Datenschutzprobleme bei Hamburgs Datenschutzbeauftragtem

Professor Johannes Caspar hat dieser Tage keinen leichten Stand. Der Hamburger Datenschutzbeauftragte sieht sich dem Vorwurf ausgesetzt, es auf der eigenen Website mit dem Datenschutz nicht so genau zu nehmen. Aus diesem Grund hat er seinen Web-Auftritt am gestrigen Tag sogar erst einmal vom Netz genommen.

Begonnen hatte es damit, dass Caspar vor drei Tagen scharfe Kritik an dem Webtracking-Tool Google Analytics geübt hatte. Nach dem Willen von Caspar sollen sich die obersten Datenschutzbehörden demnächst erneut mit Google Analytics befassen. Der Hamburger Datenschutzbeauftragte hatte angedeutet, dass Nutzer von Google Analytics exemplarisch mit einem Bußgeld belegt werden könnten. Auch werde ein Musterprozess gegen ein größeres Unternehmen erwogen.

Die scharfe Kritik am viel genutzten Google-Tool brachte offenbar einige Surfer dazu, die Website von Caspar selbst genauer zu untersuchen. Und siehe da: Kurze Zeit später meldete der Rechtsanwalt Thomas Stadler in seinem Blog, dass der Quelltext von Caspars offiziellen Webseiten ein Zählpixel der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) enthalte.

Für Stadler war dies ein deutlicher Hinweis darauf, dass Caspar jene Methoden, die er kritisiert, selbst anwendet: "Das Programm der IVW ist, wie Google Analytics auch, ein Tracking-Tool, das Daten über die Besucher der Website sammelt und an die IVW weiterleitet, unter anderem auch die IP-Adressen der Seitenbesucher." In einem Kommentar zum Blog-Beitrag meldete sich Caspar daraufhin selbst zu Wort und wies darauf hin, dass der Online-Auftritt seiner Dienststelle von Hamburg.de gehostet werde: "Über die technische Infrastruktur unserer Seite entscheiden daher nicht ich oder meine Mitarbeiter, sondern dieses Unternehmen."

Diese Stellungnahme führte zu harscher Kritik in den Kommentaren, auch von Blog-Betreiber Stadler selbst: "Als Diensteanbieter und damit auch datenschutzrechtlich verantwortliche Stelle berufen Sie sich auf die Verantwortung eines Vordienstleisters. Einem Unternehmen, das Ihrer Behörde gegenüber so argumentiert, würden Sie das wohl kaum durchgehen lassen", schrieb der Rechtsanwalt." An anderer Stelle lautet die Kritik: "Der Hamburgische Datenschutzbeauftragte tut also de facto nicht das Mögliche, um dafür zu sorgen, dass das eigene Webangebot den Anforderungen genügt, die man an andere stellt."

Einen Tag später, also am gestrigen Donnerstagabend, nahm Caspar die offizielle Website seiner Behörde schließlich vom Netz. In einer kurzen Mitteilung hieß es lediglich: "Aufgrund des Einsatzes von unzulässiger Trackingsoftware auf den Seiten von hamburg.de hat der Hamburgische Beauftragte von Datenschutz und Informationsfreiheit heute seinen dortigen Internetauftritt abgeschaltet." Gegenüber heise online bestätigte die Behörde mittlerweile, dass man damit tatsächlich auf die Kritik am Einsatz des IVW-Zählpixels reagiert habe.

Das ominöse IVW-Pixel steht immer wieder in der Kritik von Datenschützern. Es dient kommerziellen Online-Auftritten dazu, Abrufe und "Visits" auf ihren Sites von der IVW zählen zu lassen, um verlässliche Daten für die Werbevermarkter zu haben. Die Datenerhebung selbst übernimmt das Unternehmen INFOnline. Dessen Geschäftsführer Dirk Wippern wird seit Jahren nicht müde zu erklären, INFOnline speichere keine IP-Adressen von Website-Besuchern und handle daher datenschutzkonform.

In der Tat speichern die Server von INFOnline nicht dauerhaft IP-Adressen, wohl aber lassen sie sich die Daten mit dem Abruf des Zählpixels zunächst komplett übermitteln. Die IP-Adressen werden laut Wippern lediglich genutzt, um via Geolocation das Herkunfts-Bundesland des Besuchers zu ermitteln und anschließend einen nicht reversiblen Hashwert zu bilden. Danach, spätestens aber nach zehn Minuten, ist die IP-Adresse für immer aus dem Flash-Speicher des Servers gelöscht.

Aufgrund unterschiedlicher Aussagen der Beteiligten war sich Caspar unsicher, ob die von INFOnline eingesetzte Methode gegen das Telemediengesetz und damit gegen geltendes Datenschutzrecht verstößt. Just auf einem Treffen Anfang dieser Woche mit Vertretern von hamburg.de, INFOnline und IVW stellte sich heraus, dass die Software nach Ansicht des Hamburger Datenschutzbeauftragten nicht den Vorgaben entsprach.

Gegenüber heise online erklärte Ulrich Kühn, ein Mitarbeiter Caspars, dass "der Hamburgische Datenschutzbeauftragte den weiteren Verbleib auf den Seiten von hamburg.de bis zu deren Umstellung nicht zuletzt wegen der Vorbildfunktion für den Datenschutz verwarf." Dass er jetzt seine Site umbaue bedeute aber nicht, dass beispielsweise große Websites wie Spiegel Online oder heise.de Probleme mit Aufsichtsbehörden bekämen, weil sie das IVW-Pixel einsetzen: "Für uns gilt da nun mal ein schärferer Maßstab." Zudem verfolge man eine Strategie, die auf eine Lösung über die Softwareanbieter, nicht auf die Verhängung von Bußgeldern gegen die einzelnen Webseitenbetreiber setze.

Ohnehin erledige sich das Problem bald von selbst: Als Ergebnis der Gespräche habe die INFOnline deutliche Zugeständnisse gemacht. Noch in der ersten Jahreshälfte 2011 werde das Verfahren dergestalt umgebaut, dass die IP-Adressen nach der Übermittlung, aber vor der Verarbeitung anonymisiert würden, indem sie um das letzte Oktett gekürzt würden. Damit wäre ein Rückschluss von der IP-Adresse auf konkrete Personen, also die beanstandete Personenbeziehbarkeit, nicht mehr gegeben. (hob)