URL-Shortener und Bedenken mit dem Datenschutz

Doğan Uçar

URL-Verkürzer (Englisch: URL-Shortener) sind Services, die die Lesbarkeit und Handlichkeit von Links immens vereinfachen. Sehr lange URL’s werden einfach durch kürzere von dem jeweiligen Service ersetzt und bei Aufruf wird einfach auf die ursprüngliche URL weitergeleitet.

Dies hilft beispielsweise in E-Mails, bei Social-Media-Beiträgen oder ganz allgemein zum einfacheren Copy-Paste in z.B. Chat-Programmen. Des Weiteren lassen sich kurze URL’s viel einfacher merken und können z.B. auch in der analogen Welt – z.B. auf Flyern – genutzt werden.

Problem: Datenschutz

Prominente Beispiele für URL-Shortener sind bit.ly oder tinyurl.com. Diese Services sind kostenfrei und u.U. auch ohne Registrierung nutzbar und bieten neben dem eigentlichen Service – die Verkürzung bzw. Weiterleitung von (langen) URL’s – auch weitere Dienste, die datenschutzrechtlich (gemäß Datenschutzgrundverordnung – kurz: DSGVO) problematisch sein können. So werden beispielsweise Statistiken über Häufigkeit und Herkunft von Aufrufen und Weiterleitungen ermittelt. Die Nutzenden – insbesondere jene, die den Link zugestellt bekommen – werden meist über diese Tatsache nicht voll aufgeklärt und verbringen aufgrund der Natur dieser Services wenig bis gar keine Zeit auf der Webseite um beispielsweise die Datenschutzerklärung zu lesen. Des Weiteren sind den meisten Short-URL’s nicht anzusehen auf welche Seite sie verweisen und so kann ein Klick auf eine virenverseuchte oder illegale Seite führen und Schaden anrichten.

Wie stehen Datenschutz und URL’s im Zusammenhang?

Grundsätzlich regelt die DSGVO den Umgang mit personenbezogenen Daten, zu denen URL’s eindeutig nicht dazu gehören. Problematisch wird es allerdings mit (dynamisch, d.h. zeitlich verändernden) IP-Adressen: diese bieten zusammen mit Daten wie den Standort, die Uhrzeit, das Datum und die Geräteinformationen wie Browsertyp, Betriebssystem oder auch die genutzte Sprache eindeutig die Möglichkeit, eine Person zu identifizieren und sind somit DSGVO-relevant. Werden diese Art von Daten erhoben, verarbeitet oder weitergegeben muss dies den Benutzenden offengelegt werden. Unternehmen sind auch dann in der Pflicht, wenn sie „nur“ die Dienste von Drittanbietern in Anspruch nehmen. Zu der Pflichten eines Verantwortlichen gehört unter anderem die Ermittlung der Rechtmäßigkeit für die Verarbeitung nach Artikel 6 DSGVO

bit.ly setzt auf Analysetools

Ein erster Blick auf die bit.ly Webseite zeigt: es werden eine Reihe von externen Analyse-Tools wie bspw. Google Analytics, Oribi oder Optimizely eingebunden. Der Besuch dieser Webseite bietet keine Möglichkeit diesen Vorgang zu unterbinden.

Auszug aus der Netzwerkanalyse von https://bit.ly

Auszug aus der Netzwerkanalyse von https://bit.ly

bit.ly selbst schreibt folgendes in seiner Datenschutzerklärung:

When You Create a Bitly Link
One feature of the Services is the ability to create shortened uniform resource locators (URLs) of websites (“Bitly Links” or “Bitlinks”). Users can create Bitly Links without registering for an account. When you create a Bitly Link, Bitly collects and stores both the original URL and the shortened URL and, if you are logged in to your Account, we will associate that information with your Account. Bitly also collects and stores your IP address, your geolocation data (which we derive from your IP address), the time and date on which you shortened the original URL, and if you share a Bitly Link on a social networking platform, the name of the platform and your username on that platform.

https://bitly.com/pages/privacy

bit.ly speichert also IP-Adressen, Geo-Daten, Datum und Uhrzeit der Dienstnutzung, die Plattform des sozialen Mediums, auf dem die Short-URL geteilt wurde sowie den Benutzernamen auf dieser Plattform.

