Nach Wochen der Beobachtung ohne eigene Blog-Aktivitäten ist die Zeit gekommen, dem Input einen Output folgen zu lassen.

Die ernüchternde Zwischenbilanz: Datenschutz scheint, was die hierzu veröffentlichten Beiträge betrifft, ein Tagesthema zu sein: Höchste Aktivitäten, wenn ein Thema hochkocht, und genau so schnell ist es wieder von der Bildfläche verschwunden, bis zum nächsten Mal, wenn es wieder Zeit für einen befristeten Aufreger ist.

Schon der tägliche Blick durch den Mainstream lässt darauf schließen, dass der Datenschutz, speziell auch der Webdatenschutz, den selben Stellenwert hat, wie eine Schneekatastrophe, ein Vulkanausbruch und hieraus resultierende Sperrungen des Luftraums, oder ein Hochwasser.

Praktisch alle Online-Tageszeitungen und -Magazine verfügen mittlerweile über Sparten, die sich “Digital”, “Netzwelt” oder “Webwelt” nennen. Was man darin findet, sind oftmals redaktionelle Veröffentlichungen, mit denen sich die Medien z.B. zum verlängerten Marketing-Arm von Apple machen: Seit Wochen wird massiv über das I-Pad berichtet. Aber ist das wirklich von so großem Interesse, was dieses Gerät kann oder nicht kann ? Die wenigsten Mainstream-Auftritte leisten sich eine spezielle Sparte für den Datenschutz: Soweit ersichtlich, derzeit nur die ZEIT und dann noch, im Rahmen des ctrl-Blogs, die TAZ.

Und wie sieht es in den Social Media aus ? Da bestimmen ja nun einmal maßgeblich die Nutzer, die Community-Mitglieder, die Blogger die Themen. Man könnte meinen, sie würden sich mit dem Thema Datenschutz – zumal als teilweise unmittelbar Betroffene – intensiver und vor allem nachhaltiger auseinandersetzen. Um das festzustellen, lohnt sich ein Blick auf den Social-Media-Monitor: Wie nachhaltig wurden bestimmte Datenschutzthemen im Web 2.0 behandelt ? Hier ein paar Auszüge aus dem deutschsprachigen Raum, denen zumindest Tendenzen entnommen werden können.

Thema Steuersünder-CD und Datenschutz

Quelle: Radian6

Thema Vorratsdatenspeicherung und Datenschutz

Quelle: Radian6

Thema ELENA und Datenschutz

Quelle: Radian6

Thema Facebook und Datenschutz

Quelle: Radian6

Die Grafiken sind im Grunde selbst erklärend: Auch im Web 2.0 werden die Themen mit “Spitzen” behandelt. Teilweise (Steuersünder-CD und Vorratsdatenspeicherung) verlaufen sie nach einem Peak im Sande, teilweise (ELENA und Facebook) werden sie einigermaßen gleichbleibend mit wiederkehrenden Peaks behandelt.

Stellt sich die Frage, durch was die jeweiligen Trends bestimmt werden. Sind es am Ende die Mainstream-News, welche die Intensität der Diskussion im Web 2.0 bestimmen ? Hierzu demnächst mehr an dieser Stelle.

Interessant ist immerhin schon mal die Erkenntnis, dass die eher politisch dominierten Themen Steuersünder-CD und  Vorratsdatenspeicherung mit jeweils einer markanten Spitze behandelt werden, während vor allem das Thema ELENA relativ konstant immer wieder Spitzen aufweist. Könnte das daran liegen, dass sich mit diesem Thema vor allem professionelle Interessenvertretungen, nämlich Arbeitgeberverbände und Gewerkschaften, aber auch z.B. die Datenschutzbeauftragten nachhaltig beschäftigen ?

Interessant auch die Tatsache, dass sich mit dem Thema Facebook und Datenschutz in absoluten Zahlen im Verhältnis zu den anderen Themen die wenigsten Posts beschäftigen. Eigentlich erstaunlich, angesichts der Tatsache, dass die von diesem Thema eigentlich betroffene Facebook-Gemeinde doch recht umfangreich ist. Oder vielleicht auch nicht erstaunlich, weil hieraus die Erkenntnis gezogen werden könnte, dass die Facebooker selbst das Thema Datenschutz gar nicht so eng sehen. Wäre auch nicht weiter verwunderlich, nachdem Facebook ja wesentlich von den nach herkömmlichen Maßstäben datenschutzrelevanten Informationen “lebt” und jeder, der sich auf Facebook offenbart, sich dessen auch bewusst ist, das vielleicht sogar ausdrücklich wünscht. Wenn es so ist, schließt sich aber unmittelbar die Frage an, wieso sich z.B. Politiker dann so intensiv mit dem Thema Facebook beschäftigen.

