Wie sieht es denn bei den Wächtern des Datenschutzes aus?

Nachdem der Düsseldorfer Kreis zum Thema Webanalyse eine so öffentlichkeitswirksame Entschließung gefasst hat, stellt sich die Frage, ob sich die Aufsichtsbehörden als Wächter über die Datenschutzkonformität von Webauftritten der privaten Wirtschaft denn an den von ihnen selbst gesetzten Maßstäben messen lassen können.

Deswegen haben wir einen Blick in die Datenschutzerklärungen der betreffenden Behörden geworfen und sind dabei (Stand 08.12.2009, 17.00 Uhr) auf folgende Ergebnisse gestoßen:

Datenschutzerklärung Innenministerium Baden-Württemberg:

Einfach mal anschauen. Zunächst fällt auf, dass die IP-Adresse nirgends erwähnt wird, weder als “gespeichert”, noch als “nicht gespeichert”. Es ist die Rede davon, dass eine Nutzung ohne Offenlegung der persönlichen Daten möglich ist; was heißt das ? Es wird davon gesprochen, dass keine personenbezogene Auswertung der vom Rechenzentrum erlangten Daten erfolgt; hat man also personenbezogene Daten ?; und wenn man die IP-Adressen im Rechenzentrum erlangt hat, betrachtet man sie dann nicht als personenbezogene Daten ?

Nur ein paar Fragen, die sich die Aufsichtsbehörde Baden-Württemberg gefallen lassen muss.

Datenschutzerklärung Regierung von Mittelfranken:

Es lohnt sich, hier mal genauer nachzulesen. In dieser Datenschutzerklärung wird unter anderem unverblümt eingeräumt, dass die “IP-Adresse des anfordernden Rechners” gespeichert wird. Das klingt ja schon mal interessant. Offenbar sieht man die IP-Adressen also als sachbezogene Daten (”Rechner”) und nicht als personenbezogene Daten ? Gleich anschließend wird klar gestellt, dass die gespeicherten Daten, also auch die IP-Adressen, “ausschließlich zu technischen und statistischen Zwecken benötigt” werden. Das ist ja wohl meistens so, wenn Webanalyse eingesetzt wird, ob in der privaten Wirtschaft oder im Bereich der öffentlichen Verwaltung. Interessant auch die Mitteilung, wonach die gespeicherten Daten nach der jährlichen Auswertung im Januar des Folgejahres gelöscht werden: Also werden auch die IP-Adressen jedenfalls bis zu 13 Monate gespeichert = nicht gelöscht.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die bayerischen Aufseher wohl nicht so eng ?

Datenschutzerklärung Berliner Beauftragter für Datenschutz und Informationsfreiheit:

Laut Datenschutzerklärung werden IP-Adressen nicht gespeichert und Cookies grundsätzlich nicht gesetzt, mit Ausnahme eines Cookies zur Sicherstellung der Barrierefreiheit (Schriftgröße), das beim Schließen des Browsers gelöscht wird.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung Ministerium des Innern Brandenburg:

Unter der Rubrik “Datenschutz” vermutet man ja in der Regel datenschutzrelevante Hinweise des Website-Betreibers, die sich ausdrücklich auf die Nutzung der Website beziehen. Nicht so bei der Aufsichtsbehörde des Landes Brandenburg: Dort findet am unter “Datenschutz” allgemeine Hinweise auf datenschutzrechtliche Grundsätze und Möglichkeiten, die dem hilfesuchenden Bürger geboten werden.

Auch unter “Impressum” findet man keine weiter führenden Hinweise oder Informationen.

Fazit: Nachdem jedwede website-bezogene Hinweise fehlen, kann man noch nicht einmal ahnen, wie das Innenministerium Brandenburg mit den Daten der Website-Besucher umgeht.

In Brandenburg ein alles andere als vorbildlicher Umgang mit dem Thema Datenschutz !

Datenschutzerklärung der Landesdatenschutzbeauftragten Bremen:

Gemäß Datenschutzerklärung werden zwar keine Cookies verwendet, aber  u.a. die IP-Adressen der Besucher erfasst und gespeichert. Auch hier ist allerdings die Rede von “der Rechneradresse (IP-Adresse)” … sind die IP-Adresse also keine personenbezogenen Daten ?

Darüber, wie lange die IP-Adressen gespeichert werden, schweigt sich die Datenschutzerklärung aus. Erwähnt wird lediglich, dass die Daten “ausschließlich zu statistischen Zwecken ausgewertet” werden … das ist eben gerade bei den beaufsichtigten nicht-öffentlichen Website-Betreibern auch der Fall. Eine Zustimmung zur Erfassung/Speicherung der IP-Adresse wird nicht eingeholt.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die Bremer Aufseher wohl nicht so eng ?

