URL-Shortener und ihre Probleme beim Datenschutz

25.06.2019

URL-Shortener erzeugen besonders kurze URLs, welche beispielsweise auf sozialen Netzwerken, bei limitierter Zeichenzahl, oder zur Analyse von Werbeanzeigen genutzt werden. Doch der DSGVO-konforme Einsatz von URL-Shortener hat so einige Hürden, da die Anbieter der Kurz-URLs Nutzerdaten erheben und verarbeiten. Das gilt für fast alle großen Anbieter auf dem Markt wie bit.ly, tinyurl.com, ow.ly, redir.ec und goo.gl (letzterer mittlerweile eingestellt).

Warum werden Kurz-URLs eingesetzt?

Lange Ziel-Links wirken deplatziert und sprengen sehr häufig den Rahmen bei bestimmten Veröffentlichungen. Aus diesem Grund greifen Unternehmen und Influencer sehr gerne auf die URL-Shortener zurück, um die Verlinkung zu kürzen und diese somit für den Nutzer ansprechend zu präsentieren. Eine kurze URL ist aus ästhetischer Hinsicht sicherlich eine gute Wahl, erzeugt aber Probleme beim Datenschutz. Denn neben der Kürzung des Ziel-Links setzen die Anbieter auch Dienste zur Reichweitenmessung und zur Analyse des Interagierenden ein (Tracking). Wie genau das Tracking hinter einer gekürzten URL aussieht, kann durch ein hinzufügen des + Zeichens an den gekürzten Link eingesehen werden.

Short-URL des Google Dienstes „goo.gl“ nach hinzufügen eines + Zeichens

Fallen gekürzte URLs unter die DSGVO?

Die Datenschutz-Grundverordnung regelt die Verarbeitung von personenbezogenen Daten, zu denen u.a. auch dynamische IP-Adressen gehören. Problematisch ist, dass die großen Anbieter Daten wie die IP-Adresse, den Standort, die Uhrzeit, das Datum und die Geräteinformationen wie Browsertyp, Betriebssystem oder auch die genutzte Sprache erheben und in Drittstaaten außerhalb der europäischen Union (USA) übermitteln, sowie gegenüber Dritten offenlegen.

Bitly erfasst automatisch personenbezogene Informationen über die Interaktion (z. B. Klicks oder Aufrufe) mit jedem über die Services erstellten Bitly-Link (jeder unserer Bit.ly-Links oder einer unserer Branded-Domains) auf einer Website eines Drittanbieters. Diese Informationen umfassen, sind jedoch nicht beschränkt auf: (i) die IP-Adresse und den Standort, der von der IP-Adresse abgeleitet wird; (ii) die verweisenden Websites oder Dienste; (iii) Uhrzeit und Datum jedes Zugriffs; (iv) Geräteeinstellungen wie Browsertyp, Betriebssystem und Sprache; (v) Cookies, wie unten beschrieben, sowie mobile Werbeidentifikatoren und (vi) Informationen zur gemeinsamen Nutzung des Bitly-Links in Diensten Dritter wie Twitter und Facebook (zusammenfassend „Bitly-Link-Metriken“).  Wie in dieser Richtlinie beschrieben, verwenden wir Bitly-Link-Metriken, um die Dienste bereitzustellen, um zu verstehen und zu analysieren, wie unsere Dienste verwendet werden, und um Trends zu erkennen und um bösartige, betrügerische oder rechtswidrige Aktivitäten zu erkennen, von diesen abzuhalten und diese zu verhindern.  Eine Beschreibung, wie wir möglicherweise Informationen weitergeben, die wir sammeln, wenn Sie Bitly-Links erstellen, anzeigen oder mit ihnen interagieren, finden Sie im Abschnitt „Informationen, die wir möglicherweise weitergeben“. 

https://bitly.com/pages/privacy/german

Auf Nachfrage bei bitly wird der Bezug zur IP-Adresse nach Übermittlung zwar vollständig anonymisiert, durch die Erhebung der IP-Adresse fällt die Nutzung jedoch trotzdem unter den Anwendungsbereich der DSGVO.

