FOMA (Fachforum Online Mediaagenturen) hat am 28. Januar 2010 ein Manifest zum Thema Behavioral Advertising (Targeting) veröffentlicht.

Das Manifest kann hier als pdf herunter geladen werden.

Wir wollen hierauf an dieser Stelle nur hinweisen. Unseres Erachtens enthält das Manifest eine sehr lesenswerte Zusammenfassung der mit dem Thema zusammen hängenden Punkte und Probleme, die von uns nicht weiter kommentiert werden soll. Wer zu dem Thema aber etwas beitragen möchte, ist hiermit aufgefordert, über die Kommentarfunktion in die Diskussion einzusteigen.

Laut einer Veröffentlichung auf Spiegel-Online vom 9. Januar 2010 hat sich die Bundesjustizministerium aktuell u.a. zu den Themen Google und SWIFT geäußert.

Ihre Ausführungen zu Google bleiben dabei bedauerlicherweise sehr allgemein, weshalb nicht recht deutlich wird, was sie eigentlich konkret beanstandet und welche Maßnahmen sie wogegen für erforderlich hält. Damit, Google als “Riesenmonopol, ähnlich wie Microsoft” zu bezeichnen, ist es in der aktuellen Diskussion nicht getan. Ebenso wenig damit, Google Street View und Google Earth allgemein als “rechtlich unbedingt prüfenswert” zu erachten, oder die “Gigantomanie, die auch bei der Google Buchsuche durchscheint”, zu beklagen. Wenn man sich nicht dem Vorwurf aussetzen will, zu diesem Thema eben nur auch etwas – was auch immer – gesagt zu haben, damit man in der Diskussion zumindest präsent ist oder bleibt, muss man meines Erachtens schon etwas konkreter werden. Lesenswert ist in diesem Zusammenhang auch der Beitrag der Justizministerin in Heft 1/2010 der Publikation “Kommunikation und Recht”.  Dort fordert sie für das Internet weitestgehende staatliche Abstinenz und Freiheit von privatem Missbrauch … —

Erfreulich konkret wird die Bundesjustizministerin da schon beim Thema SWIFT. Hierzu wird sie mit den Worten zitiert: “Das bedeutet: Das darf sich nicht wiederholen. Und ein zweites SWIFT wird es nicht geben”. Dies, nachdem sie zuvor beklagt hat, bei der Entscheidung über das SWIFT-Abkommen sei die FDP in der Koalition überstimmt worden. Fragt sich nur, wie die Bundesjustizministerin das mit dem “zweiten SWIFT” gemeint hat. Das SWIFT-Abkommen wurde, wie man in diesem Blog nachlesen kann, bekanntermaßen nur bis Herbst 2010 verlängert. Wenn es um die endgültige Fassung des Abkommens geht, soll das Europaparlament mitreden. Bleibt also abzuwarten, ob die FDP ihre Stimme bei dieser Entscheidung besser durchsetzen kann, und bleibt zu hoffen, dass die Bundesjustizministerin ihre Äußerung über das “zweite SWIFT” auf diese Entscheidung, also auf die endgültige Fassung des SIWFT-Abkommens bezogen hat und das nicht mehr als reine Formsache ansieht.

Jetzt hat sich ein weiterer Webanalyse-Anbieter gefunden, der aktiv damit wirbt, die Kriterien aus den Entschließungen des Düsseldorfer Kreises vom 27.11.2009 einzuhalten. Damit nicht genug: U.a. mit diesem Argument versucht man, Interessenten zu einem Anbieterwechsel zu animieren … als stünde man als einziger Fels in der Brandung der anderen, den Datenschutz angeblich missachtenden Webanalyse-Anbieter.

Auch in diesem Fall empfiehlt es sich, so weit wie möglich einen Blick hinter die Kulissen zu werfen.

Und die Kulissen, das sind in diesem Fall die Webseiten des Anbieters und seiner Kunden (die man auf der nicht mehr ganz aktuellen Referenzliste nachlesen kann).

Die stichprobenartige Überprüfung von Theorie und Wirklichkeit offenbart ein nicht ganz unerwartetes Ergebnis: Was tatsächlich auf welchem Weg an Daten erhoben, gespeichert und ausgewertet wird, kann man den Datenschutzerklärungen nicht entnehmen. Das gilt insbesondere auch für die Frage, welche Rolle dabei die IP-Adresse spielt, wo sie wie und wie lange gespeichert oder nicht gespeichert wird, inwieweit sie ausgewertet wird usw. usw. . Widerspruchsmöglichkeiten bzgl. Cookies werden mal überhaupt nicht, mal auf dem Postweg und mal durch direkten Link zu dem Anbieter geboten. Nach dem Ausüben des direkten Widerspruchsrechts über den Anbieter-Link sind beim Besuchen von Websites einiger Kunden des Anbieters aber, was das Setzen von Cookies betrifft, keine sichtbaren Änderungen zu verzeichnen.

