Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.1.11

Website des Hamburger Datenschutzbeauftragten selbst nicht datenschutzkonform?

Ein Leser meines Blogs hat gestern in einem Kommentar geschrieben, dass die unter „datenschutz-hamburg.de“ aufrufbare Website des Hamburger Datenschutzbeauftragten, der derzeit gegen Google Analytics vorgeht, selbst Tracking-Technologie einsetzt und dort kräftig getrackt würde.

Diese Aussage war zumindest insoweit nachvollziehbar, als das Firefox Plug-In „Counterpixel“ anzeigt, dass dort das IVW-Pixel zum Einsatz kommt. Dies vermutlich deshalb, weil der Auftritt des Datenschutzbeauftragten Teil von „hamburg.de“ ist und dort das Statistik-Tool der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) eingesetzt wird, das übrigens von vielen großen deutschen Websites genutzt wird.

Das Programm der IVW ist freilich, wie Google Analytics auch, ein Tracking-Tool, das Daten über die Besucher der Website sammelt und an die IVW weiterleitet, u.a. auch die IP-Adressen der Seitenbesucher. Und wenn man einem Artikel von golem.de glauben darf, werden auch von der IVW IP-Adressen vollständig, ohne Anonymisierung erfasst und gespeichert, weshalb hiergegen grundsätzlich dieselben datenschutzrechtlichen Bedenken bestehen müssen wie gegen Analytics.

Wenn Datenschutzbehörden schon offensiv die Auffassung vertreten, dass Tracking-Tools datenschutzrechtlich bedenklich sind, dann sollten sie sie zumindest nicht auf ihren eigenen Websites benutzen. Es zeigt sich damit aber auch, dass ein datenschutzkonformer Webauftritt gar nicht so einfach ist, auch nicht für einen Landesdatenschutzbeauftragten.

Die Diskussion kann ohnehin nicht auf Google beschränkt bleiben, sondern muss sich auf Tracking-Technologien insgesamt erstrecken.

Update:
Wenn man die Datenschutzerklärung zum Internetangebot des hanseatischen Datenschutzbeauftragten und zu „hamburg.de“ durchliest, fällt auf, dass der „IVW-Pixel“ nicht erwähnt wird, während stattdessen darauf hingewiesen wird, dass IP-Adressen an einen anderen Statistikanbieter (Sitestat) übermittelt werden. Dem Programm Sitestat des Anbieters Nedstat bescheinigt die Xamit-Studie allerdings ebenfalls, dass eine legale Nutzung nach deutschem Datenschutzrecht nicht möglich ist. Dieser Hinweis in der Datenschutzerklärung könnte allerdings veraltet sein, nachdem dort sogar auf die Verwendung von Facebook Social Plugins hingewiesen wird. Diese hat „hamburg.de“ allerdings nach kurzer Zeit wegen datenschutzrechtlicher Bedenken wieder runter genommen.

Wir sehen hier ein schönes Beispiel dafür, wie sich der Datenschutz selbst ad absurdum führt.

posted by Stadler at 11:55  

45 Comments

  1. Der IVW Code ist auf der Hamburger Datenschutz Seite auch ohne weiteres im Quellcode zu erkennen.

    Comment by Stephan Schmidt — 12.01, 2011 @ 12:09

  2. Ich muss da immer an „Denn sie wissen nicht, was sie tun“ denken.

    gruß

    Comment by Frank Schenk — 12.01, 2011 @ 12:20

  3. Das alte Problem: Maximale (Datenschutz)Forderungen führen dazu, dass diese – wenn überhaupt – nur mit größten Anstrengungen zu erfüllen sind. Kein Wunder, dass viele einfach kapitulieren und das Thema Datenschutz immer noch ein Nischendasein führt.

    Comment by RA Sebastian Dosch — 12.01, 2011 @ 12:21

  4. Der Betreiber, der den IVW-Code einsetzt kann meines Wissens aber sagen, wie viel der IP-Adresse anonymisiert werden soll….

    Comment by Johannes — 12.01, 2011 @ 13:33

  5. Ich dachte, dass das Problem in der Übertragung der IP auf amerikanische Server liegt? Oder habe ich da was falsch verstanden? Die IVW agiert doch nur in Deutschland!?

    Comment by Markus — 12.01, 2011 @ 13:40

  6. @Markus: Die Übertragung nach USA ist ein zusätzliches Problem. Nach der Ansicht der Datenschutzbehörden ist die Erhebung, Speicherung und Übermittlung von (vollständigen) IP-Adressen grundsätzlich nur mit Einwilligung des Betroffenen denkbar.
    Das bedeutet nichts anderes, als, dass diese Art von Tracking-Tools nur dann datenschutzkonform benutzt werden könnten, wenn man per Pop-Up oder Vorschaltseite eine Einwilligung einholt, der natürlich eine ausreichende Aufklärung über Art, Umfang und Zweck der Datenverarbeitung beigefügt sein müsste.

    Comment by Stadler — 12.01, 2011 @ 14:41

  7. @Johannes: Das geht ja bei Google Analytics mit dem IP-Masking grundsätzlich auch – beim IVW ist das aber wohl eher nicht vorgesehen? – genügt aber dort dem Datenschutzbeauftragten offensichtlich ja nicht.

