Internet-Law

Onlinerecht und Bürgerrechte 2.0

8.8.11

Hamburger Datenschutzbeauftragter: IVW-Tracking-Tool jetzt datenschutzkonform

Der Hamburgische Datenschutzbeauftragte hatte sich Anfang des Jahres als Steinewerfer im Glashaus entpuppt, nachdem er einräumen musste, dass seine eigene Website – damals Teil von „hamburg.de“ – gemessen an den eigenen Kriterien nicht datenschutzkonform war. Ein zentraler Kritikpunkt war das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird.

Dieses Tracking-Tool soll nunmehr datenschutzkonform ausgestaltet sein, wie der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung erläutert, u.a. weil die erfassten IP-Adressen um das letzte Oktett gekürtzt werden, wie es heißt.

Das würde dann aber auch bedeuten, dass Google Analytics ebenfalls datenschutzkonform sein müsste, wenn das von Google angebotene sog. IP-Masking eingesetzt wird. Ich bin gesapnnt, ob der Hamburger Datenschutzbeauftragte, der auch für Google zuständig ist, diese Schlussfolgerung ebenfalls ziehen wird.

Die Datenschutzerklärung von hamburg.de bleibt allerdings in Teilen dieskussionswürdig, insbesondere was die Passage zu den Social-Plug-Ins (Ziff. 6) angeht.

posted by Stadler at 16:44  

32 Comments »

  1. Zwar ist es erfreulich, dass das IVW-Tracking-Tool nun datenschutzkonform sein soll, die Parallele zu Google ist insoweit aber dennoch nicht ganz richtig:

    Denn bei Google werden die IP-Adressen erst vollständig übertragen und dann im Nachhinein gekürzt.

    Doch die IP-Adressen stellen nur ein datenschutzrechtliches Problem von vielen bei Google Analytics dar. Laut Düsseldorfer Kreis muss ein Tracking-Tool bestimmte Anforderungen erfüllen. Dazu gehören die Vorgaben zur Auftragsdatenverarbeitung nach § 11 BDSG, wonach sich Google unter anderem zur Einhaltung bestimmter technischer und organisatorischer Maßnahmen verpflichten muss. Dass Google dies tatsächlich mit sich machen lässt, ist dabei mehr als fraglich.

    Außerdem kann davon ausgegangen werden, dass das Nutzungsverhalten erfasst wird. Allerdings ist die Erfassung von Nutzungsprofilen gem. § 15 Abs. 3 S. 1 TMG nur bei Verwendung von Pseudonymen zulässig. IP-Adressen stellen aber keine Pseudonyme dar, welche die Anforderungen des § 3 Abs. 6a BDSG erfüllen.

    Comment by Dr. Datenschutz — 8.08, 2011 @ 18:13

  2. Falls die IP-Adresse nicht vollständig erfasst und erst dann gekürzt wird, sondern tatsächlich von Anfang nur teilweise erhoben werden sollte, dürfte es in der Tat kein Datenschutzproblem mehr geben.

    Die Problematik bei Google Analytics ist ja, dass die IP auch beim IP-Masking durch anonymize_ip (angeblich) erst vollständig erhoben, zu Google in die USA übermittelt und erst dann gekürzt wird. Je nach tatsächlicher Ausgestaltung wäre das IVW-Tool also anders zu behandeln als GA. Weiß jemand, an welchem Punkt bei IVW die IP gekürzt wird?

    Comment by Nils Haag — 8.08, 2011 @ 18:32

  3. Das sind sehr theoretische Diskussionen, die da geführt werden.

    Auf der einen Seite reicht mir in meinem Blog bei 60% der Abrufe die Domäne, aus der abgerufen wurden, zur eindeutigen Zuordnung zur einer Person machen zu können. Trotz allen Strippings und Transformings meines Hosters von Bits, Oktetten oder sonstwas.

    Auf der Seite: sind denn Schadensfälle bekannt, wo Google oder IVW oder sonst wer bei Massendaten-Reichweiten sich für personenbezogene Daten interessiert hätten?

    Allein die theoretische Möglichkeit ist meines Erachtens belanglos. Theoretisch kann man mit einem Küchenmesser auch töten. Trotzdem werden die nicht abgestumpft, um das zu verhindern.

    Oder gilt einfach die Juristenweisheit: Der Jurist quält sich nicht mit der Realitätsferne, sondern er geniesst sie?

    Comment by Jan Dark — 8.08, 2011 @ 19:35

  4. @Nils Haag

    Ich nehme an, du kennst dich mit der Funktionsweise diese Tools bzw. von Websites im Allgemeinen nicht besonders gut aus? Kann man dir aber auch nicht übel nehmen – selbst viele „IT-Juristen“ kennen sich da nicht aus und erzählen blödsinn (letztens habe ich z.B. so einen Blödsinn in einer Broschüre des Wirtschaftsministeriums gefunden).

    Erklärung:
    Die IP wir bei Google Analytics nicht „angeblich“ erst von Google vollständig erhoben. Es ist so sicher wie das Amen in der Kirche, dass Google zunächst die volle IP hat. Über die IP wird im Internet kommuniziert. Da vom Browser ein Google-JavaScript geladen wird, muss Google die IP zwangsläufig kennen – Google könnte ansonsten gar nichts zurückschicken.

    Das muss auch bei IVW so sein, wenn hier mit JavaScripts von IVW gearbeitet wird.

