Datenschutz-Update für Antispam Bee
Dieser Beitrag ist ursprünglich in Sergej Müllers Google+ Profil erschienen, ist dort nicht mehr aufrufbar und wird nun vom Pluginkollektiv hier aufbewahrt.
Eigentlich wollte ich dieses Jahr keine Updates mehr für das Plugin liefern, auch wenn ich im Hintergrund neue Antispam-Filter getestet habe. Allerdings haben mich mehrere Nutzer angesprochen, welche Plugin-Funktionen hierzulande tatsächlich aus Sicht des Datenschutzes unbedenklich sind? Ich habe nichts zu verbergen und habe immer schon alle Funktionen im Online-Handbuch beschrieben und mit entsprechenden Datenschutz-Hinweisen versehen, die ich jetzt überarbeitet habe. Ich fasse aber alles zusammen, in klaren Worten, kein Marketing-Blabla…
Zwei Dienste als Unterstützung
Speichern tut AB keine IPs, jedoch für genau 2 Funktionen greift Antispam Bee auf die Unterstützung externer Dienste zu: „Öffentliche Spamdatenbank berücksichtigen“ und „Bestimmte Länder blockieren bzw. erlauben“. In beiden Fällen überträgt das Antispam-Plugin die IP des Nutzers zum Dienst, um eine bestimmte Information zurückzuerhalten. Im Vergleich zu Akismet kommuniziert das Antispam-Plugin nicht die kompletten Kommentar- und Blog-Daten, sondern das vorausgesetzte Minimum, die lose IP. Im übrigen: Beide Funktionen sind optional: Standardmäßig ausgeschaltet, können diese nach Nutzerwunsch jederzeit de- und aktiviert werden.
Ländercheck OK
Ok, nach dem aktuell gültigen Recht darf man eine IP nicht übertragen, ohne sie zu kastrieren. Also habe ich heute ein Update veröffentlicht, welches bei der Nutzung der Option „Bestimmte Länder blockieren bzw. erlauben“ die IP anonymisiert. Für die Landerkennung kann man die IP kürzen, das ist kein Problem. Also wäre schon mal diese Option Datenschutz-technisch unbedenklich.
Ehemals Project Honey Pot
Bei der Nutzung der Einstellung „Öffentliche Spamdatenbank berücksichtigen“ (sogenannter DNSBL-Check) sieht die Lage anders aus. Früher auf das Project Honey Pot gesetzt, seit 2 Versionen ist es die kostenlose Spammer-Datenbank Tornevall. Da die Spammer-Datenbanken immer mit Original-IPs arbeiten, macht es ja keinen Sinn, die Anfrage mit einer anonymisierten IP zu starten. Daher:
In Blogs innerhalb der EU-Länder darf die Option „Öffentliche Spamdatenbank berücksichtigen“ nicht genutzt werden. Beim Aktivieren der Funktion überträgt Antispam Bee (nur) die IP des Kommentators in ungekürzter Form an einen externen Serivce, um diese auf Spam zu prüfen.
Schlusswort
Auch ohne den aktivierten DNSBL-Check erkennt _Antispam Bee_ den meisten Spam. Die DNSBL-Prüfung der Kommentare war/ist ein guter Fallback. Viele werden die Option weiterhin nutzen, die anderen müssen ohne sie auskommen. Die Funktion entfernen werde ich nicht, da das Plugin weltweit zum Einsatz kommt.
Meine Pflicht als Entwickler ist es euch auf den Datenschutz hinzuweisen und für Transparenz sorgen. So. Nun gehe ich Plätzchen backen und die Vorweihnachtszeit genießen 😉