Es zeichnet die Entwicklung um den Datenschutz im Internet aus, dass sich unzählige außerparlamentarische Gremien mit diesem Thema beschäftigen. Kongresse, Arbeitskreise, Pressemitteilungen und Blogs (einschließlich unseres Blogs) bestimmen das Bild. Der Gesetzgeber hinkt dem Stand der Diskussion meist hinterher und langt auch gerne mal daneben, wie zuletzt beim Thema Vorratsdatenspeicherung eindrucksvoll unter Beweis gestellt.

Was die einzelnen Außerparlamentarier mit ihren Statements und Aktionen für Ziele verfolgen, ist nicht immer transparent. Das mahnt zur Vorsicht bei der Beurteilung des Diskussionsstandes … und zwingt dazu, sich umfassend über die Hintergründe von Statements und Forderungen zu informieren, bevor man sie wertet, sei es befürwortet oder ablehnt.

Besondere  Beiträge zur Diskussion leistet immer wieder der Chaos-Computer-Club CCC. Mal veröffentlicht er seine Meinung und seine unbestritten wertvollen Erfahrungen einfach, mal wird er als Gutachter beim Bundesverfassungsgericht bestellt, mal … bietet er ein Forum für solche, die unverhohlen zum Hacken eines Webauftritts auffordern.

So geschehen während des CCC-Kongresses Ende 2009. Da wurde der Webauftritt  von Mindlab, einem führenden Hersteller von Webanalyse-, Segmentierungs- und Targetinglösungen, offen zum potenziellen Ziel von Hackerangriffen proklamiert, sh. nachfolgenden Screenshot:

Bernd Ebert, CTO von Mindlab, hat uns zu diesem Thema Folgendes geschrieben:

“In den letzten drei Monaten wurde aufgrund dieses Aufrufs mehrfach versucht, einen Angriff auf unser Firmennetzwerk durchzuführen. Keiner der Versuche war von Erfolg gekrönt, was wir als Bestätigung unserer Sicherheitsbemühungen auffassen.

Dessen ungeachtet stellt sich die Frage, wieso von ca. 3-5 namhaften Anbietern in Deutschland ausgerechnet Mindlab als Angriffsopfer auserkoren wurde. Also ausgerechnet derjenige Anbieter, der sich bereits am längsten und intensivsten mit dem personenbezogenen Datenschutz in Webanalyseanwendungen auseinandersetzt.

Es kann natürlich schnell der Verdacht aufkommen, dass bei der “Nominierung” rein kommerzielle Beweggründe im Spiel waren. Der CCC wird sicherlich kein Interesse haben, solchen Vorgehensweisen eine Plattform zu bieten ?”

Die von Bernd Ebert aufgeworfene Frage stellt sich in der Tat. Wer sich intensiv mit den Webanalyselösungen der namhaften Anbieter auseinander setzt, wird das beurteilen können.

Datenschutzgerechte Webanalyse und E-Government

Die Stichworte E-Government und Dienstleistungsrichtlinie sind in aller Munde. Ganze Abteilungen, Stäbe, Ausschüsse und Referate sind seit geraumer Zeit damit beschäftigt, die Verwaltung für diese Anforderungen “fit” zu machen.

Dass das insbesondere auch unter dem Gesichtspunkt des Datenschutzes nicht ganz einfach ist, liegt auf der Hand. Wenn z.B. das Online-Angebot eines Landkreises darüber hinaus geht, die Auswahl und Buchung eines Wunschkennzeichens für den PKW anzubieten, und ganze Verfahren, beispielsweise Bauantragsverfahren, online abgewickelt werden, muss die Behörde uneingeschränkt sicher stellen, dass die Einhaltung der datenschutzrechtlichen Vorschriften auf der gesamten Online-Strecke uneingeschränkt gewährleistet wird.

Die Einführung von Online-Verfahren hat nicht nur den Sinn, es dem Bürger leichter zu machen. Neben zahlreichen anderen Aspekten wird es den Behörden maßgeblich auch darum gehen (müssen), ein bestimmtes Arbeitspensum mit weniger Personal zu bewältigen. Weil der öffentliche Dienst es zunehmend schwer haben wird, qualifizierte Fachkräfte zu gewinnen, und weil es schlicht und einfach darum gehen muss, Kosten zu sparen, wo es geht.

Was liegt da näher, als dem Bürger einen Teil der Arbeit selbst zu übertragen ?

Das ist auch völlig in Ordnung. Wie gesagt: Außer denjenigen, die mit den Online-Medien auf Kriegsfuß stehen, werden es die Bürger in der Regel wohl eher schätzen, sich einen Behördengang, möglicherweise auch einen extra hierfür genommenen Urlaubstag zu sparen, weil sie ihren Teil zum Verfahren in aller Ruhe abends am PC-Bildschirm beitragen können.

Um so wichtiger ist es für die Behörden, ihre Websites nicht nur optisch attraktiv, sondern vor allem funktional einwandfrei zu gestalten. Nur auf diese Weise lassen sich die mit der Einführung von Online-Verfahren verknüpften Absichten und Zwecke erfolgreich umsetzen. Gerät der nur interessierte oder auch online-antragswillige Bürger auf einer Behörden-Website regelmäßig ins Abseits, ohne dass er für das Online-Verfahren bildlich gesprochen an die Hand genommen wird, ist der Erfolg der Behörden-Website schon strukturell in Frage gestellt und statt Kostenersparnis nur ein Kostengrab produziert.