Was ich damit sagen will:

Der datenschutzrechtliche Wert einer Webanalyse-Lösung bemisst sich in erster Linie an der dahinter stehenden Technologie, nicht an irgendwelchen mit heißer Nadel gestrickten Marketing-Blasen.

Webanalyse-Lösungen, die theoretisch datenschutzkonform eingesetzt werden können, sind tatsächlich dann und nur dann datenschutzkonform, wenn sie dem Anwender/Kunden keine Möglichkeit bieten, die Lösung auch datenschutzwidrig einzusetzen. Wer also beispielsweise damit wirbt, eine “Widerspruchsmöglichkeit” zu bieten, sollte also dafür sorgen, dass das bei den Kunden auch einheitlich gehandhabt werden muss, dem Kunden also kein Spielraum gelassen wird.

Man sollte sich beim derzeitigen Stand der Datenschutzdiskussion und -gesetzgebung daher sehr intensiv über die Technologie einer Webanalyse-Lösung informieren, um zukunftssicher zu investieren. Dann trennt sich die marketing-umwaberte Spreu automatisch vom Weizen.

Am 8. Dezember 2009 haben wir die Datenschutzerklärungen der Aufsichtsbehörden für nicht-öffentliche Internet-Auftritte an deren eigenen Forderungen gemessen — mit teilweise sehr ernüchternden Ergebnissen.

Wie sieht es heute – am 22. Dezember 2009 um 12.00 Uhr – aus ? Hat man auf Seiten der Aufsichtsbehörden vielleicht einfach nur etwas Zeit benötigt, um die Tracking-Praxis und/oder die Datenschutzerklärungen den eigenen Forderungen an die gewerblichen Internet-Auftritte anzupassen ?

Baden-Württemberg: Unverändert.

Bayern: Unverändert.

Berlin: Unverändert.

Brandenburg: Unverändert.

Bremen: Unverändert.

Hamburg: Unverändert.

Hessen: Unverändert.

Mecklenburg-Vorpommern: Unverändert.

Niedersachsen: Unverändert.

Nordrhein-Westfalen: Unverändert.

Rheinland-Pfalz: Unverändert.

Saarland: Unverändert.

Sachsen: Unverändert.

Sachsen-Anhalt: Unverändert.

Schleswig-Holstein: Unverändert.

Thüringen: Unverändert.

Vielleicht sind diejenigen Aufsichtsbehörden, deren Datenschutzpraxis/-erklärung so überhaupt nicht mit den von ihnen selbst aufgestellten Forderungen an die Wirtschaft zusammen passt, noch nicht dazu gekommen, die erforderlichen Anpassungen vorzunehmen ? Oder wissen sie überhaupt nicht, dass sie sich mit ihrem eigenen Verhalten in Widerspruch zu ihren eigenen Forderungen setzen ?

Um das zu klären, muss man ihnen wohl Gelegenheit geben, das zu überprüfen und sich hierzu ggf. zu äußern. Wir werden wieder berichten.

… so oder ähnlich könnte man die derzeit verstärkt aufkommende Diskussion um Cookies, IP-Adressen und Google Analytics umschreiben.

Man muss kein “Freund” von Google Analytics sein, um nicht dennoch zu hinterfragen, ob diese Diskussion von allen Beteiligten mit der nötigen Konsequenz geführt wird oder ob hier nicht vielmehr verbreitet nach dem Motto “Haltet den Dieb” argumentiert wird.

Jeder möchte im Internet weitestgehend kostenfreie Dienstleistungen in Anspruch nehmen. Gerade auch Behörden rühmen sich damit, flächendeckend kostenfreie Ressourcen zu nutzen. Dass hinter diesen oftmals sehr qualifizierten und hilfreichen Dienstleistungen und Angeboten ein erheblicher Personal- und Sachaufwand steht, liegt auf der Hand, spielt in der Diskussion aber offensichtlich keine Rolle.

Wer den Gratis-Anbietern Auflagen dahingehend machen will, dass die Vermarktung der Ergebnisse der kostenlosen Inanspruchnahme dieser Dienstleistungen erheblich erschwert oder sogar unmöglich gemacht wird, sollte so konsequent sein, gleichzeitig allgemein und für sich selbst die Frage zu beantworten, auf welchem Weg denn der Anbieter künftig seine zur Aufrechterhaltung des Angebots erforderlichen Einnahmen generieren soll/kann.

Was hilft es, sich bei jeder Gelegenheit über die Handlungsweise von Google zu ereifern, wenn auf der anderen Seite das stellenweise einfach sehr gute Angebot von Google zwar gerne in Anspruch genommen wird, aber keine Bereitschaft besteht, hierfür auch zu bezahlen ?

Was wäre, wenn der Nutzer für jede Suchanfrage bei Google zahlen müsste ?

Was wäre, wenn der Leser für jeden Artikel bei SPIEGEL, ZEIT & Co. zahlen müsste ? Entsprechende Testballons sollen ja gestartet werden; bleibt abzuwarten, wie die Nutzungsstatistiken für diese kostenpflichtigen Angebote aussehen werden.