    Zur potentiellen Gefahr der IP-Speicherung:

    Für Firmen wie Google sind IP-Adressen (und die anderen Infos, die im HTTP-Request gesendet werden) wohl tatsächlich personenbezogene Daten. Sie können einen User sehr sehr weit verfolgen. Mit jeder AdWords-Anzeige, die eingeblendet wird, jedem GA, jeder Suche etc. Das birg schon Gefahren.

    Auch wenn man Google traut und sie nie was freiwillig rausgeben: Durch z.B. den Patriot Act in den USA kommen Behörden und Prozessgegner viel leichter an die Daten als hier.

    Comment by Alex — 8.08, 2011 @ 19:48

  5. „Für Firmen wie Google sind IP-Adressen (und die anderen Infos, die im HTTP-Request gesendet werden) wohl tatsächlich personenbezogene Daten.“

    So blöd ist Google auch nicht. Wenn die IP-Adresse die eines großen Unternehmens ist, dann ist die IP-Adresse wertlos, wenn man nur den Proxyserver sieht, hinter dem zehntausende Mitarbeiter sitzen. Mach Dich doch al sachkundig. IP-Adressen sind nur dann personenbezogen, wenn der Provider sie eindeutig zuordnen kann. Schon in einem kleinen Haushalt ist das nicht möglich, da alle Bewohner nur mit der Adresse des Routers gesehen werden, der das Hausnetz mit NAT (Network Address Translation)sicherer macht. Das quält unsere Richter sehr, deshalb haben sie im Richterrecht ohne gesetzliche Grundlage die Störerhaftung eingeführt. Die aber nutzt Google überhaupt nichts, sondern dienst nur den Richtern, dass sie ihren Berufskollegen aus den Abmahnwahn-Anwaltschaften ein Zubrot von 100 € Mindestlohn zuschustern, die sonst arbeitslos wären und der Allgemeinheit zur Last fielen. An solchen Geschäftsmodellen ist Google anders als die deutsche Justiz nicht interessiert.

    Der Patriot Act regelt die Terrorismusbekämpfung durch US-Strafverfolgungsbehörden. Prozessgegner sind die Vereinigten Staaten von Amerika. Was willst Du mit dem Hinweis auf den Patriot Act sagen? Dass Dir deutscher Datenschutz wichtiger ist als globale Terrorismusbekämpfung? Die Hinweise aus der Deutschen Hosting-Industrie sind grober, kommerzieller Bullshit. Firmen, die sagen, Terorbekämpfung ist nicht so wichtig, haben einen an der Waffel. Neulich wurde von Deutschen Werbung gemacht, dass der Hoster nicht mal sagen dürfte, dass der Staat in durchsucht hat: Das ist sachlich falsch, weil höchtstrichterlich aufgehoben. Kuckst Du hier:
    http://de.wikipedia.org/wiki/USA_PATRIOT_Act

    Firmen in Deutschland, die mit dem Partiot Act Werbung machen, sind mir hochsuspekt. Mit solchen Terrorsupportern möchte ich nichts zu tun haben. Geh mir weg.

    Zudem ist es scheinheilig. Wenn bei uns die Dienste Rechenzentren beschnüffeln, machen Sie da meist ohne Rechtsgrundlage und geheim. Manche, wie das BKA, sind sogar so dreist, dass sie öffentlich zugeben, dass sie deutsche Gesetze nicht eingehalten wollen. Wie das Zugangserschwerungsgesetz. Da steht keine Ermächtigung für die Regierung zum Ein- und ausschalten drin. Trotzdem weigert sich die Bundesregierung ein gültiges Gesetz zu exekutieren. Da hat man mit dem Patriot Act noch mehr Rechtssicherheit als mit den Outlaws vom BKA, die unser Parlament öffentlich verhöhnen.

    So, das musste jetzt raus :-)

    Comment by Jan Dark — 8.08, 2011 @ 21:32

  6. @Dr. Datenschutz: Woher stammt die Info bzgl. Google?

    Wenn man das als Auftragsdatenverarbeitung begreift, dann ist sowohl das Massenhosting als auch jede Form des Cloud-Computing auch ein Fall des § 11 BDSG.

    Es gibt übrigens Aufsichtsbehörden, die Google Analytics (mit IP-Masking) für zulässig halten

    Comment by Stadler — 8.08, 2011 @ 21:44

  7. @Stadler: Welche Aufsichtsbehörden vertreten diese Ansicht und gibt es dazu Pressemitteilungen oder ähnliches?

    Comment by Ilias — 8.08, 2011 @ 22:26

  8. @Ilias
    Der „Beschluss“ des „Düsseldofer Kreises“ (das ist eine Versammlung von Datenschützer, als Mitgliedern der Exekutive) zu Google Analytics ist veröffentlicht von 2009:
    http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.pdf?__blob=publicationFile

    M.E. sind das Empfehlungen ohne normativen Charakter. Ein normales Verfahren, wenn sich der Gesetzgeber dazu äusserte, oder wenigste höchstrichterliche Rechtssprechung vorläge. Es wird z.B. so geheuchelt, dass eine IP-Adresse ein personenbezogenes Datum wäre. In Unternehmen und privaten Haushalten, wo sich mehrere Personen im Internet mit derselben IP-Adresse zeigen, ist das grober Unsinn. Würde man dem Unsinn des versammelten mangelhaften Sachverstandes folgen, ist eine Analysieren von Zugriffen aus einem großen Netzwerk immer statthaft, da nicht personenbezogen.

