Adressen sammeln oder Aktivismus?

Dass Google, Facebook und all die anderen üblichen Verdächtigen an Daten über ihre User (und auch über alle anderen) interessiert sind, ist wohl unterdessen Allgemeinwissen. Aber auch Parteien und NGOs sind an Kontaktdaten von potentiellen Supportern interessiert, lassen sich diese doch via Email oder SMS einfach auf dem Laufenden halten und gegebenenfalls auch mobilisieren. Zumindest in den Anfängen nahmen es dabei die einen oder anderen mit dem Datenschutz nicht so genau, sei es indem sie Umfragen über schlecht geschützte Plattformen durchführten oder schlicht keineDatenschutzbestimmungen veröffentlichten. Man ist also nach wie vor gut beraten, vor der Unterstützen einer Internet-Kampagne die Hintergründe derselben abzuklären.

Auf was kann und soll man denn konkret achten, bevor man einer Webseite welche sich als Parteien- oder Kampagnenseite ausgibt seine Email-Adresse und allenfalls weitere Daten anvertraut?

• Ein halbwegs seriöser Anblick in Sachen Seitengestaltung, Formulierungen und korrekter Rechtschreibung sollte selbstverständlich sein.
• Ebenso selbstverständlich sollte es sein, dass klar erkennbar ist, welche Gruppierung oder Organisation hinter der Seite steht. Dabei sollte man im Hinterkopf halten, dass Bytes noch viel geduldiger als Papier sind, und Angaben auf der jeweiligen Seite selbst jeweils nicht zwingend korrekt sein müssen. Ein recht klarer Indikator ist die URL selbst (bei einer Kampagne unter jetzt-handeln.wwf.ch kann man davon ausgehen dass der WWF dahinter steht), bei weniger bekannten Organisationen lohnt sich zur Kontrolle allenfalls ein Blick auf www.DOMAIN.TLD. Schwieriger wird es wenn die URL selbst keinen direkten Bezug zur aufgeführten Organisation hat. Da empfiehlt sich ein Blick auf die Homepage derselben (in der Hoffnung dass die Kampagne dort verlinkt ist), oder auf ihre Social Media-Kanäle wo die Kampagne allenfalls beworden wird.
• Jede Art von Datensammlung (und dazu gehört auch das Erfassen von Email-Adressen) untersteht dem Datenschutzgesetz, also wäre auch ein Verweis auf gut formulierte Datenschutzbestimmungen nicht nur vertrauenssteigernd sondern schlicht eine Grundvoraussetzung.
• Aus dem Text auf der Webseite sollte hervorgehen, wozu man seine Email-Adresse hinterlässt und was mit ihr anschliessend geschieht? Ist es eine quasi-Unterschrift für eine Petition, ist es ein “haltet mich auf dem laufenden Eintrag“ oder etwas anderes?
• Und zu guter Letzt ist es ein guter Gradmesser wenn zumindest eine Minimalhürde gegen Mehrfach- oder Massenregistrierungen vorhanden ist. Übliche Methoden dazu sind das Lösen eines Captchas (was Massenregistrierungen verhindert) oder das Zustellen eines Bestätigungslinks an die angegebene Email-Adresse.

Ein kleines Beispiel dazu wie man es eher nicht machen sollte, kann man momentan im Nachgang zur Abstimmung über die AHV-Revision vom letzten Sonntag erleben. Über diverse Email- und SoMe-Kanäle wurde die Webseite Erklärung vom 25. September 2022 geteilt, die am 28. September abends wie folgt aussah:

Wenn wir die oben formulierten Kriterien als Massstab nehmen, dann wirft diese Seite eine Reihe von Fragen auf. Seitengestaltung etc. sind durchaus ok, aber