Datenschutzerklärung des Hamburgischen Datenschutzbeauftragten:

Gemäß Datenschutzerklärung werden auf der Website “keine Nutzungsdaten” erhoben oder verarbeitet und “keine Cookies” verwendet.

So weit, so gut. Bleibt die Frage, ob in Hamburg die IP-Adressen als “Nutzungsdaten” angesehen werden oder nicht. Also die Frage, ob auf der Website des Hamburgischen Datenschutzbeauftragten die IP-Adressen der Besucher erfasst und gespeichert werden oder nicht.

Hierüber schweigt sich die Hamburger Datenschutzerklärung aus … auch nicht gerade vorbildlich.

Datenschutzerklärung des Hessischen Ministeriums des Innern und für Sport:

Auf der Website der hessischen Aufsichtsbehörde werden die “IP-Adresse des anfordernden Rechners” und “Cookies” gespeichert. Irgendwelche Zustimmungs- oder Ausschlussmechanismen gibt es nicht.

Das bedarf wohl keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die hessischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:

Nach dieser Erklärung werden auf der Website keine IP-Adressen protokolliert und keine Cookies verwendet.

Die im Einzelnen benannten erhobenen sonstigen Daten werden nach einem Tag gelöscht.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Landesdatenschutzbeauftragten Niedersachsen:

Diese Datenschutzerklärung ist auch nicht ansatzwesie aussagekräftig, weshalb wir sie hier wörtlich auszugsweise wiedergeben:

“Bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot des Niedersachsen-Portals und bei jedem Abruf einer Datei werden Daten über diesen Vorgang in einer Protokolldatei gespeichert. Diese Daten sind nicht personenbezogen; wir können also nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat.Diese Protokolldaten werden für zwei Monate gespeichert, sie werden lediglich statistisch ausgewertet.”

Der Besucher erfährt also, dass bei jedem Zugriff  “Daten gespeichert” werden. Immerhin folgt an anderer Stelle der Zusatz, dass keine Cookies verwendet werden.

Stellt sich die banale Frage:

Welche Daten werden in Niedersachsen gespeichert ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Nordrhein-Westfalen:

Hier werden u.a. die IP-Adressen “für die Zeit des Kommunikationsvorgangs” gespeichert und verarbeitet. Interessante Formulierung: Fragt sich, wann das passieren soll, wenn nicht während des Kommunikationsvorgangs.

“Nach Beendigung des Kommunikationsvorgangs wird die IP-Adresse anonymisiert”. Fragt sich, auf welcher Ebene das passiert: Im Rahmen der Auswertung oder auf Rohdatenebene ?

Auch hier findet sich keinerlei Funktion, die dem Besucher die Zustimmung zur oder die Ablehnung der Erfassung, Speicherung und Auswertung der IP-Adressen ermöglichen würde.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die NRW-Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Rheinland-Pfalz:

Die IP-Adressen werden in einer Protokolldatei gespeichert. Zusätzlich erfolgt der Hinweis, dass diese Information zur statistischen Auswertung des Zugriffs herangezogen und nach Ablauf des Tages des Zugriffs automatisiert anonymisiert wird.

Über den Einsatz und die Handhabung von Cookies wird nichts ausgesagt. Möglichkeiten für Opt-In oder Opt-Out sind nicht ersichtlich.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die rheinland-pfälzischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Saarländischen Ministeriums des Innern:

Hier findet sich ein interessanter Ansatz: “Für Zwecke der Datensicherheit” werden “vorübergehend Daten gespeichert, die möglicherweise eine Identifizierung zulassen”, u.a. auch die IP-Adressen. Es erfolgt aber keine Auswertung, “mit Ausnahme für statistische Zwecke in anonymisierter Form”.

Der Besucher wird auf die Möglichkeit hingewiesen, Auskunft über die ihn betreffenden gespeicherten personenbezogenen Daten zu erhalten, außerdem auf sein Recht, Berichtigung, Sperrung oder Löschung zu verlangen.

Das alles bedarf keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die saarländischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Sachsen

Auch eine interessante Variante: Es wird darauf hingewiesen, dass es “lediglich zur Behebung von technischen Problemen … vorübergehend notwendig” sein kann, u.a. die IP-Adresse zu speichern. In diesem Fall werden die IP-Adressen in einer Protokolldatei gespeichert und “unmittelbar nach Behebung des technischen Problems gelöscht”.