    Die Herren des Düsseldorfer Kreises sind sogar so dreist, dass sie sagen, dass Rechtsabkommen der EU mit dritten Mächten ungültig seien, obwohl Legislativen und Judikative das Gegenteil sagen, wie z.B. bei Safe Harbor Abkommen der EU mit den USA. Der Düsseldorfer Kreis tut sein möglichstes, um den Datenschutz in Deutschland vollends zu diskreditieren.

    Comment by Jan Dark — 8.08, 2011 @ 22:56

  9. @Alex

    Dass im Rahmen des Kommunikationsvorgangs IP-Adressen ausgetauscht werden, ist selbst mir als „IT-Jurist“ klar, vielen Dank für die Belehrung.

    Die entscheidende Frage aus datenschutzrechtlicher Sicht ist jedoch, ob bei den unterschiedlichen Tools die vollständigen IPs darüber hinaus für eine gewisse Dauer erfasst werden, um sie dann für einen bestimmten Zweck zu verarbeiten (Erhebung im Sinne von § 3 Abs. 3 BDSG). Das ist wohl kaum so sicher wie das zitierte Amen in der Kirche.

    Eine Abgrenzung, unter welchen Vorraussetzungen beim Aufruf von Webseiten Daten im Sinne des BDSG erhoben werden, ist relativ schwer vorzunehmen. Dies zeigt einmal mehr, dass die rund 20 Jahre Systematik des Gesetzes (hier das Erheben, Speichern und Nutzen) in der Online-Welt nicht mehr zeitgemäß ist und die Anwendung des BDSG in der Praxis deshalb zu Problemen führt. Dasselbe gilt für die unendliche Diskussion um den Personenbezug von IP-Adressen. Die Wirklichkeit ist dem Recht hier wieder einmal sehr weit voraus.

    Comment by Nils — 8.08, 2011 @ 23:19

  10. @Jan Dark
    Meine Frage war, welche Aufsichtsbehörde konkret den Einsatz von Google Analytics für zulässig hält.

    Der Düsseldorfer Kreis arbeitet hierbei meines Wissens doch gerade heraus, wann Tracking nicht zulässig ist und gibt einige Punkte zur Begründung. In Verbindung mit dieser Stellungnahme des ULD geht hervor, dass diese Behörden gerade Google Analytics nicht zu den zulässigen Analytics-Tools zählen: https://www.datenschutzzentrum.de/tracking/20090123_GA_stellungnahme.pdf

    Im Umkehrschluss lässt sich hieraus folgern, unter welchen Voraussetzungen ein Tracking vom Düsseldorfer Kreis/ULD als zulässig gesehen wird.

    Wenn man das Kürzen der IP-Adresse als ausreichend bewertet , da sie aus technischen Gründen zunächst doch an Google übermittelt wird und der Webseitenbetreiber Google „glauben muss“, dass nur die gekürzte Variante erhoben wird, hat Google die meisten Vorgaben zwischenzeitlich umgesetzt (Widerspruch per Opt-out per Browser-Plugin auch für Safari und Opera). Meiner Meinung nach fehlt hauptsächlich noch eine Nutzungsvereinbarung bzgl. der Auftragsdatenverarbeitung gem. § 11 BDSG, welche seit der Änderung von 2009 nötig ist.

    Die Kontroverse zum Personenbezug der IP-Adresse ärgert mich auch, es ist ja nicht gerade ein völlig neues Thema. Wäre eine endgültige Klärung mit Hilfe eines Musterprozesses oder ähnlichem nicht möglich? Die Theorie des absoluten Personenbezugs von IP-Adressen empfinde ich auch fast als etwas „stumpf“, in anderen Rechtsbereichen klammert man die tatsächlichen Gegebenheiten doch auch nicht pauschal völlig aus.

    Ein relativer Personenbezug für IP-Adressen könnte konkret bei Google Analytics aber durchaus vorliegen, da Google wegen seiner diversen anderen Dienste theoretisch durchaus die Möglichkeit hätte, einen Personenbezug herzustellen. Meiner Meinung nach wird dies durch Google+ wegen des Pseudonymverbots noch weiter verschärft.

    Meiner Meinung nach sollten die Anforderungen für ein datenschutzkonformes Tracking nicht unerreichbar hoch sein, da die Realität hier tatsächlich ein paar Schritte weiter ist. Bei der Möglichkeit solcher Technologien, insbesondere ivm einem eindeutigen Browserfingerprint zeigt, was möglich ist.
    Wenn man sich beim Tracking per se im grauen oder gar illegalen Bereich bewegt ist der Einsatz solcher Technologien dann wohl auch kein so großer Schritt mehr…

    Comment by Ilias — 9.08, 2011 @ 09:19

  11. Mir ist das nur aus meiner eigenen Sachbearbeitung bekannt. Die bay. Aufsicht akzeptiert Google Analytics mit IP-Masking, eine entsprechende Datenschutzerklärung vorausgesetzt.

    Die Ansichten des Düsseldorfer Kreises sind m.E. in Teilen falsch. Sie sind aber rechtlich nicht verbindlich, sondern im Zweifel gerichtlich voll nachprüfbar. Die Haltung der Datenschützer steht und fällt bereits mit der Prämisse des absoluten Personenbezugs von IP-Adressen.

    Die Haltung, dass Google Analytics unzulässig sei, ist in jedem Fall inkonsequent. Eigentlich müsste man sämtliche Dienste von Google und die anderer amerikanischer Anbieter für datenschutzwidrig halten.

