Der NRW-Datenschützer hat sich wohl in den vergangenen Wochen durchs Netz gewühlt, um an Rhein und Ruhr oder sonstwo Verstöße beim Einsatz von Google Analytics aufzuspüren – die kleine Wühlmaus. Ein entsprechendes Schreiben an die Web-Bösewichte müsste in den vergangenen Tagen verschickt worden sein. Das kann man zumindest dem Brief entnehmen, der mir als pdf-Dokument von einem wütenden Netzbewohner per E-Mail übersendet wurde.
Im schönsten Bürokratendeutsch pocht man auf die beanstandungsfreie Form des Einsatzes von Google Analytics und formuliert folgende Auflagen:
– Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit Google;
– Information der Nutzer der Seite über die Verarbeitung personenbezogener Daten (wobei diese Formulierung wohl eher eine Behauptung ist, liebwertester NRW-Datenschützer, gs) im Rahmen (Tucholsky hätte seine Freude, da rieselt der semantische Verwaltungskalk, gs) von Google Analytics in der Datenschutzerklärung sowie Aufklärung über die Möglichkeit des Widerspruchs gegen diese Erfassung;
– Kürzung der IP-Adressen durch entsprechende Einstellungen im Google Analytics-Programmcode durch Ergänzung des Trackingcodes um die Funktion „_anonymzelp()“.
Wenig freundlich folgt am Schluss die hausmeisterliche Zurechtweisung: Wer eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt, kann mit einer Geldbuße bis zu 50.000 Euro bestraft werden. Willkommen im Thilo Weichert-Club. Karneval war gestern, jetzt wird mit den Muskeln gespielt.
Aber wenn Interessengruppen wie der Bundesverband Digitale Wirtschaft (BVDW) weiter nur mit Sandförmchen spielen und keine Musterklagen gegen die Datenschützer einleiten, bleiben die betroffenen Firmen auf sich allein gestellt.
Auslöser dieser Staatseingriffe ist immer wieder die These der Datenschützer, dass IP-Adressen bereits personenbezogene Daten darstellen. Daher müsste den „Betroffenen“ Widerspruchsmöglichkeiten eingeräumt werden.
„Das Ganze hat eine erhebliche ökonomische Bedeutung für Firmen wie Google. Hier ist die Verwertung der IP-Adressen für den Geschäftsbetrieb unverzichtbar.“
Ob die Rechtsauffassung des so genannten Düsseldorfer Kreises, einem informellen Zusammenschluss von Datenschützern aus Bund und Ländern, richtig sei oder nicht, müsste höchstrichterlich entschieden werden.
„Die Auslegung der Gesetze ist Sache der Gerichte. Es fehlt allerdings eine einheitliche Linie. Wir haben eine unklare Rechtslage und unterschiedliche Entscheidungen von Gerichten“, moniert Wüllrich, Fachanwalt für gewerblichen Rechtschutz.
Aktuell könne man mit gutem Gewissen die Wertung vornehmen, dass IP-Adressen keine personenbezogenen Daten sind – auch wenn der Düsseldorfer Kreis das Gegenteil behauptet. Dann sollten doch die Datenschützer mit ihren Bußgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht.
Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen.
„Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, sagt Wüllrich im Interview mit mir.
Die Nutzer der IP-Adressen sollten einen Gegenpol zum Düsseldorf Kreis organisieren.
Fachanwalt Thomas Stadler hat es auf den Punkt gebracht: „Das heutige Datenschutzrecht fußt, trotz zahlreicher Änderungen, letztlich auf Vorstellungen aus den 70′er und 80′er Jahren, die von Großrechnern in Rechenzentren geprägt sind. Heute geht es allerdings um die zeitgemäße Nutzung des Internets, die u.a. durch Social Media, durch Affiliate-Programme und Cloud-Computing bestimmt wird“, schreibt Stadler.
Darauf seien die Vorschriften des BDSG nicht ausgerichtet, weshalb sie auch keine Antworten auf die hieraus resultierenden Fragen bieten. Würde man das geltende Datenschutzrecht tatsächlich eng und konsequent anwenden, dann müsste Deutschland offline gehen. Würde man das Massenhosting den Anforderungen der Auftragsdatenverarbeitung nach § 11 BDSG unterwerfen, wie einige Datenschutzbehörden meinen, und jede Datenübermittlung an die USA tendenziell als Rechtsverstoß betrachten, wie der Düsseldorfer Kreis meint, dann würde es in Deutschland keine Websites mehr geben und Google und Facebook wären nicht verfügbar.
