Jede Verbindung zu einer Website erzeugt technische Daten, die über mehrere Zwischenstationen geleitet werden, bevor sie Ihren Bildschirm erreichen. Diese Zwischenstationen, vom Internetdienstanbieter bis zum auf Ihrem Gerät installierten Browser, hinterlassen mehr oder weniger detaillierte Spuren Ihres Weges. Der europäische Rechtsrahmen, insbesondere die DSGVO, regelt die Erhebung und Nutzung dieser Daten, aber die technische Realität lässt Grauzonen bestehen, die den meisten Nutzern unbekannt sind.
Surf-Daten und technische Abfangschichten
Wenn Sie eine Adresse in Ihren Browser eingeben, wird die Anfrage zunächst von einem DNS-Resolver verarbeitet, oft dem Ihres Internetdienstanbieters (ISP). Dieser Resolver übersetzt den Domainnamen in eine IP-Adresse und führt ein Protokoll dieser Übersetzungen. Selbst wenn die besuchte Website das HTTPS-Protokoll verwendet, sieht der ISP die Domainnamen, die Sie aufrufen, nicht den Inhalt der Seiten.
Auch lesenswert : Alles, was Sie über die Beantragung eines VSL-Transportgutscheins wissen müssen und wer davon profitieren kann
Der Browser selbst speichert lokal den Verlauf, Cookies und Formulardaten. Google Chrome synchronisiert beispielsweise diese Informationen mit Ihrem Google-Konto, wenn die Funktion aktiviert ist. Firefox bietet eine ähnliche Synchronisation über ein Mozilla-Konto an. Diese Daten sind für jeden zugänglich, der physischen oder remote Zugriff auf Ihre Sitzung hat.
Um genau zu verstehen, wer Ihre Online-Aktivität sehen kann, müssen drei Ebenen unterschieden werden: das Netzwerk (ISP, WLAN-Administrator), die Software (Browser, Suchmaschine) und das Gerät (jede Person mit direktem Zugriff).
Auch interessant : Wie Sie die Verwaltung Ihrer Verwaltungsdokumente im Unternehmen optimieren können
Überwachung am Arbeitsplatz: Was das europäische Recht erlaubt und einschränkt
Der Europäische Datenschutzausschuss (EDSA) hat am 18. Mai 2024 eine Überarbeitung seiner Leitlinien 3/2019 zum Umgang mit personenbezogenen Daten im beruflichen Kontext abgeschlossen. Dieser Text präzisiert, dass die systematische und großflächige Überwachung der Online-Aktivitäten von Mitarbeitern grundsätzlich unverhältnismäßig im Sinne der DSGVO ist.
Arbeitgeber, die DNS-Filtertools, Proxys oder Lösungen zur Verhinderung von Datenlecks (DLP) einsetzen, müssen die Mitarbeiter klar, vollständig und verständlich informieren. Diese Verpflichtung gilt auch, wenn die Überwachung über Drittanbieter wie Google Workspace oder Microsoft 365 erfolgt.
Aktuelle französische Rechtsprechung
Der Kassationshof hat in Urteilen vom September 2022 und März 2023 klargestellt, dass der Arbeitgeber die als persönlich gekennzeichneten Dateien oder Browserverläufe auf einem beruflichen Gerät nur unter strikter Einhaltung des Rechts auf Privatsphäre einsehen darf. In der Praxis genießt ein als “persönlich” bezeichnetes Verzeichnis auf einem Desktop-Computer rechtlichen Schutz, auch wenn das Gerät dem Unternehmen gehört.
Der private Modus schützt nicht vor der Netzwerküberwachung des Arbeitgebers. Dieser Modus verhindert, dass der Browser den Verlauf und die Cookies lokal speichert, aber die DNS-Anfragen und der Netzwerkverkehr bleiben für den Netzwerkadministrator des Unternehmens sichtbar.