    Comment by Stadler — 9.08, 2011 @ 09:46

  12. @8: „Es wird z.B. so geheuchelt, dass eine IP-Adresse ein personenbezogenes Datum wäre. In Unternehmen und privaten Haushalten, wo sich mehrere Personen im Internet mit derselben IP-Adresse zeigen, ist das grober Unsinn.“

    In Hamburg sind 53% aller Haushalte Ein-Personen-Haushalte, in Berlin sind es 52,4%, in München 47,3%. In 29% der Haushalte Hamburgs leben 2, nur im Rest leben 3 und mehr Personen. So ungenau ist eine IP, würde man nur sie zur Personenzuordnung verwenden, schon mal nicht.

    Zur Klärung, ob man es mit User 1 oder 2 zu tun hat, würden wenige Zusatzinformationen ausreichen. Nutzen die Bewohner eines Haushaltes unterschiedliche Betriebssysteme/Betriebssystemversionen, Browser oder Browserversionen und abweichende Bildschirmauflösungen, so kann ein Anbieter aus den vom Browser übermittelten Daten eine Identifikation mit hoher Wahrscheinlichkeit ableiten. Siehe http://panopticlick.eff.org/

    Z. B. werden folgende OS und Bildschirmauflösungen verwendet: Linux/64-Bit, Windows7/64-Bit, Windows XP/32-Bit, 1920x1080px, 1680x1050px, 1280x1024px. Preisfrage: wieviele Personen leben im Haushalt?

    Comment by M. Boettcher — 9.08, 2011 @ 10:24

  13. @Stadler: Die rechtliche Einordnung, ob eine Auftragsdatenverarbeitung vorliegt oder nicht, hängt nicht davon ab, ob es praktisch umzusetzen wäre oder ob eine Auftragsdatenverarbeitung „vereinbart“ wurde. Sobald personenbezogene Daten durch eine andere Stelle verarbeitet werden ohne das Weisungsrecht abzugeben, liegt eine Auftragsdatenverarbeitung vor, so dass auch Massenhosting oder Cloud-Computing einen Fall der Auftragsdatenverarbeitung darstellen (kann).

    Ob und wie das praktisch umzusetzen und nachprüfbar (etwa im Rahmen einer Dienstleisterkontrolle) ist, steht dabei natürlich auf einem ganz anderen Blatt. Insoweit kann sich den Vorrednern insoweit angeschlossen werden, als dass die gesetzlichen Regelungen der Praxis hinterher hinken.

    Comment by Dr. Datenschutz — 9.08, 2011 @ 10:34

  14. Wozu der Mumpitz? Einmal Privoxy eingerichtet, Blockierregeln (unter anderen):

    {+block{Tracking}}
    .ivwbox.de
    .google-analytics.*

    Mir vollkommen egal wie datenschutzkonform oder existenznotwendig Tracking ist.

    Comment by Ponyrage — 9.08, 2011 @ 10:57

  15. Solange Gesetze gemacht werden die realitätsfremd sind, stimmt etwas mit dem Gesetzgeber nicht. Woanders würde es heißen, Auftrag nicht erfüllt, aber bei der unfähigen jeweiligen Regierung zerbrechen WIR uns den Kopf, wie dieser Schrott anzuwenden wäre!

    Comment by Frank — 9.08, 2011 @ 11:21

  16. @Dr. Datenschutz: Die gesetzliche Regelung hängt nicht nur der Praxis hinterher, sondern wurde mit der Neureglung des § 11 BDSG noch praxisferner ausgestaltet. Dass das Datenschutzrecht im Netz nicht wirklich funktioniert, habe ich hier immer wieder thematisiert. Siehe z.B.: Speziell die konsequente Anwendung von § 11 BDSG würde dazu führen, dass Deutschland weitgehend offline gehen müsste

    Comment by Stadler — 9.08, 2011 @ 11:51

  17. @M. Boettcher
    „In Hamburg sind 53% aller Haushalte Ein-Personen-Haushalte, in Berlin sind es 52,4%, in München 47,3%. In 29% der Haushalte Hamburgs leben 2, nur im Rest leben 3 und mehr Personen. So ungenau ist eine IP, würde man nur sie zur Personenzuordnung verwenden, schon mal nicht.“

    Das ist richtig. Aber man muss davon abziehen, dass ein Teil der Einpersonen-Haushalte keinen Internetzugang hat. Zudem ist ca. die Hälfte der Bevölkerung berufstätig. Wenn sie aber auf der Arbeit surfen, stecken sie häufig hinter Proxy-Servern (oder in kleinen Anwaltpraxen hinter einem Router wie bei einer Familie), so dass ein Personenbezug nicht herstellbar ist. Also reden wir vielleicht über 20 oder 30% der Bevölkerung. Dem BGH ist dieses Elend bewusst, deswegen hat er ja neben unseren Gestzes als vom Gesetzgeber nicht widersprochenem Richterrecht die Störerhaftung gesetzt, weil eben dieser Personenbezug nicht herstellbar ist. Würden die Gerichte nicht auf den Personenbezug bei Straftaten verzichten, wären viele Rechtsanwälte, die heute allein vom Urheberrecht leben, arbeitslos.