    Comment by Stadler — 12.01, 2011 @ 14:43

  8. Also ich sehe bei all diesen Tools das Problem nur in eingeschränkter Form. Ich mag sie nicht, aber ich kann sie auch leicht blockieren, so habe ich in NoScript alle mir bis dato begegneten Counter/Analyse-Tools aufgenommen, die mit ECMAScript arbeiten (Google Analytics, Blogcounter, Sitemeter, …) und für die restlichen, die mit Zählpixeln, Scripten von Drittservern (oder beidem) arbeiten, gibt es noch eine AdBlock-Plus-Regel. Da ist Ruhe im Laden.

    Einziges Problem dabei ist der Aufwand, den ich dafür treiben muss, um meine Privatsphäre zu schützen. Und noch dümmer wird das natürlich, wenn ich – um die Datenschutzhinweise zu lesen – erstmal Gefahr laufe, schon erfasst zu werden.

    Aber grundsätzlich meine ich, dass die Webseitenbetreiber durchaus Statistiken führen können sollen. Über die Art lässt sich dagegen durchaus reden.

    Grüße,
    Drizzt

    Comment by Drizzt — 12.01, 2011 @ 16:33

  9. Ich freue mich natürlich über das Interesse an unserem Online-Auftritt. Leider muss ich aber beobachten, dass hier einige Fakten in der Darstellung durcheinandergeraten scheinen. Diese möchte ich gerne kurz klarstellen:
    Der Online-Auftritt meiner Dienststelle läuft über Hamburg.de. Über die technische Infrastruktur unserer Seite entscheiden daher nicht ich oder meine Mitarbeiter, sondern dieses Unternehmen.

    Dass die momentane Konfiguration nicht unseren Anforderungen entspricht, war uns schon vor den entsprechenden Presseberichten bewusst. Wir stehen deshalb mit dem Hersteller, der von Hamburg.de eingesetzten Tracking-Software in engen Beratungen über das Erfordernis einer datenschutzgerechten Gestaltung. Diese hat man uns bis Ende Juli 2011 zugesagt.

    Daher nehmen weder Hamburg.de noch die Seite meiner Dienststelle eine Sonderstellung ein. Wir verhandeln seit März 2010 mit Hamburg.de, genauso wie wir dies lange mit Google getan haben. Genauso wenig wie wir bisher ordnungsrechtlich gegen die Nutzer von Google Analytics vorgegangen sind, haben wir dies bisher gegen Hamburg.de getan. Wir streben eine Lösung auf Seiten der Software-Hersteller an und wollen vermeiden, Webseiten-Betreiber mit Verfahren zu überziehen.

    Es besteht also kein Grund für die Annahme, dass wir von anderen mehr verlangen, als wir selbst zu tun bereit sind. Es ist auch nicht so, dass wir „nicht wissen was wir tun“. Dass wir auf Hamburg.de nichts dulden, was wir an anderer Stelle für rechtswidrig halten, können Sie im Übrigen daran sehen, dass wir dafür gesorgt haben, dass Facebooks „Like-Button“ aufgrund datenschutzrechtlicher Bedenken auf den Seiten von Hamburg.de nicht mehr auftaucht.

    MfG
    J. Caspar

    Comment by Johannes Caspar — 12.01, 2011 @ 17:35

  10. Aha! Wenn man also für seine Webseiten die Infrastruktur eines Dritten verwendet, geht ein Verstoss gegen hehre Datenschutzgrundsätze als lässliche Sünde durch, von der man sich als Datenschutzbeauftragter gleich selbst Absolution erteilen kann. Die Domain „datenschutz-hamburg.de“ ist zudem auf den Hamburgischen Datenschutzbeauftragten registriert und ruft das Angebot auf hamburg.de via Frame auf. Das wäre nicht erforderlich. Andersrum, also ein Aufruf der eigenen Domain aus dem Angebot von hamburg.de, wäre es deutlich sinnvoller und man behielte die Kontrolle über das Angebot. Dies Vorgehen würde zudem offenbar langwierige und bisher ja nicht von Erfolg gekrönte Verhandlungen mit dem Betreiber von hamburg.de entbehrlich machen. Der Hamburgische Datenschutzbeauftragte tut also de facto nicht das Mögliche, um dafür zu sorgen, dass das eigene Webangebot den Anforderungen genügt, die man an andere stellt. Man kann also sehr wohl feststellen, dass der Datenschutz in Hamburg von anderen mehr verlangt, als man dort selbst zu tun bereit ist. Davon beisst die Maus keinen Faden ab.
    Schon als es um Streetview ging, hat sich der Hamburger Datenschutzbeauftragte mit seinen Forderungen recht weit aus dem Fenster gelehnt und dabei m. E. den rechtlichen Rahmen gesprengt. Nun verhandelte er mit einem Tool-Anbieter, zufällig derselbe, der Streetview bereit stellt, wohl wissend, dass nicht der Tool-Anbieter verantwortlich ist, sondern immer derjenige, der Werkzeuge jenseits des rechtlich zulässigen einsetzt. Mit solchen fragwürdigen Aktionen erweist man dem Datenschutz einen Bärendienst. Wenn Eingriffe der Datenschützer erforderlich sind, dann sicher nicht gegen ausgewählte Anbieter/Hersteller und in jedem Fall auf sauberer, rechtlicher Grundlage. An der fehlte es hier wie bei Streetview. Blinder Aktionismus und Profilierungswillen am untauglichen Objekt wird aber nur dazu führen, dass man die Datenschützer und den Datenschutz noch weniger ernst nimmt, als es bedauerlicher Weise schon jetzt der Fall ist. Und das ist garantiert zum Nachteil aller.

