Die Frankfurter Allgemeine Zeitung vom 18.10.2010 berichtet über ein – neues ? – Datenschutzproblem bei Facebook: Kurz zusammen gefasst geht es darum, dass man sich mit einer fremden Email-Adresse auf Facebook anmelden kann. Tut man das, bekommt der wahre Inhaber der Email-Adresse zwar eine Facebook-Benachrichtigung. Bis er diese Email zur Kenntnis nimmt und ggf. reagiert, hat derjenige, der die fremde Email-Adresse missbraucht, jedoch Zugriff auf den neu angelegten Account. Und das eigentliche Thema ? In dieser Übergangszeit zeigt Facebook bereits eine Reihe von anderen Email-Kontakten, die bei Facebook mit der missbrauchten Email-Adresse verknüpft sind.

Das heißt also: Wer Böses im Sinn hat und einfach mal checken möchte, ob und ggf. welche Email-Kontakte bei Facebook mit der Email-Adresse eines jedenfalls vorläufig ahnungslosen Mitmenschen verbunden sind, kann die fremde Email-Adresse bei Neuanlage eines Facebook-Accounts missbrauchen und sich auf diese Weise Informationen verschaffen, die eigentlich nur dem wahren Inhaber der missbrauchten Email-Adresse zugänglich sein dürften.

Wir haben nicht nachgeprüft, ob das tatsächlich so ist. Auf der anderen Seite gehen wir davon aus, dass die Frankfurter Allgemeine Sonntagszeitung die Story vor der Veröffentlichung sauber recherchiert und dokumentiert hat.

Wenn es sich tatsächlich so verhält, wie von der F.A.Z. dargestellt, würde das natürlich einen eklatanten Verstoß gegen das kleine Einmaleins des Datenschutzes darstellen. Auf diese Weise wird einem Unberechtigten die Möglichkeit gegeben, sich aus welchen Gründen auch immer ein zumindest teilweises Bild über Kontaktdaten eines bestimmten Email-Accounts zu verschaffen, ohne dass ein berechtigtes Interesse des Unberechtigten ersichtlich wäre, vor allem aber ohne jedwede Einwilligung des Inhabers des missbrauchten Email-Accounts.

Die Frage, die sich an diese Feststellung unmittelbar anschließt, lautet: Absicht oder Versehen ? Diese Frage lässt sich natürlich nicht ohne Weiteres beantworten. (Selbst) Die AGBs von Facebook lassen eine derartige Vorgehensweise sicherlich nicht zu. Was in diesem Zusammenhang stutzig macht, ist aber die Tatsache, dass Facebook eine annähernd vergleichbare Funktion im bestehenden Account unter “Finde Personen, die Du kennst” anbietet.

Diese Funktion wird an anderer Stelle des Accounts auch als “Freundefinder” beworben.

Unter dieser Rubrik kann man sich dann für einen Email-Anbieter entscheiden.

Bevor man diese Funktion auslöst, muss man aber das Passwort zum jeweiligen Email-Account eingeben (das von Facebook nach eigener Angabe nicht gespeichert wird !). Ohne die Eingabe des Passworts funktioniert der Freundefinder nicht. Auch wenn man nur den Namen des Email-Accounts eingibt und ohne Eingabe des Passworts auf “Freunde finden” geht, liefert Facebook keinerlei Daten, auch nicht nachträglich bei späterem Einloggen in den Facebook-Account.

Sofern die von der F.A.Z. getroffenen Feststellungen also auf diese Funktion zurückzuführen sind, handelt es sich demnach wahrscheinlich um eine versehentliche Sicherheitslücke, die Facebook unverzüglich schließen sollte und sicherlich auch könnte.

Wenn die Feststellungen der F.A.Z. auf eine andere (Fehl-)Funktion zurückzuführen sind, besteht seitens Facebook erst recht schnellstens Erklärungs- und Handlungsbedarf. Grundsätzlich stellt sich natürlich die Frage, welche Bedeutung einer Bestätigungsmail des berechtigten Email-Account-Inhabers überhaupt zukommt, wenn der Account auch ohne Absenden der Bestätigungsmail postwendend zugänglich ist.

Dass Betreiber wie Facebook grundsätzlich ein vitales Interesse am Aufbau eines umfangreichen Email-Adressenpools incl. Verknüpfungsinformationen haben, ist kein Geheimnis. In einem anderen Zusammenhang – beim Thema der Referenz-Email-Adresse auf Googlemail – hatten wir schon vor Monaten auf einen ähnlichen Missstand hingewiesen. Google ist unverändert ganz scharf darauf, von seinen Googlemail-Nutzern Referenz-Email-Adressen zu erhalten. Aktuell wird man nach dem Einloggen bei Googlemail immer wieder dazu aufgefordert, eine Referenzadresse zu hinterlegen … natürlich mit der ausschließlichen Begründung, eine Möglichkeit zu öffnen, beim Vergessen des Passworts über die Referenzadresse ein neues Passwort zugeschickt bekommen zu können.