Auf dem Weg zur Einführung einer breiten Palette an funktionierenden  Online-Verfahren werden die Behörden nicht um den Einsatz leistungsfähiger, individuell konfigurierbarer Webanalyse-Lösungen herum kommen. Dabei sollte und wird es nicht darum gehen, lediglich Statistiken zu sammeln. Vielmehr muss der Bürger auf seinem Weg über die Website und durch das Verfahren begleitet, manchmal vielleicht sogar “an die Hand genommen” werden, um den erfolgreichen Abschluss z.B. einer Online-Antragstellung zu gewährleisten. Auf dem Weg über die Auswertung der Webanalyse muss sichergestellt werden, das die Website mit allen ihren Informations- und Downloadangeboten dem reibungslosen Ablauf eines Online-Verfahrens ergonomisch angepasst wird. Mit einer leistungsfähigen Webanalyse können die “dunklen Ecken” einer Behörden-Website ebenso identifiziert werden, wie Interessenschwerpunkte oder die Pfade, die ein Bürger im Online-Verfahren über die Website geht, ermittelt werden können. Etwaige durch permanente Auswertung der Webanalyse gewonnene Erkenntnisse über das Besuchsverhalten auf der Behörden-Website können und müssen unmittelbar und nachhaltig in Änderungen, Ergänzungen, also Verbesserungsmaßnahmen umgesetzt werden. Nur auf diese Weise lassen sich die Akzeptanz und der Erfolg von Online-Verfahren ständig steigern. Insoweit können die Behörden unmittelbar auf umfangreiche Erkenntnisse aus Online-Erfahrungen der gewerblichen Wirtschaft zurückgreifen. Dass es im einen Fall z.B. um die Steigerung von Online-Umsätzen geht, im Bereich E-Government dagegen um die Erhöhung der Anzahl erfolgreich eingeleiteter oder abgeschlossener Online-Verfahren, macht dabei dem Grunde nach überhaupt keinen Unterschied.

Besonderes Augenmerk müssen die Behörden natürlich auf die Einhaltung des Datenschutzes richten. Nicht nur, aber vor allem auch bei Einsatz einer Webanalyse-Lösung gilt es, unter allen Umständen zu vermeiden, dass Daten oder sogar Auswertungen über das Besuchsverhalten eines Bürgers mit personenbezogenen Daten zusammengeführt werden bzw. – besser – zusammengeführt werden können.

Die leidige Diskussion darüber, ob es sich bei der IP-Adresse eines die Behörden-Website ansprechenden Rechners um “personenbezogene Daten” im Sinne der Datenschutzgesetze handelt, kann dabei völlig vernachlässigt werden.

Warum das so ist ? Weil die IP-Adresse für die “redliche” Webanalyse überhaupt nicht benötigt wird. Wer als Website-Betreiber keinerlei Ambitionen hat, nur über den Einsatz einer Webanalyse-Lösung direkt oder auf Umwegen personenbezogene Informationen des Bürgers zu erhalten, muss die IP-Adresse des Rechners noch nicht einmal erfassen, geschweige denn speichern oder auswerten. Dem “redlichen” Betreiber einer Website dient die Erfassung und die mehr oder weniger lang andauernde Speicherung der IP-Adresse ausschließlich zu dem Zweck, die Geo-Daten des Besuches auszuwerten, also festzustellen, in welchem Land, in welcher Region, ggf. in welcher Stadt der Besuchsrechner steht. Die Erhebung dieser Geo-Daten macht auch durchaus Sinn, sei es, um nur zu ermitteln, in welchen geographischen Bereichen sich Nutzungsschwerpunkte befinden, oder sei es zu dem Zweck, in bestimmten geographischen Regionen gezielte Kampagnen zur Förderung des Online-Angebotes anzubieten und anschließend eine unmittelbare Erfolgskontrolle zu haben.

Die Erhebung der Geo-Daten ist sicherlich am einfachsten über die Erfassung und Speicherung der IP-Adresse zu bewerkstelligen. Sinn macht dabei nur die Speicherung der vollständigen IP-Adresse, weil jedwede Kürzung/Veränderung der IP-Adresse zur Abbildung verfälschter und damit unzutreffender Geo-Daten führen kann. Um auch nachträgliche Auswertungen länger zurück liegender Zeiträume zu ermöglichen, kollidiert diese “Lösung” aber mit den Vorschriften und auch der verstärkt aufkommenden Diskussion darüber, unter welchen Voraussetzungen die IP-Adresse überthaupt erfasst/gespeichert werden kann und vor allem, wie lange sie ggf. gespeichert werden darf.

Diese wie gesagt leidigen Probleme und Diskussionen können aber völlig dahin gestellt bleiben, wenn man auf die Erfassung/Speicherung der IP-Adresse schlicht und einfach verzichtet und die Erfassung sowie Speicherung der Geo-Daten auf andere, datenschutzrechtlich uneingeschränkt unbedenkliche Art und Weise sicherstellt. Das ist mit überschaubarem Mehraufwand beim Aufsetzen der Webanalyse-Lösung ohne weiteres zu machen, man muss es nur wollen. Wer sich für dieses IP-freie Tracking entscheidet, hat keine Probleme mit diesbezüglichen Diskussionen und Nachforschungen über die Gewährleistung des Datenschutzes auf der getrackten Website und kann sich vollumfänglich den wirklich wichtigen Aspekten der Webanalyse widmen … nämlich, das Thema E-Government nicht nur mit Worten, sondern vor allem mit Taten einen deutlichen Schritt voran zu bringen.

Jetzt hat sich ein weiterer Webanalyse-Anbieter gefunden, der aktiv damit wirbt, die Kriterien aus den Entschließungen des Düsseldorfer Kreises vom 27.11.2009 einzuhalten. Damit nicht genug: U.a. mit diesem Argument versucht man, Interessenten zu einem Anbieterwechsel zu animieren … als stünde man als einziger Fels in der Brandung der anderen, den Datenschutz angeblich missachtenden Webanalyse-Anbieter.

Auch in diesem Fall empfiehlt es sich, so weit wie möglich einen Blick hinter die Kulissen zu werfen.

Und die Kulissen, das sind in diesem Fall die Webseiten des Anbieters und seiner Kunden (die man auf der nicht mehr ganz aktuellen Referenzliste nachlesen kann).

Die stichprobenartige Überprüfung von Theorie und Wirklichkeit offenbart ein nicht ganz unerwartetes Ergebnis: Was tatsächlich auf welchem Weg an Daten erhoben, gespeichert und ausgewertet wird, kann man den Datenschutzerklärungen nicht entnehmen. Das gilt insbesondere auch für die Frage, welche Rolle dabei die IP-Adresse spielt, wo sie wie und wie lange gespeichert oder nicht gespeichert wird, inwieweit sie ausgewertet wird usw. usw. . Widerspruchsmöglichkeiten bzgl. Cookies werden mal überhaupt nicht, mal auf dem Postweg und mal durch direkten Link zu dem Anbieter geboten. Nach dem Ausüben des direkten Widerspruchsrechts über den Anbieter-Link sind beim Besuchen von Websites einiger Kunden des Anbieters aber, was das Setzen von Cookies betrifft, keine sichtbaren Änderungen zu verzeichnen.

Was ich damit sagen will:

Der datenschutzrechtliche Wert einer Webanalyse-Lösung bemisst sich in erster Linie an der dahinter stehenden Technologie, nicht an irgendwelchen mit heißer Nadel gestrickten Marketing-Blasen.

Webanalyse-Lösungen, die theoretisch datenschutzkonform eingesetzt werden können, sind tatsächlich dann und nur dann datenschutzkonform, wenn sie dem Anwender/Kunden keine Möglichkeit bieten, die Lösung auch datenschutzwidrig einzusetzen. Wer also beispielsweise damit wirbt, eine “Widerspruchsmöglichkeit” zu bieten, sollte also dafür sorgen, dass das bei den Kunden auch einheitlich gehandhabt werden muss, dem Kunden also kein Spielraum gelassen wird.

Man sollte sich beim derzeitigen Stand der Datenschutzdiskussion und -gesetzgebung daher sehr intensiv über die Technologie einer Webanalyse-Lösung informieren, um zukunftssicher zu investieren. Dann trennt sich die marketing-umwaberte Spreu automatisch vom Weizen.

Am 8. Dezember 2009 haben wir die Datenschutzerklärungen der Aufsichtsbehörden für nicht-öffentliche Internet-Auftritte an deren eigenen Forderungen gemessen — mit teilweise sehr ernüchternden Ergebnissen.

Wie sieht es heute – am 22. Dezember 2009 um 12.00 Uhr – aus ? Hat man auf Seiten der Aufsichtsbehörden vielleicht einfach nur etwas Zeit benötigt, um die Tracking-Praxis und/oder die Datenschutzerklärungen den eigenen Forderungen an die gewerblichen Internet-Auftritte anzupassen ?

Baden-Württemberg: Unverändert.

Bayern: Unverändert.

Berlin: Unverändert.

Brandenburg: Unverändert.

Bremen: Unverändert.

Hamburg: Unverändert.

Hessen: Unverändert.

Mecklenburg-Vorpommern: Unverändert.

Niedersachsen: Unverändert.

Nordrhein-Westfalen: Unverändert.

Rheinland-Pfalz: Unverändert.

Saarland: Unverändert.

Sachsen: Unverändert.

Sachsen-Anhalt: Unverändert.

Schleswig-Holstein: Unverändert.

Thüringen: Unverändert.

Vielleicht sind diejenigen Aufsichtsbehörden, deren Datenschutzpraxis/-erklärung so überhaupt nicht mit den von ihnen selbst aufgestellten Forderungen an die Wirtschaft zusammen passt, noch nicht dazu gekommen, die erforderlichen Anpassungen vorzunehmen ? Oder wissen sie überhaupt nicht, dass sie sich mit ihrem eigenen Verhalten in Widerspruch zu ihren eigenen Forderungen setzen ?

Um das zu klären, muss man ihnen wohl Gelegenheit geben, das zu überprüfen und sich hierzu ggf. zu äußern. Wir werden wieder berichten.

Die Entschließungen des Düsseldorfer Kreises, bei denen es sich zunächst grundsätzlich um nicht verbindliche Meinungsbilder der obersten Aufsichtsbehörden für nicht-öffentliche Internet-Auftritte handelt, haben nicht nur für zahlreiche, teilweise missverständliche Veröffentlichungen gesorgt, sondern teilweise sogar für eine Art Panik und Aktionismus, die nicht recht nachvollziehbar sind.

Im Bereich der Webanalyse hat ein Anbieter diese Veröffentlichungen beispielsweise zum Anlass genommen, wiederholt darauf hinzuweisen, dass die angebotene Software “100 % datenschutzkonform” sei. Gleichzeitig weist dieser Anbieter darauf hin, das bei Auswahl der im Programm angebotenen Option “erweitere Datenschutzkonformität” mit keinerlei Problemen, Abmahnungen etc. zu rechnen sei. Quasi um dieses angebliche non-plus-ultra an Datenschutzkonformität zu unterstreichen, beruft man sich wechselnd auf Bestätigungen, Kooperationen etc. von/mit den Landesdatenschutzbeauftragten Hamburg, Mecklenburg-Vorpommern und Nordrhein-Westfalen.

Ziemlich kurz, um nicht zu sagen, zu kurz gedacht, wie ich meine.

Wie an dieser Stelle schon mehrfach beklagt, fehlt es gerade im Bereich der Webanalyse und speziell bezogen auf die datenschutzrechtliche Qualifizierung der IP-Adresse an klaren und einheitlichen Bestimmungen. Das bedeutet, dass die Frage der Datenschutzkonformität einer Webanalyse-Lösung nach derzeitigem Stand weniger nach dem ausdrücklichen Wortlaut eines Gesetzes, als vielmehr in Ausführung der bestehenden (unklaren) Gesetze durch die Rechtsprechung zu beantworten wäre. Vor diesem Hintergrund “100 % Datenschutzkonformität” zu garantieren, ist gelinde gesagt schon einigermaßen gewagt, wenn nicht irreführend.

Hinzu kommt, dass die eigenen Datenschutzerklärungen der Aufsichtsbehörden bedauerlicherweise eben jene Klarheit vermissen lassen, die man aufgrund ihrer Entschließungen vom 27.11.2009 eigentlich erwarten dürfte. Nachzulesen im Beitrag vom 8. Dezember 2009. Fragt sich, ob den Entschließungen der Aufsichtsbehörden so große Bedeutung beigemessen werden sollte und kann, solange sie selbst sich bis auf wenige Ausnahmen datenschutzrechtlich alles andere als vorbildlich darstellen. Wer sich auf die Landesdatenschutzbeauftragten Hamburg, Mecklenbur-Vorpommern und Nordrhein-Westfalen beruft, dem sei die Lektüre dieses Beitrags empfohlen, mit den darin enthaltenen durchaus unterschiedlichen Ergebnissen für die genannten Landesdatenschutzbeauftragten.

Und schließlich: Dokumentiert derjenige, der eine Option für “erweiterte Datenschutzfunktionalität” anbietet, damit nicht eindrucksvoll, dass die Software mit den Standardeinstellungen gerade nicht “100 % datenschutzkonform” läuft ? Ansonsten bräuchte man ja die Option nicht … oder wie soll die Möglichkeit, eine “erweiterte Datenschutzfunktionalität” einzustellen, sonst verstanden werden ?

Fazit: Mit dem Versuch, aus der aktuellen Diskussion um die Qualifizierung der IP-Adresse und vor allem um Google Analytics mit allzu plakativen Werbeaussagen Kapital zu schlagen, kann man sich sehr schnell auch ein Eigentor schießen.

Nachdem der Düsseldorfer Kreis zum Thema Webanalyse eine so öffentlichkeitswirksame Entschließung gefasst hat, stellt sich die Frage, ob sich die Aufsichtsbehörden als Wächter über die Datenschutzkonformität von Webauftritten der privaten Wirtschaft denn an den von ihnen selbst gesetzten Maßstäben messen lassen können.

Deswegen haben wir einen Blick in die Datenschutzerklärungen der betreffenden Behörden geworfen und sind dabei (Stand 08.12.2009, 17.00 Uhr) auf folgende Ergebnisse gestoßen:

Datenschutzerklärung Innenministerium Baden-Württemberg:

Einfach mal anschauen. Zunächst fällt auf, dass die IP-Adresse nirgends erwähnt wird, weder als “gespeichert”, noch als “nicht gespeichert”. Es ist die Rede davon, dass eine Nutzung ohne Offenlegung der persönlichen Daten möglich ist; was heißt das ? Es wird davon gesprochen, dass keine personenbezogene Auswertung der vom Rechenzentrum erlangten Daten erfolgt; hat man also personenbezogene Daten ?; und wenn man die IP-Adressen im Rechenzentrum erlangt hat, betrachtet man sie dann nicht als personenbezogene Daten ?

Nur ein paar Fragen, die sich die Aufsichtsbehörde Baden-Württemberg gefallen lassen muss.

Datenschutzerklärung Regierung von Mittelfranken:

Es lohnt sich, hier mal genauer nachzulesen. In dieser Datenschutzerklärung wird unter anderem unverblümt eingeräumt, dass die “IP-Adresse des anfordernden Rechners” gespeichert wird. Das klingt ja schon mal interessant. Offenbar sieht man die IP-Adressen also als sachbezogene Daten (”Rechner”) und nicht als personenbezogene Daten ? Gleich anschließend wird klar gestellt, dass die gespeicherten Daten, also auch die IP-Adressen, “ausschließlich zu technischen und statistischen Zwecken benötigt” werden. Das ist ja wohl meistens so, wenn Webanalyse eingesetzt wird, ob in der privaten Wirtschaft oder im Bereich der öffentlichen Verwaltung. Interessant auch die Mitteilung, wonach die gespeicherten Daten nach der jährlichen Auswertung im Januar des Folgejahres gelöscht werden: Also werden auch die IP-Adressen jedenfalls bis zu 13 Monate gespeichert = nicht gelöscht.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die bayerischen Aufseher wohl nicht so eng ?

Datenschutzerklärung Berliner Beauftragter für Datenschutz und Informationsfreiheit:

Laut Datenschutzerklärung werden IP-Adressen nicht gespeichert und Cookies grundsätzlich nicht gesetzt, mit Ausnahme eines Cookies zur Sicherstellung der Barrierefreiheit (Schriftgröße), das beim Schließen des Browsers gelöscht wird.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung Ministerium des Innern Brandenburg:

Unter der Rubrik “Datenschutz” vermutet man ja in der Regel datenschutzrelevante Hinweise des Website-Betreibers, die sich ausdrücklich auf die Nutzung der Website beziehen. Nicht so bei der Aufsichtsbehörde des Landes Brandenburg: Dort findet am unter “Datenschutz” allgemeine Hinweise auf datenschutzrechtliche Grundsätze und Möglichkeiten, die dem hilfesuchenden Bürger geboten werden.

Auch unter “Impressum” findet man keine weiter führenden Hinweise oder Informationen.

Fazit: Nachdem jedwede website-bezogene Hinweise fehlen, kann man noch nicht einmal ahnen, wie das Innenministerium Brandenburg mit den Daten der Website-Besucher umgeht.

In Brandenburg ein alles andere als vorbildlicher Umgang mit dem Thema Datenschutz !

Datenschutzerklärung der Landesdatenschutzbeauftragten Bremen:

Gemäß Datenschutzerklärung werden zwar keine Cookies verwendet, aber  u.a. die IP-Adressen der Besucher erfasst und gespeichert. Auch hier ist allerdings die Rede von “der Rechneradresse (IP-Adresse)” … sind die IP-Adresse also keine personenbezogenen Daten ?