Was wäre, wenn für die Nutzung der VZs, Facebooks, XINGs und TWITTERs dieser Welt gezahlt werden müsste ?

Wie sähe es aus, wenn der Nutzer für Firefox, Thunderbird, Wordpress, Joomla, OpenOffice, Linux und Picasa zahlen müsste, und das sicher nicht zu knapp ?

Man muss kein Pessimist sein, um zu prognostizieren, dass dann mangels Inanspruchnahme zahlreiche Unternehmen von der Bildfläche verschwinden und das Programmangebot schlicht und einfach geringer, das Internet also tatsächlich “ärmer” werden würde.

Um Missverständnissen vorzubeugen: Sicherlich heiligt gerade beim Thema Datenschutz im Internet der Zweck nicht jedes Mittel. Will sagen: Selbstverständlich gibt es bei der Erhebung, Auswertung und Vermarktung von Daten Grenzen, die endlich einmal sorgfältig definiert und dann auch ausnahmslos eingehalten werden sollten.

Die Betonung liegt dabei aber auf  “sorgfältig”, d.h., man muss das Thema fundiert angehen, sich die erforderliche Zeit nehmen und vor allem alle Beteiligten zu Wort kommen lassen. Niemandem ist damit geholfen, wenn nach Art des Düsseldorfer Kreises plakative Forderungen zur Entschließung gemacht werden, ohne dass auch nur ansatzweise daran gedacht wurde, wie die Umsetzung derartiger Entschließungen das Internet auch negativ verändern würde. Ganz zu schweigen von der Tatsache, dass Teile des Düsseldorfer Kreises selbst z.B. die IP-Adressen speichern, andere sich insoweit eigenartig bedeckt halten und nur der geringste Teil dieses Gremiums offen darlegt, in welch geringem Umfang bzw. dass überhaupt nicht Nutzungsdaten erhoben werden.

Nur ein Beispiel: Natürlich fällt es einem Landesdatenschutzbeauftragten, der nichts verkaufen muss und dessen Apparat aus Steuermitteln finanziert wird, leichter, bestimmte Tracking-Komponenten auszuschließen, als einem Shop, einer Online-Zeitung oder einer Versicherung, die über das Besucherverhalten genauestens informiert sein wollen und müssen, um ihre Verkaufs- oder Werbeerfolge messen, beurteilen und im Zweifel steigern zu können. Macht es vor diesem Hintergund Sinn, alle Anbieter über einen Kamm zu scheren ? Diese Frage hat man in den offiziellen Verlautbarungen bislang ebenso wenig gehört, wie z.B. die Frage, wie sich denn der Wegfall bestimmter kostenfreier Angebote auf die Internet-Kultur – und die gibt es zweifelsohne ! – auswirken würde.

Es ist also an der Zeit, den Aktionismus einfach mal abzuschalten und sich daran zu machen, das Notwendige vom nicht Notwendigen, das Machbare vom nicht Machbaren, das Sinnvolle vom nicht Sinnvollen zu trennen. Das Ganze sollte unter Einbeziehung der Betroffenen, z.B. vertreten durch Verbände, erfolgen. Auch wenn Google im Internet eine Vormachtstellung hat, darf man nicht übersehen, dass im Internet eben auch eine Vielzahl von größeren und kleineren Anbietern vertreten sind, die durch jedwede Regelungen betroffen wären. Auch diese Anbieter müssen eine Stimme bekommen, bevor geregelt wird.

Letztendlich sollte aber auch berücksichtigt werden, dass man die Einhaltung dessen, was geregelt wird, auch flächendeckend, also gerecht, überwachen können sollte.

Die Entschließungen des Düsseldorfer Kreises, bei denen es sich zunächst grundsätzlich um nicht verbindliche Meinungsbilder der obersten Aufsichtsbehörden für nicht-öffentliche Internet-Auftritte handelt, haben nicht nur für zahlreiche, teilweise missverständliche Veröffentlichungen gesorgt, sondern teilweise sogar für eine Art Panik und Aktionismus, die nicht recht nachvollziehbar sind.

Im Bereich der Webanalyse hat ein Anbieter diese Veröffentlichungen beispielsweise zum Anlass genommen, wiederholt darauf hinzuweisen, dass die angebotene Software “100 % datenschutzkonform” sei. Gleichzeitig weist dieser Anbieter darauf hin, das bei Auswahl der im Programm angebotenen Option “erweitere Datenschutzkonformität” mit keinerlei Problemen, Abmahnungen etc. zu rechnen sei. Quasi um dieses angebliche non-plus-ultra an Datenschutzkonformität zu unterstreichen, beruft man sich wechselnd auf Bestätigungen, Kooperationen etc. von/mit den Landesdatenschutzbeauftragten Hamburg, Mecklenburg-Vorpommern und Nordrhein-Westfalen.

Ziemlich kurz, um nicht zu sagen, zu kurz gedacht, wie ich meine.

