Rechtliche Einschätzung und Fragen: Push Notifications bei Browsern

Immer mehr Browser – etwa Mozilla Firefox und Safari – lernen etwas neues: Push Notifications. Der Blick in das Mozilla Wiki verheißt hinsichtlich der API eine längst überfällige Entwicklung: Webseiten können ihren Nutzern Nachrichten senden, auch wenn diese gar nicht auf der Seite sind. Eine Option wäre, dass eine Nachricht gesendet wird, wenn sich die Webseite verändert – auf den ersten Blick sinnvoll, auf den zweiten Blick aber lästig, wenn man an Meldungen von zig Webseiten denkt, die bei jeder Änderung eine Nachricht an den Browser senden. Wie sich letztlich im Alltag diese Funktion durchsetzt, wird sich noch zeigen. Tatsächlich aber sehe ich hier einen enormen Zukunftsmarkt, da die Vorstellung, dass Webseiten mit Nutzern nur noch kommunizieren, wenn der Nutzer diese aufruft, seit langem überholt ist.Vielmehr entwickeln sich Webseiten zunehmend in die Richtung von Apps, t3n spricht hier zutreffend von einem „Cloud OS“.

Ich denke es werden in kurzer Zeit die anderen Browser mitziehen. Doch: Wie immer bei neuen technischen Ideen stellen sich auch rechtliche Fragen. (Hinweis: Dieser Artikel wurde 2012 erstellt und zwischenzeitlich aktualisiert).

Rechtliche Problematik bei Push Notifications: Einwilligung

Da Versenden von Nachrichten an den Browser ist nicht grundsätzlich problematisch, es kann aber dann problematisch werden, wenn der Nutzer in solche Nachrichten nicht eingewilligt hat. Nun sieht das geplante Nachrichten-System eine Nutzer-Einwilligung vor, allerdings steckt hier der Teufel im Detail. Die aktuelle Aufbereitung des Codes

interface notification {
DOMRequest requestRemotePermission();
DOMRequest checkRemotePermission();
}

ist so gedacht, dass die Webseite bei User einmal um Erlaubnis bittet, dieser dann einwilligt oder ablehnt und sodann ggfs. Nachrichten erhalten kann. Es wird also eine Einwilligung erhoben, allerdings kann bereits die Zusendung einer einzelnen Nachricht ein Problem darstellen. In diesem Fall wird man überlegen müssen, ob nicht bereits schon die Nachfrage der Erlaubnis ein Problem sein kann und ob nicht vielmehr – im Sinne des üblichen Double-Opt-In – der Nutzer zuerst von sich aus die Seite zum Senden von Nachrichten ermächtigen muss und danach dann noch eine Rückfrage stattzufinden hat. Hier wird im Einzelfall die konkrete Ausgestaltung im jeweiligen Browser darüber entscheiden ob und in welcher Form Webseiten von der Funktion Gebrauch machen können.

Rechtliche Problematik bei Push Notifications: Datenschutz

Die -Problematik wird interessant werden – aktuell ist bei Mozilla vorgesehen, dass Mozilla-Server als Mittler dienen zwischen Webseite und Nutzer,das heißt, die Webseite kommuniziert erst mit Mozilla-Servern, erhält von dort bei Genehmigung eine Push-URL und kommuniziert dann darüber. Gleichwohl wird die Webseite irgendwelche Informationen speichern müssen, um einen Nachrichten-Empfänger zu identifizieren. Hier wird man am Ende sehen müssen, was genau zu speichern ist – das Wiki hat insofern schon entsprechendes Feedback. Ich denke, Webseitenbetreiber – speziell Unternehmen – sollten hier nicht sofort die Technik einsetzen, wenn sie verfügbar ist, sondern werden die Umstände genau prüfen (lassen) müssen.

Sicherheitsrelevante Problematik: Nachrichteninhalt

Fernab rechtlicher Fragen werden sich – bereits diskutierte – Sicherheitsrelevante Fragen stellen. Zum einen natürlich, inwiefern der Einwilligungsvorgang durch untergeschobene Einwilligungen umgangen werden kann und die Technik zur Spam-Schleuder wird.

Zum anderen ist zu sehen, dass die Funktionalität vorsieht, sowohl ein Bild als auch einen Ziellink als URL anzugeben, wobei der Ziellink bereits bei Klick auf die Nachricht geöffnet werden soll. Hier bietet es sich u.a. dann an, -Angriffe aufzubereiten oder manipulierte Bilder unterzuschieben. Ich denke, die internen Sicherheitsmechanismen von Browsern müssen bei der Eröffnung solcher Methoden entsprechend erweitert werden, unbeschadet der Tatsache, dass aktuelle Virenscanner auch die Datenflüsse in Browsern prüfen.

Ausblick

Dieser Ansatz ist, gelinde ausgedrückt, längst überfällig. Der Trend von Webseiten hin zu einer Art „Anwendung“ ist seit Jahren im Gange und lässt sich letztlich nur fortsetzen, wenn Browser entsprechende Möglichkeiten anbieten. Javascript bzw. AJAX sind hier schon vor einiger Zeit an ihre Grenzen gestossen – und auch das was Anwendungen wie Google Docs präsentieren ist bestenfalls ein Anfang dessen, was in den nächsten Jahren auf uns zu kommt. Gerade der Blick auf Tablets macht deutlich, wie nötig es sein wird, eine einheitliche Kommunikationsplattform zu bieten – ausser man möchte neben seiner Webseite noch Apps für Amazon, Apple/iOS und Android programmieren (lassen). Letztlich erscheint es keineswegs abwegig, die Webseite als zentrales und plattformübergreifendes Medium anzubieten. Damit das funktioniert sind aber wesentliche Funktionen, allem voran die Kommunikation mit dem User, endlich aus dem bisherigen technischen Stand weiter zu entwickeln.

Mit diesen neuen Möglichkeiten werden auch (scheinbar) neue rechtliche Fragen aufkommen, die bei der Umsetzung und Gestaltung von Webseiten zu beachten sind. Neben den typischen wettbewerbsrechtlichen Fragen (gerade wenn es um unerwünschte Nachrichten geht) werden Webseitenbetreiber sich damit anfreunden müssen, zunehmend auch professioneller Datenverarbeiter zu werden: Je individueller die Kommunikation, umso mehr individuelle Daten muss man erfassen. Neue Browser-Techniken werden da vieles erleichtern, die Pflicht gesetzliche Vorgaben zu beachten wird von dort aber nicht abgenommen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.