    Comment by M. Boettcher — 12.01, 2011 @ 18:01

  11. Websitebetreiber die Analytik-Dienste von Dritten, wie beispielsweise Google-Analytics, verwenden: haben es eh nicht verdient, von ihren Besuchern als vertrauenswürdig eingestuft zu werden.

    Comment by Simon — 12.01, 2011 @ 21:43

  12. Sehr geehrter Herr Prof. Caspar,
    schön, dass Sie hier Stellung beziehen. Inhaltlich finde ich Ihre Stellungnahme allerdings eher merkwürdig. ALs Diensteanbieter und damit auch datenschutzrechtlich verantwortliche Stelle berufen Sie sich auf die Verantwortung eines Vordienstleisters. Einem Unternehmen, das Ihrer Behörde gegenüber so argumentiert, würden Sie das wohl kaum durchgehen lassen.

    Letztlich verhalten Sie sich als der verantwortliche Diensteanbieter, zumindest gemessen an Ihren eigenen Maßstäben, selbst nicht datenschutzkonform.

    Die Diskussion zeigt aber auch, dass das geltende Datenschutzrecht auf viele aktuelle Fragen keine befriedigenden Antworten mehr bietet.

    Vielleicht sollten Sie einige Ihrer Positionen auch einfach nochmals überdenken.

    Mit freundlichen Grüßen
    Thomas Stadler

    Comment by Stadler — 12.01, 2011 @ 22:11

  13. Könnte der Betreiber dieser Webseite den Kommentar, der unter dem Namen Prof. Caspar abgegeben wurde, mal anhand der IP-Adresse und E-Mail-Adresse überprüfen, ob es denn sich um den echten handelt? Nicht dass es nach multiplen Kölnern Verlegern auch solche als Hamburger Datenschützer gibt. Der Inhalt spricht ja nicht für Echtheit.

    Comment by Frank — 12.01, 2011 @ 22:54

  14. Nur um das mal kurz einzuwerfen: ausserhalb der deutschen Blogosphaere wundern sich die Leute gerade massiv ueber die Absurditaet dieser Diskussion:

    Und nur um den praktischen Aspekt mal ansatzweise zu beleuchten: Fuer jeden privaten Nutzer, der auch nur eine halbwegs benutzbare Loesung sucht, um seinen privaten Blog, seine Homepage etc. zu betreiben wird kaum in der Lage sein, einen Service zu verwenden, der Traffic auf seinen Seiten misst, _ohne_ die IP-Adresse zu tracken.

    Ganz ehrlich: wie realistisch ist die Annahme, dass eine Datenschutzrichtlinie wie diese (nicht technisch) praktisch umsetzbar ist, ohne mehr als die Haelfte des privaten Internets vor fast unloesbare Probleme zu stellen?

    Ganz abgesehen davon: soweit ich mir darueber bewusst bin, ist die Weiterleitung von IP-Adressen selbst nicht das Problem, sondern die Frage, was mit diesen IP-Adressen anschließend passiert, oder?

    Das mag jetzt etwas haeretisch vor dem Hintergrund der innerdeutschen/-europaerischen Diskussion ueber Vorratsdatenspeicherung klingen, aber: ich halte es fuer weniger problematisch, dass ein Unternehmen diese Daten sammelt, als viel mehr, wenn eine nationale oder internationale Gesetzgebung existiert, die es Behoerden moeglich macht, diese Informationen zu sammeln und fuer Strafrechtliche Verfolgung auszuwerten, da dies alle Nutzer dieser Dienste generell unter Generalverdacht stellt.

    Diskutieren wir an dieser Stelle nicht ueber das falsche Ende des Problems?

    Comment by chehggy — 12.01, 2011 @ 23:24

  15. Also ich sehe bei all diesen Tools das Problem nur in eingeschränkter Form. Ich mag sie nicht, aber ich kann sie auch leicht blockieren, so habe ich in NoScript alle mir bis dato begegneten Counter/Analyse-Tools aufgenommen, die mit ECMAScript arbeiten (Google Analytics, Blogcounter, Sitemeter, …) und für die restlichen, die mit Zählpixeln, Scripten von Drittservern (oder beidem) arbeiten, gibt es noch eine AdBlock-Plus-Regel. Da ist Ruhe im Laden. Einziges Problem dabei ist der Aufwand, den ich dafür treiben muss, um meine Privatsphäre zu schützen. Und noch dümmer wird das natürlich, wenn ich – um die Datenschutzhinweise zu lesen – erstmal Gefahr laufe, schon erfasst zu werden. Aber grundsätzlich meine ich, dass die Webseitenbetreiber durchaus Statistiken führen können sollen. Über die Art lässt sich dagegen durchaus reden. Grüße, Drizzt

    Comment by Ina Franks — 13.01, 2011 @ 00:30

  16. Ich vermag nicht zu glauben, dass Kommentar 9 tatsächlich von Prof. Caspar stammt.

    Doch auch unabhängig davon bin ich fassungslos: Wie kann man sich wegen GA soweit aus dem Fenster lehnen, wenn man selbst seit Jahren eine nach eigener Ansicht datenschutzwidrige Lösung einsetzt? Dass darüber nicht einmal in der Datenschutzerklärung aufgeklärt wird, setzt dem Ganzen die Krone auf.

