Ilse Aigner-Gedenkstunde auf den Kölner AdWords Days: Wer überwacht die Hüter des Datenschutzes bei der Auslegung geltenden Rechts?

Standard

Auf den AdWords Days in Köln hat Rechtsanwalt Jens Eckhardt von der Kanzlei Juconomy einen interessanten Vortrag über die Datenschutzbestimmungen bei Werbekampagnen im Internet gehalten. Wichtig war sein Hinweis auf die rechtlichen Folgen der Beschlüsse des so genannten Düsseldorfer Kreises vom 26. und 27. November 2009. Diese illustre Runde ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Wer überwacht aber die Hüter des Datenschutzes bei der Auslegung des geltenden Rechts? Jedenfalls haben die Beschlüsse dieses Gremiums weitreichende Folgen für die Wirtschaft und besonders für die kommerziellen Aktivitäten im Internet. Ein Beschluss sollte näher betrachtet werden. Er betrifft die “Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten”. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund. Hier der komplette Text:
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:

• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.

• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.

• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.

• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.

• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009. Ende der Meldung.

Der Beschluss ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50.000 Euro verhängt und Verbotsverfügungen ausgesprochen werden.

Hat das in der Öffentlichkeit zu einer breiten Diskussion geführt? Bis auf wenige Ausnahmen hat sich kaum ein Medium mit den Beschlüssen des Düsseldorfer Kreises auseinandergesetzt. Auf Genios findet man einen Eintrag der Zeit. Im Web hat sich vor allem Netzwelt.de etwas ausführlicher mit den Folgen beschäftigt. Konsequenzen haben die Vorgaben vor allem beim Einsatz von Analyse-Tools wie Google Analytics.

“Der Stralsunder Beschluss schreibt neben Bestimmungen zu Widerspruchsrechten und Datenschutzhinweisen vor allem eine Kardinalpflicht vor: Webseitenbetreiber und Statistikdienste dürfen IP-Adressen nur dann speichern, wenn eine ausdrückliche Einwilligung des Seitenbesuchers vorliegt. Andernfalls verpflichtet der Beschluss den Betreiber zum Kürzen der IP-Adresse”, so Netzwelt.de. Die Auswertung von Webseitentraffic auf Basis ungekürzter IP-Adressen würden sämtliche Landesbehörden eindeutig als rechtswidrig ansehen.

Allerdings ist unter Juristen noch strittig, ob eine IP-Adresse tatsächlich als personenbezogene Information im Sinne des Datenschutzrechts gewertet werden könne. Deutsche Gerichte haben hier mal wieder unterschiedlich entschieden. Musterverfahren gibt es nach Informationen von Jens Eckhardt bereits in Sachsen-Anhalt. Eine Flut von Prozessen und Abmahnorgien wird bei diesem unklaren Rechtszustand wieder einmal die Folge sein. Für den E-Commerce befürchtet Eckhardt sogar volkswirtschaftlich negative Effekte. So sehen es auch andere Branchenexperten:

So schreibt Netzwelt.de: “Die Umsetzung der Datenschutz-Forderungen könnte Seiten- und Dienstebetreiber vor technische und finanzielle Herausforderungen stellen. Oliver Süme, Stellvertretender Vorstandsvorsitzender des Verbandes der deutschen Internetwirtschaft Eco, betont die zentrale Rolle der Webseitenanalyse für die Internetbranche: ‘Angesichts der enormen wirtschaftlichen Bedeutung der Reichweitenanalyse ist es jetzt wichtig, gemeinsam mit der Internetwirtschaft Lösungen zu diskutieren.’ Peter Fleischer, Global Privacy Counsel bei Google, zeigt sich besorgt über mögliche Auswirkungen des Stralsunder Papiers: ‘Wir begrüßen Initiativen, die die Balance zwischen Datenschutz-Einstellungen für Nutzer und Innovationen für Web-Dienste weiter verbessern, sind aber sehr besorgt über den gegenteiligen Effekt, den der heutige Beschluss des Düsseldorfer Kreises allgemein auf die deutsche Internet-Industrie haben wird’, erklärt der Google-Vertreter.”

“Nach Erkenntnis der Düsseldorfer Xamit Bewertungsgesellschaft nutzen derzeit über 13 Prozent aller Deutschen Domains Analytics – darunter auch Arzneimittelanbieter, politische Parteien und Zeitungen. Auch DIE ZEIT nutzt das Instrument in einem Teilbereich ihres Angebotes , den ZEIT REISEN. Knapp vier Prozent beobachten mit anderen Analysewerkzeugen. Bei gut 13 Millionen von der Denic registrierten deutschen Internetseiten macht das knapp 1,8 Millionen Seiten, die auf die Google Dienste zur Verbesserung ihres Angebots vertrauen. Der Stuttgarter Rechtsanwalts Carsten Ulbricht vertritt die Ansicht, dass dadurch sogar Bußgelder drohen . Denn laut Paragraf 16, Absatz 3, Telemediengesetz könnten Bußgelder von bis zu 50.000 Euro verhängt werden, wenn Seitenbetreiber ihre Nutzer nicht um Einwilligung bitten, bevor sie solche Instrumente verwenden”, führt die Zeit aus.

Per Meyerdierks, Datenschutzbeauftragter der Google Germany, sei der Ansicht, dass Google die Daten in den USA verarbeiten dürfe, da man sich dem Safe-Harbour-Abkommen zwischen der EU und den USA unterworfen habe. “Das Opt-out hält Google für unnötig und argumentiert, Nutzer könnten die Cookies ja ablehnen. Profile würden ohnehin keine angelegt. Außerdem könne anhand eines Cookies niemand sagen, wer tatsächlich vor dem Rechner säße. Man könne noch nicht einmal erkennen, ob überhaupt ein Mensch die Seite besucht habe oder aber ein Programm. ‘Die Cookies werden’, sagt Meyerdierks, ‘nach 18 Monaten irreversibel unlesbar gemacht, die IP-Adressen nach neun Monaten anonymisiert'”, führt die Zeit weiter aus.

Ich frage mich, wie der Vollzug dieses Kataloges umgesetzt werden soll. Es wird wohl zu Stichproben kommen und in Einzelfällen Bußgeldbescheide geben. Die Frage ist dann nur, ob das nicht zu willkürlichen Staatseingriffen führt.

Welcher Dienst in Deutschland überhaupt noch als “legal” bezeichnet werden kann, hat Xamit in einer aktuellen Studie dokumentiert. Danach erfüllen nur drei Tools die Anforderungen des Düsseldorfer Kreises: Econda, eTracker und stats4free.

Über diese Anzeigen

2 Gedanken zu “Ilse Aigner-Gedenkstunde auf den Kölner AdWords Days: Wer überwacht die Hüter des Datenschutzes bei der Auslegung geltenden Rechts?

Es lebe die Diskussion!

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ photo

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s