„Wenn die Vertreterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) Ninja Marnau auf die Frage, ob Sie denn eine datenschutzkonforme Lösung für das Cloud Computing darstellen könne, ernsthaft antwortet, man würde daran arbeiten, was allerdings noch ca. drei Jahre dauert, dann ist damit eigentlich alles gesagt. Die Datenschützer haben keine Antwort auf die Frage, wie man das Internet tatsächlich zeitgemäß und datenschutzkonform nutzen kann. Sie scheitern zudem an ihren eigenen hohen Maßstäben, was die Inkonsequenz ihrer eigenen Positionen unterstreicht“, so Stadler.
Aktuell könne man mit gutem Gewissen die Wertung vornehmen, dass IP-Adressen keine personenbezogenen Daten sind – auch wenn der Düsseldorfer Kreis das Gegenteil behauptet. Dann sollten doch die Datenschützer Wahlbrink oder Kasper mit ihren Bußgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht. Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen. „Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, rät der Bonner Rechtsanwalt Wüllrich. Den ersten richtig guten Fall, wie in Niedersachsen, dürfe die digitale Wirtschaft nicht lapidar begleiten. Hier müssten die Interessen aller Unternehmen gebündelt werden. Die Nutzer der IP-Adressen sollten einen Gegenpol zum Düsseldorf Kreis organisieren.
Wir müssen uns von der Idee privater Daten im Internet verabschieden, sagt Julia Schramm. In einem sehr interessanten Interview mit Spiegel Online erklärt die Mitgründerin der „datenschutzkritischen Spackeria“, warum der Datenschutz nicht mehr funktioniert und was es mit Post-Privacy auf sich hat: „Keine Macht den Datenschützern. Wir finden, dass die aktuelle Diskussion um den Schutz von Daten an der Realität vorbeigeht. Wir leben in einer vernetzten Welt, wo Privatsphäre durch das Internet nicht mehr möglich ist. Nun müssen wir sehen, wie wir damit umgehen“, so Schramm gegenüber Spiegel Online.
Im Internet sei es eben vorbei mit der Privatsphäre, darüber sollte man sich klar sein. „Schon der Begriff Datenschutz gaukelt eine falsche Sicherheit vor, die es praktisch nicht mehr gibt. Die einzige Alternative ist, anonym zu surfen“, rät Schramm. Als Beispiel für das höchst fragwürdige Vorgehen der staatlichen Datenschützer führt sie die Intervention des niedersächsischen Datenschützers an, der einem Website-Betreiber verboten habe, Google-Werbung auf seinen Seiten zu schalten. „Die Begründung war, dass die IP-Adressen der Nutzer ungefragt an einen weiteren Server übertragen werden. Dabei ist das im Internet die Regel, sehr viele Seiten nutzen solche Dienste – und die Nutzer wissen das auch. Die Entscheidung dagegen ist eine Form von Staatsgewalt“, kritisiert Schramm. Warum das Vorgehen der Datenschützer politisch und juristisch höchst fragwürdig ist, habe ich in einem längern Beitrag für MarketingIT dargelegt. Hier ein Auszug:
Das Vorgehen der Datenschützer, vor allem in den norddeutschen Bundesländern, sei nur die Spitze des Eisberges, sagt Dr. Michael Wüllrich von der Bonner Kanzlei Schmitz Knoth Rechtsanwälte im Interview mit dem Fachdienst MarketingIT. „Das Ganze hat eine erhebliche ökonomische Bedeutung für Firmen wie Google. Hier ist die Verwertung der IP-Adressen für den Geschäftsbetrieb unverzichtbar.“ Ob die Rechtsauffassung des so genannten Düsseldorfer Kreises, einem informellen Zusammenschluss von Datenschützern aus Bund und Ländern, richtig sei oder nicht, müsste höchstrichterlich entschieden werden. „Die Auslegung der Gesetze ist Sache der Gerichte. Es fehlt allerdings eine einheitliche Linie. Wir haben eine unklare Rechtslage und unterschiedliche Entscheidungen von Gerichten“, moniert Wüllrich, Fachanwalt für gewerblichen Rechtschutz.
Aktuell könne man mit gutem Gewissen die Wertung vornehmen, dass IP-Adressen keine personenbezogenen Daten sind – auch wenn der Düsseldorfer Kreis das Gegenteil behauptet. Dann sollten doch die Datenschützer Wahlbrink oder Kasper mit ihren Bußgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht. Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen. „Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, rät Wüllrich. Den ersten richtig guten Fall, wie in Niedersachsen, dürfe die digitale Wirtschaft nicht lapidar begleiten. Hier müssten die Interessen aller Unternehmen gebündelt werden. Die Nutzer der IP-Adressen sollten einen Gegenpol zum Düsseldorf Kreis organisieren.