    Sollten wir Mandanten in Zukunft in Datenschutzfragen raten, sich damit zu verteidigen, dass man mit dem Dienstleister in Gesprächen sei, eine andere Lösung zu finden?

    @chehggy Die Diskussion ist ja nun wahrlich nicht neu und auch nicht auf D beschränkt. Viele Anbieter versuchen ja, eine Lösung anzubieten, die auch der Düsseldorfer Kreis für datenschutzkonform hält. Die Frage muss aber wohl sein, ob es das wert ist.

    Gruß in die fassungslose Runde

    MS

    Comment by Martin Schirmbacher — 13.01, 2011 @ 00:49

  17. @Simon: Wow, geht es noch großkotziger/peinlicher?

    @chehggy: Wieso sollte man, gerade in einem privaten Blog, IPs _tracken_ wollen?

    Und nein, für einen Überblick über Traffic und Besucher ist es weder nötig, einen externen Service wie Analytics zu nutzen, noch IPs zu tracken.

    Tatsächlich müssen dafür nicht einmal IPs gespeichert werden (Wobei da auch einfach mal die Frage im Raum steht, wie es mit den u.a. von 1&1 automatisch bereitgestellten Logsfiles ausschaut).

    Diskutieren wir an dieser Stelle nicht ueber das falsche Ende des Problems?

    Du schon, ja ,)

    Comment by JoSchaefers — 13.01, 2011 @ 01:16

  18. Typisch deutsch ist es den Balken imi eigenen Auge nicht zu sehen.

    Und auch typisch deutsch ist es um so etwas unpersönliches wie eine dynamische IP adresse zu lammern dabei aber echte Datenschutz Probleme völlig aussen vor zu lassen.

    Solange Leute mit dem iPhone rumrennen macht es keinen Sinn über den Schutz von IP Adressen nachzudenken.

    mfg
    yb

    Comment by yah bluez — 13.01, 2011 @ 08:04

  19. IVW Verfahren speichert keine IP-Adressen – Als Betreiber des IVW-Verfahrens erlaube ich mir die folgende Anmerkung: Die IP-Adresse wird in der SZM-Box für 2 Verarbeitungsschritte genutzt: 1.) Georesolving auf Staaten und Bundeslandebene 2.) Verhashung mit dem user agent zu einem „ident“.

    Die maximale Speicherzeit der IP-Adresse beträgt 10 Minuten. Danach wird die IP Adresse aus dem Flash-Speicher der SZM-Box gelöscht und nirgendwo im System gespeichert oder weiter verarbeitet. Die SZM-Boxen sind desweiteren physikalisch von den weiteren Aggregations- und Speichersystemen im SZM-Verfahren getrennt. Somit werden in der Datenaggregation (Tagessatisitiken) keine IP-Adressen verwendet oder gespeichert (diese werden im SZM-Verfahren auch gar nicht benötigt).

    Wie Prof. Caspar weiter oben richtig schreibt, haben wir vereinbart, das System so umzubauen, dass es den aktuellen Anforderungen an den Datenschutz vollständig entspricht. So werden die IP-Adressen zukünftig vor den Verarbeitungsschritten 1 & 2 um das letzte Oktett gekürzt.

    Viele Grüße,
    Dirk Wippern

    http://www.infonline.de

    Comment by Dirk Wippern — 13.01, 2011 @ 08:54

  20. @JoSchaefers: Eine zwingende Notwendigkeit besteht für fast gar nichts. Das ändert aber nichts daran, dass Google Analytics ein nützliches Statistik-Tool ist. Und daran schließt sich die Frage an, ob das praktizierte Tracking tatsächlich zwingend rechtlich zu beanstanden ist.

    Der Hinweis auf die Log-Files ist ein guter Aspekt. Denn die Anfertigung von Logfiles beinhaltet ja auch die Speicherung von IP-Adressen und mithin nach dem Verständnis der Datenschutzbeauftragten einen Rechtsverstoß.
    Vielleicht kann man sich insoweit ja neuerdings auf die Argumentation von Herrn Caspar stützen und den Hoster, der die Logfiles erstellt, für den Verstoß verantwortlich machen. ;-)

    Comment by Stadler — 13.01, 2011 @ 09:21

  21. Hey, na das ist doch Klasse !
    Der Caspar hat doch sowieso jemanden gesucht um einen Musterprozess zu führen.
    Klare Empfehlung, die eigene Behörde !
    Hier käme wenigstens kein Fremder zu Schaden bei seinem privaten Kleinkrieg gegen das Internet.