Egal wie, es lohnt sich, den Stellenwert des Themas Datenschutz im Mainstream und im Web 2.0 sowie etwaige Abhängigkeiten zwischen Mainstream und Web 2.0 weiter zu untersuchen.

Also denn, bis die Tage ….

… so oder ähnlich könnte man die derzeit verstärkt aufkommende Diskussion um Cookies, IP-Adressen und Google Analytics umschreiben.

Man muss kein “Freund” von Google Analytics sein, um nicht dennoch zu hinterfragen, ob diese Diskussion von allen Beteiligten mit der nötigen Konsequenz geführt wird oder ob hier nicht vielmehr verbreitet nach dem Motto “Haltet den Dieb” argumentiert wird.

Jeder möchte im Internet weitestgehend kostenfreie Dienstleistungen in Anspruch nehmen. Gerade auch Behörden rühmen sich damit, flächendeckend kostenfreie Ressourcen zu nutzen. Dass hinter diesen oftmals sehr qualifizierten und hilfreichen Dienstleistungen und Angeboten ein erheblicher Personal- und Sachaufwand steht, liegt auf der Hand, spielt in der Diskussion aber offensichtlich keine Rolle.

Wer den Gratis-Anbietern Auflagen dahingehend machen will, dass die Vermarktung der Ergebnisse der kostenlosen Inanspruchnahme dieser Dienstleistungen erheblich erschwert oder sogar unmöglich gemacht wird, sollte so konsequent sein, gleichzeitig allgemein und für sich selbst die Frage zu beantworten, auf welchem Weg denn der Anbieter künftig seine zur Aufrechterhaltung des Angebots erforderlichen Einnahmen generieren soll/kann.

Was hilft es, sich bei jeder Gelegenheit über die Handlungsweise von Google zu ereifern, wenn auf der anderen Seite das stellenweise einfach sehr gute Angebot von Google zwar gerne in Anspruch genommen wird, aber keine Bereitschaft besteht, hierfür auch zu bezahlen ?

Was wäre, wenn der Nutzer für jede Suchanfrage bei Google zahlen müsste ?

Was wäre, wenn der Leser für jeden Artikel bei SPIEGEL, ZEIT & Co. zahlen müsste ? Entsprechende Testballons sollen ja gestartet werden; bleibt abzuwarten, wie die Nutzungsstatistiken für diese kostenpflichtigen Angebote aussehen werden.

Was wäre, wenn für die Nutzung der VZs, Facebooks, XINGs und TWITTERs dieser Welt gezahlt werden müsste ?

Wie sähe es aus, wenn der Nutzer für Firefox, Thunderbird, Wordpress, Joomla, OpenOffice, Linux und Picasa zahlen müsste, und das sicher nicht zu knapp ?

Man muss kein Pessimist sein, um zu prognostizieren, dass dann mangels Inanspruchnahme zahlreiche Unternehmen von der Bildfläche verschwinden und das Programmangebot schlicht und einfach geringer, das Internet also tatsächlich “ärmer” werden würde.

Um Missverständnissen vorzubeugen: Sicherlich heiligt gerade beim Thema Datenschutz im Internet der Zweck nicht jedes Mittel. Will sagen: Selbstverständlich gibt es bei der Erhebung, Auswertung und Vermarktung von Daten Grenzen, die endlich einmal sorgfältig definiert und dann auch ausnahmslos eingehalten werden sollten.

Die Betonung liegt dabei aber auf  “sorgfältig”, d.h., man muss das Thema fundiert angehen, sich die erforderliche Zeit nehmen und vor allem alle Beteiligten zu Wort kommen lassen. Niemandem ist damit geholfen, wenn nach Art des Düsseldorfer Kreises plakative Forderungen zur Entschließung gemacht werden, ohne dass auch nur ansatzweise daran gedacht wurde, wie die Umsetzung derartiger Entschließungen das Internet auch negativ verändern würde. Ganz zu schweigen von der Tatsache, dass Teile des Düsseldorfer Kreises selbst z.B. die IP-Adressen speichern, andere sich insoweit eigenartig bedeckt halten und nur der geringste Teil dieses Gremiums offen darlegt, in welch geringem Umfang bzw. dass überhaupt nicht Nutzungsdaten erhoben werden.