Hinter der Unklarheit von Gesetzestexten versteckt sich allerdings auch ein Mittel der Machtausübung, wie es Hans-Magnus Enzensberger treffend beschrieben hat: Die juristische Sprache sei in ihrem Wesen nach Herrschaftssprache. „Ministerialbürokratien, Parlamentsausschüsse, Richter, Staatsanwaltschaften und Advokatur teilen ein Interesse daran, dass die Sphäre des Rechts ein Arkanum bleibt. Unverständlichkeit gehört zum Nimbus des Gesetzes.“ Das geschehe absichtlich. Die Komplexität werde soweit gesteigert, dass selbst Experten zu keiner eindeutigen Interpretation mehr fähig sind.
Fragwürdige Interpretationen von unbestimmten Rechtsbegriffen, antizipierte Verwaltungspraxis im Hinterzimmer, Bußgeldandrohungen, selbstherrliches Auftreten, Profilierungsneurosen und Anmaßung: Die Staatsaufseher des Datenschutzes von Bund und Ländern machen sich bei Rechtsexperten, Marketingmanagern, Wirtschaftsverbänden und der digitalen Wirtschaft derzeit unbeliebt. Einen unrühmlichen Höhepunkt dokumentierte kürzlich Spiegel Online: „Keine Google-Anzeigen, weg mit dem Zählpixel: Niedersachsens Datenschützer rüttelt an den Grundfesten der Online-Wirtschaft – und will die Weitergabe von IP-Adressen erschweren. Sollte er sich durchsetzen, wäre es mit Internetwerbung erst mal vorbei.“
Auslöser der Staatseingriffe ist in der Regel die These der Datenschützer, dass IP-Adressen bereits personenbezogene Daten darstellen. Daher müssten den Betroffenen Widerspruchsmöglichkeiten eingeräumt werden. Sollte sich diese Einschätzung auf breiter Front durchsetzen, wären weite Teile der deutschen Web-Landschaft unrechtmäßig, so die Wertung von Spiegel Online.
Das Vorgehen der Datenschützer, vor allem in den norddeutschen Bundesländern, sei nur die Spitze des Eisberges, sagt Dr. Michael Wüllrich von der Bonner Kanzlei Schmitz Knoth Rechtsanwälte im Interview mit dem Düsseldorfer Fachdienst MarketingIT. „Das Ganze hat eine erhebliche ökonomische Bedeutung für Firmen wie Google. Hier ist die Verwertung der IP-Adressen für den Geschäftsbetrieb unverzichtbar.“ Ob die Rechtsauffassung des so genannten Düsseldorfer Kreises, einem informellen Zusammenschluss von Datenschützern aus Bund und Ländern, richtig sei oder nicht, müsste höchstrichterlich entschieden werden. „Die Auslegung der Gesetze ist Sache der Gerichte. Es fehlt allerdings eine einheitliche Linie. Wir haben eine unklare Rechtslage und unterschiedliche Entscheidungen von Gerichten“, moniert Wüllrich, Fachanwalt für gewerblichen Rechtschutz.
Aktuell könne man mit gutem Gewissen die Wertung vornehmen, dass IP-Adressen keine personenbezogenen Daten sind – auch wenn der Düsseldorfer Kreis das Gegenteil behauptet. Dann sollten doch die Datenschützer Wahlbrink oder Kasper mit ihren Bußgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht. Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen. „Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, rät Wüllrich. Den ersten richtig guten Fall, wie in Niedersachsen, dürfe die digitale Wirtschaft nicht lapidar begleiten. Hier müssten die Interessen aller Unternehmen gebündelt werden. Die Nutzer der IP-Adressen sollten einen Gegenpol zum Düsseldorf Kreis organisieren.
Die Komplexität der heutigen Medienlandschaft, vor allem der digitalen, erfordert nach Auffassung des Bundesverbandes Digitale Wirtschaft (BVDW) ein tiefergehendes Verständnis für technische Prozesse und die Mediennutzungsanforderungen der Anwender. „Hier wünschen wir uns einen intensiveren Dialog, so dass ein beiderseitiges Verständnis besser möglich ist. Womit wir aber nicht einverstanden sind, ist, dass ein grundsätzliches Misstrauen gesät und eine staatliche Regelungsbedürftigkeit gegenüber grundlegenden Themen der Entwicklung des Internets gefordert wird. Industrie und Internetnutzer haben ein Recht auf ein innovatives Internet“, sagt Thomas Schauf, Projektleiter Selbstkontrolle Online-Datenschutz beim BVDW, gegenüber MarketingIT.