    Comment by Dennis Farin — 13.01, 2011 @ 10:36

  22. Es ist peinlich für Deutschland und schlecht für die Bevölkerung, dass Leute die offensichtlich wenig oder keine Ahnung vom Thema haben und oft auch individuell persönliche Abneigungen hegen, Posten bekommen in denen sie Macht haben und an der Gesetzesbildung mitwirken dürfen. Manche schaffen es sogar ins Ministeramt.

    Ich wäre dafür, dass Herr Caspar seinen Posten räumt, er ist offensichtlich einseitig vorbelastet und der Aufgabe nicht gewachsen.

    Comment by Frank — 13.01, 2011 @ 15:32

  23. Bitte Herr Caspar verklagen Sie endlich irgendwen in Deutschland, damit endlich ein paar Richter über diese Angelegenheit entscheiden! Mich nerven diese Kindereien einiger Behörden in diesem Land – hat man dort nichts zu tun?

    Comment by Daniel — 13.01, 2011 @ 16:17

  24. Speichern der Apache von hamburg.de eigentlich auch keine Logs? Wäre ein interessante Einstellung.

    Comment by Marian Härtel — 13.01, 2011 @ 20:22

  25. Z.B. auch das Bundesministerium für Verbraucherschutz (Ilse Aigner, ich sag nur ‚Internet-Radierer‘) nutzt als externes Analysesystem etracker.zadi.de. Und auch wenn etracker mit einem Datenschutz-Signet wirbt, bin ich mir nicht im Klaren darüber, warum man auf einer Bürgerinformationsseite solche externen Dienste einsetzen muss.

    Vielleicht sind wir aber auch einfach alle nur inkonsequent, denn entweder ist man technikaffin und dann lässt man sehenden Auges zu, dass Daten über einen gesammelt werden noch und nöcher – und betreibt vielleicht hier und da ein bisschen Widerstand. Oder man verweigert die Technik und zieht sich aus dem ganzen Thema so weit wie möglich raus. Dann schreibt man aber auch keinen kritischen Blog mehr…

    Comment by Frank Herberg — 13.01, 2011 @ 21:05

  26. Nu ist die Seite »abgeschaltet« bzw. leitet auf http://www.datenschutz.de um. Siehe auch http://www.datenschutz.de/news/detail/?nid=4722

    Comment by Dominik Pesch — 13.01, 2011 @ 21:10

  27. Jeder Server (selbst dieser hier) speichert die IP und wenn das Verfahren so abläuft wie es von Hr. Wipper im Kommentar 19 beschrieben wird, läßt sich die IP nicht mal mehr zu der nachträglichen Identifizierung verwenden. Aber auch sonst ist die IP anonym und gehört einem Internetprovider.

    Bei google Analytics kann die Sache völlig anders aussehen. Wenn die IP dort wirklich gespeichert wird, dann hat google in vielen Fällen eine konkrete Person mit einem gmail, youtube, blogger, picasa usw. Account.

    Der Vorwurf lautet also, google speichert oder ist zumindest dazu in der Lage, das komplette Surfverhalten von Millionen usern inkl. vieler persönlicher Daten, die durch die Dienste erhoben werden. Das ist weit entfernt von dem normalen tracking der IP und dagegen muss ein Datenschutzbeauftragter Massnahmen finden. Aber gegen den technischen Vorgang des Tracking zu wettern, wie es hier abläuft ist absurd. Das Internet so wie es heute aufgebaut ist, funktioniert nicht ohne.

    Wer nicht verstanden hat, wann und wo IPs eingesetzt und übertragen werden, sollte von dem Thema die Finger lassen.

    Comment by stefan — 14.01, 2011 @ 00:58

  28. Als ich die Meldung gelesen habe dachte ich, den ersten April verschlafen zu haben. Kann eine solche Meldung tatsächlich echt sein? Tatsächlich stellt die Verwendung der Daten wie unter Beitrag 27 von Stefan beschrieben ein datenschutzrechtlichs Problem dar, aber die Webseitenbetreiber dafür verantworlich zu machen ist hoffentlich fern jeglicher Rechtsgrundlage. Das wäre, als würde man den Verkauf von Äxten kriminalisieren, weil der eine oder andere damit rechtswidrige Handlungen vollzieht.

    Hinzu kommt, dass der Analyticsnutzer selbst aus den erzeugten Statistiken keinesfalls auf einzelne Personen schließen kann. Die IP-Adressen sind auch nicht zugänglich.

    Es ist zu hoffen, dass die Bemühungen des Datenschutzbeauftragten verpuffen, bevor sich Deutschland wieder mal vor dem rest der Welt blamiert.

    Was für ein Casparletheater….

    Comment by Danyel — 14.01, 2011 @ 08:38

  29. @stefan: Es ging mir nicht darum gegen Tracking zu wettern, sondern auf eine höchst widersprüchliche Haltung des Hamburger Datenschutzbeauftragten hinzuweisen.

    Google bietet ja mit dem IP-Masking längst einen Zusatz der dazu führt, dass IP-Adressen nur noch gekürzt gespeichert werden, was dem Hamburger Datenschutzbeauftragten aber offenbar nicht genügt.