Nur ein Beispiel: Natürlich fällt es einem Landesdatenschutzbeauftragten, der nichts verkaufen muss und dessen Apparat aus Steuermitteln finanziert wird, leichter, bestimmte Tracking-Komponenten auszuschließen, als einem Shop, einer Online-Zeitung oder einer Versicherung, die über das Besucherverhalten genauestens informiert sein wollen und müssen, um ihre Verkaufs- oder Werbeerfolge messen, beurteilen und im Zweifel steigern zu können. Macht es vor diesem Hintergund Sinn, alle Anbieter über einen Kamm zu scheren ? Diese Frage hat man in den offiziellen Verlautbarungen bislang ebenso wenig gehört, wie z.B. die Frage, wie sich denn der Wegfall bestimmter kostenfreier Angebote auf die Internet-Kultur – und die gibt es zweifelsohne ! – auswirken würde.

Es ist also an der Zeit, den Aktionismus einfach mal abzuschalten und sich daran zu machen, das Notwendige vom nicht Notwendigen, das Machbare vom nicht Machbaren, das Sinnvolle vom nicht Sinnvollen zu trennen. Das Ganze sollte unter Einbeziehung der Betroffenen, z.B. vertreten durch Verbände, erfolgen. Auch wenn Google im Internet eine Vormachtstellung hat, darf man nicht übersehen, dass im Internet eben auch eine Vielzahl von größeren und kleineren Anbietern vertreten sind, die durch jedwede Regelungen betroffen wären. Auch diese Anbieter müssen eine Stimme bekommen, bevor geregelt wird.

Letztendlich sollte aber auch berücksichtigt werden, dass man die Einhaltung dessen, was geregelt wird, auch flächendeckend, also gerecht, überwachen können sollte.

Nachdem der Düsseldorfer Kreis zum Thema Webanalyse eine so öffentlichkeitswirksame Entschließung gefasst hat, stellt sich die Frage, ob sich die Aufsichtsbehörden als Wächter über die Datenschutzkonformität von Webauftritten der privaten Wirtschaft denn an den von ihnen selbst gesetzten Maßstäben messen lassen können.

Deswegen haben wir einen Blick in die Datenschutzerklärungen der betreffenden Behörden geworfen und sind dabei (Stand 08.12.2009, 17.00 Uhr) auf folgende Ergebnisse gestoßen:

Datenschutzerklärung Innenministerium Baden-Württemberg:

Einfach mal anschauen. Zunächst fällt auf, dass die IP-Adresse nirgends erwähnt wird, weder als “gespeichert”, noch als “nicht gespeichert”. Es ist die Rede davon, dass eine Nutzung ohne Offenlegung der persönlichen Daten möglich ist; was heißt das ? Es wird davon gesprochen, dass keine personenbezogene Auswertung der vom Rechenzentrum erlangten Daten erfolgt; hat man also personenbezogene Daten ?; und wenn man die IP-Adressen im Rechenzentrum erlangt hat, betrachtet man sie dann nicht als personenbezogene Daten ?

Nur ein paar Fragen, die sich die Aufsichtsbehörde Baden-Württemberg gefallen lassen muss.

Datenschutzerklärung Regierung von Mittelfranken:

Es lohnt sich, hier mal genauer nachzulesen. In dieser Datenschutzerklärung wird unter anderem unverblümt eingeräumt, dass die “IP-Adresse des anfordernden Rechners” gespeichert wird. Das klingt ja schon mal interessant. Offenbar sieht man die IP-Adressen also als sachbezogene Daten (”Rechner”) und nicht als personenbezogene Daten ? Gleich anschließend wird klar gestellt, dass die gespeicherten Daten, also auch die IP-Adressen, “ausschließlich zu technischen und statistischen Zwecken benötigt” werden. Das ist ja wohl meistens so, wenn Webanalyse eingesetzt wird, ob in der privaten Wirtschaft oder im Bereich der öffentlichen Verwaltung. Interessant auch die Mitteilung, wonach die gespeicherten Daten nach der jährlichen Auswertung im Januar des Folgejahres gelöscht werden: Also werden auch die IP-Adressen jedenfalls bis zu 13 Monate gespeichert = nicht gelöscht.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die bayerischen Aufseher wohl nicht so eng ?