Darüber, wie lange die IP-Adressen gespeichert werden, schweigt sich die Datenschutzerklärung aus. Erwähnt wird lediglich, dass die Daten “ausschließlich zu statistischen Zwecken ausgewertet” werden … das ist eben gerade bei den beaufsichtigten nicht-öffentlichen Website-Betreibern auch der Fall. Eine Zustimmung zur Erfassung/Speicherung der IP-Adresse wird nicht eingeholt.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die Bremer Aufseher wohl nicht so eng ?

Datenschutzerklärung des Hamburgischen Datenschutzbeauftragten:

Gemäß Datenschutzerklärung werden auf der Website “keine Nutzungsdaten” erhoben oder verarbeitet und “keine Cookies” verwendet.

So weit, so gut. Bleibt die Frage, ob in Hamburg die IP-Adressen als “Nutzungsdaten” angesehen werden oder nicht. Also die Frage, ob auf der Website des Hamburgischen Datenschutzbeauftragten die IP-Adressen der Besucher erfasst und gespeichert werden oder nicht.

Hierüber schweigt sich die Hamburger Datenschutzerklärung aus … auch nicht gerade vorbildlich.

Datenschutzerklärung des Hessischen Ministeriums des Innern und für Sport:

Auf der Website der hessischen Aufsichtsbehörde werden die “IP-Adresse des anfordernden Rechners” und “Cookies” gespeichert. Irgendwelche Zustimmungs- oder Ausschlussmechanismen gibt es nicht.

Das bedarf wohl keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die hessischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:

Nach dieser Erklärung werden auf der Website keine IP-Adressen protokolliert und keine Cookies verwendet.

Die im Einzelnen benannten erhobenen sonstigen Daten werden nach einem Tag gelöscht.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Landesdatenschutzbeauftragten Niedersachsen:

Diese Datenschutzerklärung ist auch nicht ansatzwesie aussagekräftig, weshalb wir sie hier wörtlich auszugsweise wiedergeben:

“Bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot des Niedersachsen-Portals und bei jedem Abruf einer Datei werden Daten über diesen Vorgang in einer Protokolldatei gespeichert. Diese Daten sind nicht personenbezogen; wir können also nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat.Diese Protokolldaten werden für zwei Monate gespeichert, sie werden lediglich statistisch ausgewertet.”

Der Besucher erfährt also, dass bei jedem Zugriff  “Daten gespeichert” werden. Immerhin folgt an anderer Stelle der Zusatz, dass keine Cookies verwendet werden.

Stellt sich die banale Frage:

Welche Daten werden in Niedersachsen gespeichert ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Nordrhein-Westfalen:

Hier werden u.a. die IP-Adressen “für die Zeit des Kommunikationsvorgangs” gespeichert und verarbeitet. Interessante Formulierung: Fragt sich, wann das passieren soll, wenn nicht während des Kommunikationsvorgangs.

“Nach Beendigung des Kommunikationsvorgangs wird die IP-Adresse anonymisiert”. Fragt sich, auf welcher Ebene das passiert: Im Rahmen der Auswertung oder auf Rohdatenebene ?

Auch hier findet sich keinerlei Funktion, die dem Besucher die Zustimmung zur oder die Ablehnung der Erfassung, Speicherung und Auswertung der IP-Adressen ermöglichen würde.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die NRW-Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Rheinland-Pfalz:

Die IP-Adressen werden in einer Protokolldatei gespeichert. Zusätzlich erfolgt der Hinweis, dass diese Information zur statistischen Auswertung des Zugriffs herangezogen und nach Ablauf des Tages des Zugriffs automatisiert anonymisiert wird.

Über den Einsatz und die Handhabung von Cookies wird nichts ausgesagt. Möglichkeiten für Opt-In oder Opt-Out sind nicht ersichtlich.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die rheinland-pfälzischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Saarländischen Ministeriums des Innern:

Hier findet sich ein interessanter Ansatz: “Für Zwecke der Datensicherheit” werden “vorübergehend Daten gespeichert, die möglicherweise eine Identifizierung zulassen”, u.a. auch die IP-Adressen. Es erfolgt aber keine Auswertung, “mit Ausnahme für statistische Zwecke in anonymisierter Form”.

Der Besucher wird auf die Möglichkeit hingewiesen, Auskunft über die ihn betreffenden gespeicherten personenbezogenen Daten zu erhalten, außerdem auf sein Recht, Berichtigung, Sperrung oder Löschung zu verlangen.

Das alles bedarf keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die saarländischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Sachsen

Auch eine interessante Variante: Es wird darauf hingewiesen, dass es “lediglich zur Behebung von technischen Problemen … vorübergehend notwendig” sein kann, u.a. die IP-Adresse zu speichern. In diesem Fall werden die IP-Adressen in einer Protokolldatei gespeichert und “unmittelbar nach Behebung des technischen Problems gelöscht”.

Opt-In- oder Opt-Out- Möglichkeiten sind nicht ersichtlich.

Es bleibt dem geneigten Besucher überlassen, die Geschichte von den technischen Problemen zu glauben oder nicht zu glauben. Jedenfalls wird er nicht informiert, ob gerade ein technisches Problem besteht und dementsprechend u.a. gerade die IP-Adresse getrackt wird.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die sächsischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesverwaltungsamtes Sachsen-Anhalt:

Ebenfalls eine sehr nichtssagende Datenschutzerklärung: Alle Zugriffe werden registriert, eine Speicherung personenbezogener Daten findet nicht statt, “gespeicherte Daten werden für statistische Zwecke ausgewertet und ggf. anonymisiert veröffentlicht”.

Da fragt man sich, wieso anonymisiert werden muss, wenn doch angeblich keine personenbezogenen Daten gespeichert werden ??? Ausdrücklich wird denn auch nichts dazu gesagt, ob die IP-Adressen erfasst und gespeichert sowie wann sie ggf. gelöscht werden.

Etwas undurchsichtig und nicht gerade vorbildlich dokumentiert, was da unter Datenschutzgesichts-punkten auf der Website passiert.