    Die Diskussion zeigt nur, dass wir für diese Fälle eine gesetzliche Regelung brauchen. Das Problem resultiert ja nur daraus, dass die Datenschutzbehörden IP-Adressen ohne Wenn-und-Aber als personenbezogene Daten begreifen. Das wird für die Zukunft aber keinen praktikablen Ansatz darstellen.

    Comment by Stadler — 14.01, 2011 @ 08:40

  30. Wer im Glashaus sitzt …
    Auch einfach mal hier den Source-Code ansehen:
    http://www.jura.uni-hamburg.de/personen/caspar

    Wie war das noch mit „Musterprozess“ und „empfindlichen Bußgeld“ für Analytics-Nutzer?

    Comment by Lars — 14.01, 2011 @ 09:09

  31. Hier wird wahrscheinlich die Uni schuld sein…
    Kann mir jemand erklären, wofür eine staatliche Universität das Nutzerverhalten auf ihrer Webseite analysieren muss? Um ihr Angebot zu verbessern? Mehr Geld mit der Seite zu verdienen?

    Comment by nap — 14.01, 2011 @ 09:50

  32. Stellt sich mir die Frage: Was ist mit sitemeter.com und blogcounter.de, die beide auf dieser Seite eingebunden sind?

    Comment by Dominik — 14.01, 2011 @ 10:24

  33. Herr Caspar steht schon seit Monaten in Verhandlungen mit hamburg.de und im Juli (!) 2011 eine Lösung anzustreben?? Was sind denn das für Zeiträume? Dann ist meine Glaube daran doch noch vorhanden, dass Google einfach eine Lösung präsentieren würde, sollte das Thema brenzlig werden. Ansätze gibt es ja reichlich:
    http://www.econtrolling.de/datenschutz-google-analytics/

    Zur Xamit Studie: da vermischen sich zum Teil technische und rechtliche Anforderungen. Ein Dienst kann aus technischer Sicht alles mitbringen, um korrekt nutzbar zu sein. Wenn er das aber nicht mit den richtigen Texten & Co. verbindet, ist es halt nicht ausreichend. Aber sowas lässt sich natürlich leichter lösen.

    Comment by Markus Vollmert — 14.01, 2011 @ 10:32

  34. Die Äußerungen von Herrn Caspar lassen vermuten, dass er wusste, dass Hamburg.de etwas einsetzt, was er selbst als nicht datenschutzkonform ansieht. Warum blieb er dann da und schaltet erst jetzt seinen Auftritt ab? Geht aber gleichzeitig gegen Google vor. Ist er so verblendet in seinem Google-Hass, dass er diese Widersprüche nicht bemerkt?Und dann zu sagen, der Betreiber der Website sei schuld, ist lachhaft. Serverplatz gibt es für wenige Euros überall. Aber vielleicht reizte ihn ja die Reichweite des Portals?

    Es ist gleichzeitig eine Frechheit, auf einen Schlag 1400 Medienangebote zu kriminalisieren.

    Herr Caspar! Gehen Sie! Scheingefechte aufgrund eigener Eitelkeiten auf Kosten der Steuerzahler zu führen ist verwerflich.

    Comment by Frank S. — 14.01, 2011 @ 12:13

  35. Schaut euch doch die Seite von http://www.datenschutz.de/ genauer an: Das ist Web 1.0 Design und Technik und das wird unsere Zukunft sein, sollten die Datenschützer mit ihren Spinnereien Gehör finden.

    Und wer von Google nicht in irgendeiner Form protokolliert werden will, benützt eben kein Google als Suchmaschine, kein Google-Mail, kein Google-Maps, keine Code-Schnipsel von Google, schaltet Javascript und auch Cookies aus.
    Und wer ganz sicher gehen will, schaltet auch die Bilder aus, denn der 1×1 Pixel wird oft vergessen.

    Trotzdem schützt das nicht vor lückenloser Kontrolle und Möglichkeit zum exakten Bewegungs-Profil im Internet, denn einige Minister wollen immer noch die Vorratsdatenhaltung, also IP, User, Zeitstempel, besuchte Links, wann telefoniert, mit wem Telefoniert, welche Email geschickt, usw.
    Davon träumt Google höchstens.

    Comment by Frank — 14.01, 2011 @ 12:40

  36. Ganz grosse Klasse. Wirklich!
    1. Schritt: Man droht anderen mit rechtlichen Schritten, falls sie nicht Dinge unterlassen, die man selber mutwillig und bewusst ebenfalls tut.
    2. Nachdem das rauskommt sagt man, man sei ja gar nicht selbst verantwortlich und schiebt die Schuld auf andere.
    3. Nachdem das dann doch zu peinlich wird, nimmt man die Webseite mal kurz offline.
    Herr Caspar!!!
    Nicht jeder bekommt seinen Lohn vom Steuerzahler, so wie Sie!
    Es gibt auch Unternehmer, die darauf angewiesen sind, arbeiten zu können!
    Viele Können nicht einfach mal ihre Webseite offline vom Netz nehmen so wie Sie!
    Oder bezahlen Sie im nächsten Monat meine Miete?