Wie dem auch sei: Es gilt unverändert, dass derjenige, der Dienste wie Facebook nutzt, immer damit rechnen muss, dass seine Daten für andere Zwecke, insbesondere auch für Werbezwecke vermarktet werden. Facebook ist da aber keineswegs ein Einzelfall. Auch andere soziale Netzwerke arbeiten seit geraumer Zeit intensiv daran, die Vermarktung ihres Datenbestandes für Werbezwecke systematisch zu verbessern. Dessen muss man sich bei Nutzung derartiger kostenfreier Dienste einfach bewusst sein … und darf sich nicht wundern, wenn einem plötzlich Werbung eingeblendet wird, die darauf schließen lässt, dass der Betreiber des Dienstes offenbar ein Auge auf den Account – seien es reine Account-Daten oder sei es auch der über den Account veröffentlichte Inhalt – geworfen hat.

Das alles darf aber nicht darüber hinwegtäuschen, dass so ein Lapsus, wie er von der F.A.Z geschildert wird, einem Profi wie Facebook eigentlich nicht unterlaufen dürfte. Fördert eben nicht gerade die Vertrauensbildung. Und dass nur vergleichsweise wenige der ca. 500 Mio. Facebooknutzer die F.A.Z. lesen dürften, ist nur ein schwacher Trost . Außerdem zieht dieses Thema natürlich schon weitere Kreise und wurde z.B. von der ZEIT vom 18.10.2010 auch schon aufgegriffen. Dort wird übrigens auf ein weiteres aktuelles Datenschutzproblem bei Facebook hingewiesen, im Zusammenhang mit den Nutzeridentifikationsnummern und der Weitergabe von Daten bei Nutzung bestimmter Apps, aufgregriffen durch das Wall Street Journal vom 18.10.2010.

Es zeichnet die Entwicklung um den Datenschutz im Internet aus, dass sich unzählige außerparlamentarische Gremien mit diesem Thema beschäftigen. Kongresse, Arbeitskreise, Pressemitteilungen und Blogs (einschließlich unseres Blogs) bestimmen das Bild. Der Gesetzgeber hinkt dem Stand der Diskussion meist hinterher und langt auch gerne mal daneben, wie zuletzt beim Thema Vorratsdatenspeicherung eindrucksvoll unter Beweis gestellt.

Was die einzelnen Außerparlamentarier mit ihren Statements und Aktionen für Ziele verfolgen, ist nicht immer transparent. Das mahnt zur Vorsicht bei der Beurteilung des Diskussionsstandes … und zwingt dazu, sich umfassend über die Hintergründe von Statements und Forderungen zu informieren, bevor man sie wertet, sei es befürwortet oder ablehnt.

Besondere  Beiträge zur Diskussion leistet immer wieder der Chaos-Computer-Club CCC. Mal veröffentlicht er seine Meinung und seine unbestritten wertvollen Erfahrungen einfach, mal wird er als Gutachter beim Bundesverfassungsgericht bestellt, mal … bietet er ein Forum für solche, die unverhohlen zum Hacken eines Webauftritts auffordern.

So geschehen während des CCC-Kongresses Ende 2009. Da wurde der Webauftritt  von Mindlab, einem führenden Hersteller von Webanalyse-, Segmentierungs- und Targetinglösungen, offen zum potenziellen Ziel von Hackerangriffen proklamiert, sh. nachfolgenden Screenshot:

Bernd Ebert, CTO von Mindlab, hat uns zu diesem Thema Folgendes geschrieben:

“In den letzten drei Monaten wurde aufgrund dieses Aufrufs mehrfach versucht, einen Angriff auf unser Firmennetzwerk durchzuführen. Keiner der Versuche war von Erfolg gekrönt, was wir als Bestätigung unserer Sicherheitsbemühungen auffassen.

Dessen ungeachtet stellt sich die Frage, wieso von ca. 3-5 namhaften Anbietern in Deutschland ausgerechnet Mindlab als Angriffsopfer auserkoren wurde. Also ausgerechnet derjenige Anbieter, der sich bereits am längsten und intensivsten mit dem personenbezogenen Datenschutz in Webanalyseanwendungen auseinandersetzt.

Es kann natürlich schnell der Verdacht aufkommen, dass bei der “Nominierung” rein kommerzielle Beweggründe im Spiel waren. Der CCC wird sicherlich kein Interesse haben, solchen Vorgehensweisen eine Plattform zu bieten ?”

Die von Bernd Ebert aufgeworfene Frage stellt sich in der Tat. Wer sich intensiv mit den Webanalyselösungen der namhaften Anbieter auseinander setzt, wird das beurteilen können.

Wenn man sich mit einem Thema intensiv beschäftigt, muss man intensiv recherchieren. Die Ergebnisse dieser intensiven Recherche kann man unmöglich alle in einen Artikel einbauen, ohne das Ganze unübersichtlich werden zu lassen.

Um die geneigte Leserschaft dennoch an einem Teil dieser Recherche teilhaben zu lassen, haben wir hier einfach mal einige Links zusammen gestellt, die einen interessanten, wegen der unüberschaubaren Menge aber sicherlich nicht repräsentativen  Überblick über den Meinungsstand geben.

