Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.4.13

Wer schützt uns vor den Datenschützern?

Mir wurde heute eine nette kleine Anekdote zum Thema Datenschutz in Schilda Deutschland zugetragen. Der niedersächsische Datenschutzbeauftragte war bekanntlich ja schon immer mal für eine datenschutzrechtliche Groteske gut und er liefert auch aktuell wieder.

Denn der Landesdatenschutzbeauftragte verstößt – wie auch der gesamte Server niedersachsen.de – höchstselbst gegen datenschutzrechtliche Vorschriften.

Die Website des Landesdatenschutzbeauftragten enthält nämlich folgenden Tracking-Code des Tools Piwik:

Tracking-Piwik

In der Datenschutzerklärung des Landesdatenschutzbeauftragten findet sich dazu nichts. An anderer Stelle kann man allerdings beim Datenschutzbeauftragten den folgenden Hinweis finden:

Aus datenschutzrechtlicher Sicht sind viele der bekannten verwendeten Webtracking-Dienste unzulässig

Das würde ich so pauschal zwar nicht formulieren. Unzulässig ist es aber in jedem Fall dann, wenn man die Nutzer des Angebots nicht auf das Tracking hinweist. Die Nutzung des Tracking-Tools gehört wegen § 13 Abs. 1 TMG zumindest in die Datenschutzerklärung.

Wer kontrolliert eigentlich Datenschutzbehörden, die sich selbst nicht an die gesetzlichen Vorgaben halten?

posted by Stadler at 16:25  

18 Comments »

  1. Das regelt der Markt. :->

    Comment by Sabine Engelhardt — 12.04, 2013 @ 16:43

  2. Das mit Piwik ist tatsächlich eine skurrile Geschichte. Der grüner Fundi Weichert bewirbt ja von Amts wegen diese Software (in seinem antiamerikanischen Feldzug gegen das Böse (TM)).
    http://de.piwik.org/blog/2011/03/unabhangiges-landeszentrum-datenschutz-uld-piwik-datenschutzkonform-einsetzbar/

    In England, wo man die Cookie-Richtlinie sauber umgesetzt hat, wird man ständig gefragt, ob die Cookies setzen dürfen. In Weicherts Favoriten läuft es andersherum: wenn man zum Beispiel bei http://gruene-bundestag.de vorbei surft, wird man mit Piwik getrackt. Man wird freundlich gefragt, ob man tracken darf. Sagt man nein, setzt Piwik ein Cookie, damit er beim nächsten Mal weiss, bei dem war ich schon, der will nicht. Catch 22. Wer weiss, was Piwik sich dann dazu speichert :-)))

    Ich glaube, diese politischen Spiegelfechtereien haben nur noch wenig mit Datenschutz zu tun und eher mehr mit einem fundamentalem Antiamerikanismus, der verwerflich ist. Außer man tut die Dinge, die man US-Unternehmen vorwirft selbst, dann ist das natürlich edle, hilfreich und gut :-) Wer will solche Leute noch ernst nehmen?

    Comment by Wolfgang Ksoll — 12.04, 2013 @ 16:43

  3. Einfach mal Dienstaufsichtsbeschwerde an den Landtag richten, würde ich meinen.

    Comment by F.A. — 12.04, 2013 @ 16:57

  4. Also ich kann Piwik so einstellen das keine IP Adresse gespeichert wird. Welche datenschutzrechtlichen Bedenken sollten noch existieren wo doch keine personenbezogenen Daten gespeichert werden?

    Gruß Hagen Bauer

    Comment by Hagen Bauer — 12.04, 2013 @ 18:00

  5. § 13 Abs. 1 TMG ist nur anwendbar, wenn personenbezogene Daten erhoben werden. Piwik kann so konfiguriert werden, dass dies nicht passiert. Und es gibt auch keine Anhaltspunkte dafür, dass dies dort nicht so konfiguriert ist. Dann gibt es keinen Grund speziell darauf hinzuweisen.

    Comment by Andreas Kuckartz — 12.04, 2013 @ 18:21

  6. Kekse gehören in die Keksdose und auf keinen Rechner. Ich erwarte von den Gemeinden ein entsprechendes Bewußtsein.

    Meine Rechner sind keksfrei. Desweiteren halte ich sowas für ein Luxusproblem von Leuten, die sowieso keine Ahnung von ihrem eigenen Rechner haben oder denen das Thema völlig fremd ist.

    Man muß sich doch erstmal mit der Faktenlage in Deutschland befassen. 74% sind online. Davon haben sicher schätzungsweise 35% überhaupt keine Ahnung von ihrem eigenen Rechner. Sie sind online, das reicht denen. Browser? Was ist das?

    In Deutschland sind ca. 43% der User noch mit XP unterwegs. Das muß man sich mal vorstellen!

    Das Übel sitzt vorm Rechner.

    Kürzlich im PC-Forum:

    „Was heißt Rechner? Wo finde ich ihn auf meinem PC?“

    Man muß die Leute abholen, wo sie sich befinden. Und sie befinden sich in Deutschland an der grenzdebilen Unkenntnis.