    Comment by Jan Dark — 9.08, 2011 @ 13:47

  18. @Ilias

    Die von Dir referenzierte Quelle des ULD (der davon profitiert, dass wir den Extremistenerlass aufgehoben haben)ist älter als die Meinungsäußerung des Düsseldorfer Kreises aus meiner Quelle. Im Düsseldorfer Kreis sind alle deutschen obersten Aufsichtsbehörden für den Datenschutz, auch der ULD. Der hat also jetzt die gleichgeschaltete Meinung (von 2009). Zu beachten aber ist, dass das eine gesetzliche zulässige Meinungsäußerung der Exekutive ist. Sie haben weder gesetzersetzenden Charakter noch rechtssprechenden. Du kann genauso Deine Meinung äußern.

    in Bezug auf Personenbezug von IP-Adressen sind machen Meinungen genauso falsch wie die Ansicht, dass man toten Mauern nun ein Persönlichkeitsrecht zuordnen müsse. Hier laufen Irre Amok, die kein Gesetzgeber ernst nimmt. Ernsthafte Menschen rennen auch nicht den ganzen Tag herum und diskutieren darüber, dass man mit scharfen, großen Küchenmessern Menschen töten kann. Das ist so, aber es lohnt nicht alle theoretischen Möglichkeiten rechtlich durchzudiskutieren, wie das die amoklaufenden Weltfremden im Datenschutz tun.

    Ich gebe auch gerne noch mal den Hinweis auf die Atompolitik und Versicherung. Risiko nennt man dort das Produkt aus Eintrittswahrscheinlichkeit und Schadensausmaß. Die Datenschützer entziehen sich systematisch einer von der Verfassung gebotenen Verhältnismäßigkeit, in dem sie auf jede Art seriöser Risikoabschätzung verzichten. Damit schaden sie dem notwendigen Datenschutz erheblich.

    Comment by Jan Dark — 9.08, 2011 @ 13:58

  19. Zitat: „Die Datenschützer entziehen sich systematisch einer von der Verfassung gebotenen Verhältnismäßigkeit, in dem sie auf jede Art seriöser Risikoabschätzung verzichten. Damit schaden sie dem notwendigen Datenschutz erheblich.“

    Das halte ich für einen interessanten Aspekt.

    Comment by Peter Hense — 9.08, 2011 @ 14:46

  20. @ Jan Dark:
    Was für ein Extremistenerlass? Und wie Profitiert der ULD durch dessen Aufhebung?

    Mich interessiert auch, wie kommt es zur Anwendung der Störerhaftung beim Webtracking?

    „Die Datenschützer entziehen sich systematisch einer von der Verfassung gebotenen Verhältnismäßigkeit, in dem sie auf jede Art seriöser Risikoabschätzung verzichten. Damit schaden sie dem notwendigen Datenschutz erheblich.“
    Der Meinung bin ich auch. Denke, dass eine zu strenge Auslegung definitiv nach hinten losgehen kann. Denn wenn man beim „harmlosen“ Tracking eh schon Datenschutzverletzungen begeht, sinkt wohl die Hemmschwelle, dann auch gleich richtige personenbezogene Profile zu erstellen, oder mit Hilfe von Flash-Cookies und dergleichen sich über den Willen der Webseitenbesucher, nicht getrackt zu werde, zu setzen…

    Comment by Ilias — 9.08, 2011 @ 15:22

  21. @Ilias
    Zum Extremistenerlass kuckst Du hier:
    http://www.spiegel.de/spiegel/print/d-39909445.html
    Damals hat man Extremisten aus dem Öffentlichen Dienst ferngehalten. Die Gefahr, dass Lokführer mit DKP-Mitgliedschaft unsere schönen Lokomotiven der Bundesbahn nach Kuba entführten, schien uns zu groß. Der Erlaß ist aufgehoben und Extremisten dürfen wieder in den öffentlichen Dienst. Siehe ULD.

    Die Störerhaftung hat erst mal nichts mit dem Webtracking zu tun. Die Richter am BGH haben messerscharf erkannt, dass man eine IP-Adresse nicht eindeutig einer Person zuordden kann. Deshalb haben sie die Störerhaftung erfunden, ohne den Gesetzgeber deswegen zu bemühen (das wiederum *kann* mit dem aufgehobenen Extremistenerlass zu tun haben). Die Störerhaftung hilft nun, den sonst arbeitslosen Berufskollegen der Richter ein Mindesteinkommen über das Urhebergesetz zu sichern. Der Gesetzgeber hat damit nichts zu tun. Er kennt keine Störerhaftung (wirst Du nirgendwo in einem Gesetz finden) und für die Unterstützung von Arbeitslosen hat er das Sozialgesetzbuch vorgesehen, nicht das Urhebergesetz.

    Die Datenschützer sind nun anders drauf: da wo die Richter des BGH eine Personenbezogenheit von IP-Adressen verneinen, sehen die Datenschützer die ganz deutlich. Zyniker würden das auf den übermäßigen Drogenkonsum von Alt68ern zurückführen. Früher endete das „Denn sie wissen nichts, was sie tun“ häufig tödlich wie bei James Dean. Heute kann man seine Halluzinationen im Öffentlichen Dienst ausleben :-))

    So ich geh jetzt wieder Logfiles lesen. Wer so mein Blog liest. Mein Hoster hat mir gesagt, er müsse aus Datenschutzgründen mein Logfiles entarten. Statt Voll qualifiziertem Domainname des Proxys bekomme ich so gebasteltes: Erst IP-Adresse in entarteter Notation, dann die beiden obersten Domains. Vorhin habe ich einen identifiziert, der aus einem Netz mit 20.000 Usern bei mir surfte. Die hatten sich besonders viel Mühe gegeben und nicht mal den DNS mit der Rückwärtsauflösung gefüttert. Regelwidrig. Unanständig. Ich konnte dennoch meinen Gesprächspartner identifizieren, aber datenschutzrechtlich war es sauber. Es ist zum Verzweifeln. Früher habe ich gedacht, theoretische Physik oder Theoretische Chemie wäre das Abgefahrenste: Schrödinger-Gleichungen, Wellen, mehr Dimensionen als nötig. Cool. Aber da kannte ich theoretischen Datenschutz und den Düsseldorfer Kreis noch nicht :-))

    Comment by Jan Dark — 9.08, 2011 @ 16:09

  22. Und gewonnen wurde bei der ganzen IP-Anonymisierung nichts. Die Cookies verpassen Google und IVW dem Durchschnittssurfer auch weiterhin, wodurch die Identifizierung auch ohne IP gesichert ist.