Datenschutzerklärung Berliner Beauftragter für Datenschutz und Informationsfreiheit:

Laut Datenschutzerklärung werden IP-Adressen nicht gespeichert und Cookies grundsätzlich nicht gesetzt, mit Ausnahme eines Cookies zur Sicherstellung der Barrierefreiheit (Schriftgröße), das beim Schließen des Browsers gelöscht wird.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung Ministerium des Innern Brandenburg:

Unter der Rubrik “Datenschutz” vermutet man ja in der Regel datenschutzrelevante Hinweise des Website-Betreibers, die sich ausdrücklich auf die Nutzung der Website beziehen. Nicht so bei der Aufsichtsbehörde des Landes Brandenburg: Dort findet am unter “Datenschutz” allgemeine Hinweise auf datenschutzrechtliche Grundsätze und Möglichkeiten, die dem hilfesuchenden Bürger geboten werden.

Auch unter “Impressum” findet man keine weiter führenden Hinweise oder Informationen.

Fazit: Nachdem jedwede website-bezogene Hinweise fehlen, kann man noch nicht einmal ahnen, wie das Innenministerium Brandenburg mit den Daten der Website-Besucher umgeht.

In Brandenburg ein alles andere als vorbildlicher Umgang mit dem Thema Datenschutz !

Datenschutzerklärung der Landesdatenschutzbeauftragten Bremen:

Gemäß Datenschutzerklärung werden zwar keine Cookies verwendet, aber  u.a. die IP-Adressen der Besucher erfasst und gespeichert. Auch hier ist allerdings die Rede von “der Rechneradresse (IP-Adresse)” … sind die IP-Adresse also keine personenbezogenen Daten ?

Darüber, wie lange die IP-Adressen gespeichert werden, schweigt sich die Datenschutzerklärung aus. Erwähnt wird lediglich, dass die Daten “ausschließlich zu statistischen Zwecken ausgewertet” werden … das ist eben gerade bei den beaufsichtigten nicht-öffentlichen Website-Betreibern auch der Fall. Eine Zustimmung zur Erfassung/Speicherung der IP-Adresse wird nicht eingeholt.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die Bremer Aufseher wohl nicht so eng ?

Datenschutzerklärung des Hamburgischen Datenschutzbeauftragten:

Gemäß Datenschutzerklärung werden auf der Website “keine Nutzungsdaten” erhoben oder verarbeitet und “keine Cookies” verwendet.

So weit, so gut. Bleibt die Frage, ob in Hamburg die IP-Adressen als “Nutzungsdaten” angesehen werden oder nicht. Also die Frage, ob auf der Website des Hamburgischen Datenschutzbeauftragten die IP-Adressen der Besucher erfasst und gespeichert werden oder nicht.

Hierüber schweigt sich die Hamburger Datenschutzerklärung aus … auch nicht gerade vorbildlich.

Datenschutzerklärung des Hessischen Ministeriums des Innern und für Sport:

Auf der Website der hessischen Aufsichtsbehörde werden die “IP-Adresse des anfordernden Rechners” und “Cookies” gespeichert. Irgendwelche Zustimmungs- oder Ausschlussmechanismen gibt es nicht.

Das bedarf wohl keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die hessischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:

Nach dieser Erklärung werden auf der Website keine IP-Adressen protokolliert und keine Cookies verwendet.

Die im Einzelnen benannten erhobenen sonstigen Daten werden nach einem Tag gelöscht.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Landesdatenschutzbeauftragten Niedersachsen:

Diese Datenschutzerklärung ist auch nicht ansatzwesie aussagekräftig, weshalb wir sie hier wörtlich auszugsweise wiedergeben:

“Bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot des Niedersachsen-Portals und bei jedem Abruf einer Datei werden Daten über diesen Vorgang in einer Protokolldatei gespeichert. Diese Daten sind nicht personenbezogen; wir können also nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat.Diese Protokolldaten werden für zwei Monate gespeichert, sie werden lediglich statistisch ausgewertet.”