Handelsblatt vom 31.01.2010: SPD fordert Ankauf der CD

Zeitong.de vom 02.02.2010: Rupert Scholz äußert Bedenken

Bundesdatenschutzbeauftragter vom 02.02.2010 : Schaar äußert bedenken gegen den Anlauf der CD

Katholisch.de vom 02.02.2010 : Hamburger Weihbischof befürwortet Ankauf der CD

Schweizer Weltwoche vom 03.02.2010 : Profil des modernen Datendiebs

Financial Times Deutschland vom 07.02.2010: FDP gegen Ankauf der CD

WELT-online vom 08.02.2010: Geißler fordert Orden für CD-Dieb

FOCUS-online vom 13.02.2010: Baden-Württemberg wird CD kaufen

Tagesschau-online vom 16.02.2010 : SVP will Bankdaten deutscher Politiker und Parteien screenen

Hannover-Zeitung vom ??? : Kauder warnt vor Ankauf der CD

Schweizer Weltwoche: Interessantes Dossier zur Schweizer Sicht der Dinge

Für Kommentare und Hinweise auf weitere Quellen zu diesem Thema und zu anderen datenschutzrelevanten Themen sind wir dankbar !

Die Diskussion um den Ankauf der “Steuersünder”-CD wird unverändert ebenso heftig geführt, wie sie über kurz oder lang wieder mehr oder weniger vergessen sein wird. Jedenfalls hat diese Diskussion und haben insbesondere die staatlichen Pläne, geklaute Daten zu kaufen, bereits Nachahmer gefunden, wie wir das schon befürchtet hatten: In Nordrhein-Westfalen hat man offenbar schon gekauft, in Baden-Württemberg steht die Entscheidung noch aus. Jedenfalls überschlagen sich offenbar die Angebote … und das macht die Verantwortlichen scheinbar eher glücklich und zufrieden, anstatt dass es bei ihnen Bedenken über die Richtigkeit ihres Handelns auslöst.

Die offiziellen Verlautbarungen zu diesem Thema fallen äußerst dürftig aus und lassen insbesondere keinerlei Schlüsse darauf zu, inwieweit und mit welchen Ergebnissen man sich mit den rechtlichen Problemen auseinander gesetzt hat. Das zeigen sehr schön die auf der Website des Bundesfinanzminsteriums nachzulesenden Verlautbarungen von Bundesfinanzminister Schäuble vom

4.2.2010

und vom  5.2.2010

Bundeskanzlerin Merkel hat sich “nach sorgfältiger Prüfung” entgegen z.B. den vom CDU-/CSU-Fraktionsvorsitzenden Kauder geäußerten Bedenken für den Ankauf der Steuersünder-CD entschieden. WAS die “sorgfältige Prüfung” beinhaltete und mit welchen rechtlichen Erwägungen sie abgeschlossen wurde, ist – soweit ersichtlich – nicht veröffentlicht worden.

Was an der ganzen Diskussion auffällt ? Es geht scheinbar überhaupt nicht mehr um die Rechtslage, um rechtsstaatliches Handeln, um Kriterien der Rechtmäßigkeit staatlichen Handelns. Vielmehr wird plötzlich die “Moral” in den Vordergrund geschoben, die in der Diskussion um die Rechtmäßigkeit des Ankaufes geklauter Daten nun mal kein guter Ratgeber ist. Wenn es nämlich um die Prüfung der steuerstrafrechtlichen Verantwortlichkeit eines “Steuersünders” oder um die Prüfung der strafrechtlichen Relevanz des Ankaufes der geklauten Daten geht, darf und wird die Frage der “Moral” eben überhaupt keine Rolle spielen. Insoweit darf man darauf gespannt sein, wie die Gerichte urteilen werden.

Grundsätzlich haben das Thema selbst und die Diskussion über dieses Thema geradezu groteske Ergebnisse zutage gefördert:

- Die SPD , die Grünen und die Gewerkschaften, die sich sonst wohl eher als  “Hüter” des Datenschutzes und des Rechtsstaats verstanden wissen wollen, werfen alle rechtlichen Bedenken über Bord und fordern ohne Wenn und Aber den Ankauf der geklauten Daten.

- Selbst ein Vertreter der katholische Kirche sah sich lt. katholisch.de veranlasst, den Ankauf der geklauten Daten grundsätzlich zu befürworten.

- Eine auf Bundesebene sowohl innerhalb der CDU/CSU, als auch in der FDP – immerhin die Regierungsparteien – aufkommende Diskussion um die Rechtmäßigkeit dieser Aktion wird geradezu im Keim erstickt, indem Kanzlerin Merkel kurzerhand ein  “Machtwort” spricht.

Da liegt der Verdacht nahe, dass es um eine populistische und weniger an den geltenden Gesetzen orientierte Vorgehensweise geht.

Das Ganze hat aber neben der strafrechtlichen Relevanz – Diebstahl, besonders schwerer Fall des Diebstahls, Anstiftung und Beihilfe dazu, Hehlerei, Bildung einer kriminellen Vereinigung, Veruntreuung von Steuermitteln, und so weiter, das alles noch jeweils als Amtsdelikt, wo gesetzlich vorgesehen -  noch eine ganz andere Bedeutung: Bekanntermaßen war der ehemalige Finanzminister Steinbrück in seinen Bemühungen, die Schweizer Regierung zu einer engeren “Kooperation” zu bewegen, nicht sonderlich erfolgreich. Nachdem man auf politischem Weg also nicht zum Erfolg gekommen ist, bedient man sich jetzt anderer, höchst zweifelhafter Methoden, um die politisch/zwischenstaatlich derzeit nicht zu erreichenden Ziele auf anderem, und zwar rechtswidrigem Weg zu erreichen. Das hat nicht nur international verheerende Auswirkungen, schadet also massiv dem Ruf der Bundesrepublik Deutschland, sondern stellt auch die rechtsstaatliche Autorität der Handelnden in Frage: Mit welcher – rechtlichen und moralischen – Berechtigung kann ein Staat von seinen Bürgern gesetzeskonformes Verhalten verlangen, wenn er sich selbst bewusst, also vorsätzlich ins Unrecht begibt ?

