Die oberste Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich hat am Freitag in Stralsund folgende Vorgaben für zukünftige Webanalyse beschlossen:

• Widerspruchsrecht Es muss die Möglichkeit für den Nutzer geben, der Erfassung zu widersprechen. Dieser Wille muss auch umgesetzt werden. Schwierig hierbei ist, die Möglichkeit einzuräumen, bevor die erste Erfassung stattfindet. Oder aber eine rückwirkende Löschung in Analysetools zur Verfügung zu stellen.
• Verknüpfung Anonyme Nutzungsdaten dürfen nicht mit Daten über den Nutzer zusammengeführt werden. Das ist vor allem bei Shop, Login, Formularen, Communities bedeutsam.
• Datenschutzerklärung Es muss sowohl über das Tracking als auch Möglichkeit zum Widerspruch informiert werden. Das ist nicht wirklich neu und sollte selbstverständlich für Webseiten sein.
• Personenbezogene Daten Solche Daten dürfen nur für die Abwicklung einer Leistung erhoben werden. Eine weitere Analyse ist nur nach Einwilligung des Nutzers zulässig. Steht so auch schon im Gesetz, betrifft wieder vor allem Shops
• IP-Adressen Dürfen in vollständiger Form nur nach eindeutiger Einwilligung verwendet werden. Ausdrücklich wird das auch für Geolokalisierung genannt. Es wird die Kürzung gefordert, damit eine Personenbeziehbarkeit unmöglich gemacht wird. Wie sich das technisch genau ausprägt, wird nicht weiter erläutert.

Die Umsetzung wird wohl einige Anforderungen sowohl an Websitebetreiber als auch Analysetoolanbieter stellen. Die IP-Adressenspeicherung haben zwar schon einige behandelt, aber beim Thema Widerspruch und Löschung spielen viele den Ball wieder zu den Betreibern. Nach dem Motto: wer personenbezogene Daten in unserem Tool speichert, ist selber Schuld.

Interessant fand ich noch die Rechtsauffassung, z.B. vom Hamburger Datenschützer Caspar:

"Die lange Diskussion hat ein Ende: Die Auswertung von Webseitentraffic auf Basis ungekürzter IP-Adressen sehen sämtliche Landesbehörden eindeutig als rechtswidrig an". […] Derzeit ist allerdings noch strittig, inwieweit eine IP-Adresse tatsächlich als personenbezogene Information im Sinne des Datenschutzrechts gewertet werden kann. Carsten Ulbricht, Rechtsanwalt und Spezialist für Internetrecht aus Stuttgart, weist darauf hin, dass zu dem Thema unterschiedliche Urteile deutscher Gerichte vorliegen. "Je nachdem, wie die Gerichte in dieser Sache entscheiden, steht und fällt ein zentrales Argument der Datenschützer", sagt Ulbricht. (Quelle)

Es geht jetzt wohl nicht um die Holzhammermethode aber mittelfristig werden

Überstürzte Behördenaktionen müssen nach Aussagen von Caspar allerdings weder Webseitenbetreiber noch Dienste-Anbieter wie Google fürchten. "Wir gehen nicht davon aus, in den nächsten Tagen erste Bußgelder zu verhängen", sagt der Datenschützer. Die Landesbehörden wollten vielmehr zuerst versuchen, im Dialog mit Statistik-Dienstleistern und Seitenbetreibern die gängige Praxis unter die Lupe zu nehmen und Lösungswege zu finden. (Quelle)

Dann bin ich mal gespannt, ob und wie die Datenschützer den Dialog suchen.

Der vollständige Text der Erklärung http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf