Heise berichtet über einen aktuellen Fall in dem der niedersächsische Datenschutzbeauftragte den Einsatz des Werbeprogramms Google AdSense, des Amazon Partnerprogramms und des IVW-Pixels als datenschutzwidrig beanstandet hat und zudem das Webhosting als Auftragsdatenverarbeitung (i.S.v. § 11 BDSG) qualifiziert. Dem Betreiber von zwei Internetforen wurde aufgegeben, die Übermittlung personenbezogener Daten über die Dienste Google AdSense, Amazon Einzeltitel-Links sowie IVW-Box einzustellen und die Anwendungen aus dem Quelltext zu entfernen. Aus dem Schreiben des Landesbeauftragten für den Datenschutz – das mir vorliegt – ergibt sich zudem, dass die Datenschutzbehörde der Ansicht ist, beim Hosting würde eine sog. Auftragsdatenverabeitung nach § 11 BDSG stattfinden. Der Forenbetreiber wurde aufgefordert, die Zulässigkeit der Auftragsdatenverarbeitung durch seinen Host-Provider (Host Europe) nachzuweisen.
Die Datenschützer schießen mit solchen Maßnahmen sehr weit über das Ziel hinaus. Die konsequente Schlussfolgerung aus der Haltung des niedersächsischen Datenschutzbeauftragten ist letztlich die, dass sämtliche Websites, die Werbung mit Hilfe von Partnerprogrammen bzw. des Affiliate-Marketing treiben, gegen das Datenschutzrecht verstoßen.
Wenn man zudem das Hosting, wie es der Landesdatenschutzbeauftragte tut, als Auftragsdatenverarbeitung im Sinne von § 11 BDSG begreift, müssten damit eigentlich fast alle deutschen Websites vom Netz genommen werden und Massenhoster wie 1&1 und Strato könnten ihr Geschäft sofort einstellen. Denn wenn die Rechtsansicht der Datenschutzbehörde zutreffend wäre, würde dies bedeuten, dass jeder Webseitenbetreiber mit seinem Host-Provider eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung abschließen müsste, die die äußerst strengen Anforderungen von § 11 Abs. 2 BDSG erfüllt. Die Haltung des niedersächsischen Landesbeauftragten kann man daher getrost als aberwitzig bezeichnen.
Für mich ist das Vorgehen der Datenschützer aber auch ein weiterer Beleg dafür, dass das deutsche und europäische Datenschutzrecht nach wie vor den Anforderungen des Internetzeitalters nicht gewachsen ist und die Datenschutzbehörden dieses Problem durch eine exzessive Auslegung datenschutzrechtlicher Bestimmungen noch zusätzlich befeuern.
Das ist auch deshalb fragwürdig, weil die Datenschutzbehörden oft genug die von ihnen gestellten Anforderungen selbst nicht erfüllen. Das habe ich hier vor einiger Zeit am Beispiel des Hamburger Datenschutzbeauftragten schon dargestellt.
Für den hier agierenden niedersächsischen Datenschutzbeauftragten gilt nichts anderes, wie ein Blick in seine eigene Datenschutzerklärung zeigt. Dort werden zunächst mit dem TDG und dem MDStV gesetzliche Regelungen genannt, die es seit Jahren nicht mehr gibt.
Die Datenschutzerklärung genügt aber auch den Vorgaben der geltenden gesetzlichen Regelungen des § 13 TMG nicht. Der Datenschutzbeauftragte informiert nicht ausreichend über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten. Insbesondere wird nicht erklärt, welche Daten beim Aufruf des Servers „lfd.niedersachsen.de“ genau erhoben werden. Wenn Daten, wie angeben, in einer Protokolldatei gespeichert werden, dann dürfte es sich hierbei um nichts anderes als die Logdateien des Webservers handeln. Und dort werden dann gerade auch die IP-Adressen der Anfragenden erfasst. Man muss also, ausgehend von der eigenen Datenschutzerklärung des Datenschutzbeauftragten, annehmen, dass der Webserver „lfd.niedersachsen.de“ IP-Adressen speichert und zwar für einen Zeitraum von zwei Monaten.
In der Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten heißt es ferner, dass alle allgemein zugänglichen Seiten benutzt werden können, ohne dass Cookies gesetzt werden. Diese Aussage ist schlicht falsch. Bereits beim Aufruf der Privacy-Seite setzt der Server des Landesbeauftragten ein Cookie, wie der nachfolgende Screenshot zeigt:
Die Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten ist im Ergebnis also veraltet, unvollständig und falsch. Belegt wird dadurch einmal mehr, dass die Datenschutzbehörden, die hohen Anforderungen, die sie anderen abverlangen, selbst nicht erfüllen.