Was würde der deutsche Staat wohl sagen, wenn ein anderer Staat die Auslieferung eines Steuerhinterziehers fordert, diese Auslieferung vom deutschen Staat in Übereinstimmung mit der internationalen Rechtslage verweigert wird, und der andere Staat dann Kidnapper bezahlt, die den Steuerhinterzieher von Deutschland in den anderen Staat entführen ?

Und schließlich: Es ist allseits von der “Steuersünder-CD” die Rede. Meinen die Verantwortlichen denn im Ernst, dass sie bei allen 1500 Datensätzen auch fündig werden, es also tatsächlich um 1500 Datensätze von 1500 Steuersündern geht ? So naiv kann wohl niemand sein. Das bedeutet aber, dass man ohne mit der Wimper zu zucken eine mehr oder weniger große Anzahl von unbescholtenen Bürgern, die versteuertes Geld rechtmäßigerweise in der Schweiz anlegen und ihre diesbezüglichen Zinseinnahmen auch ordnungsgemäß versteuern, leichtfertig unter einen Generalverdacht stellt, und sie damit schlicht und einfach denunziert. Von irgendwelchen voreiligen Maßnahmen, wie Ermittlungen, Verhören und Durchsuchungen, die auch diesen unbescholtenen Bürgern drohen, mal ganz abgesehen.

Das alles zeigt: Der Rechtsstaat steht bei diesem Thema auf dem Kopf, und das sollte allen, insbesondere auch den Regierenden, zu denken geben. Immerhin haben sie auf die Verfassung geschworen, und selbst der ehemalige Verteidigungsminister Rupert Scholz (CDU), seines Zeichens namhafter Verfassungsrechtler und Mitautor eines ebenso namhaften Grundgesetz-Kommentars, hat (verfassungs-)rechtliche Bedenken gegen den staatlichen Ankauf geklauter Daten geäußert (so veröffentlich bei N24-online unter Bezugnahme auf ein Interview mit der Bildzeitung).

Bleibt derzeit nur die Hoffnung, dass die bereits zahlreich vorliegenden Strafanzeigen gegen die Handelnden von den Strafverfolgungsbehörden und den Gerichten mit der gebotenen Konsequenz verfolgt und bearbeitet werden, also nicht aus Gründen der “Staatsräson” auf der Strecke bleiben. Das wäre dann nämlich tatsächlich der Exitus für Rechtsstaatlichkeit und Moral …

… demgegenüber sollten es die Regierenden besser mit dem von ihnen eingesetzten Bundesdatenschutzbeauftragten Peter Schaar halten, der auf seiner Website (im Blog) im Zusammenhang mit der aktuellen Diskussion fordert:

Kein Datenschutz nach Kassenlage !

Dem ist nichts hinzuzufügen.

FOMA (Fachforum Online Mediaagenturen) hat am 28. Januar 2010 ein Manifest zum Thema Behavioral Advertising (Targeting) veröffentlicht.

Das Manifest kann hier als pdf herunter geladen werden.

Wir wollen hierauf an dieser Stelle nur hinweisen. Unseres Erachtens enthält das Manifest eine sehr lesenswerte Zusammenfassung der mit dem Thema zusammen hängenden Punkte und Probleme, die von uns nicht weiter kommentiert werden soll. Wer zu dem Thema aber etwas beitragen möchte, ist hiermit aufgefordert, über die Kommentarfunktion in die Diskussion einzusteigen.

Die Nachrichten sind voll davon und die Diskussion darüber in vollem Gange: Die Bundesregierung erwägt (zum wiederholten Male) den Ankauf geklauter Bankdaten aus der Schweiz und lässt den Vorgang gerade “rechtlich prüfen”.

Da machen sich ganze Horden von nationalen und EU-Beamten Gedanken über die Sicherung des Datenschutzes im internationalen Datenverkehr. Da werden Millionen von Euro dafür ausgegeben, gerade auch den Bankdatenverkehr sicherer zu machen. Da predigen die Aufsichtsbehörden der privaten Web-Wirtschaft ihre noch nicht sehr konkreten, dafür aber um so weiter gehenden Forderungen für datenschutzsichere Internetauftritte. Da fordern die Politiker im Überschwang der Diskussion schon mal harte Strafen bei Verstoß gegen Datenschutzbestimmungen …

… und dann werden wir plötzlich damit konfrontiert, dass der deutsche Staat einem Datendieb aus der Schweiz 2,5 Mio. Euro für eine CD mit 1.500 Datensätzen deutscher Steuersünder bezahlen will bzw. diese “Option” derzeit rechtlich geprüft wird.