    Comment by Nettikette — 12.04, 2013 @ 18:24

  7. Zusatzinfo:

    Wir befinden uns hier in einem Juristen-Blog.

    Die Faktenlage über die Unkenntnis der Onliner kann man aber nur in entsprechenden Hilfsforen oder Blogs erkennen, die sich mit Onlinehilfe und Co. befassen. Eben dort, wo diese Fragen täglich auftauchen.

    Und ich kann Euch schreiben, dort wissen viele Leute nicht mal, was ein Keks ist.

    Sie wissen nichts, befinden sich aber den ganzen Tag im Internet. Leider nicht dort, wo sie was lernen könnten, sondern auf … (lassen wir das).

    Deutsche User sind im weltumfänglichen Vergleich die dümmsten unter der Sonne. Auch das publizieren Anbieter von AV-Progs. etc..

    Deutschland ist in diesem Zusammengang das Entwicklungsland der Welt.

    Nicht Dichter und Denker, sondern Doofe und Deppen sind online.

    Comment by Nettikette — 12.04, 2013 @ 18:49

  8. Piwik ist aber nun gerade kein Trackingdienst, sondern ein Programm, welches (normalerweise und auch in diesem Fall) auf dem Server des Websitebetreibers läuft. Das heißt, es ist schonmal kein Tracking über mehrere Sites möglich. Und wie andere schon schrieben: man kann es so einstellen, dass keine IPs gespeichert werden. Ich denke, das könnte dateschutzrechtlich richtig implementiert sein und ich würde ohne mehr Hintergrundwissen nicht mit dem Finger zeigen ;-)

    Comment by Frank — 12.04, 2013 @ 19:03

  9. Schöner ist TOR und Co..

    Es geht hier nicht nur um Einstellungen bezüglich der Kekse, sondern darum, daß ein IP (für Laien: Internet-Protokoll, Fragen hierzu beantworte ich gerne) für sich eine intime Auskunft ist.

    Dieses alleine ist schon mit größtmöglichem Schutz auszustatten.

    Kekse sind ein nachgeordnetes Problem, ein Problem, welches man bestens selber händeln kann mit zwei Klicks.

    Bildung!

    Comment by Nettikette — 12.04, 2013 @ 19:36

  10. Das Problem bei der Anonymisierung von IP-Adressen ist, dass die IPs ja erstmal erhoben werden müssen, bevor man sie um eine oder zwei Stellen kürzen kann.

    Lustig finde ich auch, dass in dem Code das Link-Tracking explizit aktiviert wurde – so viel zur Datensparsamkeit.

    Comment by Adrian — 12.04, 2013 @ 19:49

  11. Ich schreibe es gerne nochmal in Zahlen:

    74% der Deutschen sind online.
    43% davon mit XP

    Von den 43% XP sind ca. 18% der Rechner mit Viren verseucht (Zahlen der Anbieter der AV-Progs weltweit bezüglich Deutschland! Deutsche Rechner sind Virenschleudern, Deutschland ist das Afrika für die entsprechenden Firmen).

    Was sagt uns das?

    Peinlich ist noch untertrieben.

    Beschäftigt man sich endlich mal mit seinem Rechner, dem unbekannten Wesen? Kekse? Ich nix wissen, ich deutsch.

    Nur Doofe und Deppen im Fick-Chat, das ist voll gut.

    Deutschland….

    Ups, da war nochmal was: Tracking-Kekse.

    Kennt kein Schwein. Jedenfalls kein deutsches.

    Comment by Nettikette — 12.04, 2013 @ 19:55

  12. Ich glaube hier ist nicht die Einstellung von Piwik entscheidend, sondern die fehlende Erwähnung und Opt-Out Möglichkeit in der Datenschutzerklärung.

    Wenn man die Meldung hier mal etwas verfolgt, dann stellt man leicht fest, dass dieses Tool ja offensichtlich auch bei allen Gerichten und sogar beim Verfassungsschutz so eingesetzt wird in Niedersachsen.

    Schaut euch mal diese Seiten an:

    http://www.niedersachsen.de/presse_service/sitemap/19996.html
    Da sind alle Seiten aufgelistet und keine erwähnt etwas in Ihrer Datenschutzerklärung.

    Ehrlich gesagt, finde ich es schon bedenklich, wenn von allen diesen Seiten das Surfverhalten an nur eine Stelle gesendet wird, ohne den Besucher darüber aufzuklären. Wie geht es euch dabei?
    Jedenfalls wäre für so ein Verhalten jeder Webseitenbetreiber sofort abgemahnt worden. Warum soll es da für Behörden und Regierungen Ausnahmen geben?

    Das gerade die Datenschutz-Behörde dagegen verstößt, die zusammen mit Weichert am lautesten in der Vergangenheit wegen solcher Sachen rumgeschrien hat, ist natürlich mal wieder die Krönung.