Der Besucher erfährt also, dass bei jedem Zugriff  “Daten gespeichert” werden. Immerhin folgt an anderer Stelle der Zusatz, dass keine Cookies verwendet werden.

Stellt sich die banale Frage:

Welche Daten werden in Niedersachsen gespeichert ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Nordrhein-Westfalen:

Hier werden u.a. die IP-Adressen “für die Zeit des Kommunikationsvorgangs” gespeichert und verarbeitet. Interessante Formulierung: Fragt sich, wann das passieren soll, wenn nicht während des Kommunikationsvorgangs.

“Nach Beendigung des Kommunikationsvorgangs wird die IP-Adresse anonymisiert”. Fragt sich, auf welcher Ebene das passiert: Im Rahmen der Auswertung oder auf Rohdatenebene ?

Auch hier findet sich keinerlei Funktion, die dem Besucher die Zustimmung zur oder die Ablehnung der Erfassung, Speicherung und Auswertung der IP-Adressen ermöglichen würde.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die NRW-Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Rheinland-Pfalz:

Die IP-Adressen werden in einer Protokolldatei gespeichert. Zusätzlich erfolgt der Hinweis, dass diese Information zur statistischen Auswertung des Zugriffs herangezogen und nach Ablauf des Tages des Zugriffs automatisiert anonymisiert wird.

Über den Einsatz und die Handhabung von Cookies wird nichts ausgesagt. Möglichkeiten für Opt-In oder Opt-Out sind nicht ersichtlich.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die rheinland-pfälzischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Saarländischen Ministeriums des Innern:

Hier findet sich ein interessanter Ansatz: “Für Zwecke der Datensicherheit” werden “vorübergehend Daten gespeichert, die möglicherweise eine Identifizierung zulassen”, u.a. auch die IP-Adressen. Es erfolgt aber keine Auswertung, “mit Ausnahme für statistische Zwecke in anonymisierter Form”.

Der Besucher wird auf die Möglichkeit hingewiesen, Auskunft über die ihn betreffenden gespeicherten personenbezogenen Daten zu erhalten, außerdem auf sein Recht, Berichtigung, Sperrung oder Löschung zu verlangen.

Das alles bedarf keiner weiteren Kommentierung.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die saarländischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesdatenschutzbeauftragten Sachsen

Auch eine interessante Variante: Es wird darauf hingewiesen, dass es “lediglich zur Behebung von technischen Problemen … vorübergehend notwendig” sein kann, u.a. die IP-Adresse zu speichern. In diesem Fall werden die IP-Adressen in einer Protokolldatei gespeichert und “unmittelbar nach Behebung des technischen Problems gelöscht”.

Opt-In- oder Opt-Out- Möglichkeiten sind nicht ersichtlich.

Es bleibt dem geneigten Besucher überlassen, die Geschichte von den technischen Problemen zu glauben oder nicht zu glauben. Jedenfalls wird er nicht informiert, ob gerade ein technisches Problem besteht und dementsprechend u.a. gerade die IP-Adresse getrackt wird.

Während man also von den Beaufsichtigten die Einhaltung enger Voraussetzungen für die Erhebung und Speicherung der IP-Adressen fordert, sehen das die sächsischen Aufseher wohl nicht so eng ?

Datenschutzerklärung des Landesverwaltungsamtes Sachsen-Anhalt:

Ebenfalls eine sehr nichtssagende Datenschutzerklärung: Alle Zugriffe werden registriert, eine Speicherung personenbezogener Daten findet nicht statt, “gespeicherte Daten werden für statistische Zwecke ausgewertet und ggf. anonymisiert veröffentlicht”.

Da fragt man sich, wieso anonymisiert werden muss, wenn doch angeblich keine personenbezogenen Daten gespeichert werden ??? Ausdrücklich wird denn auch nichts dazu gesagt, ob die IP-Adressen erfasst und gespeichert sowie wann sie ggf. gelöscht werden.

Etwas undurchsichtig und nicht gerade vorbildlich dokumentiert, was da unter Datenschutzgesichts-punkten auf der Website passiert.

Datenschutzerklärung des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein:

IP-Adressen werden nicht gespeichert, Cookies kommen nicht zum Einsatz.