Es ist müßig, sich über die Ernsthaftigkeit dieses Ansatzes auch nur einen Gedanken zu machen: Wer bewusst Diebesgut kauft, macht sich der Hehlerei schuldig — Strafrechtsvorlesung, erstes Semester. Wer Diebesgut planmäßig hehlt und dadurch andere ermuntert, weiter zu klauen, macht sich möglicherweise der Anstiftung zum gewerbsmäßigen Diebstahl schuldig. Das ist dann ein besonders schwerer Fall des Diebstahls — Strafrechtsvorlesung, erstes Semester. Das Ganze kann, wenn es bestimmte  Ausmaße annimmt, sogar so weit gehen, dass man sich zumindest faktisch, möglicherweise auch strafrechtlich relevant  an der Bildung einer kriminellen Vereinigung beteiligt … die dann eben darauf spezialisiert wäre, für die Bundesrepublik Deutschland entgeltlich Bankdaten von Steuersündern zu klauen.

Interessant ist in diesem Zusammenhang der Ansatz, wonach der Kaufpreis von 2,5 Mio. Euro ins Verhältnis gesetzt wird zu vermuteten Steuernachzahlungen in Höhe von 100 Mio. Euro. Auch das die typische Denke von Dieben und Hehlern, andernfalls es nicht so einen florierenden Markt für gestohlene PKWs und sonstige hochwertige Güter, die “vom LKW gefallen sind”, gäbe.

Was heißt das also ? Das heißt, dass der Zweck nicht jedes Mittel heiligt. Das heißt, dass der Staat glaubwürdig bleiben muss und sich nicht zum Werkzeug oder Sponsor von Datendieben machen lassen darf. Verfolgung von Steuerstraftaten: Ja ! Aber bitte mit rechtsstaatlichen Mitteln, ohne jede Ausnahme ! Schon der 5 Mio.-Deal des BND mit den geklauten Liechtensteiner Bankdaten hat das Rechtsstaatsverständnis vieler steuertreuer Bürger schwer getrübt. Wenn der Staat sich jetzt – mit Ansage – dazu bereit findet, für die geklauten Daten aus der Schweiz Geld zu bezahlen, ist der organisierten Kriminalität im Handel mit gestohlenen Bankdaten Tür und Tor geöffnet. Vielleicht sollte der Staat dann auch daran denken, den Ankauf geklauter Daten im Sinne der Einhaltung von Vergabevorschriften und der Gleichbehandlung von Datendieben öffentlich auszuschreiben. Das würde den Datendieben dann auch die Unsicherheit nehmen, ob das, was sie da gerade klauen, auch wirklich einen Abnehmer findet. Und vielleicht könnten auf diese Weise auch die Preise etwas gedrückt werden, das hätte doch auch einen gewissen Charme.

Fazit: Finger weg von gestohlenen Bankdaten. Wer sich auf dieses äußerst fragwürdige Glatteis begibt, macht sich für jede Diskussion um Datenschutz und Datensicherheit zutiefst unglaubwürdig.

Datenschutzgerechte Webanalyse und E-Government

Die Stichworte E-Government und Dienstleistungsrichtlinie sind in aller Munde. Ganze Abteilungen, Stäbe, Ausschüsse und Referate sind seit geraumer Zeit damit beschäftigt, die Verwaltung für diese Anforderungen “fit” zu machen.

Dass das insbesondere auch unter dem Gesichtspunkt des Datenschutzes nicht ganz einfach ist, liegt auf der Hand. Wenn z.B. das Online-Angebot eines Landkreises darüber hinaus geht, die Auswahl und Buchung eines Wunschkennzeichens für den PKW anzubieten, und ganze Verfahren, beispielsweise Bauantragsverfahren, online abgewickelt werden, muss die Behörde uneingeschränkt sicher stellen, dass die Einhaltung der datenschutzrechtlichen Vorschriften auf der gesamten Online-Strecke uneingeschränkt gewährleistet wird.

Die Einführung von Online-Verfahren hat nicht nur den Sinn, es dem Bürger leichter zu machen. Neben zahlreichen anderen Aspekten wird es den Behörden maßgeblich auch darum gehen (müssen), ein bestimmtes Arbeitspensum mit weniger Personal zu bewältigen. Weil der öffentliche Dienst es zunehmend schwer haben wird, qualifizierte Fachkräfte zu gewinnen, und weil es schlicht und einfach darum gehen muss, Kosten zu sparen, wo es geht.

Was liegt da näher, als dem Bürger einen Teil der Arbeit selbst zu übertragen ?

Das ist auch völlig in Ordnung. Wie gesagt: Außer denjenigen, die mit den Online-Medien auf Kriegsfuß stehen, werden es die Bürger in der Regel wohl eher schätzen, sich einen Behördengang, möglicherweise auch einen extra hierfür genommenen Urlaubstag zu sparen, weil sie ihren Teil zum Verfahren in aller Ruhe abends am PC-Bildschirm beitragen können.

Um so wichtiger ist es für die Behörden, ihre Websites nicht nur optisch attraktiv, sondern vor allem funktional einwandfrei zu gestalten. Nur auf diese Weise lassen sich die mit der Einführung von Online-Verfahren verknüpften Absichten und Zwecke erfolgreich umsetzen. Gerät der nur interessierte oder auch online-antragswillige Bürger auf einer Behörden-Website regelmäßig ins Abseits, ohne dass er für das Online-Verfahren bildlich gesprochen an die Hand genommen wird, ist der Erfolg der Behörden-Website schon strukturell in Frage gestellt und statt Kostenersparnis nur ein Kostengrab produziert.