Link zur kompletten Story liefere ich nach. Danke an die Experten für die Unterstützung 🙂
Landläufig wird das als „antizipierte Verwaltungspraxis“, bezeichnet. Ich sehe das eher als Beleg für die Aufweichung der Gewaltenteilung. Die Parteien fungieren zunehmend als Staatsträger und bauen ihren Einfluss auf die Verwaltungen aus. Die Ministerialbürokratie übernimmt im Gegenzug immer mehr Funktionen der Gesetzgebung. Ja richtig gehört, es gibt auch eine Gesetzgebung, eine Legislative, die die Grundlage für Verwaltungshandeln schafft. Wohin die Staatsbürokraten-Herrlichkeit hinführt, kann man an den selbstherrlichen Auftritten des Hamburger Datenschützers Johannes Caspar erkennen. Nur weil zufällig die deutsche Firmenzentrale von Google in Hamburg liegt, inszeniert er sich als Hüter von Hausfassaden und Gartenzäunen im Kampf gegen Street View oder als Bewahrer der Privatsphäre in seiner Kampagne gegen Tracking-Software. Wenn Parlamente die Exekutive unzureichend kontrollieren, sollten das die Bürger in die Hand nehmen. Auch der Düsseldorfer Kreis hat ein Watchblog verdient.
Für die Kampagne gegen Google, Facebook, Blogger oder Forenbetreiber werden in schöner Regelmäßigkeit von den Datenschützern die Beschlüsse des Düsseldorfer Kreises vom vom 26./27. November 2009 herangezogen. Hier die Beschlusslage: Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009.
Hier nun die Fragen für meine Story, die ich am Dienstag schreiben möchte für den Fachdienst MarketingIT der absatzwirtschaft (soll dann Mittwoch erscheinen). 1. Wie beurteilt Ihr das Vorgehen der Datenschützer aus Bund und Ländern?
2. Welche rechtlichen Möglichkeiten hat die digitale Wirtschaft, sich gegen die Restriktionen der Datenschützer zur Wehr zu setzen?
3. Wie müsste ein moderner Datenschutz aussehen, um die digitale Wirtschaft zur Entfaltung zu bringen?
4. Der Düsseldorfer Kreis behauptet, die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes. Wie seht Ihr das?
5. Wären nicht in erster Linie Legislative und Judikative gefordert, eindeutige Regelungen für die digitale Wirtschaft zu treffen?
6. Ist die antizipierte Verwaltungspraxis des Düsseldorfer Kreises nicht eher ein Ausdruck von Amtsanmaßung – vielleicht sogar Amtsmißbrauch?
Expertenmeinungen hier als Kommentar posten oder mir eine E-Mail schicken: gunnareriksohn@googlemail.com
Auf den AdWords Days in Köln hat Rechtsanwalt Jens Eckhardt von der Kanzlei Juconomy einen interessanten Vortrag über die Datenschutzbestimmungen bei Werbekampagnen im Internet gehalten. Wichtig war sein Hinweis auf die rechtlichen Folgen der Beschlüsse des so genannten Düsseldorfer Kreises vom 26. und 27. November 2009. Diese illustre Runde ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Wer überwacht aber die Hüter des Datenschutzes bei der Auslegung des geltenden Rechts? Jedenfalls haben die Beschlüsse dieses Gremiums weitreichende Folgen für die Wirtschaft und besonders für die kommerziellen Aktivitäten im Internet. Ein Beschluss sollte näher betrachtet werden. Er betrifft die „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund. Hier der komplette Text:
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009. Ende der Meldung.
Der Beschluss ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50.000 Euro verhängt und Verbotsverfügungen ausgesprochen werden.
Hat das in der Öffentlichkeit zu einer breiten Diskussion geführt? Bis auf wenige Ausnahmen hat sich kaum ein Medium mit den Beschlüssen des Düsseldorfer Kreises auseinandergesetzt. Auf Genios findet man einen Eintrag der Zeit. Im Web hat sich vor allem Netzwelt.de etwas ausführlicher mit den Folgen beschäftigt. Konsequenzen haben die Vorgaben vor allem beim Einsatz von Analyse-Tools wie Google Analytics.
„Der Stralsunder Beschluss schreibt neben Bestimmungen zu Widerspruchsrechten und Datenschutzhinweisen vor allem eine Kardinalpflicht vor: Webseitenbetreiber und Statistikdienste dürfen IP-Adressen nur dann speichern, wenn eine ausdrückliche Einwilligung des Seitenbesuchers vorliegt. Andernfalls verpflichtet der Beschluss den Betreiber zum Kürzen der IP-Adresse“, so Netzwelt.de. Die Auswertung von Webseitentraffic auf Basis ungekürzter IP-Adressen würden sämtliche Landesbehörden eindeutig als rechtswidrig ansehen.
