Die schärfsten Kritiker der Elche, waren früher selber welche: Hamburger Datenschützer hat ein Datenschutzproblem

Der Hamburger Datenschützer Professor Johannes Caspar ist bei der Beurteilung von Google-Diensten ein äußerst strenger Zeitgenosse. Das konnte man beim öffentlichen Disput über Street View erkennen und das spielt sich jetzt auch beim Einsatz von Google Analytics ab. Da der Suchmaschinen-Konzern seinen Geschäftssitz in der Hansestadt hat, sind das paradiesische Zeiten für Caspar, um sich in der Öffentlichkeit für die Einhaltung des Datenschutzes ins Zeug zu legen. So will er nicht mehr mit Google über eine Anpassung des Online-Statistikdienstes an deutsches Datenschutzrecht verhandeln. Caspar erklärte der “ Frankfurter Allgemeinen Zeitung“, seine Behörde habe die Gespräche abgebrochen. Caspars Begründung: „Leider mussten wir zu dem Ergebnis kommen, dass Google unseren Datenschutzanforderungen nicht entsprochen hat.“ Caspar erklärte, man prüfe einen Musterprozess „gegen ein größeres Unternehmen“ und drohte, auf Analytics-Nutzer könne „ein empfindliches Bußgeld“ zukommen. Wenn Caspar eine Anpassung an deutsches Datenschutzrecht anmahnt, bezieht er sich im engeren Sinne auf eine Interpretation der gesetzlichen Regelungen durch ein Gremium, welches sich „Düsseldorfer Kreis“ nennt. Diese illustre Runde ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Juristen haben mir bestätigt, dass diese Beschlüsse keine rechtliche Bindung bewirken. Faktisch gibt es allerdings eine Bindungswirkung, weil es sich um eine „antizipierte Verwaltungspraxis“ handelt.

Für die Kampagne gegen Google und Co. ist die Beschlusslage vom 26./27. November 2009 relevant.

Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009. Ende der Meldung.

Der Beschluss ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50.000 Euro verhängt und Verbotsverfügungen ausgesprochen werden.

Nun hat bekanntlich der Internet-Law-Blog vorgestern durch einen Leser herausgefunden, dass auch die Website des Hamburger Datenschützers nicht den Vorgaben des Düsseldorfer Kreises entspricht. Da es sich um eine Unterseite der Stadt handelt, kam dort das Statistik-Tool von IVW zum Einsatz.

Es handelt sich um eine Software der Bonner Firma INFOnline. Prompt wurde die Website des Hamburger Datenschützers einen Tag später in den Offline-Modus geschaltet. Dort ist nun zu lesen: „13.01.2011 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zieht Konsequenzen Internetauftritt der Datenschutzbehörde bei hamburg.de abgeschaltet. (hmbbfdi, 13.1.2011) Aufgrund des Einsatzes von unzulässiger Trackingsoftware auf den Seiten von hamburg.de hat der Hamburgische Beauftragte von Datenschutz und Informationsfreiheit heute seinen dortigen Internetauftritt abgeschaltet. — Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).“

Seit Anfang des vergangenen Jahres war dem Datenschützer Caspar bekannt, dass bei der Website der Hansestadt die Trackingsoftware von INFOnline aufgeschaltet ist. Seit März 2010 würde man mit dem Anbieter verhandelt und erst seit Montag, also dem 10. Januar 2011, sei bekannt, dass die Software nicht den Beschlüssen des Düsseldorfer Kreises entspreche. Eine Abschaltung der kompletten Web-Präsenz der Stadt Hamburg hält Caspar nicht für notwendig, da die Bonner Firma Änderungen angekündigt hat und bis zum Juli 2011 auch umsetzen will.

Sollten diese Änderungen nicht ausreichend sein, müssten weitere Schritte überlegt werden, so Caspar gegenüber NeueNachricht. Das würde dann auch alle Online-Medien betreffen, die die Software von INFOnline benutzen. Das sind alle Onlinemedien, die ihre Zugriffszahlen über IVW überprüfen lassen.