Auf dem Weg zur Einführung einer breiten Palette an funktionierenden  Online-Verfahren werden die Behörden nicht um den Einsatz leistungsfähiger, individuell konfigurierbarer Webanalyse-Lösungen herum kommen. Dabei sollte und wird es nicht darum gehen, lediglich Statistiken zu sammeln. Vielmehr muss der Bürger auf seinem Weg über die Website und durch das Verfahren begleitet, manchmal vielleicht sogar “an die Hand genommen” werden, um den erfolgreichen Abschluss z.B. einer Online-Antragstellung zu gewährleisten. Auf dem Weg über die Auswertung der Webanalyse muss sichergestellt werden, das die Website mit allen ihren Informations- und Downloadangeboten dem reibungslosen Ablauf eines Online-Verfahrens ergonomisch angepasst wird. Mit einer leistungsfähigen Webanalyse können die “dunklen Ecken” einer Behörden-Website ebenso identifiziert werden, wie Interessenschwerpunkte oder die Pfade, die ein Bürger im Online-Verfahren über die Website geht, ermittelt werden können. Etwaige durch permanente Auswertung der Webanalyse gewonnene Erkenntnisse über das Besuchsverhalten auf der Behörden-Website können und müssen unmittelbar und nachhaltig in Änderungen, Ergänzungen, also Verbesserungsmaßnahmen umgesetzt werden. Nur auf diese Weise lassen sich die Akzeptanz und der Erfolg von Online-Verfahren ständig steigern. Insoweit können die Behörden unmittelbar auf umfangreiche Erkenntnisse aus Online-Erfahrungen der gewerblichen Wirtschaft zurückgreifen. Dass es im einen Fall z.B. um die Steigerung von Online-Umsätzen geht, im Bereich E-Government dagegen um die Erhöhung der Anzahl erfolgreich eingeleiteter oder abgeschlossener Online-Verfahren, macht dabei dem Grunde nach überhaupt keinen Unterschied.

Besonderes Augenmerk müssen die Behörden natürlich auf die Einhaltung des Datenschutzes richten. Nicht nur, aber vor allem auch bei Einsatz einer Webanalyse-Lösung gilt es, unter allen Umständen zu vermeiden, dass Daten oder sogar Auswertungen über das Besuchsverhalten eines Bürgers mit personenbezogenen Daten zusammengeführt werden bzw. – besser – zusammengeführt werden können.

Die leidige Diskussion darüber, ob es sich bei der IP-Adresse eines die Behörden-Website ansprechenden Rechners um “personenbezogene Daten” im Sinne der Datenschutzgesetze handelt, kann dabei völlig vernachlässigt werden.

Warum das so ist ? Weil die IP-Adresse für die “redliche” Webanalyse überhaupt nicht benötigt wird. Wer als Website-Betreiber keinerlei Ambitionen hat, nur über den Einsatz einer Webanalyse-Lösung direkt oder auf Umwegen personenbezogene Informationen des Bürgers zu erhalten, muss die IP-Adresse des Rechners noch nicht einmal erfassen, geschweige denn speichern oder auswerten. Dem “redlichen” Betreiber einer Website dient die Erfassung und die mehr oder weniger lang andauernde Speicherung der IP-Adresse ausschließlich zu dem Zweck, die Geo-Daten des Besuches auszuwerten, also festzustellen, in welchem Land, in welcher Region, ggf. in welcher Stadt der Besuchsrechner steht. Die Erhebung dieser Geo-Daten macht auch durchaus Sinn, sei es, um nur zu ermitteln, in welchen geographischen Bereichen sich Nutzungsschwerpunkte befinden, oder sei es zu dem Zweck, in bestimmten geographischen Regionen gezielte Kampagnen zur Förderung des Online-Angebotes anzubieten und anschließend eine unmittelbare Erfolgskontrolle zu haben.

Die Erhebung der Geo-Daten ist sicherlich am einfachsten über die Erfassung und Speicherung der IP-Adresse zu bewerkstelligen. Sinn macht dabei nur die Speicherung der vollständigen IP-Adresse, weil jedwede Kürzung/Veränderung der IP-Adresse zur Abbildung verfälschter und damit unzutreffender Geo-Daten führen kann. Um auch nachträgliche Auswertungen länger zurück liegender Zeiträume zu ermöglichen, kollidiert diese “Lösung” aber mit den Vorschriften und auch der verstärkt aufkommenden Diskussion darüber, unter welchen Voraussetzungen die IP-Adresse überthaupt erfasst/gespeichert werden kann und vor allem, wie lange sie ggf. gespeichert werden darf.

Diese wie gesagt leidigen Probleme und Diskussionen können aber völlig dahin gestellt bleiben, wenn man auf die Erfassung/Speicherung der IP-Adresse schlicht und einfach verzichtet und die Erfassung sowie Speicherung der Geo-Daten auf andere, datenschutzrechtlich uneingeschränkt unbedenkliche Art und Weise sicherstellt. Das ist mit überschaubarem Mehraufwand beim Aufsetzen der Webanalyse-Lösung ohne weiteres zu machen, man muss es nur wollen. Wer sich für dieses IP-freie Tracking entscheidet, hat keine Probleme mit diesbezüglichen Diskussionen und Nachforschungen über die Gewährleistung des Datenschutzes auf der getrackten Website und kann sich vollumfänglich den wirklich wichtigen Aspekten der Webanalyse widmen … nämlich, das Thema E-Government nicht nur mit Worten, sondern vor allem mit Taten einen deutlichen Schritt voran zu bringen.