Wie an dieser Stelle schon mehrfach beklagt, fehlt es gerade im Bereich der Webanalyse und speziell bezogen auf die datenschutzrechtliche Qualifizierung der IP-Adresse an klaren und einheitlichen Bestimmungen. Das bedeutet, dass die Frage der Datenschutzkonformität einer Webanalyse-Lösung nach derzeitigem Stand weniger nach dem ausdrücklichen Wortlaut eines Gesetzes, als vielmehr in Ausführung der bestehenden (unklaren) Gesetze durch die Rechtsprechung zu beantworten wäre. Vor diesem Hintergrund “100 % Datenschutzkonformität” zu garantieren, ist gelinde gesagt schon einigermaßen gewagt, wenn nicht irreführend.

Hinzu kommt, dass die eigenen Datenschutzerklärungen der Aufsichtsbehörden bedauerlicherweise eben jene Klarheit vermissen lassen, die man aufgrund ihrer Entschließungen vom 27.11.2009 eigentlich erwarten dürfte. Nachzulesen im Beitrag vom 8. Dezember 2009. Fragt sich, ob den Entschließungen der Aufsichtsbehörden so große Bedeutung beigemessen werden sollte und kann, solange sie selbst sich bis auf wenige Ausnahmen datenschutzrechtlich alles andere als vorbildlich darstellen. Wer sich auf die Landesdatenschutzbeauftragten Hamburg, Mecklenbur-Vorpommern und Nordrhein-Westfalen beruft, dem sei die Lektüre dieses Beitrags empfohlen, mit den darin enthaltenen durchaus unterschiedlichen Ergebnissen für die genannten Landesdatenschutzbeauftragten.

Und schließlich: Dokumentiert derjenige, der eine Option für “erweiterte Datenschutzfunktionalität” anbietet, damit nicht eindrucksvoll, dass die Software mit den Standardeinstellungen gerade nicht “100 % datenschutzkonform” läuft ? Ansonsten bräuchte man ja die Option nicht … oder wie soll die Möglichkeit, eine “erweiterte Datenschutzfunktionalität” einzustellen, sonst verstanden werden ?

Fazit: Mit dem Versuch, aus der aktuellen Diskussion um die Qualifizierung der IP-Adresse und vor allem um Google Analytics mit allzu plakativen Werbeaussagen Kapital zu schlagen, kann man sich sehr schnell auch ein Eigentor schießen.

Nachdem der Düsseldorfer Kreis zum Thema Webanalyse eine so öffentlichkeitswirksame Entschließung gefasst hat, stellt sich die Frage, ob sich die Aufsichtsbehörden als Wächter über die Datenschutzkonformität von Webauftritten der privaten Wirtschaft denn an den von ihnen selbst gesetzten Maßstäben messen lassen können.

Deswegen haben wir einen Blick in die Datenschutzerklärungen der betreffenden Behörden geworfen und sind dabei (Stand 08.12.2009, 17.00 Uhr) auf folgende Ergebnisse gestoßen:

Datenschutzerklärung Innenministerium Baden-Württemberg:

Einfach mal anschauen. Zunächst fällt auf, dass die IP-Adresse nirgends erwähnt wird, weder als “gespeichert”, noch als “nicht gespeichert”. Es ist die Rede davon, dass eine Nutzung ohne Offenlegung der persönlichen Daten möglich ist; was heißt das ? Es wird davon gesprochen, dass keine personenbezogene Auswertung der vom Rechenzentrum erlangten Daten erfolgt; hat man also personenbezogene Daten ?; und wenn man die IP-Adressen im Rechenzentrum erlangt hat, betrachtet man sie dann nicht als personenbezogene Daten ?

Nur ein paar Fragen, die sich die Aufsichtsbehörde Baden-Württemberg gefallen lassen muss.

Datenschutzerklärung Regierung von Mittelfranken:

Es lohnt sich, hier mal genauer nachzulesen. In dieser Datenschutzerklärung wird unter anderem unverblümt eingeräumt, dass die “IP-Adresse des anfordernden Rechners” gespeichert wird. Das klingt ja schon mal interessant. Offenbar sieht man die IP-Adressen also als sachbezogene Daten (”Rechner”) und nicht als personenbezogene Daten ? Gleich anschließend wird klar gestellt, dass die gespeicherten Daten, also auch die IP-Adressen, “ausschließlich zu technischen und statistischen Zwecken benötigt” werden. Das ist ja wohl meistens so, wenn Webanalyse eingesetzt wird, ob in der privaten Wirtschaft oder im Bereich der öffentlichen Verwaltung. Interessant auch die Mitteilung, wonach die gespeicherten Daten nach der jährlichen Auswertung im Januar des Folgejahres gelöscht werden: Also werden auch die IP-Adressen jedenfalls bis zu 13 Monate gespeichert = nicht gelöscht.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die bayerischen Aufseher wohl nicht so eng ?