Analysetools auch bei dem Interagieren mit einer Short-URL

Dies gilt nicht nur für jene Personen, die die URL’s erstellen sondern auch für diejenigen, die die Short-URL’s aufrufen. Schlimmer noch: da die letztere Gruppe „nur“ weitergeleitet, somit nur wenige Sekunden auf bit.ly verbringt, bekommen Aufrufende u.U. überhaupt nicht mit, dass die o.g. Dienste zum Einsatz kommen. Wieder ein Auszug aus der Datenschutzerklärung von bit.ly:

When You Interact With a Bitly Link
Bitly automatically collects personal information about the interaction (such as clicks or views) with every Bitly Link created through the Services (either our bit.ly links or one of our branded domains) on a third-party website. This information includes, but is not limited to: (i) the IP address and location derived from the IP address; (ii) internet or other electronic network activity information like the referring websites or services; (iii) the time and date of each access; (iv) device settings, such as browser type, operating system, and language; (v) cookies, as described below, and mobile advertising identifiers and (v) information about sharing of the Bitly Link on Third Party Services (collectively, “Bitly Link Metrics”). As described in this policy, we use Bitly Link Metrics to provide the Services, to understand and analyze how our Services are used and to identify trends, and to detect, deter and prevent malicious, fraudulent or unlawful activity. Please see the “Information We May Share” section of this Privacy Policy for a description of how we may share information we collect when you create, view or interact with Bitly Links.

https://bitly.com/pages/privacy

bit.ly verwendet nach eigenen Angaben die „IP-Adresse oder andere Informationen elektronischer Interaktivität wie verweisende Webseiten oder Services, Datum und Uhrzeit jeder Interaktion, Geräteeinstellungen wie Browsertyp, Betriebssystem und Sprache, Cookies und Mobile Advertising Identifiers und Informationen über das Teilen von Bitly Links bei Dritten (genannt: Bitly Metrics)“.

Der nachfolgende Screenshot eines curl-Befehls auf eine Short-URL zeigt, dass bit.ly mindestens ein Cookie bei dem Aufrufen setzt, bevor es den Benutzer auf das jeweilige Ziel weiterleitet:

curl Befehl auf eine mit bit.ly erstellte Short-URL
curl Befehl auf eine mit bit.ly erstellte Short-URL

Ein GET auf eine mit bit.ly verkürzte URL gibt ein HTTP 301 für „permanently moved“ zusammen mit dem location Header und einem kleinen HTML im Body zurück. Neben dem location Header wird insbesondere der Cookie-Header _bit und diverse weitere, teils technisch notwendige Header gesetzt.

Datenschutzkonforme Alternativen

Es gibt eine Reihe von datenschutzkonformen Alternativen zu den o.g. Diensten. Eine davon ist der URL-Shortener aus unserem Haus: Shortly. Der Service legt den Fokus auf Datensparsamkeit und Datenschutz. Ursprünglich entwickelt für den internen Gebrauch, kann unser Dienst unter trunc8.ucar-solutions.de auch frei und ohne Registrierung genutzt werden.

Wir bieten datenschutzkonforme Nutzung unseres Services, auf Wunsch eine „Vorschau“ des ursprünglichen Links um Gefahren durch Viren und Malware zu minimieren, private Links, eigenes Branding (eigene Logos, Namen und Farben) in unserem Enterprise Subscription.

Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihnen zum Erfolg verhelfen können. Gerne können Sie das nachfolgende Kontaktformular nutzen oder unsere Kontaktseite für weitere Möglichkeiten besuchen.