    Ohne noscript, RequestPolicy und Cookie Monster gehe ich nicht mehr ins WWW.

    Comment by Seb — 10.08, 2011 @ 07:56

  23. @Dr.Datenschutz:

    > Denn bei Google werden die IP-Adressen erst vollständig übertragen und dann im Nachhinein gekürzt.

    Dass die IP-Adressen immer vollständig „übertragen“ werden, ist eine Selbstverständlichkeit, und geht wegen des HTTP-Protokolls im Internet technisch auch gar nicht anders. JEDER Tracking- oder Werbedienst, der in eine Webseite eingebunden ist, hat erst einmal die volle IP-Adresse des Nutzeranschlusses. Das hat nichts mit Google oder anderen Dienstleistern zu tun.

    Nichts anderes schreibt Herr Caspar jetzt in seiner Presseerklärung: „Die IP-Adressen der im Rahmen des SZM erfassten Nutzer werden VOR JEDER WEITEREN VERARBEITUNG um das letzte Oktett gekürzt, um den Personenbezug zu entfernen.“ Auf Deutsch heißt das: Nachdem die vollständigen IP-Adressen der Nutzer zu ivwbox.de übertragen wurden, werden sie vor der weiteren Verarbeitung gekürzt. Nichts anderes als Google bei aktivierter IP-Anonymisierung macht.

    Auf Aufruf von http://www.hamburg.de erhalten z.B. im Moment die Partner ivwbox.de, spartoo.com, mydays.de, adrolays.de, experteerads.com und planetapes.de die vollständigen IPs aller Nutzer. Bei jedem Onlineportal wie z.B. den großen Nachrichtenportalen ist diese Liste der Partner mindestens so lang.

    IP-Adressen sind auch nach dem OLG-Hamburg-Urteil von 2010 KEINE a priori personenbezogene Daten.

    Wann kapieren das die Datenschützer eigentlich mal?

    Comment by Christoph — 10.08, 2011 @ 12:01

  24. „Dass die IP-Adressen immer vollständig “übertragen” werden, ist eine Selbstverständlichkeit, und geht wegen des HTTP-Protokolls im Internet technisch auch gar nicht anders. JEDER Tracking- oder Werbedienst, der in eine Webseite eingebunden ist, hat erst einmal die volle IP-Adresse des Nutzeranschlusses. Das hat nichts mit Google oder anderen Dienstleistern zu tun.“

    Das ist Blödsinn. Die Annahme, zum Tracken von Nutzern muss man unbedingt Tracking-Scripts/.Pixel/.Whatever von Fremdfirmen benutzen, stimmt einfach nicht. Jeder Webserver kann die Zugriffszahlen über z.B. sein Access-Log selber erfassen.
    Alternativ kann der Webserver die IP des Nutzers auch selber kürzen und an den Tracking-Server schicken. Dann würde die Trackingfirma auch gar nicht erst an die vollständige IP gelangen.

    Warum überhaupt externe Trackingfirmen benutzt werden, sollte jedem klar sein und hat nichts mit einfacher Nutzerstatistik zu tun. Stichwort Bewegungsprofil.

    Comment by Seb — 10.08, 2011 @ 13:49

  25. @Nils:
    Tut mir leid, ich glaube ich habe Ihr „angeblich“ in Ihrem Posting #2 falsch verstanden.

    Seit ich letztens das hier gelesen habe bin ich besonders sensibel auf Blödsinn:
    http://www.wt-os.de/fileadmin/user_upload/alle/reco/Leitfaden_Rechtssichere_Internetseiten.pdf (Seite 12, rechts oben der Kasten)

    Bei Ihnen war es wohl Fehlalarm.

    Wo wir eh schon über die Problemchen des BDSG reden:

    Es wird ja meist einfach gesagt, der Website-Betreiber übermittelt die IP an Google, wenn er GA einsetzt. Technisch ist das natürlich völlig falsch, weil nur der Brwoser des Users an Google etwas übermittelt.

    Deshalb habe ich auch so meine Probleme das datenschutzrechtlich als einfache Übermittlung einzuordnen. Vielleicht eine Analogie? Vielleicht aber auch etwas anderes?

    Haben Sie, oder jemand anderes, zu der Thematik schon mal etwas detaillierteres entdeckt? Wäre dankbar für Quellen – gerne auch in Kommentaren/Zeitschriften – dabei fällt mir ein, dass ich endlich mal in den neuen Simitis schauen muss…vielleicht sagt der ja was dazu.

    @Jan Dark (#5)
    Vor allem in so persönlichkeitsrechts-relevanten Dingen wie dem Datenschutz darf man nicht alles über einen Kamm scheren. Nur weil einige oder auch viele IP-Adressen nicht einer natürlichen Person zugeordnet werden können, die auch gleichzeitig der Surfer ist, heißt dass nicht, dass man das nie kann.