Allerdings ist unter Juristen noch strittig, ob eine IP-Adresse tatsächlich als personenbezogene Information im Sinne des Datenschutzrechts gewertet werden könne. Deutsche Gerichte haben hier mal wieder unterschiedlich entschieden. Musterverfahren gibt es nach Informationen von Jens Eckhardt bereits in Sachsen-Anhalt. Eine Flut von Prozessen und Abmahnorgien wird bei diesem unklaren Rechtszustand wieder einmal die Folge sein. Für den E-Commerce befürchtet Eckhardt sogar volkswirtschaftlich negative Effekte. So sehen es auch andere Branchenexperten:
So schreibt Netzwelt.de: „Die Umsetzung der Datenschutz-Forderungen könnte Seiten- und Dienstebetreiber vor technische und finanzielle Herausforderungen stellen. Oliver Süme, Stellvertretender Vorstandsvorsitzender des Verbandes der deutschen Internetwirtschaft Eco, betont die zentrale Rolle der Webseitenanalyse für die Internetbranche: ‚Angesichts der enormen wirtschaftlichen Bedeutung der Reichweitenanalyse ist es jetzt wichtig, gemeinsam mit der Internetwirtschaft Lösungen zu diskutieren.‘ Peter Fleischer, Global Privacy Counsel bei Google, zeigt sich besorgt über mögliche Auswirkungen des Stralsunder Papiers: ‚Wir begrüßen Initiativen, die die Balance zwischen Datenschutz-Einstellungen für Nutzer und Innovationen für Web-Dienste weiter verbessern, sind aber sehr besorgt über den gegenteiligen Effekt, den der heutige Beschluss des Düsseldorfer Kreises allgemein auf die deutsche Internet-Industrie haben wird‘, erklärt der Google-Vertreter.“
„Nach Erkenntnis der Düsseldorfer Xamit Bewertungsgesellschaft nutzen derzeit über 13 Prozent aller Deutschen Domains Analytics – darunter auch Arzneimittelanbieter, politische Parteien und Zeitungen. Auch DIE ZEIT nutzt das Instrument in einem Teilbereich ihres Angebotes , den ZEIT REISEN. Knapp vier Prozent beobachten mit anderen Analysewerkzeugen. Bei gut 13 Millionen von der Denic registrierten deutschen Internetseiten macht das knapp 1,8 Millionen Seiten, die auf die Google Dienste zur Verbesserung ihres Angebots vertrauen. Der Stuttgarter Rechtsanwalts Carsten Ulbricht vertritt die Ansicht, dass dadurch sogar Bußgelder drohen . Denn laut Paragraf 16, Absatz 3, Telemediengesetz könnten Bußgelder von bis zu 50.000 Euro verhängt werden, wenn Seitenbetreiber ihre Nutzer nicht um Einwilligung bitten, bevor sie solche Instrumente verwenden“, führt die Zeit aus.
Per Meyerdierks, Datenschutzbeauftragter der Google Germany, sei der Ansicht, dass Google die Daten in den USA verarbeiten dürfe, da man sich dem Safe-Harbour-Abkommen zwischen der EU und den USA unterworfen habe. „Das Opt-out hält Google für unnötig und argumentiert, Nutzer könnten die Cookies ja ablehnen. Profile würden ohnehin keine angelegt. Außerdem könne anhand eines Cookies niemand sagen, wer tatsächlich vor dem Rechner säße. Man könne noch nicht einmal erkennen, ob überhaupt ein Mensch die Seite besucht habe oder aber ein Programm. ‚Die Cookies werden‘, sagt Meyerdierks, ’nach 18 Monaten irreversibel unlesbar gemacht, die IP-Adressen nach neun Monaten anonymisiert'“, führt die Zeit weiter aus.
Ich frage mich, wie der Vollzug dieses Kataloges umgesetzt werden soll. Es wird wohl zu Stichproben kommen und in Einzelfällen Bußgeldbescheide geben. Die Frage ist dann nur, ob das nicht zu willkürlichen Staatseingriffen führt.
Welcher Dienst in Deutschland überhaupt noch als „legal“ bezeichnet werden kann, hat Xamit in einer aktuellen Studie dokumentiert. Danach erfüllen nur drei Tools die Anforderungen des Düsseldorfer Kreises: Econda, eTracker und stats4free.