Jetzt hat sich ein weiterer Webanalyse-Anbieter gefunden, der aktiv damit wirbt, die Kriterien aus den Entschließungen des Düsseldorfer Kreises vom 27.11.2009 einzuhalten. Damit nicht genug: U.a. mit diesem Argument versucht man, Interessenten zu einem Anbieterwechsel zu animieren … als stünde man als einziger Fels in der Brandung der anderen, den Datenschutz angeblich missachtenden Webanalyse-Anbieter.

Auch in diesem Fall empfiehlt es sich, so weit wie möglich einen Blick hinter die Kulissen zu werfen.

Und die Kulissen, das sind in diesem Fall die Webseiten des Anbieters und seiner Kunden (die man auf der nicht mehr ganz aktuellen Referenzliste nachlesen kann).

Die stichprobenartige Überprüfung von Theorie und Wirklichkeit offenbart ein nicht ganz unerwartetes Ergebnis: Was tatsächlich auf welchem Weg an Daten erhoben, gespeichert und ausgewertet wird, kann man den Datenschutzerklärungen nicht entnehmen. Das gilt insbesondere auch für die Frage, welche Rolle dabei die IP-Adresse spielt, wo sie wie und wie lange gespeichert oder nicht gespeichert wird, inwieweit sie ausgewertet wird usw. usw. . Widerspruchsmöglichkeiten bzgl. Cookies werden mal überhaupt nicht, mal auf dem Postweg und mal durch direkten Link zu dem Anbieter geboten. Nach dem Ausüben des direkten Widerspruchsrechts über den Anbieter-Link sind beim Besuchen von Websites einiger Kunden des Anbieters aber, was das Setzen von Cookies betrifft, keine sichtbaren Änderungen zu verzeichnen.

Was ich damit sagen will:

Der datenschutzrechtliche Wert einer Webanalyse-Lösung bemisst sich in erster Linie an der dahinter stehenden Technologie, nicht an irgendwelchen mit heißer Nadel gestrickten Marketing-Blasen.

Webanalyse-Lösungen, die theoretisch datenschutzkonform eingesetzt werden können, sind tatsächlich dann und nur dann datenschutzkonform, wenn sie dem Anwender/Kunden keine Möglichkeit bieten, die Lösung auch datenschutzwidrig einzusetzen. Wer also beispielsweise damit wirbt, eine “Widerspruchsmöglichkeit” zu bieten, sollte also dafür sorgen, dass das bei den Kunden auch einheitlich gehandhabt werden muss, dem Kunden also kein Spielraum gelassen wird.

Man sollte sich beim derzeitigen Stand der Datenschutzdiskussion und -gesetzgebung daher sehr intensiv über die Technologie einer Webanalyse-Lösung informieren, um zukunftssicher zu investieren. Dann trennt sich die marketing-umwaberte Spreu automatisch vom Weizen.

Am 8. Dezember 2009 haben wir die Datenschutzerklärungen der Aufsichtsbehörden für nicht-öffentliche Internet-Auftritte an deren eigenen Forderungen gemessen — mit teilweise sehr ernüchternden Ergebnissen.

Wie sieht es heute – am 22. Dezember 2009 um 12.00 Uhr – aus ? Hat man auf Seiten der Aufsichtsbehörden vielleicht einfach nur etwas Zeit benötigt, um die Tracking-Praxis und/oder die Datenschutzerklärungen den eigenen Forderungen an die gewerblichen Internet-Auftritte anzupassen ?

Baden-Württemberg: Unverändert.

Bayern: Unverändert.

Berlin: Unverändert.

Brandenburg: Unverändert.

Bremen: Unverändert.

Hamburg: Unverändert.

Hessen: Unverändert.

Mecklenburg-Vorpommern: Unverändert.

Niedersachsen: Unverändert.

Nordrhein-Westfalen: Unverändert.

Rheinland-Pfalz: Unverändert.

Saarland: Unverändert.

Sachsen: Unverändert.

Sachsen-Anhalt: Unverändert.

Schleswig-Holstein: Unverändert.

Thüringen: Unverändert.

Vielleicht sind diejenigen Aufsichtsbehörden, deren Datenschutzpraxis/-erklärung so überhaupt nicht mit den von ihnen selbst aufgestellten Forderungen an die Wirtschaft zusammen passt, noch nicht dazu gekommen, die erforderlichen Anpassungen vorzunehmen ? Oder wissen sie überhaupt nicht, dass sie sich mit ihrem eigenen Verhalten in Widerspruch zu ihren eigenen Forderungen setzen ?

Um das zu klären, muss man ihnen wohl Gelegenheit geben, das zu überprüfen und sich hierzu ggf. zu äußern. Wir werden wieder berichten.

… so oder ähnlich könnte man die derzeit verstärkt aufkommende Diskussion um Cookies, IP-Adressen und Google Analytics umschreiben.

Man muss kein “Freund” von Google Analytics sein, um nicht dennoch zu hinterfragen, ob diese Diskussion von allen Beteiligten mit der nötigen Konsequenz geführt wird oder ob hier nicht vielmehr verbreitet nach dem Motto “Haltet den Dieb” argumentiert wird.