    Ich kenne mich sehr wohl datenschutzrechtlich als auch in Sachen IT/Internet sehr gut aus. Mir ist völlig klar, dass hinter einer IP oftmals wahnsinnig viele Endgeräte hängen. Genau aus dem Grund habe ich auch den Zusammenhang mit anderen Infos aus dem HTTP-Request erwähnt. Mit einer IP sowie den ganzen anderen Informationen aus dem Request (Browser, Versionen, Spracheinstellungen etc.) lassen sich schon wieder viel mehr Personen identifizieren.

    Daneben lässt sich bei genug Datenaufkommen sicherlich durch z.B. Google auch herausfinden, ob eine IP nun ein Firmennetzwerk mit 1000 Rechnern „beinhaltet“ oder, ob es sich um eine Einzelperson oder einen kleinen Haushalt handelt.

    Übrigens: Ich habe nie gesagt, dass ich zu den Leuten gehöre, die IPs als personenbezogene Daten sehen wollen. Ich habe nur gesagt, dass ich das bei solchen Riesenunternehmen, die einen gigantischen Datenfluss haben, anders sehe.

    Zum Patriot Act:
    Ein Microsoft-Manager hat letztens gesagt, dass sie zum Schweigen verpflichtet werden können, wenn die Behörden zugreifen und, dass die Daten auch wenn sie auf EU-Servern sind nicht vor US-Zugriffen sicher sind.

    Mag sein, dass das alles nicht stimmt – aber wieso sollte Microsoft sich damit viele Kunden vergraulen, wenn es nicht mal stimmt?

    Ich habe mich noch nie sehr lange mit dem Patriot Act auseinander gesetzt. Meine Infos darüber sind zwar nicht so schlecht, als dass sie von irgend welchen deutschen Providern kommen, die mit Angstmache werbung machen wollen, aber ich habe auch noch nichts aus 1. Hand (=US-Literatur) gelesen.

    Habe mein Wissen dazu hauptsächlich aus dem, was irgendwelche Anwälte oder sonstige Juristen dazu (v.a. zum Thema Cloud Computing) schreiben. Aber das muss ja nicht immer korrekt sein ;)

    Comment by Alex — 10.08, 2011 @ 22:34

  26. „Es wird ja meist einfach gesagt, der Website-Betreiber übermittelt die IP an Google, wenn er GA einsetzt. Technisch ist das natürlich völlig falsch, weil nur der Brwoser des Users an Google etwas übermittelt.“

    Das ist natürlich richtig. Allerdings übermittelt der Nutzer die Daten nicht selber und nicht wissentlich an die Trackingfirma. Vielmehr weist die Webseite den Browser des Nutzers an, diese Daten automatisch zu übermitteln. Genauso wie Webseiten Browser anweisen doch bei weiteren Besuchen bestimmte Cookies mitzuteilen.

    Nun kann man als versierter Nutzer sowohl das Setzen von Cookies, als auch das Übermitteln von Daten an Trackingfirmen unterbinden. Allerdings kämpfen Webseitenbetreiber seit einigen Jahren gegen solches Blocken von Cookies/Werbung und liefern ihre Inhalte gar nicht erst aus.

    Das heißt also, dass dem Durchschnittsnutzer diese Mittel nicht zur Verfügung stehen, da er sonst das WWW effektiv nicht mehr nutzen kann. Außerdem stellt sich natürlich die Frage ob der Nutzer überhaupt versteht, was Cookies sind, wie Trackingfirmen arbeiten und wie eventuelle Tools arbeiten, die solche Dinge unterbinden.

    Unterm Strich heißt es also für den Durchschnittsnutzer: Entweder ich lasse mich Tracken oder ich bleibe dem WWW fern.

    Unter dieser Annahme sollten Webseitenbetreiber die Anlaufstelle für Datenschutzkonformität sein.

    Comment by Seb — 11.08, 2011 @ 08:10

  27. @seb

    Das ist schon klar. Es geht mir um die saubere rechtliche Einordnung – und genau das ist mMn schwierig, wenn man einfach sagt, es sei eine Übermittlung seitens des Websitebetreibers.

    Dass der Websitebetreiber im Endeffekt auch rechtlich damit zu tun haben muss, ist gar keine Frage. Nur kann man es mMn eben nicht einfach ohne eine Analogie oder sonst einen Umweg „Übermittlung“ nennen.

    Andererseits könnte man es auch so sehen: Der User benutzt einen Browser. Er sollte sich darüber im Klaren sein, was dieser macht und die Einstellungen seinen Wünschen entsprechend anpassen. Beim Auto, Fahrrad etc. muss man sich ja auch über die Funktionsweise im Klaren sein und kann sonst Probleme bekommen. ;)

    Eine viel bessere Lösung wäre es, wenn alle Browser derartige Einstellungen/Freigaben bei der Installation abprüfen würden und der Websitebetreiber sich dann darauf verlassen kann, dass es OK ist, wenn es Funktioniert. Dann sollte er daneben natürlich noch weiterhin die Datenschutzerklärung bereithalten und das Thema wäre gegessen. Aber klar, das ist mit der aktuellen Rechtslage schwierig und würde viel Kooperation seitens der Browser-Hersteller erfordern. Aber gerade für solche Tracking-Angebote etc. wäre das super.

    Comment by Alex — 11.08, 2011 @ 10:13

  28. Hallo Alex, alles kein Problem. Zu deiner Frage:

    Nach der Legaldefinition liegt eine Übermittlung vor, wenn gespeicherte oder durch Datenverarbeitung gewonnene personenbezogene Daten an einen Dritten weitergegeben werden (§ 3 Abs. 4 Nr. 3a BDSG).