    Comment by Florian Mayer — 14.01, 2011 @ 13:10

  37. In der Tat wäre es sehr angebracht, wenn Herr Caspar nicht nur seine Website, sondern auch seine Funktion stilllegt und zurücktritt.

    Wer sein Amt missbraucht, um nur öffentliche Aufmerksamkeit zu generieren, ist ungeeignet, unparteiisch die eigentlichen Aufgaben zu erfüllen.

    Comment by Franz Kafka — 14.01, 2011 @ 13:21

  38. @27: „Aber auch sonst ist die IP anonym und gehört einem Internetprovider.“

    Das ist so pauschal falsch. Es gibt durchaus Unternehmen (kein ISP) mit einem eigenen Pool von IP-Adressen.

    Comment by M. Boettcher — 14.01, 2011 @ 13:33

  39. @27 (stefan)
    Woher wollen Sie wissen ob dieser Server IP loggt? Das Logging läßt sich pro Webauftritt von 0% (komplett abgeschaltet) bis 100% (alles wird geloggt) sehr differenziert einstellen, egal ob IIS, Apache usw. usw.

    Zum Rest sagen ich nur: Oje!

    Denn, Zitat: Wer nicht verstanden hat, wann und wo IPs eingesetzt und übertragen werden, sollte von dem Thema die Finger lassen.

    Genau!

    Comment by Theo — 14.01, 2011 @ 14:01

  40. Die IP-Adresse gehört nicht zu den personenbezogenen Daten. Diese ganze Theorie ist widersinnig. MIt der IP-Adresse wird lediglich ein Login ins Internet markiert. Nur mithilfe zusätlicher Daten, die der Provider hat, lässt sich die IP-Adresse einem bestimmten Internetanschluss zuordnen. Und darum ist es einzig und allein wichtig, dass die Vorratsdatenspeicherung der Provider verhindert wird. Alles andere ist ein lächerlicher Kampf gegen Windmühlen.

    Comment by Wirtschaftswurm — 14.01, 2011 @ 17:00

  41. Na da sind ja alle reichlich früh aufgewacht ! Die Problematik der Websites von Datenschutzbeauftreagten und Aufsichtsbehörden gemessen an den eigenen Entscheidungen des Düsseldorfer Kreises zur IP-Adresse im November 2009 war schon Gegenstand einer ausführlichen Veröffentlichung auf webdatenschutz.de im Dezember 2009. Dort wurde auch auf die wachsweiche Formulierung in der Datenschutzerklärung des Hamburger Datenschutzbeauftragten, der ja immerhin mindestens einen Webanalyse-Anbieter „zertifiziert“ hat, hingewiesen. Seinerzeitiges Fazit von webdatenschutz.de : „Wer im Glashaus sitzt, sollte nicht mit Steinen werfen“. Dem ist nichts hinzuzufügen.

    Comment by Mikki — 15.01, 2011 @ 08:27

  42. Die IP-Adresse ist böse. Wer sie speichert, ist ein Böser und muss bestraft werden. So einfach machen es sich manche. Es wird an der Zeit, wieder den Nutzer in den Mittelpunkt zu stellen und zu fragen, wo seine Rechte verletzt werden. Wenn man sich die Mühe macht, das zu untersuchen, ergibt sich ein anderes Bild. Die Rechte des Nutzers sind nicht dann in Gefahr, wenn der Anbieter eines Webauftritts seine IP-Adresse speichert, ohne zu wissen, welche Person dahintersteht, sondern dann, wenn der die Möglichkeit hat, seine Aufzeichnungen über die Abrufe des Nutzers, also das Nutzungsprofil, der Person des Nutzers zuzuordnen.

    Theoretisch könnte ein Anbieter eine IP-Adresse zusammen mit dem Zeitpunkt aus einem Nutzungsprofil herausgreifen, damit zum zuständigen Access-Provider gehen, und der könnte ihm sagen, welchem Anschlussinhaber zu diesem Zeitpunkt die IP-Adresse zugeordnet war. Dass das wirklich vorkommt, wurde nie nachgewiesen; allein die Behauptung, es wäre möglich, reicht aus, um alle, die die IP-Adresse speichern, als Gesetzesbrecher zu brandmarken.

    Dabei geht es in Wirklichkeit viel einfacher: Der Anbieter weiß jedesmal, wenn ein Nutzer seine Daten in ein Webformular eingibt, mit wem er es zu tun hat, und kann das über ihn aufgezeichnete Nutzungsprofil der Person zuordnen. Das gleiche geht, wenn der Nutzer ein Login durchführt. Ein Löschen der IP-Adresse hilft hier gar nichts. Wenn man die Möglichkeit der Zuordnung ausschließen wollte, bliebe nur, dem Anbieter jegliche Aufzeichnungen zu verbieten.

    Erstellt der Anbieter seine Nutzungsprofile nicht selbst, sondern lässt das von einem Tracking-Dienstleister wie etracker erledigen, ändert sich die Situation für den Anbieter nicht, falls er noch vollen Zugriff auf die Nutzungsprofile hat. Der Tracking-Dienstleister hat dagegen keine realistische Möglichkeit der Zuordnung, weil die Eingabedaten des Nutzers nicht an ihn gehen. Ähnlich ist die Situation auch bei IVW. Da sowieso keine realistische Gefahr droht, kann es dem Nutzer ziemlich gleichgültig sein, ob dort seine IP-Adresse überhaupt nicht, kurzfristig oder langfristig gespeichert wird.