Wie die Trackingsoftware von INFOnline funktioniert, hat der Geschäftsführer in einem Kommentar auf dem Internet Law-Blog erklärt und mir auch noch mal telefonisch im Detail dargelegt: „IVW Verfahren speichert keine IP-Adressen – Als Betreiber des IVW-Verfahrens erlaube ich mir die folgende Anmerkung: Die IP-Adresse wird in der SZM-Box für 2 Verarbeitungsschritte genutzt: 1.) Georesolving auf Staaten und Bundeslandebene 2.) Verhashung mit dem user agent zu einem ‚ident‘. Die maximale Speicherzeit der IP-Adresse beträgt 10 Minuten. Danach wird die IP Adresse aus dem Flash-Speicher der SZM-Box gelöscht und nirgendwo im System gespeichert oder weiter verarbeitet. Die SZM-Boxen sind desweiteren physikalisch von den weiteren Aggregations- und Speichersystemen im SZM-Verfahren getrennt. Somit werden in der Datenaggregation (Tagessatistiken) keine IP-Adressen verwendet oder gespeichert (diese werden im SZM-Verfahren auch gar nicht benötigt). Wie Prof. Caspar weiter oben richtig schreibt, haben wir vereinbart, das System so umzubauen, dass es den aktuellen Anforderungen an den Datenschutz vollständig entspricht. So werden die IP-Adressen zukünftig vor den Verarbeitungsschritten 1 & 2 um das letzte Oktett gekürzt“, so der INFOnline-Geschäftsführer Dirk Wippern.

Trotz der Beschlüsse des Düsseldorfer Kreises, wenden die Datenschützer der 16 Bundesländer die Bestimmungen äußerst unterschiedlich an, so Wippern im Gespräch mit NeueNachricht. Das Internet macht allerdings nicht vor den Grenzen einzelner Bundesländer halt. Es wäre an der Zeit, den Datenschutz endlich einheitlich für Deutschland zu regeln. Der dissonante Chor der Datenschützer würde zu einer Verunsicherung der Anwender führen.

Die Website des Hamburger Datenschützers soll nach eigenen Angaben in Kürze wieder online gehen – ohne Tracking-Software.

Siehe auch:
Hamburgs oberster Datenschützer geht offline.

Datenschutzpanne beim Datenschützer.

Hamburger Datenschützer setzen unerlaubte Trackingsoftware ein – Eigene Seiten vom Netz genommen.

Ilse Aigner-Gedenkstunde auf den Kölner AdWords Days: Wer überwacht die Hüter des Datenschutzes bei der Auslegung geltenden Rechts?

Auf den AdWords Days in Köln hat Rechtsanwalt Jens Eckhardt von der Kanzlei Juconomy einen interessanten Vortrag über die Datenschutzbestimmungen bei Werbekampagnen im Internet gehalten. Wichtig war sein Hinweis auf die rechtlichen Folgen der Beschlüsse des so genannten Düsseldorfer Kreises vom 26. und 27. November 2009. Diese illustre Runde ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Wer überwacht aber die Hüter des Datenschutzes bei der Auslegung des geltenden Rechts? Jedenfalls haben die Beschlüsse dieses Gremiums weitreichende Folgen für die Wirtschaft und besonders für die kommerziellen Aktivitäten im Internet. Ein Beschluss sollte näher betrachtet werden. Er betrifft die „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund. Hier der komplette Text:
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:

• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.

• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.

• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.

• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.

• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der
Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten. Stralsund, 26. November 2009. Ende der Meldung.

Der Beschluss ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50.000 Euro verhängt und Verbotsverfügungen ausgesprochen werden.

Hat das in der Öffentlichkeit zu einer breiten Diskussion geführt? Bis auf wenige Ausnahmen hat sich kaum ein Medium mit den Beschlüssen des Düsseldorfer Kreises auseinandergesetzt. Auf Genios findet man einen Eintrag der Zeit. Im Web hat sich vor allem Netzwelt.de etwas ausführlicher mit den Folgen beschäftigt. Konsequenzen haben die Vorgaben vor allem beim Einsatz von Analyse-Tools wie Google Analytics.

„Der Stralsunder Beschluss schreibt neben Bestimmungen zu Widerspruchsrechten und Datenschutzhinweisen vor allem eine Kardinalpflicht vor: Webseitenbetreiber und Statistikdienste dürfen IP-Adressen nur dann speichern, wenn eine ausdrückliche Einwilligung des Seitenbesuchers vorliegt. Andernfalls verpflichtet der Beschluss den Betreiber zum Kürzen der IP-Adresse“, so Netzwelt.de. Die Auswertung von Webseitentraffic auf Basis ungekürzter IP-Adressen würden sämtliche Landesbehörden eindeutig als rechtswidrig ansehen.