• Es ist nicht klar, wer genau hinter der Seite steht. Zwar wird in der Fusszeile der SGB (Schweizerischer Gewerkschaftsbund) erwähnt und der Link hinter “Impressum / Datenschutz” zeigt auf die entsprechende Seite auf sgb.ch, aber solche Links schnell gesetzt.
• Der (naheliegende) Quercheck auf der SGB-Webseite und dem Twitter-Account @GewerkschaftSGB hilft nicht weiter, die Erklärungs-Seite ist bei beiden nicht verlinkt oder erwähnt. Beim Twitter-Account herrscht seit dem Vertweeten eines Abstimmungs-Zwischenstands am Sonntag nachmittag sogar Funkstille.
• Das Kleingedruckte unter dem “Erklärung unterzeichnen”-Button ist dank dem darunterliegenden Bild kaum lesbar (und wäre wohl auch vor einem schwarzen Hintergrund zu klein), man kann von einem eigentlichen Dark Pattern sprechen. Der Text selber lautet “Durch die Unterzeichnung der Erklärung erklären Sie sich damit einverstanden, dass der Schweizerische Gewerkschaftsbund Sie auf dem Laufenden halten darf. Mehr dazu hier“, der Link hinter “hier” verweist dann wieder auf das bereits bekannte Impressum. Über was genau man dann da auf dem Laufenden gehalten werden wird, bleibt offen.
• Wenn man sich einträgt, erhält man eine Bestätigungsmail (ohne Link), die Absenderadresse gehört zur selben Domain wie die Webseite und hilft daher bei der Ermittlung des Urhebers auch nicht weiter.

Mit anderen Worten: Wir haben hier eine Email-Adressen-sammelnde Webseite bei der unabhängig von Informationen auf der Webseite selber nicht verifiziert werden kann wer dahintersteht und wozu die Email-Adressen anschliessend verwendet werden. Sich auf einer solchen Seite mit seiner normalen Alltags-Email-Adresse zu registrieren ist daher eher mutig.

Hinzu kommt, dass die Massnahmen zur Verhinderung von Mehrfach-Einträgen minimal sind. Im vorliegenden Fall scheint man es mit einer Duplikatskontrolle bei den Email-Adressen zu lösen, mit unterschiedlichen Email-Adressen sind problemlos mehrere Einträge möglich (es hat weder ein zu lösendes Captcha noch muss die Email-Adresse anschliessend bestätigt werden).

Bei aller Sympathie für das Anliegen, und bei allem Verständnis für die Wut: Ist es wirklich angebracht, die Empörung auszunutzen um (ohne konkrete Angaben zur Verwendung und ohne klare Angaben über die Urheber der Seite) über 100’000 Email-Adressen zu sammeln? Ein Mindestmass an digitalem Feingefühl wäre auch in solchen Situationen wünschenswert, sonst muss man sich nicht wundern wenn engagierte Menschen bei ähnlichen Situationen dann halt auch mal auf typische Adress-Sammel-Seiten hereinfallen. Email-Adressen verbunden mit dem Wissen über ein Thema welches deren Besitzerin bewegt sind eine ideale Basis für eine Social Engineering-Attacke.

Urban Hodel vom SGB erklärte auf Anfrage, dass

Der SGB hat bei diesem Appell in keiner Weise den Absender versucht zu vertuschen. Es wurde per Mail an unsere Frauenrenten-Community verschickt, mit klarem Absender SGB. Auch auf der Plattform ist unten klar ersichtlich wer hinter dem Appell steht.

Von einer Verlinken direkt von der SGB-Seite aus wurde abgesehen, da dort selten bis nie Kampagnen-Elemente aufgeführt würden sondern sich die Homepage vor allem um Inhalte dreht. Im weiteren wurde vom SGB bestätigt, dass Email-Doubletten bewusst ausgefiltert werden und Mechanismen vorhanden sind, um allzu offensichtliche Massenerfassungen zu erkennen.

Auch wenn die Frage “ist die Seite vom SGB aufgeschaltet worden“ also klar mit “Ja“ beantwortet werden kann, bleibt bezüglich Authentizität ein ungutes Gefühl zurück. Zumindest wäre allen Kampagnen-Machenden zu empfehlen, beim Aufsetzen von Kampagnen-Seiten auch an all diejenigen Interessierten zu denken welche den Link nicht vom Urheber direkt erhalten und dann eben die Herkunft verifizieren wollen. Mit dieser Problematik ist der SGB allerdings nicht alleine…