Peter Schaar zum Datenschutz bei Webanalyse
Der Bundesbeauftragte für den Datenschutz Peter Schaar hat diese Woche seinen Tätigkeitsbericht für 2009-2010 vorgestellt. Darin äußert er sich auch zur Webanalyse, IP-Adressen und Cookies, sowie Social Media und Google Street View. Immerhin 14 Seiten des 237 Seiten starken Berichts drehen sich um das Thema “Internet”.
Web Analytics
Nach einer Einleitung führt er den Beschluss des Düsseldorfer Kreises von 2009 auf (Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten). Die Anforderungen sind also bekannt:
- Widerspruchsrecht
- Auswertung nur mit Pseudonymen
- Hinweispflicht
- Erhebung personenbezogene Daten nur mit Einwilligung
- Anonymisierung von IP-Adressen
Schaar selbst schreibt weiter
Soweit die Fakten. Ein Blick in das für Internet-Angebote zu beachtende TMG zeigt, dass es für die Erstellung von Nutzungsprofilen sehr enge Vorgaben enthält: die Verwendung von Pseudonymen und die Widerspruchsmöglichkeit des Nutzers. Zur Klarstellung sei gesagt, dass die IP-Adresse ein personenbezogenes Datum ist und kein Pseudonym. Und dass der Nutzer sein Widerspruchsrecht nur dann ausüben kann, wenn er von der Beobachtung überhaupt erfährt und auch ein geeignetes Verfahren vorhanden ist, den Widerspruch zu äußern. Diese Vorgaben sind – soweit mir bekannt – in fast keinem der angebotenen Dienste und Programme umgesetzt. (S. 48)
Ein kleiner Seitenhieb (?) auf den Hamburger Datenschützer Casper ist auch dabei:
Im Übrigen: Die Besuche meiner eigenen Website werden nur anonymisiert ausgewertet, denn die IP-Adressender Nutzer sind um die letzten beiden Oktette gekürzt. (S. 48)
Casper musste im Januar seine eigene Website vom Netz nehmen, da dort nicht-konforme Tools eingesetzt wurden.
Cookies
Bis zum 25. Mai muss der “Cookie-Paragraph” (neben weiteren Vorgaben) in nationales Recht umgesetzt werden. Nach einer EU Vorgabe von 2009 sollen Cookies erst nach informierter Einwilligung gesetzt werden, d.h. Opt-In. Diese Einwilligung soll allerdings auch per Browsereinstellung erfolgen können – d.h. es muss nicht für jede Website neu nachgefragt werden. Aktuelle Browser bringen aber dafür noch keine Funktionalität mit. Es gibt zwar Bestrebungen, den Datenschutz in Browsern stärker zu berücksichtigen – den EU Vorgaben wird derzeit aber noch kein Browser gerecht.
Die derzeit verfügbaren Browser bieten jedoch nur sehr grob gestufte Optionen an. Hinzu kommt, dass die Standard-Einstellung in fast allen Fällen „Cookies akzeptieren“ vorgibt. Eine Information fehlt fast immer völlig. Dass diese Browser – jedenfalls bisher – wenig geeignet sind, eine wirksame informierte Einwilligung zu gewährleisten, ist nicht zu übersehen. Auch wenn sie gerne alles beim Alten ließen, sind jetzt die Website- und Werbeanbieter gefragt, die – möglicherweise zusammen mit den Browser-Herstellern – Lösungen erarbeiten müssen. (S. 50)
Neben Trackingtoosl sind vor allem Werbenetzwerke von dieser Vorgabe betroffen, da sie mit Cookies Besucher über mehrere Webseiten und deren Werbevorlieben verfolgen. Anders als bei der Webanalyse (s.o.) wird der Bericht bei diesem Thema nicht so konkret. Auch widerspricht Schaar der aktuellen Position des Wirtschaftsminiteriums, die für das TMG zuständig sind – da gibt es also offenbar nach Diskussionsbedarf. Es wird letztlich eine gesetzliche Anpassung des TMG gefordert, und Tracking- und Werbeanbieter sollen dann mal mit den Browser-Herstellern sprechen – da darf man gespannt sein, wie erfolgsversprechend dieser Ansatz ist.
Social Media
Der Bereich Social Media füllt noch nicht mal eine halbe Seite im Bericht und beschränkt sich, darauf hinzuweisen, dass die meisten Anbieter ihre Hausaufgaben noch nicht ordentlich gemacht haben und das die Behörde dort bereits aktiv wurde
Hier und da wurde zwischenzeitlich nachgebessert – Datenschutzerklärungen wurden überarbeitet und klarer strukturiert und Widerspruchsmöglichkeiten eingebaut. Mein Appell an die Nutzer ist weiterhin gültig: Gehen Sie sorgsam mit Ihren Daten um.
Den vollständigen Tätigkeitsbericht kann man auf der Website des Beauftragten herunterladen, oder per Post bestellen.
Hi Markus,
Danke für die Zusammenfassung!
Auf der eMetrics in München wurde von Kirsten Bock (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) dargestellt, dass die Cookie Diskussion NICHT Session Cookies betrifft.
aus ihrer Präsentation:
**snip****
Regeln für Cookies
——————
• Einwilligung und verständliche Information vor
dem Setzen (gilt nicht für Session-Cookies)
(…)
• Möglichkeit des Widerrufs, Hinweis durch Seitenbetreiber
• Cookie-IDs dürfen nicht mit Identifizierungsdaten zusammengeführt werden
• Lebenszeit des Cookies maximal 6 Monate
• Keine sich erneuernden Cookies
**snap****
Ich musste leider gehen bevor ich die Frage stellen konnte: Sind first party Cookies zum “normalen” Website-Tracking u.a. mit den Maßnahmen zur IP-Maskierung und Opt-out Möglichkeit unbedenklich? Wenn ja, ist das Problem im Wesentlichen auf die 3rd Parties reduziert.
PS: Schaar geht leider nicht darauf ein, dass IP Adressen auch in der deutschen Rechtssprechung nicht immer als persönliches Datum gesehen werden. Eine rechtsverbindliche und EU-weite einheitliche Regelung steht hier noch aus.
Hi Matthias. Danke für die Info.
Die Cookie Aussagen sind im Bericht etwas oberflächlich. Session Cookies waren soweit ich weiß noch nie ein Problem. Allerdings setzen die Trackingtools normalerweise schon permanente Cookies ein. Das kann man meistens ändern, aber damit gehen deutlich mehr Auswertungsmöglichkeiten verloren als etwa bei den IP-Adressen.
1st Party und 3rd Party ist ein guter Unterschied, vielleicht kann man das in der Diskussion festigen.