Datenschutzerklärung des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein:

IP-Adressen werden nicht gespeichert, Cookies kommen nicht zum Einsatz.

Insgesamt eine sehr geradlinige Datenschutzerklärung, die auf eine sehr konsequente Handhabung dieses Themas beim Betrieb der eigenen Website schließen lässt. Alles andere hätte in diesem Fall auch verwundert.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Innenministeriums Thüringen:

Diese Erklärung enthält den Hinweis, dass eine Zugriffsstatistik geführt wird, u.a. auch über die “Herkunft der Besuche”. Das lässt den Schluss zu, dass auch mit der IP-Adresse gearbeitet wird, ausdrücklich wird das allerdings nicht erwähnt.

Nachdem auf der anderen Seite darauf hingewiesen wird, dass personenbezogene Daten nur mit ausdrücklicher Zustimmung des Nutzers erhoben werden, würde das nach dem Standpunkt des Düsseldorfer Kreises allerdings bedeuten, dass die IP-Adresse nicht erfasst bzw. gespeichert wird.

Es wäre wünschenswert, wenn die Datenschutzerklärung etwas weniger “schleierhaft” formuliert werden würde.

In der vorliegenden Fassung wirft diese Datenschutzerklärung aus Sachsen-Anhalt mehr Fragen auf, als sie Antworten gibt.

Insgesamt lässt sich also feststellen, dass auf den Websites der 16 obersten Aufsichtsbehörden für die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich bis auf zwei Ausnahmen erheblicher Nachholbedarf bei der Formulierung einer Datenschutzerklärung mit klarer Aussagekraft besteht. Es entsteht teilweise der Eindruck, dass mehr oder weniger krampfhaft versucht worden ist, die tatsächliche Qualität und den tatsächlichen Umfang der Datenerfassung und der Datenspeicherung zumindest nicht so deutlich zu offenbaren, wie dies tatsächlich praktiziert wird.

Überdies erfassen und speichern erklärtermaßen 7 der 16 Aufsichtsbehörden die IP-Adressen der Besucher, ohne hierfür eine Zustimmung einzuholen oder auch nur deutlich darauf hinzuweisen. Lediglich 3 der 16 Aufsichtsbehörden erklären ausdrücklich, die IP-Adresse nicht zu erfassen. Bei den restlichen 6 Aufsichtsbehörden ist die Datenschutzerklärung so unklar formuliert, dass nicht ermittelt werden kann, ob die IP-Adresse gespeichert wird oder nicht.

Zur Erinnerung: Der Düsseldorfer Kreis fordert im Zusammenhang mit der Analyse des Nutzerverhaltens von Website-Besuchern u.a. wörtlich:

“Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger
Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.”

Von dieser eigenen Forderung sind die Aufsichtsbehörden bei der Handhabung auf ihren eigenen Websites derzeit weit entfernt.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen !

Da stellt sich zunächst die Frage, was der “Düsseldorfer Kreis” eigentlich ist. Düsseldorfer Kreise gibt es nämlich einige, z.B. einen aus der SHK-Branche (Sanitär,Heizung,Klima) mit entsprechender Domain, um den es hier bestimmt nicht geht. Oder den Düsseldorfer Kreis, bei dem es sich um einen Zusammenschluss von Vätervereinen handelt; der ist hier auch nicht gemeint. Richtig ist man dann beim Zusammenschluss der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich, also z.B. für die gewerbliche Wirtschaft. Diese Aufsichtsbehörden werden aufgrund einer Ermächtigung im Bundesdatenschutzgesetz jeweils durch die Länder bestimmt. Eine Übersicht der einzelnen obersten Aufsichtsbehörden findet man z.B. auf der Website des Landesdatenschutzbeauftragten Baden-Württemberg. Es wäre im Übrigen wünschenswert, dass dieser Düsseldorfer Kreis ein Portal o.ä. schafft, auf dem man die einzelnen Mitglieder, Termine, Statements und Entschließungen finden kann. Das gibt es, so weit ersichtlich, bislang nämlich noch nicht.

Diese obersten Aufsichtsbehörden haben sich im Düsseldorfer Kreis zu einem informellen Gremium zusammen geschlossen, dessen Entschließungen dazu dienen sollen, einheitliche Grundhaltungen zu finden und zu dokumentieren. Diese Entschließungen haben aber formal keinen verbindlichen Charakter. Maßgeblich sind daher grundsätzlich allein die geltenden Gesetze und etwaige hierzu ergangene Rechtsprechung.

Nun hat eben dieser Düsseldorfer Kreis Ende November einige Entschließungen getroffen, die teilweise für eine eigenartige Aufregung gesorgt haben. Auch hier empfiehlt es sich, zunächst mal aus erster Hand nachzulesen, um welche Entschließungen es sich gehandelt hat:

• Hinweis auf Gesetzesänderung bei der Datenverwendung für Werbezwecke
• Keine Internetveröffentlichung sportgerichtlicher Entscheidungen
• Datenschutzkonforme Ausgestaltung von Anlayseverfahren zur Reichweitenmessung bei Internet-Angeboten

Für Wirbel hat die zuletzt genannte Entschließung zur Verwendung von Webanalyseverfahren gesorgt. Fragt sich also, was da so Wichtiges und Neues entschieden wurde ? Im Wesentlichen geht es um den Hinweis, dass bei Anwendung von Webanalyseverfahren das Telemediengesetz zu beachten ist. So weit, so gut, jedenfalls nicht neu. Anders verhält es sich da schon mit der Aussage, dass die IP-Adresse kein Pseudonym im Sinne des Telemediengesetzes ist: Auch wenn das im Kern richtig sein mag, wünschte man sich von so einem bedeutsamen Gremium doch etwas mehr Sorgfalt und Differenzierung, beispielsweise in puncto Unterscheidung zwischen statischer und dynamischer IP-Adresse. Die Diskussion darüber, ob es sich bei IP-Adressen um personenbezogene Daten handelt, wird ja immer noch kontrovers geführt. Da hätte man schon etwas sorgfältigere Formulierungen erwarten dürfen, wie man sie beispielsweise in den sehr differenzierten Abhandlungen des ULD zu diesem Thema findet. Jedenfalls dürfen die Aufsichtsbehörden aber nicht dazu übergehen, die Untätigkeit des Gesetzgebers zu “überholen” und damit Standards vorzutäuschen, die mangels gesetzlicher Grundlage gar keine Standards sein können.

Was die sonstigen Punkte der Entschließung zur Webanalyse betrifft, lesen sie sich wie eine Zusammenfassung von Forderungen, wie sie aus den einschlägigen Diskussionen seit langem bekannt sind. Nachdem auch einige Landesdatenschutzbeauftragte im Düsseldorfer Kreis beteiligt sind, fragt man sich allerdings, wieso sie nicht ihre Konferenz Anfang Oktober 2009 zum Anlass genommen haben, derart eindeutige Entschließungen herbeizuführen, statt sich mit den wichtigen Fragen auf das kommende Jahr zu vertagen.

Fazit: Man ist gut beraten, sich bei Fragen der Datenschutzkonformität von Webanalyseverfahren intensiv und aktuell mit den laufenden Gesetzgebungsverfahren zu beschäftigen. Die Neuerungen im Bundesdatenschutzgesetz haben hierzu keine neuen Erkennntisse gebracht. Anders sieht es da schon mit dem gerade verabschiedeten Telekom-Paket der EU aus, das bis zum 30.06.2011 in nationales Recht umgesetzt sein muss. Was die dortigen Regelungen zur Cookie-Akzeptanz betrifft, wird dies von Webanalyse-Anbietern und -Verwendern wohl sorgfältig zu prüfen bzw. berücksichtigen sein.

Unabhängig davon werden wir uns mit dem Düsseldorfer Kreis und den Reaktionen auf dessen Entschließungen in den kommenden Tagen weiter beschäftigen … mit sicherlich interessanten Erkenntnissen.

In jüngster Vergangenheit haben sich erneut namhafte Datenschützer dieses Themas angenommen und fordern ein rechtliches Vorgehen gegen Google bzw. die Anwender von Google Analytics. ZEIT Online und  TAZ.de berichten und kommentieren ebenso, wie z.B. Patrick Ludolph auf webanalyse-news.

Was ist an Google Analytics so problematisch ?

Es ist wohl die Mischung … aus dem Namen, der mittlerweile per se  zum Reizwort geworden ist; der technischen Gestaltung, also die Kombination aus Pixel-Tracking, Outhouse-Datenhaltung und dabei Datentransfer in die USA; der zumindest unklaren Situation um das “Schicksal” der Daten, die nach Lage der Dinge eben nicht nur dem Website-Betreiber für Analysezwecke zur Verfügung gestellt werden, sondern auch für Werbezwecke verwendet und vermarktet werden.

In dieser Kombination und Ausprägung steht Google Analytics ziemlich alleine da und lassen sich die Themen, die im Zusammenhang damit derzeit diskutiert werden, entgegen der Auffassung von Patrick Ludolph eben nicht ohne weiteres auf andere Webanalyse-Produkte und -Lösungen übertragen.

Sicherlich wird es nach den Telekom-Beschlüssen des Europäischen Parlaments bis spätestens Ende Juni 2009 (in Deutschland mit Sicherheit früher, wir wollen ja immer die Ersten sein) zu verbindlichen Vorschriften über Opt-In oder Opt-Out bzgl. der Zulassung von Cookies kommen. Das alleine löst aber das eigentliche Problem nicht.

“Inhouse” muss das zentrale Thema sein. Es spricht vieles dafür und wenig dagegen, dass die Daten, die auf einer Website zum Zwecke der Webanalyse erfasst, ausgewertet und abgebildet werden, auch physisch beim Betreiber der Website bleiben. Auf diese Weise erübrigt sich jede Diskussion darüber, was außerhalb des Analyse-Projekts mit den Daten geschieht oder geschehen könnte. Dass dieses Thema in Fachkreisen viel zu wenig Beachtung findet, liegt daran, dass es nur wenige Webanalyse-Lösungen gibt, die Inhouse-Lösungen beherrschen und anbieten. Da spielen dann eben immer auch Lobbyismus und Protektionismus eine Rolle. Aber auch die Tatsache, dass die Inhouse-Varianten selbst bei Fachleuten wie Datenschutzbeauftragten nur wenig bekannt sind bzw. die Inhouse-Variante nicht selten mit einem finanziellen Mehraufwand für erforderliche Hardware verbunden ist.

Zu denjenigen, denen die Inhouse-Varianten nicht bekannt sind, gehört Google sicherlich nicht. Das sagt ein Blick auf die Leistungsmerkmale der kostenpflichtigen Google-Software für Webanalyse, die sich Urchin nennt. Dass Google dennoch nicht flächendeckend auf die Inhouse-Variante setzt, dürfte seinen Grund u.a. sicherlich darin haben, dass es auf dem Markt der großen und kleinen Online-Anbieter natürlich einfacher ist, sich die Webanalyse via Werbevermarktung bezahlen zu lassen, als dem Kunden eine Rechnung schicken zu müssen, die dann auch noch bezahlt werden sollte.

Um die Diskussion besser verstehen und die einzelnen Diskussionsbeiträge besser einschätzen zu können, muss man sich aber auch vergegenwärtigen, welchen Verbreitungsgrad Google Analytics im gewerblichen und nicht-gewerblichen Online-Markt erreicht hat. Mehr hierzu demnächst auf diesem Blog. Wir sind gerade dabei, eine derzeit noch interne Studie über den Verbreitungsgrad von Google Analytics, auch und vor allem im Public Sector, abzuschließen.

Handelt es sich bei der IP-Adresse um “personenbezogene Daten”, die – etwas vereinfacht dargestellt – nach Beendigung einer Websession gelöscht werden müssen, sofern es sich nicht um abrechnungsrelevante Vorgänge handelt ?

Diese Frage wird schon so lange gestellt, wie sie vom Gesetzgeber und von den Gerichten nicht abschließend und einheitlich beantwortet wird.

Wohin diese Misere führen kann, zeigt der Fall des Medienjournalisten und frisch gebackenen Hans-Bausch-Preisträgers Stefan Niggemeier (www.bildblog.de) .

Da wurde er zunächst für den Inhalt eines von ihm seinerzeit nicht geprüften Besucherkommentars gerichtlich belangt. Als er daraufhin dazu überging, die IP-Adresse der Kommentatoren zu erfassen und ihnen vor Absendung eines Kommentars die Angabe einer email-Adresse abzuverlangen, mahnte ihn der Berliner Datenschutzbeauftragte deswegen ab.

Da hat sich also auf klassische Weise die Katze in den Schwanz gebissen.

Der Umgang mit der IP-Adresse eines Websitebesuchers stellt sich dabei weit weniger problematisch dar, als es den Anschein hat. Im regulären Betrieb, z.B. im Zuge einer Webanalyse-Anwendung, hat grundsätzlich niemand ein berechtigtes Interesse daran, die IP-Adresse eines Besuchers abgebildet zu bekommen. Bei der Webanalyse sollte es um die Abbildung von Besuchen, nicht von Besuchern gehen.

Möchte man z.B. Geo-Daten abbilden, benötigt man hierfür nach derzeitigem Stand zwar die IP-Adresse (wenn man die Geodaten nicht mit wesentlich aufwändigeren Verfahren erheben will), muss diese IP-Adresse aber nicht zwingend auf die Auswertungsebene übertragen. Damit befindet sich die IP-Adresse dann zwar immer noch auf der Rohdatenebene, ist für den Anwender der Webanalyse-Lösung aber nicht zugänglich.

Wozu muss dann aber die IP-Adresse auf der Rohdatenebene noch zur Verfügung stehen, nachdem die Session beendet ist ? Warum löscht man sie auf der Rohdatenebene nach der Beendigung der Session also nicht einfach ?

Die Beantwortung dieser Frage hängt sicherlich von der Art des Webauftritts ab, auf dem die Webanalyse-Lösung installiert wird. Handelt es sich um einen Webauftritt, der keinerlei Anhaltspunkte für Missbrauch o.ä. bietet, spricht wenig bis überhaupt nichts dagegen, die IP-Adresse nach Beendigung der Session zu löschen. Handelt es sich demgegenüber um einen Webauftritt, auf dem Missbrauch möglich ist oder der potenzielle Missbraucher geradezu anziehen könnte, z.B. bei Banken oder Versicherungen, sollte eine Möglichkeit bestehen, etwaigen Missbrauch nachträglich auch vollständig, also unter Einbeziehung der IP-Adresse, nachvollziehen zu können. Ebenso verhält es sich z.B. bei Webauftritten von Behörden oder Parteien, auf denen via Forum oder Kontaktformular institutions- oder personenbezogene Drohungen oder Beleidigungen hinterlassen werden können. Auch in diesen Fällen kann es durchaus Sinn machen, die IP-Adresse nicht sofort zu löschen, um beispielsweise eine nachträgliche Strafverfolgung zu ermöglichen.

Wichtig ist in diesen Fällen nur die Sicherstellung der Berechtigungen für den Zugriff auf die Rohdaten. Es muss ausgeschlossen werden, dass der reguläre Anwender der Webanalyse – bewusst oder versehentlich – Zugriff auf die IP-Adressen bekommt. Der Zugriff darf nur auf Systemebene nach mehrstufig konzipierten Zugriffsprozeduren möglich sein. Auf diese Weise wird sichergerstellt, dass nur eine Person oder wenige Personen Zugriff auf diesen Datenbestand haben. Gleichzeitig wird ausgeschlossen, dass diese Daten versehentlich, z.B. durch Fehlbedienung oder Schlamperei, in die falschen Hände geraten. Oder umgekehrt: Wenn in einem derart organisierten System z.B. IP-Adressen aus dem System heraus “wandern”, kann dies zwingend nur aufgrund einer mehrstufigen Prozedur erfolgt sein und kann sich derjenige, der das zu verantworten hat, nicht damit herausreden, dass ihm das ohne Absicht “passiert” sei.

Die hiergegen vorgebrachte Argumentation, wonach kein berechtigtes Interesse an einer Speicherung der IP-Adresse bestehe, weil die Kenntnis einer IP-Adresse nicht zwingend zum Erfolg, also z.B. zur Identifizierung eines Missbrauchers auf einer Website, führen würde, hinkt: Mit dieser Begründung müsste man beispielsweise jede Kamera an Geldautomaten oder in Tankstellen verbieten, weil die Anfertigung eines Lichtbildes ebenfalls nicht zwingend zur Identifizierung des Betreffenden führt; er könnte sich verkleidet oder sein Gesicht entstellt haben, ganz abgesehen von technischen Defekten oder schlechten Lichtverhältnissen, die zu schlechter Bildqualität führen und deswegen eine Identifizierung verhindern könnten. Mit dieser Begründung könnte letztlich jede Ausweiskontrolle untersagt werden, weil der Ausweis gefälscht sein könnte und deshalb die Ausweiskontrolle nicht zwingend und immer zur Ermittlung der wahren Identität des Betreffenden führen könnte.

Bei der gesamten Diskussion um die Speicherung von IP-Adressen sollte man also bei aller berechtigter Vorsicht die Kirche im Dorf lassen. Oder plakativ ausgedrückt: Das Brotmesser in der Küchenschublade ist legal erworben worden und wird mit Sicherheit nicht verboten werden … obwohl es im Einzelfall zu einer Gewalttat missbraucht werden kann.