Datenschutzerklärung Berliner Beauftragter für Datenschutz und Informationsfreiheit:

Laut Datenschutzerklärung werden IP-Adressen nicht gespeichert und Cookies grundsätzlich nicht gesetzt, mit Ausnahme eines Cookies zur Sicherstellung der Barrierefreiheit (Schriftgröße), das beim Schließen des Browsers gelöscht wird.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung Ministerium des Innern Brandenburg:

Unter der Rubrik “Datenschutz” vermutet man ja in der Regel datenschutzrelevante Hinweise des Website-Betreibers, die sich ausdrücklich auf die Nutzung der Website beziehen. Nicht so bei der Aufsichtsbehörde des Landes Brandenburg: Dort findet am unter “Datenschutz” allgemeine Hinweise auf datenschutzrechtliche Grundsätze und Möglichkeiten, die dem hilfesuchenden Bürger geboten werden.

Auch unter “Impressum” findet man keine weiter führenden Hinweise oder Informationen.

Fazit: Nachdem jedwede website-bezogene Hinweise fehlen, kann man noch nicht einmal ahnen, wie das Innenministerium Brandenburg mit den Daten der Website-Besucher umgeht.

In Brandenburg ein alles andere als vorbildlicher Umgang mit dem Thema Datenschutz !

Datenschutzerklärung der Landesdatenschutzbeauftragten Bremen:

Gemäß Datenschutzerklärung werden zwar keine Cookies verwendet, aber  u.a. die IP-Adressen der Besucher erfasst und gespeichert. Auch hier ist allerdings die Rede von “der Rechneradresse (IP-Adresse)” … sind die IP-Adresse also keine personenbezogenen Daten ?

Darüber, wie lange die IP-Adressen gespeichert werden, schweigt sich die Datenschutzerklärung aus. Erwähnt wird lediglich, dass die Daten “ausschließlich zu statistischen Zwecken ausgewertet” werden … das ist eben gerade bei den beaufsichtigten nicht-öffentlichen Website-Betreibern auch der Fall. Eine Zustimmung zur Erfassung/Speicherung der IP-Adresse wird nicht eingeholt.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die Bremer Aufseher wohl nicht so eng ?

Datenschutzerklärung des Hamburgischen Datenschutzbeauftragten:

Gemäß Datenschutzerklärung werden auf der Website “keine Nutzungsdaten” erhoben oder verarbeitet und “keine Cookies” verwendet.

So weit, so gut. Bleibt die Frage, ob in Hamburg die IP-Adressen als “Nutzungsdaten” angesehen werden oder nicht. Also die Frage, ob auf der Website des Hamburgischen Datenschutzbeauftragten die IP-Adressen der Besucher erfasst und gespeichert werden oder nicht.

Hierüber schweigt sich die Hamburger Datenschutzerklärung aus … auch nicht gerade vorbildlich.

Datenschutzerklärung des Hessischen Ministeriums des Innern und für Sport:

Auf der Website der hessischen Aufsichtsbehörde werden die “IP-Adresse des anfordernden Rechners” und “Cookies” gespeichert. Irgendwelche Zustimmungs- oder Ausschlussmechanismen gibt es nicht.

Das bedarf wohl keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die hessischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:

Nach dieser Erklärung werden auf der Website keine IP-Adressen protokolliert und keine Cookies verwendet.

Die im Einzelnen benannten erhobenen sonstigen Daten werden nach einem Tag gelöscht.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Landesdatenschutzbeauftragten Niedersachsen:

Diese Datenschutzerklärung ist auch nicht ansatzwesie aussagekräftig, weshalb wir sie hier wörtlich auszugsweise wiedergeben:

“Bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot des Niedersachsen-Portals und bei jedem Abruf einer Datei werden Daten über diesen Vorgang in einer Protokolldatei gespeichert. Diese Daten sind nicht personenbezogen; wir können also nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat.Diese Protokolldaten werden für zwei Monate gespeichert, sie werden lediglich statistisch ausgewertet.”

Der Besucher erfährt also, dass bei jedem Zugriff  “Daten gespeichert” werden. Immerhin folgt an anderer Stelle der Zusatz, dass keine Cookies verwendet werden.

Stellt sich die banale Frage:

Welche Daten werden in Niedersachsen gespeichert ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Nordrhein-Westfalen:

Hier werden u.a. die IP-Adressen “für die Zeit des Kommunikationsvorgangs” gespeichert und verarbeitet. Interessante Formulierung: Fragt sich, wann das passieren soll, wenn nicht während des Kommunikationsvorgangs.

“Nach Beendigung des Kommunikationsvorgangs wird die IP-Adresse anonymisiert”. Fragt sich, auf welcher Ebene das passiert: Im Rahmen der Auswertung oder auf Rohdatenebene ?

Auch hier findet sich keinerlei Funktion, die dem Besucher die Zustimmung zur oder die Ablehnung der Erfassung, Speicherung und Auswertung der IP-Adressen ermöglichen würde.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die NRW-Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Rheinland-Pfalz:

Die IP-Adressen werden in einer Protokolldatei gespeichert. Zusätzlich erfolgt der Hinweis, dass diese Information zur statistischen Auswertung des Zugriffs herangezogen und nach Ablauf des Tages des Zugriffs automatisiert anonymisiert wird.