    Durch die Einbindung des GA Tracking-Codes in den Quellcode einer Webseite wird von dem Seitenbetreiber eine Weitergabe von Nutzungsdaten an Google veranlasst. Somit dürfte hier schon eine Übermittlung vom Seitenbetreiber an Google vorliegen, auch wenn dies technisch betrachtet automatisiert durch das Script geschieht. Für diese Übermittlung ist der Seitenbetreiber dann auch datenschutzrechtlich verantwortlich.

    Dein Vorschlag mit allgemein üblichen Browsereinstellungen klingt gut. Ich denke, insgesamt geht es hier um mehr Transparenz: Jeder Nutzer soll wissen, welche Daten wohin übermittelt werden und ggf. Opt-Out-Möglichkeiten haben.

    Comment by Nils — 12.08, 2011 @ 09:47

  29. @Alex
    Zum Patriot Act: Beim Patriot Act geht es um Terrorbekämpfung. Ich persönlich stelle den Datenschutz nicht absolut über die Terrorbekämpfung (auch wenn wir unseren Datenschutz der RAF verdanken). Was sagt den der Microsoft Manager?

    Nimm Kinderpornografie: UvdL hat immer gelogen, dass der Zugriff auf ausländische Server nicht möglich sei. Und nun, wo das BKA sieht, dass die Vollüberwachung des Internets auf dem Ticket der Kinderpornografie nicht demokratisch möglich ist, hören wir, dass es dem BKA aufgrund deutscher Gesetze mittels Amtshilfe immer besser gelingt, diesen perversen Dreck auch auf US-Servern zu löschen. Und der Besitzer muss nicht mal benachrichtigt werden (wird er dennoch, wegen der einhergehenden Strafverfolgung).

    Was soll dann das Geseiere deutscher Cloud-Anbieter, dass US-Strafverfolgungsbehörden bei der Strafverfolgung nach dem Patriot Act auch in Deutschland geholfen wird? Wärest Du enttäuscht, wenn es dem BKA gelänge auch bei Amazon-AWS Kinderpornos zu löschen?

    Zur IP: Mit einem scharfen Küchenmesser kann getötet werden. Sollen wir jetzt unsere Gesetze so ändern, dass mit einem scharfen Küchenmesser nicht mehr getötet werden kann? Unsere Verfassung zwingt uns zur Verhältnismäßigkeit. Deswegen erlauben wir Küchenmesser und müssen beim Tracken der IPs uns ansehen, welches Risiko wir damit eingehen. Nur die Tatsache alleine, dass da theoretisch Böses mit angerichtet werden kann, reicht nicht (siehe Küchenmesser). Unsere Verfassung verlangt da mehr. Auch von Norddeutschen Datenschutzbeauftragten.

    Comment by Jan Dark — 12.08, 2011 @ 11:47

  30. @Alex: „Eine viel bessere Lösung wäre es, wenn alle Browser derartige Einstellungen/Freigaben bei der Installation abprüfen würden und der Websitebetreiber sich dann darauf verlassen kann, dass es OK ist, wenn es Funktioniert.“

    Dafür gibt es zahlreiche Addons, darunter zB noscript, RequestPolicy, Cookie Monster, Adblock Plus. Nur verstehen die wenigsten Nutzer des WWWs wirklich, was passiert, wenn sie in die google-suche http://www.bild.de eingeben. Genau das habe ich in meinem vorigen Kommentar geschrieben.

    Worst-Case:
    – Nutzer verstehen nicht, was Cookies sind etc.
    – Webseitenbetreiber wollen verhindern, dass Besucher Cookies blockieren und liefern ihre Inhalte nicht aus
    => Nutzer kann Inhalte nicht abrufen => Addon ist „schuld“.

    Zu glauben, das ändert sich in zukunft, ist schlicht naiv.

    Comment by Seb — 12.08, 2011 @ 13:41

  31. @Seb

    Wenn man es so sieht ist das komplette Datenschutzrecht naiv. Um hier eine nicht-naive Version des Datenschutzrechts zu erreichen müsste in die Freiheitsrechte der Betreiber _massiv_ eingegriffen werden – nur durch eine Vollüberwachung lässt sich rechtskonformes Verhalten mit Daten beurteilen.

    Solange man nicht offensichtlich etwas rechtswidriges macht kann man doch hinter verschlossenen Türen mit den Daten machen was man will.

    Von daher ist sicherlich jeder noch so naive Vorschlag zumindest diskussionswürdig. Es hat ja auch niemand gesagt, dass das irgendwann mal so sein wird oder dass das schnell gehen wird.

    Aber diese Sachen haben mit Aufklärung zu tun und Aufklärung ist wichtig und sollte im Datenschutz einen viel höheren Stellenwert erlangen – so ist es z.B. auch für die geplante „Stiftung Datenschutz“ vorgesehen.

    Comment by Alex — 26.08, 2011 @ 23:16

  32. I’m amazed, I have to admit. Rarely do I encounter a
    blog that’s both educative and entertaining, and let me tell you, you
    have hit the nail on the head. The issue is an issue that too few people
    are speaking intelligently about. I’m very happy I found this in
    my search for something regarding this.

    Also visit my homepage – Casual Sex Philadelphia [Elden]

    Comment by Elden — 3.12, 2013 @ 17:37

RSS feed for comments on this post.

Leave a comment