Schlagwort-Archive: Deep Packet Injection

Studie: 15% der Mobilfunknutzer (international) von Deep Packet Injection durch Custom http-header betroffen

Accessnow.org hat eine Studie zur Frage veröffentlicht, welche Nutzer von Überwachung durch eine Modifikation ihres http-Headers durch den Access Provider betroffen sind. Das Ergebnis ist global erschreckend. Für Deutschland kann wohl Entwarnung gegeben werden.

Seit Oktober 2014 betreiben sie die Webseite www.amibeingtracked.com, mit der man vom Mobiltelefon aus prüfen kann, ob ein Tracking-Header in den eigenen Datentraffic eingefügt wird. 200.000 Nutzer haben diesen Test seither durchgeführt und bei immerhin 15% hat der Provider den Datenstrom verändert. Dabei wird eine eindeutige Identifikationsnummer in den Datenstrom eingefügt, durch die es Dritten möglich ist, das Verhalten des Nutzers zu überwachen. Dies ist auch nicht beschränkt auf die Partnerunternehmen des Access Providers. Auch Werbefarmen erheben und speichern diese Ids und nutzen sie zur Identifizierung des Nutzers über mehrere Seiten hinweg. Dadurch können weite Teile des Surfverhaltens erfasst und ausgewertet werden. Dies ist datenschutzrechtlich und auch sonst extrem bedenklich, zumal der Nutzer praktisch keine Möglichkeit hat, das Verhalten zu unterbinden.

Ich hatte gerade vor wenigen Tagen nochmal darauf hingewiesen, dass das Einfügen von Daten in den http-Datenstrom („Deep Packet Injection“) – ich hatte damals das Einfügen von Werbung untersucht – nach deutschem Recht unzulässig sein dürfte. Der Access Provider kann sich dadurch sogar strafbar machen.

Es scheint den deutschen Mobilfunkunternehmen allerdings bewusst zu sein, dass ein solches Verhalten unzulässig wäre. Denn deutsche Nutzer sind nach der Studie wohl nicht betroffen. Ich habe es auch bei mir getestet – negativ. Bemerkenswert ist dies, da auf dem deutschen Markt auch Access Providern tätig sind, die anderswo nach der Studie von accessnow.org Deep Packet Injection vornehmen, z.B. Telefonica in Spanien und Vodafone in den Niederlanden und Spanien.

Falls doch jemand in deutschen Netzen feststellt, dass sein Provider den Datenstrom verändert, bin ich für eine Nachricht dankbar.

Zur Unzulässigkeit der Veränderung von http-Datenverkehr durch den Hotspot-Anbieter – jetzt: AT&T

Bei Web Policy ist ein Bericht von Jonathan Mayer erschienen, nach dem nun auch AT&T (vorher schon Comcast u.a.) in den USA bei seinen WiFi-Hotspots den http-Datenverkehr verändert und beim Abrufen von Webseiten Werbung einfügt.

Mit der Thematik der Deep Packet Injection hatte ich mich bereits Ende letzten Jahres / Anfang diesen Jahres befasst und dazu einen Aufsatz mit dem Titel „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“ in der Zeitschrift MMR veröffentlicht. Es ist tatsächlich verständlich, dass Anbieter von WLAN-Hotspots nach Möglichkeiten suchen, hieraus Einkünfte zu generieren. So heißt es auch bei Mayer:

„AT&T has an (understandable) incentive to seek consumer-side income from its free wifi service, but this model of advertising injection is particularly unsavory. Among other drawbacks: It exposes much of the user’s browsing activity to an undisclosed and untrusted business. It clutters the user’s web browsing experience. It tarnishes carefully crafted online brands and content, especially because the ads are not clearly marked as part of the hotspot service. And it introduces security and breakage risks, since website developers generally don’t plan for extra scripts and layout elements.“

Nach deutschem Recht wäre dieses Verhalten klar unzulässig (eingehend Mantz, MMR 2015, 8 ff.). Aus dem Fazit (MMR 2015, 8, 13):

„Das Ergebnis ko?nnte eindeutiger kaum sein: Deep Packet Injection stellt ohne wirksame Einwilligung einen eindeutig unzula?ssigen Eingriff in das Fernmeldegeheimnis dar, der fu?r die Verantwortlichen strafrechtliche Folgen haben kann. Da durch die Deep Packet Injection jedenfalls Verkehrsdaten erhoben werden, liegt auch ein Verstoß gegen die Regelungen des TK-Datenschutzes vor. In Betracht kommen zusa?tzlich Versto?ße gegen die Datenschutzvorschriften des TMG, wenn die Daten beim Werbeanbieter Personenbezug aufweisen.“

Für das amerikanische Recht hat Mayer auch erhebliche Zweifel an der Rechtmäßigkeit:

„The legality of hotspot advertising injection is a messy subject. There are a number of colorable arguments against, including under the FCC’s net neutrality rules, the FTC’s unfairness and deception authorities (and state parallels), wiretapping statutes, pen register statutes, tortious interference, copyright, and more. It certainly doesn’t help AT&T and RaGaPa that the ads aren’t labeled as associated with the hotspot, and that AT&T’s wifi terms of service are silent about advertising injection.“

Anbietern von WLAN-Hotspots kann daher hiervon nur abgeraten werden.