Inkognito-Modus und VPN: zwei Werkzeuge mit sehr unterschiedlichen Anwendungsbereichen
Die Verwirrung zwischen privatem Surfen und Online-Anonymität ist häufig. Der Inkognito-Modus wirkt sich nur auf der Ebene des Browsers aus:
- Er verhindert die lokale Speicherung von Verlauf, Cookies und Formulardaten beim Schließen des Tabs
- Er maskiert Ihre IP-Adresse nicht gegenüber den besuchten Websites, dem ISP oder dem Netzwerkadministrator
- Er verschlüsselt den Verkehr zwischen Ihrem Gerät und dem Zielserver über das Standard-HTTPS hinaus nicht
Ein VPN (virtuelles privates Netzwerk) arbeitet auf einer anderen Ebene. Es erstellt einen verschlüsselten Tunnel zwischen Ihrem Gerät und einem Zwischenserver, wodurch Ihre echte IP-Adresse vor den besuchten Websites verborgen wird und der ISP die aufgerufenen Domainnamen nicht sehen kann. Der ISP sieht nur, dass Sie mit einem VPN-Server verbunden sind, ohne die besuchten Websites identifizieren zu können.
Im Gegensatz dazu kann der VPN-Anbieter selbst möglicherweise Ihren Verkehr beobachten. Die Wahl eines Dienstes, der eine strikte No-Log-Politik verfolgt, wird daher zu einem entscheidenden Kriterium. Die verfügbaren Daten ermöglichen es nicht, alle von den Anbietern angekündigten No-Log-Politiken unabhängig zu überprüfen.
Datenschutzeinstellungen des Browsers: Einstellungen, die wirklich einen Unterschied machen
Über das VPN hinaus gibt es mehrere Einstellungen, die direkt in Ihrem Browser zugänglich sind und die Exposition Ihrer Daten verringern. Nicht alle sind gleichwertig.
- Die automatische Löschung von Cookies beim Schließen des Browsers zu aktivieren, begrenzt das Tracking durch Werbung zwischen den Sitzungen, beeinflusst jedoch nicht das Fingerprinting (digitale Fingerabdrücke Ihres Geräts)
- Die Konfiguration eines verschlüsselten DNS-Resolvers (DNS über HTTPS) verhindert, dass Ihr ISP Ihre DNS-Anfragen im Klartext lesen kann, vorausgesetzt, der Browser und der gewählte Resolver unterstützen dies
- Die Deaktivierung der Synchronisation des Verlaufs mit einem Online-Konto (Google, Microsoft, Mozilla) entfernt eine entfernte Kopie Ihrer Aktivitäten, aber Sie verlieren auch die Kontinuität zwischen den Geräten
- Die Verwendung von Tracker-Blocker-Erweiterungen reduziert die Anzahl der Dritten, die Daten während Ihres Surfens sammeln, garantiert jedoch keinen vollständigen Schutz
Keine einzelne Einstellung reicht aus, um Ihr Surfen unsichtbar zu machen. Die Kombination aus einem verschlüsselten DNS, einem zuverlässigen VPN und einem richtig konfigurierten Browser deckt die meisten Leckvektoren ab, erreicht jedoch nicht die vollständige Anonymität.
Löschung des Google-Verlaufs
Google ermöglicht es, die automatische Löschung des Suchverlaufs und der Webaktivitäten nach drei, achtzehn oder sechsunddreißig Monaten zu konfigurieren. Diese Einstellung befindet sich in den Kontoeinstellungen von Google unter “Daten und Datenschutz”. Die Löschung auf Benutzerebene löscht nicht unbedingt alle Spuren auf der Serverseite, da Google bestimmte aggregierte Daten zu Verbesserungszwecken speichert.
Die CNIL empfiehlt außerdem, regelmäßig die Berechtigungen zu überprüfen, die den Anwendungen und Browsererweiterungen erteilt wurden, die einen oft unterschätzten Erfassungskanal darstellen. Jede installierte Erweiterung kann potenziell auf Ihren gesamten Browserverlauf zugreifen, wenn ihre Berechtigungen dies zulassen.
Der Schutz der Online-Privatsphäre beruht auf einer Überlagerung technischer Maßnahmen und der Wahl von Werkzeugen, nicht auf einer einzigen Lösung. Zu verstehen, auf welcher Ebene jeder Zwischenanbieter eingreift, bleibt die Voraussetzung, um zu entscheiden, welche Einstellungen aktiviert und welche Dienste angenommen werden sollen.