Opt-In- oder Opt-Out- Möglichkeiten sind nicht ersichtlich.

Es bleibt dem geneigten Besucher überlassen, die Geschichte von den technischen Problemen zu glauben oder nicht zu glauben. Jedenfalls wird er nicht informiert, ob gerade ein technisches Problem besteht und dementsprechend u.a. gerade die IP-Adresse getrackt wird.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die sächsischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesverwaltungsamtes Sachsen-Anhalt:

Ebenfalls eine sehr nichtssagende Datenschutzerklärung: Alle Zugriffe werden registriert, eine Speicherung personenbezogener Daten findet nicht statt, “gespeicherte Daten werden für statistische Zwecke ausgewertet und ggf. anonymisiert veröffentlicht”.

Da fragt man sich, wieso anonymisiert werden muss, wenn doch angeblich keine personenbezogenen Daten gespeichert werden ??? Ausdrücklich wird denn auch nichts dazu gesagt, ob die IP-Adressen erfasst und gespeichert sowie wann sie ggf. gelöscht werden.

Etwas undurchsichtig und nicht gerade vorbildlich dokumentiert, was da unter Datenschutzgesichts-punkten auf der Website passiert.

Datenschutzerklärung des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein:

IP-Adressen werden nicht gespeichert, Cookies kommen nicht zum Einsatz.

Insgesamt eine sehr geradlinige Datenschutzerklärung, die auf eine sehr konsequente Handhabung dieses Themas beim Betrieb der eigenen Website schließen lässt. Alles andere hätte in diesem Fall auch verwundert.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Innenministeriums Thüringen:

Diese Erklärung enthält den Hinweis, dass eine Zugriffsstatistik geführt wird, u.a. auch über die “Herkunft der Besuche”. Das lässt den Schluss zu, dass auch mit der IP-Adresse gearbeitet wird, ausdrücklich wird das allerdings nicht erwähnt.

Nachdem auf der anderen Seite darauf hingewiesen wird, dass personenbezogene Daten nur mit ausdrücklicher Zustimmung des Nutzers erhoben werden, würde das nach dem Standpunkt des Düsseldorfer Kreises allerdings bedeuten, dass die IP-Adresse nicht erfasst bzw. gespeichert wird.

Es wäre wünschenswert, wenn die Datenschutzerklärung etwas weniger “schleierhaft” formuliert werden würde.

In der vorliegenden Fassung wirft diese Datenschutzerklärung aus Sachsen-Anhalt mehr Fragen auf, als sie Antworten gibt.

Insgesamt lässt sich also feststellen, dass auf den Websites der 16 obersten Aufsichtsbehörden für die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich bis auf zwei Ausnahmen erheblicher Nachholbedarf bei der Formulierung einer Datenschutzerklärung mit klarer Aussagekraft besteht. Es entsteht teilweise der Eindruck, dass mehr oder weniger krampfhaft versucht worden ist, die tatsächliche Qualität und den tatsächlichen Umfang der Datenerfassung und der Datenspeicherung zumindest nicht so deutlich zu offenbaren, wie dies tatsächlich praktiziert wird.

Überdies erfassen und speichern erklärtermaßen 7 der 16 Aufsichtsbehörden die IP-Adressen der Besucher, ohne hierfür eine Zustimmung einzuholen oder auch nur deutlich darauf hinzuweisen. Lediglich 3 der 16 Aufsichtsbehörden erklären ausdrücklich, die IP-Adresse nicht zu erfassen. Bei den restlichen 6 Aufsichtsbehörden ist die Datenschutzerklärung so unklar formuliert, dass nicht ermittelt werden kann, ob die IP-Adresse gespeichert wird oder nicht.

Zur Erinnerung: Der Düsseldorfer Kreis fordert im Zusammenhang mit der Analyse des Nutzerverhaltens von Website-Besuchern u.a. wörtlich:

“Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger
Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.”

Von dieser eigenen Forderung sind die Aufsichtsbehörden bei der Handhabung auf ihren eigenen Websites derzeit weit entfernt.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen !

Tags: Auswertung, Cookies, Daten, Datenerfassung, Datenschutz, Düsseldorfer, Internet, IP-Adresse, Kreis, Opt-In, personenbezogene, Statistik, Webanalyse

Dieser Artikel wurde am Dienstag, Dezember 8th, 2009 um 17:53 gepostet und ist unter Allgemein, Datenschutz abgelegt. Sie können allen Kommentaren zu diesem Artikel in diesem RSS 2.0 feed folgen. Sie können einen Kommentar hinterlassen, oder einen Trackback von Ihrer eigenen Seite.