Jeder möchte im Internet weitestgehend kostenfreie Dienstleistungen in Anspruch nehmen. Gerade auch Behörden rühmen sich damit, flächendeckend kostenfreie Ressourcen zu nutzen. Dass hinter diesen oftmals sehr qualifizierten und hilfreichen Dienstleistungen und Angeboten ein erheblicher Personal- und Sachaufwand steht, liegt auf der Hand, spielt in der Diskussion aber offensichtlich keine Rolle.

Wer den Gratis-Anbietern Auflagen dahingehend machen will, dass die Vermarktung der Ergebnisse der kostenlosen Inanspruchnahme dieser Dienstleistungen erheblich erschwert oder sogar unmöglich gemacht wird, sollte so konsequent sein, gleichzeitig allgemein und für sich selbst die Frage zu beantworten, auf welchem Weg denn der Anbieter künftig seine zur Aufrechterhaltung des Angebots erforderlichen Einnahmen generieren soll/kann.

Was hilft es, sich bei jeder Gelegenheit über die Handlungsweise von Google zu ereifern, wenn auf der anderen Seite das stellenweise einfach sehr gute Angebot von Google zwar gerne in Anspruch genommen wird, aber keine Bereitschaft besteht, hierfür auch zu bezahlen ?

Was wäre, wenn der Nutzer für jede Suchanfrage bei Google zahlen müsste ?

Was wäre, wenn der Leser für jeden Artikel bei SPIEGEL, ZEIT & Co. zahlen müsste ? Entsprechende Testballons sollen ja gestartet werden; bleibt abzuwarten, wie die Nutzungsstatistiken für diese kostenpflichtigen Angebote aussehen werden.

Was wäre, wenn für die Nutzung der VZs, Facebooks, XINGs und TWITTERs dieser Welt gezahlt werden müsste ?

Wie sähe es aus, wenn der Nutzer für Firefox, Thunderbird, Wordpress, Joomla, OpenOffice, Linux und Picasa zahlen müsste, und das sicher nicht zu knapp ?

Man muss kein Pessimist sein, um zu prognostizieren, dass dann mangels Inanspruchnahme zahlreiche Unternehmen von der Bildfläche verschwinden und das Programmangebot schlicht und einfach geringer, das Internet also tatsächlich “ärmer” werden würde.

Um Missverständnissen vorzubeugen: Sicherlich heiligt gerade beim Thema Datenschutz im Internet der Zweck nicht jedes Mittel. Will sagen: Selbstverständlich gibt es bei der Erhebung, Auswertung und Vermarktung von Daten Grenzen, die endlich einmal sorgfältig definiert und dann auch ausnahmslos eingehalten werden sollten.

Die Betonung liegt dabei aber auf  “sorgfältig”, d.h., man muss das Thema fundiert angehen, sich die erforderliche Zeit nehmen und vor allem alle Beteiligten zu Wort kommen lassen. Niemandem ist damit geholfen, wenn nach Art des Düsseldorfer Kreises plakative Forderungen zur Entschließung gemacht werden, ohne dass auch nur ansatzweise daran gedacht wurde, wie die Umsetzung derartiger Entschließungen das Internet auch negativ verändern würde. Ganz zu schweigen von der Tatsache, dass Teile des Düsseldorfer Kreises selbst z.B. die IP-Adressen speichern, andere sich insoweit eigenartig bedeckt halten und nur der geringste Teil dieses Gremiums offen darlegt, in welch geringem Umfang bzw. dass überhaupt nicht Nutzungsdaten erhoben werden.

Nur ein Beispiel: Natürlich fällt es einem Landesdatenschutzbeauftragten, der nichts verkaufen muss und dessen Apparat aus Steuermitteln finanziert wird, leichter, bestimmte Tracking-Komponenten auszuschließen, als einem Shop, einer Online-Zeitung oder einer Versicherung, die über das Besucherverhalten genauestens informiert sein wollen und müssen, um ihre Verkaufs- oder Werbeerfolge messen, beurteilen und im Zweifel steigern zu können. Macht es vor diesem Hintergund Sinn, alle Anbieter über einen Kamm zu scheren ? Diese Frage hat man in den offiziellen Verlautbarungen bislang ebenso wenig gehört, wie z.B. die Frage, wie sich denn der Wegfall bestimmter kostenfreier Angebote auf die Internet-Kultur – und die gibt es zweifelsohne ! – auswirken würde.

Es ist also an der Zeit, den Aktionismus einfach mal abzuschalten und sich daran zu machen, das Notwendige vom nicht Notwendigen, das Machbare vom nicht Machbaren, das Sinnvolle vom nicht Sinnvollen zu trennen. Das Ganze sollte unter Einbeziehung der Betroffenen, z.B. vertreten durch Verbände, erfolgen. Auch wenn Google im Internet eine Vormachtstellung hat, darf man nicht übersehen, dass im Internet eben auch eine Vielzahl von größeren und kleineren Anbietern vertreten sind, die durch jedwede Regelungen betroffen wären. Auch diese Anbieter müssen eine Stimme bekommen, bevor geregelt wird.

Letztendlich sollte aber auch berücksichtigt werden, dass man die Einhaltung dessen, was geregelt wird, auch flächendeckend, also gerecht, überwachen können sollte.