    Comment by John — 12.04, 2013 @ 20:43

  13. @12
    Süß! Auf der Niedersachsen-Seite ist folgendes Statement drin:
    „piwikTracker.enableLinkTracking()“

    Das ist jetzt für Recht auf Vergessen nach #EUdataP (Kannse vergessen).
    Gleichzeitig wird damit die EU-Cookie-Richtlinie implementiert: Do not track!
    Und mit Blick nach Bielefeld schließen wir dann in unser Abendgebet ein: „Google is evil!“

    Yeah, what a wunderful life :-) Bigotterie, made in Germany.

    Comment by Wolfgang Ksoll — 12.04, 2013 @ 21:06

  14. Das ist ja wirklich sehr interessant und damit auch beunruhigend und erschreckend zu gleich. Vielen Dank auch für die vielen tollen Kommentare!
    Lieben Gruss
    Vanessa

    Comment by Vanessa — 13.04, 2013 @ 09:06

  15. Ich verwende auch Piwik ohne IP-Speicherung.
    Bisher dachte ich immer das ist was „gutes“, wenn man Piwik verwendet und Google nicht die Möglichkeit gibt irgendwelche Daten zu verknüpfen.

    Comment by Ingo — 17.04, 2013 @ 13:32

  16. Gut ist es, wenn man Google meidet.

    Es gibt immer zwei Betroffene, einen Blöden und einen Rechner.

    Der Rechner ist nie blöd, bleibt nur einer übrig.

    Comment by Nettikette — 19.04, 2013 @ 21:00

  17. Sehr geehrter Herr Stadler,
    es ist zutreffend, dass mein Internetauftritt wie auch das Portal der Niedersächsischen Landesregierung Piwik zur Erstellung von Nutzungsstatistiken verwendet.

    Wie Ihnen als Fachanwalt für IT-Recht geläufig sein dürfte, ist – nicht zuletzt durch die Mitwirkung der Datenschützer (s.
    http://de.piwik.org/blog/2011/03/unabhangiges-landeszentrum-datenschutz-
    uld-piwik-datenschutzkonform-einsetzbar/) – ein datenschutzrechtskonformer Einsatz von Piwik möglich. Ich hätte es daher begrüßt, wenn Sie die Gelegenheit genutzt hätten, mich zunächst mit dem in Ihrem Artikel erhobenen Vorwurf zu konfrontieren, denn dann wäre es mir möglich gewesen, Sie auf die Fehlerhaftigkeit Ihrer Annahmen hinzuweisen. Bei den unter niedersachsen.de gehosteten Internetauftritten wird Piwik so eingesetzt, dass die letzten drei Oktette der IP-Adressen der Nutzer verworfen werden. Ein Personenbezug ist daher vollständig ausgeschlossen. Weil die Zugriffsstatistiken anonymisiert sind, ist ein Hinweis in der Datenschutzerklärung nicht erforderlich, da § 13 I TMG nur eine Unterrichtungspflicht für personenbezogene Daten fordert.
    Zu Ihrem Zitat meines Internetauftritts „Aus datenschutzrechtlicher Sicht sind viele der bekannten verwendeten Webtracking-Dienste unzulässig“ (s.
    http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=
    27717&article_id=95015&_psmand=48) ist zudem anzumerken, dass dieses in diesem Zusammenhang deplaziert ist, da es sich bei Piwik (im Gegensatz z. B. zu Google Analytics) nicht um den Dienst eines Dritten handelt, sondern um ein Programm, das Betreiber von Internetauftritten auf ihren eigenen Servern betreiben.
    Mit freundlichen Grüßen
    Joachim Wahlbrink
    Landesbeauftragter für den
    Datenschutz Niedersachsen

    Comment by Joachim Wahlbrink — 22.04, 2013 @ 15:28

  18. Sie machen siech das ja einfach Herr Wahlbrink. Einfach behaupten wir anonymisieren ja (steht übrigens nicht in der Datenschutzerklärung) und schon müssen wir es nicht mehr erwähnen. In Ihrer Datenschutzerklärung steht doch eindeutig, dass sie IP Adressen volle vier Tage speichern. Von daher macht es ihre jetzige Aussage etwas unglaubwürdig. Wer überprüft eigentlich die Datenschützer?
    Unabhängig von der komischen Auffassung der IP´s, überträgt die Software auch noch ungefragt einen Cookie auf den Rechner des Besuchers. Darüber informieren Sie ebenfalls nicht.

    Außerdem kann man der Erfassung auf den 177 Domains nicht widersprechen.
    Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3
    TMG
    dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit
    ist datenschutzrechtlich unzulässig.
    Da § 15 Abs. 3 TMG in Verbindung mit § 13 Abs. 1 TMG eine
    Unterrichtung der Betroffenen verlangt, hat die Information über das Widerspruchsrecht in
    allgemein verständlicher Form zu erfolgen.

    Nichts gegen Piwik aber wenn ein Unternehmen oder Privatperson so eine Datenschutzerklärung online hätte wie sie, dann würden sie ihn doch sofort abmahnen.

    Comment by Logo — 25.04, 2013 @ 08:16

RSS feed for comments on this post.

Leave a comment