Rechtsgrundlage für die Verarbeitung

Wenn ein Unternehmen einen Link per URL-Shortener präsentiert und diesen somit anbietet, gilt das Unternehmen als Verantwortlicher im Sinne der DSGVO. Zu der Pflichten eines Verantwortlichen gehört unter anderem die Ermittlung der Rechtmäßigkeit für die Verarbeitung nach Artikel 6 DSGVO. Möglich wäre das berechtigte Interesse nach Artikel 6 Abs. 1 lit. f) DSGVO zur ansprechenden Darstellung der Kurz-URL oder zur Reichweitenmessung. Allerdings sollte aus unserer Sicht die Interessenabwägung zugunsten des Betroffenen ausfallen, da durch das Tracking, die Offenlegung gegenüber Dritten und die Datenübermittlung in Drittstaaten die Interessen des Betroffenen überwiegen. Eine mögliche IP-Anonymisierung auf den Servern des Anbieters sollte daran nichts ändern. Bleibt noch die informierte Einwilligung des Interagierenden für die Verarbeitung und Weitergabe seiner Daten nach Artikel 6 Abs. 1 lit. a) DSGVO. Diese wird in der Praxis jedoch nur schlecht realisierbar sein.

Informationspflichten nach Artikel 13 DSGVO

Dem Verantwortlichen obliegen außerdem die Informationspflichten nach Artikel 13 und 14 DSGVO. Demnach muss der Betroffene bei der Datenerhebung über den Umfang der Verarbeitung informiert werden. Dies erweißt sich z.B. bei einer Einwilligung als schwierig, da die Daten bei Interaktion bereits verarbeitet wurden und die Informationspflichten wenn überhaupt nur nachgelagert und intransparent erfüllt werden können. Grundsätzlich ist die datenschutzkonforme Nutzung von URL-Shortener durchaus ein Problem, welches nur wenigen Unternehmen überhaupt bewusst ist. Denn Dienste und Anbieter wie Bit.ly werden von vielen Unternehmen in der offiziellen Kommunikation oder auf Social Media genutzt, ohne dabei den Datenschutz und die DSGVO zu berücksichtigen.

URL-Shortener und Sicherheitsrisiken für den Nutzer

Neben den Problemen im Bereich Datenschutz können kurze URLs auch weitere Sicherheitsrisiken mit sich bringen. Vor allem der Interagierende ist durchaus in Gefahr, da dieser nicht erkennen kann, auf welche Seite er durch die Verlinkung geleitet wird. So werden hinter den Kurz-URLs häufig Phishing und Malware Seiten versteckt, damit die Nutzer diese unbedacht besuchen und somit Angegriffen oder zu falschen Handlungen verleitet werden. Außerdem konnten Forscher der Cornell-University in einer Studie beweisen, dass Cloud-Dienste im Zusammenhang mit Short-URLs eine Gefahr für die Datensicherheit darstellen. Aufgrund ihrer Kürze ließen sich die verschiedene URLs durchgescannen und privat geteilte Dokumente dadurch offenlegen. Es gelang außerdem Schadsoftware in die Ordner der offenen Cloud-Accounts zu kopieren. Diese synchronisierte sich dann auf das Endgerät des Cloud-Accounts. Das war bei sieben Prozent der Accounts der Fall.

URL shortening, which looks like a relatively minor feature, turns out to have serious consequences for the security and privacy of modern cloud services. In this paper, we demonstrate that the token space of short URLs is so small as to be efficiently enumerable and scannable. Therefore, any short link to an online document or map shared by a user of a cloud service is effectively public.

http://www.cs.cornell.edu/~shmat/shmat_urls.pdf

Fazit: URL-Shortener und ihre Leistungen bieten starkes Problempotential

Auch wenn die Dienste der Anbieter dazu verlocken eine URL zu kürzen, sind diese sowohl hinsichtlich der DSGVO als auch hinsichtlich der Datensicherheit riskant. Dem Datenschutz zu entsprechen gelingt nur dann, wenn der Anbieter als URL-Shortener auf die Erhebung von personengebundenen Daten verzichtet oder eine Weitergabe an Dritte ausgeschlossen ist. Eine Lösung ist die Nutzung der deutschen Open Source Lösung T1P.de, welche nach eigenen Angaben auf die Erhebung personenbezogener Daten verzichtet und die Ziel-URL auf Malware überprüft oder die Nutzung eines selbstgehosteten URL-Shortener.