Über den Einsatz und die Handhabung von Cookies wird nichts ausgesagt. Möglichkeiten für Opt-In oder Opt-Out sind nicht ersichtlich.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die rheinland-pfälzischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Saarländischen Ministeriums des Innern:

Hier findet sich ein interessanter Ansatz: “Für Zwecke der Datensicherheit” werden “vorübergehend Daten gespeichert, die möglicherweise eine Identifizierung zulassen”, u.a. auch die IP-Adressen. Es erfolgt aber keine Auswertung, “mit Ausnahme für statistische Zwecke in anonymisierter Form”.

Der Besucher wird auf die Möglichkeit hingewiesen, Auskunft über die ihn betreffenden gespeicherten personenbezogenen Daten zu erhalten, außerdem auf sein Recht, Berichtigung, Sperrung oder Löschung zu verlangen.

Das alles bedarf keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die saarländischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Sachsen

Auch eine interessante Variante: Es wird darauf hingewiesen, dass es “lediglich zur Behebung von technischen Problemen … vorübergehend notwendig” sein kann, u.a. die IP-Adresse zu speichern. In diesem Fall werden die IP-Adressen in einer Protokolldatei gespeichert und “unmittelbar nach Behebung des technischen Problems gelöscht”.

Opt-In- oder Opt-Out- Möglichkeiten sind nicht ersichtlich.

Es bleibt dem geneigten Besucher überlassen, die Geschichte von den technischen Problemen zu glauben oder nicht zu glauben. Jedenfalls wird er nicht informiert, ob gerade ein technisches Problem besteht und dementsprechend u.a. gerade die IP-Adresse getrackt wird.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die sächsischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesverwaltungsamtes Sachsen-Anhalt:

Ebenfalls eine sehr nichtssagende Datenschutzerklärung: Alle Zugriffe werden registriert, eine Speicherung personenbezogener Daten findet nicht statt, “gespeicherte Daten werden für statistische Zwecke ausgewertet und ggf. anonymisiert veröffentlicht”.

Da fragt man sich, wieso anonymisiert werden muss, wenn doch angeblich keine personenbezogenen Daten gespeichert werden ??? Ausdrücklich wird denn auch nichts dazu gesagt, ob die IP-Adressen erfasst und gespeichert sowie wann sie ggf. gelöscht werden.

Etwas undurchsichtig und nicht gerade vorbildlich dokumentiert, was da unter Datenschutzgesichts-punkten auf der Website passiert.

Datenschutzerklärung des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein:

IP-Adressen werden nicht gespeichert, Cookies kommen nicht zum Einsatz.

Insgesamt eine sehr geradlinige Datenschutzerklärung, die auf eine sehr konsequente Handhabung dieses Themas beim Betrieb der eigenen Website schließen lässt. Alles andere hätte in diesem Fall auch verwundert.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Innenministeriums Thüringen:

Diese Erklärung enthält den Hinweis, dass eine Zugriffsstatistik geführt wird, u.a. auch über die “Herkunft der Besuche”. Das lässt den Schluss zu, dass auch mit der IP-Adresse gearbeitet wird, ausdrücklich wird das allerdings nicht erwähnt.

Nachdem auf der anderen Seite darauf hingewiesen wird, dass personenbezogene Daten nur mit ausdrücklicher Zustimmung des Nutzers erhoben werden, würde das nach dem Standpunkt des Düsseldorfer Kreises allerdings bedeuten, dass die IP-Adresse nicht erfasst bzw. gespeichert wird.

Es wäre wünschenswert, wenn die Datenschutzerklärung etwas weniger “schleierhaft” formuliert werden würde.

In der vorliegenden Fassung wirft diese Datenschutzerklärung aus Sachsen-Anhalt mehr Fragen auf, als sie Antworten gibt.

Insgesamt lässt sich also feststellen, dass auf den Websites der 16 obersten Aufsichtsbehörden für die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich bis auf zwei Ausnahmen erheblicher Nachholbedarf bei der Formulierung einer Datenschutzerklärung mit klarer Aussagekraft besteht. Es entsteht teilweise der Eindruck, dass mehr oder weniger krampfhaft versucht worden ist, die tatsächliche Qualität und den tatsächlichen Umfang der Datenerfassung und der Datenspeicherung zumindest nicht so deutlich zu offenbaren, wie dies tatsächlich praktiziert wird.

Überdies erfassen und speichern erklärtermaßen 7 der 16 Aufsichtsbehörden die IP-Adressen der Besucher, ohne hierfür eine Zustimmung einzuholen oder auch nur deutlich darauf hinzuweisen. Lediglich 3 der 16 Aufsichtsbehörden erklären ausdrücklich, die IP-Adresse nicht zu erfassen. Bei den restlichen 6 Aufsichtsbehörden ist die Datenschutzerklärung so unklar formuliert, dass nicht ermittelt werden kann, ob die IP-Adresse gespeichert wird oder nicht.

Zur Erinnerung: Der Düsseldorfer Kreis fordert im Zusammenhang mit der Analyse des Nutzerverhaltens von Website-Besuchern u.a. wörtlich:

“Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger
Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.”

