstregulation beim Datenschutz gehöre.
Die Firma hat unter dem wachsenden Druck von Kritikern am Montag noch schnell eine Privacy Policy veröffentlicht und ein Programm angeboten, um die Software wieder zu entfernen. Ansonsten versichert man, dass man bislang den Benutzern eine "totale Anonymität" gewährleistet habe. Mit den vergebenen GUIDs (Globally Unique IDentifier) habe man keine persönlichen Daten wie die Email-Adresse oder den Namen verbunden, sondern lediglich festgestellt, wann man welche Website besucht hat und welches Cursor-Gif verwendet wurde, da man mit den Kunden die Zahl der Besucher, die das Comet-Programm benutzen, abrechne. Man habe die bei Comet gesammelten Daten aber niemals andere Weiter gegeben und mit weitern Daten verbunden, die auf der Website des Unternehmens selbst etwa durch Cookies oder durch Eingabe der Email-Adresse gesammelt werden.
Wie die New York Times berichtet, hat allerdings Tom Schmitter, verantwortlich für die Technik bei Comet, eingeräumt, dass mit der Vergabe der GUID auch die Seriennummer der Hardware gesammelt wurde, mit der ein Computer die Verbindung zum Netz herstellt. Das aber sei unabsichtlich erfolgt und man werde diese Daten wieder löschen, auch wenn weiterhin GUIDs vergeben werden müssen, um die Benutzer zählen und mit den Kunden abrechnen zu können.
Junkbusters nutzte diese Gelegenheit, um sich in einem offenen Brief an die Staatsanwaltschaft zu wenden, weil das Verhalten von Comet die Mitteilungspflicht an den Kunden verletzt habe und weil dies erneut zeige, dass der Ansatz der Selbstregulierung der Unternehmen, wie er von der amerikanischen Regierung im Hinblick auf den Datenschutz im Web verfolgt wird, sich wieder einmal als unzureichend gezeigt habe. Junkbusters hatte bereits zu einem Boykott von Intel aufgerufen, als bekannt wurde, dass die Prozessoren mit ID-Nummern ausgestattet werden, gegen die Vergabe von GUIDs durch Microsoft oder das Erheben von Benutzerdaten durch RealMedia protestiert und bietet selbst an, durch die Benutzung eines Proxy im Netz anonym surfen zu können.