Der Hamburger Datenschützer Professor Johannes Caspar ist bei der Beurteilung von Google-Diensten ein äußerst strenger Zeitgenosse. Das konnte man beim öffentlichen Disput über Street View erkennen und das spielt sich jetzt auch beim Einsatz von Google Analytics ab. Da der Suchmaschinen-Konzern seinen Geschäftssitz in der Hansestadt hat, sind das paradiesische Zeiten für Caspar, um sich in der Öffentlichkeit für die Einhaltung des Datenschutzes ins Zeug zu legen. So will er nicht mehr mit Google über eine Anpassung des Online-Statistikdienstes an deutsches Datenschutzrecht verhandeln. Caspar erklärte der “ Frankfurter Allgemeinen Zeitung“, seine Behörde habe die Gespräche abgebrochen. Caspars Begründung: „Leider mussten wir zu dem Ergebnis kommen, dass Google unseren Datenschutzanforderungen nicht entsprochen hat.“ Caspar erklärte, man prüfe einen Musterprozess „gegen ein größeres Unternehmen“ und drohte, auf Analytics-Nutzer könne „ein empfindliches Bußgeld“ zukommen. Wenn Caspar eine Anpassung an deutsches Datenschutzrecht anmahnt, bezieht er sich im engeren Sinne auf eine Interpretation der gesetzlichen Regelungen durch ein Gremium, welches sich „Düsseldorfer Kreis“ nennt. Diese illustre Runde ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Juristen haben mir bestätigt, dass diese Beschlüsse keine rechtliche Bindung bewirken. Faktisch gibt es allerdings eine Bindungswirkung, weil es sich um eine „antizipierte Verwaltungspraxis“ handelt.
Für die Kampagne gegen Google und Co. ist die Beschlusslage vom 26./27. November 2009 relevant.
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009. Ende der Meldung.
Der Beschluss ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50.000 Euro verhängt und Verbotsverfügungen ausgesprochen werden.
Nun hat bekanntlich der Internet-Law-Blog vorgestern durch einen Leser herausgefunden, dass auch die Website des Hamburger Datenschützers nicht den Vorgaben des Düsseldorfer Kreises entspricht. Da es sich um eine Unterseite der Stadt handelt, kam dort das Statistik-Tool von IVW zum Einsatz.
Es handelt sich um eine Software der Bonner Firma INFOnline. Prompt wurde die Website des Hamburger Datenschützers einen Tag später in den Offline-Modus geschaltet. Dort ist nun zu lesen: „13.01.2011 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zieht Konsequenzen Internetauftritt der Datenschutzbehörde bei hamburg.de abgeschaltet. (hmbbfdi, 13.1.2011) Aufgrund des Einsatzes von unzulässiger Trackingsoftware auf den Seiten von hamburg.de hat der Hamburgische Beauftragte von Datenschutz und Informationsfreiheit heute seinen dortigen Internetauftritt abgeschaltet. — Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).“
Seit Anfang des vergangenen Jahres war dem Datenschützer Caspar bekannt, dass bei der Website der Hansestadt die Trackingsoftware von INFOnline aufgeschaltet ist. Seit März 2010 würde man mit dem Anbieter verhandelt und erst seit Montag, also dem 10. Januar 2011, sei bekannt, dass die Software nicht den Beschlüssen des Düsseldorfer Kreises entspreche. Eine Abschaltung der kompletten Web-Präsenz der Stadt Hamburg hält Caspar nicht für notwendig, da die Bonner Firma Änderungen angekündigt hat und bis zum Juli 2011 auch umsetzen will.
Sollten diese Änderungen nicht ausreichend sein, müssten weitere Schritte überlegt werden, so Caspar gegenüber NeueNachricht. Das würde dann auch alle Online-Medien betreffen, die die Software von INFOnline benutzen. Das sind alle Onlinemedien, die ihre Zugriffszahlen über IVW überprüfen lassen.
Wie die Trackingsoftware von INFOnline funktioniert, hat der Geschäftsführer in einem Kommentar auf dem Internet Law-Blog erklärt und mir auch noch mal telefonisch im Detail dargelegt: „IVW Verfahren speichert keine IP-Adressen – Als Betreiber des IVW-Verfahrens erlaube ich mir die folgende Anmerkung: Die IP-Adresse wird in der SZM-Box für 2 Verarbeitungsschritte genutzt: 1.) Georesolving auf Staaten und Bundeslandebene 2.) Verhashung mit dem user agent zu einem ‚ident‘. Die maximale Speicherzeit der IP-Adresse beträgt 10 Minuten. Danach wird die IP Adresse aus dem Flash-Speicher der SZM-Box gelöscht und nirgendwo im System gespeichert oder weiter verarbeitet. Die SZM-Boxen sind desweiteren physikalisch von den weiteren Aggregations- und Speichersystemen im SZM-Verfahren getrennt. Somit werden in der Datenaggregation (Tagessatistiken) keine IP-Adressen verwendet oder gespeichert (diese werden im SZM-Verfahren auch gar nicht benötigt). Wie Prof. Caspar weiter oben richtig schreibt, haben wir vereinbart, das System so umzubauen, dass es den aktuellen Anforderungen an den Datenschutz vollständig entspricht. So werden die IP-Adressen zukünftig vor den Verarbeitungsschritten 1 & 2 um das letzte Oktett gekürzt“, so der INFOnline-Geschäftsführer Dirk Wippern.
Trotz der Beschlüsse des Düsseldorfer Kreises, wenden die Datenschützer der 16 Bundesländer die Bestimmungen äußerst unterschiedlich an, so Wippern im Gespräch mit NeueNachricht. Das Internet macht allerdings nicht vor den Grenzen einzelner Bundesländer halt. Es wäre an der Zeit, den Datenschutz endlich einheitlich für Deutschland zu regeln. Der dissonante Chor der Datenschützer würde zu einer Verunsicherung der Anwender führen.
Die Website des Hamburger Datenschützers soll nach eigenen Angaben in Kürze wieder online gehen – ohne Tracking-Software.
Siehe auch:
Hamburgs oberster Datenschützer geht offline.
Datenschutzpanne beim Datenschützer.
Hamburger Datenschützer setzen unerlaubte Trackingsoftware ein – Eigene Seiten vom Netz genommen.