Von dieser eigenen Forderung sind die Aufsichtsbehörden bei der Handhabung auf ihren eigenen Websites derzeit weit entfernt.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen !

Da stellt sich zunächst die Frage, was der “Düsseldorfer Kreis” eigentlich ist. Düsseldorfer Kreise gibt es nämlich einige, z.B. einen aus der SHK-Branche (Sanitär,Heizung,Klima) mit entsprechender Domain, um den es hier bestimmt nicht geht. Oder den Düsseldorfer Kreis, bei dem es sich um einen Zusammenschluss von Vätervereinen handelt; der ist hier auch nicht gemeint. Richtig ist man dann beim Zusammenschluss der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich, also z.B. für die gewerbliche Wirtschaft. Diese Aufsichtsbehörden werden aufgrund einer Ermächtigung im Bundesdatenschutzgesetz jeweils durch die Länder bestimmt. Eine Übersicht der einzelnen obersten Aufsichtsbehörden findet man z.B. auf der Website des Landesdatenschutzbeauftragten Baden-Württemberg. Es wäre im Übrigen wünschenswert, dass dieser Düsseldorfer Kreis ein Portal o.ä. schafft, auf dem man die einzelnen Mitglieder, Termine, Statements und Entschließungen finden kann. Das gibt es, so weit ersichtlich, bislang nämlich noch nicht.

Diese obersten Aufsichtsbehörden haben sich im Düsseldorfer Kreis zu einem informellen Gremium zusammen geschlossen, dessen Entschließungen dazu dienen sollen, einheitliche Grundhaltungen zu finden und zu dokumentieren. Diese Entschließungen haben aber formal keinen verbindlichen Charakter. Maßgeblich sind daher grundsätzlich allein die geltenden Gesetze und etwaige hierzu ergangene Rechtsprechung.

Nun hat eben dieser Düsseldorfer Kreis Ende November einige Entschließungen getroffen, die teilweise für eine eigenartige Aufregung gesorgt haben. Auch hier empfiehlt es sich, zunächst mal aus erster Hand nachzulesen, um welche Entschließungen es sich gehandelt hat:

• Hinweis auf Gesetzesänderung bei der Datenverwendung für Werbezwecke
• Keine Internetveröffentlichung sportgerichtlicher Entscheidungen
• Datenschutzkonforme Ausgestaltung von Anlayseverfahren zur Reichweitenmessung bei Internet-Angeboten

Für Wirbel hat die zuletzt genannte Entschließung zur Verwendung von Webanalyseverfahren gesorgt. Fragt sich also, was da so Wichtiges und Neues entschieden wurde ? Im Wesentlichen geht es um den Hinweis, dass bei Anwendung von Webanalyseverfahren das Telemediengesetz zu beachten ist. So weit, so gut, jedenfalls nicht neu. Anders verhält es sich da schon mit der Aussage, dass die IP-Adresse kein Pseudonym im Sinne des Telemediengesetzes ist: Auch wenn das im Kern richtig sein mag, wünschte man sich von so einem bedeutsamen Gremium doch etwas mehr Sorgfalt und Differenzierung, beispielsweise in puncto Unterscheidung zwischen statischer und dynamischer IP-Adresse. Die Diskussion darüber, ob es sich bei IP-Adressen um personenbezogene Daten handelt, wird ja immer noch kontrovers geführt. Da hätte man schon etwas sorgfältigere Formulierungen erwarten dürfen, wie man sie beispielsweise in den sehr differenzierten Abhandlungen des ULD zu diesem Thema findet. Jedenfalls dürfen die Aufsichtsbehörden aber nicht dazu übergehen, die Untätigkeit des Gesetzgebers zu “überholen” und damit Standards vorzutäuschen, die mangels gesetzlicher Grundlage gar keine Standards sein können.

Was die sonstigen Punkte der Entschließung zur Webanalyse betrifft, lesen sie sich wie eine Zusammenfassung von Forderungen, wie sie aus den einschlägigen Diskussionen seit langem bekannt sind. Nachdem auch einige Landesdatenschutzbeauftragte im Düsseldorfer Kreis beteiligt sind, fragt man sich allerdings, wieso sie nicht ihre Konferenz Anfang Oktober 2009 zum Anlass genommen haben, derart eindeutige Entschließungen herbeizuführen, statt sich mit den wichtigen Fragen auf das kommende Jahr zu vertagen.

Fazit: Man ist gut beraten, sich bei Fragen der Datenschutzkonformität von Webanalyseverfahren intensiv und aktuell mit den laufenden Gesetzgebungsverfahren zu beschäftigen. Die Neuerungen im Bundesdatenschutzgesetz haben hierzu keine neuen Erkennntisse gebracht. Anders sieht es da schon mit dem gerade verabschiedeten Telekom-Paket der EU aus, das bis zum 30.06.2011 in nationales Recht umgesetzt sein muss. Was die dortigen Regelungen zur Cookie-Akzeptanz betrifft, wird dies von Webanalyse-Anbietern und -Verwendern wohl sorgfältig zu prüfen bzw. berücksichtigen sein.