    Bei Google Analytics ist die Situation insofern anders, als Google in vielen Fällen selbst vom Nutzer Eingabedaten aus anderen Diensten bekommt, z.B. aus einem Login bei Google Mail. Damit ist Google in der Lage, das Nutzungsprofil aus Google Mail der Person zuzuordnen. Gelingt Google eine Querverbindung zwischen einem Profil aus Google Mail und einem aus Google Analytics, so kann es auch das Google-Analytics-Profil der Person zuordnen. Eine solche Querverbindung könnte über Cookies oder auch über eine IP-Adresse erstellt werden, die gleichzeitig in zwei Profilen vorkommt. Von Google Analytics geht also eine viel größere Gefahr für die Rechte des Nutzers aus als von etracker oder von IVW. Ein Löschen der IP-Adresse würde hier ausnahmsweise Sinn ergeben.

    Der wesentliche Effekt des Löschens der IP-Adresse ist ein anderer: Strafverfolgungsbehörden und inzwischen auch Rechteinhaber haben das Recht, vom Anbieter Nutzungsdaten (also Teile von Nutzungsprofilen) zu erhalten und die darin enthaltenen IP-Adressen per Anfrage an den zuständigen Access-Provider der Person zuzuordnen. Wenn der Anbieter die IP-Adressen löscht, funktionieren diese Möglichkeiten nicht mehr. Von daher ist auch klar, was die Absicht des Gesetzgebers war: Er ist davon ausgegangen, dass die Webanbieter Nutzerzugriffe aufzeichnen, und zwar mit voller IP-Adresse. Wollte der Gesetzgeber, dass die Anbieter die IP-Adresse löschen, hätte er sich die verschiedenen gesetzlichen Bestimmungen, die Strafverfolgungsbehörden und Rechteinhabern Zugriffe erlauben, sparen können. Die Forderung, die IP-Adresse zu löschen, gibt die Wunschvorstellung der Aufsichtsbehörden wieder, nicht die aktuelle Gesetzeslage.

    Comment by Stefan Schleipfer — 15.01, 2011 @ 17:33

  43. @Stefan Schleipfer: Ja, IP-Adressen sind ganz ganz böse. Weil man mit Ihnen Profile erstellen kann, die man dann für ein ganz perfides „targeted advertising“ verwenden will. D.h. statt dem aktuellen Hitlisten-Schmöker bekommen Sie bei Ihrem Online-Buchhändler ein Buch angezeigt, dass Ihren Wünschen wahrscheinlich eher entspricht. Davor müssen Sie geschützt werden! Ob Sie wollen, oder nicht!

    Nur übersehen hier die flammenden Reiter des Datenschutzes, dass das Datenschutzgesetz in seinem Wortlaut nur personenbezogene Daten, nicht aber Maschinendaten, schützt. Das Datenschutzrecht kennt (oder kannte?) direkten oder relativen Personenbezug, d.h. die Beziehung müsste durch den Datenverarbeiter mit den zur Verfügung stehenden Mitteln ohne unverhältnismässigen Aufwand herstellbar sein (so auch Gola/Schomerus).

    Dies trifft bei IP-Adressen, d.h. Google Analytics, Cookies, usw. usf., nicht zu. Im Übrigen auch nicht bei Bildern von Häusern …

    PS Während wir noch hierüber diskutieren, hat man bereits eine neuerliche ungeheuerliche Bedrohung der Privatsphäre ausgemacht – Zivile Drohnen: handelsblatt.com/newsticker/politik/aigner-sieht-risiken-bei-kamera-drohnen;2719171 „Bundesverbraucherministerin Ilse Aigner (CSU) sieht Datenschutzlücken beim privaten Einsatz von Drohnen mit eingebauten Kameras“.

    Comment by Donk — 17.01, 2011 @ 10:52

  44. Der Stein des Anstosses ist doch eigentlich die Übermittlung der IP-Adresse ins Ausland. Wenn man sich mal vor Augen führt, wie “ Surfen“ technisch funktioniert, müsste Deutschland eigentlich komplett vom Internet getrennt werden.

    Liegt eine Webseite auf einem ausländischen Server, sendet der Benutzer selbst mit jedem Klick – auch ohne Einsatz eines Tracking-Tools – seine IP-Adresse. Schliesslich muss der Server ja wissen, wohin er die angeforderten Daten auszuliefern hat.

    Also Deutschland, raus aus dem Netz. Oder noch besser: wir ziehen eine riesengrosse Firewall ums Land und jedes Bit, das hinaus möchte, wird erschossen. Kennen wir ja schon…

    Comment by Danyel — 29.01, 2011 @ 09:20

  45. Anhand von installierten Plugins lasst sich auch ohne IP ein recht guter Fingerprint des Nutzers erstellen…
    Zusammen mit der Bildschirmauflösung und der History
    kann ein einzigartiges Besucherprofiel erstellt werden

    Comment by macor — 10.08, 2011 @ 11:50

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.