Insgesamt eine sehr geradlinige Datenschutzerklärung, die auf eine sehr konsequente Handhabung dieses Themas beim Betrieb der eigenen Website schließen lässt. Alles andere hätte in diesem Fall auch verwundert.

Vorbildlich und im Sinne der am 27.11.2009 getroffenen Entschließungen des Düsseldorfer Kreises.

Datenschutzerklärung des Innenministeriums Thüringen:

Diese Erklärung enthält den Hinweis, dass eine Zugriffsstatistik geführt wird, u.a. auch über die “Herkunft der Besuche”. Das lässt den Schluss zu, dass auch mit der IP-Adresse gearbeitet wird, ausdrücklich wird das allerdings nicht erwähnt.

Nachdem auf der anderen Seite darauf hingewiesen wird, dass personenbezogene Daten nur mit ausdrücklicher Zustimmung des Nutzers erhoben werden, würde das nach dem Standpunkt des Düsseldorfer Kreises allerdings bedeuten, dass die IP-Adresse nicht erfasst bzw. gespeichert wird.

Es wäre wünschenswert, wenn die Datenschutzerklärung etwas weniger “schleierhaft” formuliert werden würde.

In der vorliegenden Fassung wirft diese Datenschutzerklärung aus Sachsen-Anhalt mehr Fragen auf, als sie Antworten gibt.

Insgesamt lässt sich also feststellen, dass auf den Websites der 16 obersten Aufsichtsbehörden für die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich bis auf zwei Ausnahmen erheblicher Nachholbedarf bei der Formulierung einer Datenschutzerklärung mit klarer Aussagekraft besteht. Es entsteht teilweise der Eindruck, dass mehr oder weniger krampfhaft versucht worden ist, die tatsächliche Qualität und den tatsächlichen Umfang der Datenerfassung und der Datenspeicherung zumindest nicht so deutlich zu offenbaren, wie dies tatsächlich praktiziert wird.

Überdies erfassen und speichern erklärtermaßen 7 der 16 Aufsichtsbehörden die IP-Adressen der Besucher, ohne hierfür eine Zustimmung einzuholen oder auch nur deutlich darauf hinzuweisen. Lediglich 3 der 16 Aufsichtsbehörden erklären ausdrücklich, die IP-Adresse nicht zu erfassen. Bei den restlichen 6 Aufsichtsbehörden ist die Datenschutzerklärung so unklar formuliert, dass nicht ermittelt werden kann, ob die IP-Adresse gespeichert wird oder nicht.

Zur Erinnerung: Der Düsseldorfer Kreis fordert im Zusammenhang mit der Analyse des Nutzerverhaltens von Website-Besuchern u.a. wörtlich:

“Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger
Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.”

Von dieser eigenen Forderung sind die Aufsichtsbehörden bei der Handhabung auf ihren eigenen Websites derzeit weit entfernt.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen !

Teilweise weiß man überhaupt nicht, was das ist. Teilweise identifiziert man nach ausführlicher Erklärung das schon seit Jahren im Einsatz befindliche “Statistik-Tool” als das, was wohl gemeint war. Teilweise versteigt man sich zu der Behauptung, vom Einsatz einer Webanalyse habe man aus Datenschutzgründen Abstand genommen, obwohl im Verantwortungsbereich des Betreffenden nachweislich sechs unterschiedliche Webanalyse-Lösungen im Einsatz sind.

Was lernt man daraus ?

Erstens, dass zum Teil noch erheblicher Erklärungsbedarf dahingehend besteht, was eine seriöse Webanalyse-Lösung leistet.

Zweitens, dass sich angesichts der ehrgeizigen Ziele, die sich die öffentliche Hand in den Bereichen E-Government und DLR gesetzt hat, langsam herum sprechen sollte, dass der Einsatz einer Webanalyse-Lösung von der Datenerfassung und der sinnvollen Sortierung und Abbildung über die Auswertung bis zum Arbeiten mit der Auswertung einen überaus dynamischen Prozess darstellt und mit “Statistik” im herkömmlichen Sinne wenig bis überhaupt nichts zu tun hat.

Drittens, dass bei steigendem Bedarf nach Webanalyse-Lösungen im Bereich des öffentlichen Dienstes dringend mehr Transparenz in die Vergabeprozesse gebracht werden sollte, um Peinlichkeiten und Unregelmäßigkeiten zu vermeiden.