Unabhängig davon werden wir uns mit dem Düsseldorfer Kreis und den Reaktionen auf dessen Entschließungen in den kommenden Tagen weiter beschäftigen … mit sicherlich interessanten Erkenntnissen.

Klingt vielleicht ein bisschen ernüchternd, was man da liest. Allerdings beweist die Entwicklung der vergangenen Wochen, dass sich die Diskussion um das Thema Datenschutz ausgesprochen dynamisch entwickelt und die EU bei diesem Thema ein entscheidendes Wörtchen mitredet. Damit stellen die einschlägigen Regelungen in der Koalitionsvereinbarung nur die eine Seite der Medaille dar und werden/können keineswegs statisch zu sehen sein. Wir werden den Blick künftig verstärkt auf Europa richten müssen.

Wer sich unmittelbar über den Inhalt des Koalitionsvertrages informieren möchte, kann ihn hier downloaden. Unter Ziff. IV./3.) finden sich dort die Vereinbarungen zum Datenschutz. Dabei u.a. auch die Kriterien bzgl. des von uns schon mehrfach angesprochenen SWIFT-Abkommens.

In jüngster Vergangenheit haben sich erneut namhafte Datenschützer dieses Themas angenommen und fordern ein rechtliches Vorgehen gegen Google bzw. die Anwender von Google Analytics. ZEIT Online und  TAZ.de berichten und kommentieren ebenso, wie z.B. Patrick Ludolph auf webanalyse-news.

Was ist an Google Analytics so problematisch ?

Es ist wohl die Mischung … aus dem Namen, der mittlerweile per se  zum Reizwort geworden ist; der technischen Gestaltung, also die Kombination aus Pixel-Tracking, Outhouse-Datenhaltung und dabei Datentransfer in die USA; der zumindest unklaren Situation um das “Schicksal” der Daten, die nach Lage der Dinge eben nicht nur dem Website-Betreiber für Analysezwecke zur Verfügung gestellt werden, sondern auch für Werbezwecke verwendet und vermarktet werden.

In dieser Kombination und Ausprägung steht Google Analytics ziemlich alleine da und lassen sich die Themen, die im Zusammenhang damit derzeit diskutiert werden, entgegen der Auffassung von Patrick Ludolph eben nicht ohne weiteres auf andere Webanalyse-Produkte und -Lösungen übertragen.

Sicherlich wird es nach den Telekom-Beschlüssen des Europäischen Parlaments bis spätestens Ende Juni 2009 (in Deutschland mit Sicherheit früher, wir wollen ja immer die Ersten sein) zu verbindlichen Vorschriften über Opt-In oder Opt-Out bzgl. der Zulassung von Cookies kommen. Das alleine löst aber das eigentliche Problem nicht.

“Inhouse” muss das zentrale Thema sein. Es spricht vieles dafür und wenig dagegen, dass die Daten, die auf einer Website zum Zwecke der Webanalyse erfasst, ausgewertet und abgebildet werden, auch physisch beim Betreiber der Website bleiben. Auf diese Weise erübrigt sich jede Diskussion darüber, was außerhalb des Analyse-Projekts mit den Daten geschieht oder geschehen könnte. Dass dieses Thema in Fachkreisen viel zu wenig Beachtung findet, liegt daran, dass es nur wenige Webanalyse-Lösungen gibt, die Inhouse-Lösungen beherrschen und anbieten. Da spielen dann eben immer auch Lobbyismus und Protektionismus eine Rolle. Aber auch die Tatsache, dass die Inhouse-Varianten selbst bei Fachleuten wie Datenschutzbeauftragten nur wenig bekannt sind bzw. die Inhouse-Variante nicht selten mit einem finanziellen Mehraufwand für erforderliche Hardware verbunden ist.

Zu denjenigen, denen die Inhouse-Varianten nicht bekannt sind, gehört Google sicherlich nicht. Das sagt ein Blick auf die Leistungsmerkmale der kostenpflichtigen Google-Software für Webanalyse, die sich Urchin nennt. Dass Google dennoch nicht flächendeckend auf die Inhouse-Variante setzt, dürfte seinen Grund u.a. sicherlich darin haben, dass es auf dem Markt der großen und kleinen Online-Anbieter natürlich einfacher ist, sich die Webanalyse via Werbevermarktung bezahlen zu lassen, als dem Kunden eine Rechnung schicken zu müssen, die dann auch noch bezahlt werden sollte.

Um die Diskussion besser verstehen und die einzelnen Diskussionsbeiträge besser einschätzen zu können, muss man sich aber auch vergegenwärtigen, welchen Verbreitungsgrad Google Analytics im gewerblichen und nicht-gewerblichen Online-Markt erreicht hat. Mehr hierzu demnächst auf diesem Blog. Wir sind gerade dabei, eine derzeit noch interne Studie über den Verbreitungsgrad von Google Analytics, auch und vor allem im Public Sector, abzuschließen.