(Un-)zulässigkeit der Deep Packet Injection, Aufsatz „Freund oder Feind auf meiner Leitung?“ in MMR 1/2015

Im aktuellen Heft 1/2015 der Zeitschrift Multimedia und Recht (MMR) ist ein Aufsatz von mir zur Frage der Zulässigkeit der Deep Packet Injection, also des (schreibenden) Eingriffs in den Datenstrom der Nutzer durch den TK-Anbieter erschienen (MMR 2015, 8 ff.). Der volle Titel lautet „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“.

Der Beitrag befasst sich mit dem Umstand, dass manche TK-Anbieter in den HTTP-Datenstrom ihrer Kunden zusätzliche HTML-Tags einfügen bzw. einfügten (z.B. Comcast), die Werbung einblenden oder Tracking ermöglichen können, also statt Deep Packet Inspection „Deep Packet Injection“. Dieses Vorgehen verschiedener Anbieter schon mehrfach bekannt geworden, „Stichworte“ dazu sind Comcast X-Finity, Phorm und Nebuad, wenn auch (noch?) nicht in Deutschland. Erst kürzlich wurde berichtet, dass Verizon und AT&T eine eindeutige ID in den HTTP-Header einfügen. Ich bin in meinem Aufsatz der Frage nachgegangen, ob das Einspeisen von Code vor dem Hintergrund des Fernmeldegeheimnisses, des TK-Datenschutzes sowie wettbewerbsrechtlich zulässig ist und welche Ansprüche die Beteiligten (Endnutzer, Wettbewerber, Webseitenbetreiber, Verbraucherschutzverbände) haben.

Auszug aus dem Beitrag:

(Internet-)Zugangsanbieter versorgen ihre Kunden mit dem Zugang ins Internet. Der Datenstrom der Nutzer fließt daher zwangsläufig durch ihre Anlagen und Netzwerke. Diese strategisch günstige Stellung wollen manche Anbieter für neue Geschäftsmodelle nutzen. Eine Möglichkeit ist der Eingriff in den Datenstrom der Kunden, u.a. um hier Werbung zu platzieren.

Der folgende Beitrag betrachtet die (zivil- und strafrechtliche) Zulässigkeit sowie Rechtsfolgen solcher Eingriffe in den Datenstrom. Dabei sollen zunächst der technische Hintergrund solcher Eingriffe (II.) und die wegen dieses Vorgehens angestrengten Verfahren gegen die Anbieter (III.) dargestellt werden. Daran schließt sich die rechtliche Analyse insbesondere zur Frage der Haftung des TK-Anbieters (IV.) an.
I. Einleitung
TK-Diensteanbieter, die ihren Kunden den Zugang zum Internet verschaffen (im Folgenden: TK-Anbieter bzw. Access-Provider), sind Vermittler zwischen ihren Kunden und dem Internet. Als Folge der technologischen und ökonomischen Entwicklungen der letzten Jahre bieten sich TK-Anbietern durch ihre Mittlerrolle neue Geschäftsfelder, die ihnen quasi als Nebenprodukt zum Internetzugang zufallen.

So wurde Ende 2012 bekannt, dass der TK-Anbieter Telefónica plante, in Deutschland Standortdaten der eigenen Kunden zu sammeln, zu aggregieren und für Werbezwecke an Dritte zu verkaufen. Während dieses Modell in England bereits in die Tat umgesetzt wurde, nahm Telefónica auf Grund der öffentlichen Entrüstung – und wohl auch, weil dieses Vorgehen wahrscheinlich unzulässig ist – hiervon Abstand.

Ein weiteres Beispiel ist die Praxis einiger TK-Anbieter in den USA, Brasilien und möglicherweise auch Großbritannien, mittels „Deep Packet Injection” in den Datenstrom ihrer Kunden aktiv einzugreifen und dadurch bei ihren Kunden Werbung zu schalten oder Cookies zu platzieren und nebenbei das Surfverhalten ihrer Kunden zu analysieren. Dabei schalteten die TK-Anbieter die Werbung nicht zwangsläufig selbst, sondern arbeiteten hierfür mit Werbenetzwerken oder anderen Unternehmen zusammen. Erst 2014 wurde bekannt, dass auch der amerikanische Access-Provider ComCast Hinweise und Werbung in den Datenstrom der Nutzer seiner „XFinity”-WLAN-Hotspots einspeist. Im Zusammenhang mit diesen Eingriffen in den Datenstrom kam es in den USA, Großbritannien und Brasilien zu Verfahren gegen die betroffenen TK-Anbieter. Nicht bekannt ist bisher, ob deutsche TK-Anbieter bereits heute ähnlich vorgehen, oder ob sie dies planen. I.E. kann davon allerdings nur abgeraten werden.