Allerdings ist unter Juristen noch strittig, ob eine IP-Adresse tatsächlich als personenbezogene Information im Sinne des Datenschutzrechts gewertet werden könne. Deutsche Gerichte haben hier mal wieder unterschiedlich entschieden. Musterverfahren gibt es nach Informationen von Jens Eckhardt bereits in Sachsen-Anhalt. Eine Flut von Prozessen und Abmahnorgien wird bei diesem unklaren Rechtszustand wieder einmal die Folge sein. Für den E-Commerce befürchtet Eckhardt sogar volkswirtschaftlich negative Effekte. So sehen es auch andere Branchenexperten:

So schreibt Netzwelt.de: „Die Umsetzung der Datenschutz-Forderungen könnte Seiten- und Dienstebetreiber vor technische und finanzielle Herausforderungen stellen. Oliver Süme, Stellvertretender Vorstandsvorsitzender des Verbandes der deutschen Internetwirtschaft Eco, betont die zentrale Rolle der Webseitenanalyse für die Internetbranche: ‚Angesichts der enormen wirtschaftlichen Bedeutung der Reichweitenanalyse ist es jetzt wichtig, gemeinsam mit der Internetwirtschaft Lösungen zu diskutieren.‘ Peter Fleischer, Global Privacy Counsel bei Google, zeigt sich besorgt über mögliche Auswirkungen des Stralsunder Papiers: ‚Wir begrüßen Initiativen, die die Balance zwischen Datenschutz-Einstellungen für Nutzer und Innovationen für Web-Dienste weiter verbessern, sind aber sehr besorgt über den gegenteiligen Effekt, den der heutige Beschluss des Düsseldorfer Kreises allgemein auf die deutsche Internet-Industrie haben wird‘, erklärt der Google-Vertreter.“

„Nach Erkenntnis der Düsseldorfer Xamit Bewertungsgesellschaft nutzen derzeit über 13 Prozent aller Deutschen Domains Analytics – darunter auch Arzneimittelanbieter, politische Parteien und Zeitungen. Auch DIE ZEIT nutzt das Instrument in einem Teilbereich ihres Angebotes , den ZEIT REISEN. Knapp vier Prozent beobachten mit anderen Analysewerkzeugen. Bei gut 13 Millionen von der Denic registrierten deutschen Internetseiten macht das knapp 1,8 Millionen Seiten, die auf die Google Dienste zur Verbesserung ihres Angebots vertrauen. Der Stuttgarter Rechtsanwalts Carsten Ulbricht vertritt die Ansicht, dass dadurch sogar Bußgelder drohen . Denn laut Paragraf 16, Absatz 3, Telemediengesetz könnten Bußgelder von bis zu 50.000 Euro verhängt werden, wenn Seitenbetreiber ihre Nutzer nicht um Einwilligung bitten, bevor sie solche Instrumente verwenden“, führt die Zeit aus.

Per Meyerdierks, Datenschutzbeauftragter der Google Germany, sei der Ansicht, dass Google die Daten in den USA verarbeiten dürfe, da man sich dem Safe-Harbour-Abkommen zwischen der EU und den USA unterworfen habe. „Das Opt-out hält Google für unnötig und argumentiert, Nutzer könnten die Cookies ja ablehnen. Profile würden ohnehin keine angelegt. Außerdem könne anhand eines Cookies niemand sagen, wer tatsächlich vor dem Rechner säße. Man könne noch nicht einmal erkennen, ob überhaupt ein Mensch die Seite besucht habe oder aber ein Programm. ‚Die Cookies werden‘, sagt Meyerdierks, ’nach 18 Monaten irreversibel unlesbar gemacht, die IP-Adressen nach neun Monaten anonymisiert'“, führt die Zeit weiter aus.

Ich frage mich, wie der Vollzug dieses Kataloges umgesetzt werden soll. Es wird wohl zu Stichproben kommen und in Einzelfällen Bußgeldbescheide geben. Die Frage ist dann nur, ob das nicht zu willkürlichen Staatseingriffen führt.

Welcher Dienst in Deutschland überhaupt noch als „legal“ bezeichnet werden kann, hat Xamit in einer aktuellen Studie dokumentiert. Danach erfüllen nur drei Tools die Anforderungen des Düsseldorfer Kreises: Econda, eTracker und stats4free.