Datenschützer wollen Webanalysediensten Fesseln anlegen

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich ("Düsseldorfer Kreis") haben auf ihrer Sitzung am 26. und 27. November 2009 in Stralsund beschlossen, "dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind." Marit Hansen, stellvertretende Leiterin des Unabhängigen Landeszentrums für Datenschutz in Schleswig Holstein (ULD), betont: "Die Aufsichtsbehörden betreiben mit ihrem Beschluss keinesfalls ein 'Bashing' gegen Google Analytics, sondern arbeiten produktneutral die Kriterien heraus, die an alle Internet-Dienste zur Reichweitenanalyse anzulegen sind."

Die Software Google Analytics wird nach Erkenntnis der Xamit Bewertungsgesellschaft von gut 13 Prozent aller deutschen Internetseiten eingesetzt – darunter auch Online-Apotheken und andere Läden, Medien, Immobilien, Pornoseiten und Parteien. Andere Analysedienste kommen Xamit zu Folge zusammen auf knapp vier Prozent aller deutschen Webseiten. Sollten die Xamit-Daten repräsentativ sein, würde Google 1,8 Millionen deutsche Internetseiten beobachten. Die Datenschützer fürchten, dadurch könnten Profile von Millionen Internetsurfern mit ihren Interessen, Lebensgewohnheiten, Konsumverhalten und Präferenzen in politischer wie sexueller Hinsicht erstellt werden.

Der Düsseldorfer Kreis hält fest: "Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden." Nutzungsprofile dürften aber nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse sei jedoch kein Pseudonym im Sinne des Telemediengesetzes. Google dagegen ist der Meinung, dass es sich bei der IP-Adresse um kein personenbezogenes Datum handelt und verweist auf ein Urteil des Amtsgerichts München. Allerdings gibt es auch gegenteilige Urteile – etwa vom Amtsgericht Berlin. Die Berliner Richter weisen darauf hin, dass es legal wäre, IP-Adressen etwa an Zugangsanbieter zu verkaufen, wenn diese Daten nicht personenbezogen wären.

Im Einzelnen sei nach Meinung des Düsseldorfer Kreises unter anderem zu beachten, dass die betroffenen Internetsurfer eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen haben: "Derartige Widersprüche sind wirksam umzusetzen", schreiben die Datenschützer lapidar. Am Begriff "wirksam" aber scheiden sich bereits jetzt die Geister: Der Analyseriese Google ist der Ansicht, es sei ausreichend, wenn der Anwender die Annahme von Cookies verweigert. Der Webdienstleister etracker bietet zur Lösung einen Extra-Cookie an. Xamit-Geschäftsführer Niels Lepperhoff erläutert: "Wer Cookies verbietet, kann im Webshop nicht einkaufen. Insofern ist das Angebot von Google nicht zielführend." Die Lösung von etracker könne zwar lästig werden, würde aber zum Ziel "anonymes Einkaufen" führen.

Weiter heißt es in dem Beschluss des Düsseldorfer Kreises unter anderem, dass "pseudonymisierte Nutzungsdaten nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden" dürfen. Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssten die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen. Viele Webseitenanbieter weisen nicht oder nur im "Kleingedruckten" unter "Datenschutz" oder "Impressum" auf diese Datenschutzbestimmmungen hin. Viele Datenschützer empfinden das als nicht ausreichend.

Auch dürften "personenbezogene Daten eines Nutzers ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen." Viele Seitenanbieter speichern dagegen laut der Kritik von Datenschützern Daten, die eigentlich nur für den Betrieb eines Internetladens oder eines Onlineforums notwendig wären.

Zur Frage der IP-Adressen heißt es schließlich: "Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist." Außerdem beziehen die Datenschützer auch Dritte in die Forderungen ein, die im Auftrag des Seitenbetreibers tätig sind: "Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten."

Eine bislang vom Hamburgischen Datenschutzbeauftragten erhobene Forderung ist in der Erklärung des Düsseldorfer Kreises nicht mehr enthalten: Johannes Caspar war bislang der Ansicht, dass die erhobenen Daten nicht außerhalb der Europäischen Union verarbeitet werden dürfen. Googles Datenschutzbeauftragter Per Meyerdierks verweist auf das Safe Harbour Abkommen zwischen der Bundesrepublik und den USA. Dem, betont Meyerdierks, habe sich Google unterworfen und sei daher zur Datenverarbeitung außerhalb der EU berechtigt. Caspar begründet den Verzicht auf seine Forderung damit, dass man einen gemeinsamen Kompromiss erreichen wollte. "Dieser Verzicht auf die verbindliche Datenverarbeitung in der EU ist diesem Kompromiss geschuldet." (jk)