Internet-Law

Google personalisiert seit heute die Suchergebnisse und zeichnet dazu das Nutzerverhalten auf und speichert es. Google unterscheidet dabei zwischen aktiviertem und deaktiviertem Google-Konto.

Eine Zustimmung des Nutzers holt Google hierfür nicht ein, vielmehr besteht lediglich die Möglichkeit des Opt-Out. Die offizielle Mitteilung von Google klingt wie meistens beschönigend unspektakulär.

Man muss kein Prophet sein um sagen zu können, dass das speziell in Deutschland zu datenschutzrechtlichen Diskussionen führen wird.

Update:
Der Ausgewogenheit halber möchte ich darauf hinweisen, dass es auch unter denjenigen, die wirklich etwas davon verstehen, zahlreiche Google-Fans gibt, die zu Recht auf die Vorzüge solcher Featurers hinweisen. Der von mir sehr geschätzte Stefan Münz, der diesem Thema einen ausführlichen Blogeintrag gewidmet hat, gehört zu diesen Menschen.

Und das aktuell zu beobachtende Google-Bashing ist sicherlich ein Stück weit unfair, weil Google auch nichts anderes macht, als sagen wir mal Amazon. Andererseits sollte man es m.E. dem Nutzer überlassen, welche Features er nutzen und aktivieren will. Und das erfordert ein Opt-In-Konzept.

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich treffen sich als „Düsseldorfer Kreis“ einmal jährlich. Die Aufsichtsbehörden stimmen bei diesem Arbeitstreffen ihre Positionen ab.

Beim diesjährigen Treffen am 26./27.11.09 wurde u.a. Beschlüsse zur datenschutzkonformen Ausgestaltung von Analyse-Tools wie Google Analytics gefasst und zur Internetveröffentlichung sportgerichtlicher Entscheidungen.

Zu Google-Analytics und ähnlichen Tools vertreten die Datenschützer u.a. folgende Ansicht:

„Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.“

Außerdem ist man der Meinung, dass eine nicht anonymisierte Veröffentlichung sportgerichtlicher Entscheidungen im Internet nicht ohne weiteres zulässig ist.

Die Beschlüsse sind nicht verbindlich, die einzelnen Aufsichtsbehörden sind bei ihren Entscheidungen nicht an diese Beschlüsse gebunden.

Der „Zentrale Datenschutz“ der Postbank hat nunmehr doch auf mein Auskunftsersuchen nach § 34 BDSG reagiert. Es dürfte sich um die Textbausteine handeln, die vermutlich allgemein versandt worden sind.

Im Fettdruck findet sich am Ende des Schreibens aber dann noch folgender Satz:

In Ihrem konkreten Fall haben unsere Ermittlungen ergeben, dass im zurückblickbaren Zeitraum keine Zugriffe auf Ihre Daten durch Finanzberater (Berater der Postbank Finanzberatung AG) stattgefunden haben.

Mit einer solchen Antwort war eigentlich zu rechnen. Denn hätte man die Auskunft verweigert, wäre das angreifbar gewesen. Die Richtigkeit dieser Auskunft ist für den Betroffenen aber nicht überprüfbar.

Es fällt mir schwer zu glauben, wie unglaublich verantwortungslos und rechtswidrig unsere Regierung sowie der gesamte Rat der EU mit Blick auf das von den USA geforderte Swift-Abkommen agiert. Aber eigentlich musste man damit rechnen, dass diese Bundesregierung einknickt. Die USA können damit – selbstverständlich nur zur Terrorbekämpfung – auf die Daten europäischer Bankkunden zugreifen. Damit ist der Datenschutz in Europa nur noch Makulatur.

Wie Zeit Online berichtet, wollen Datenschutzbehörden von Bund und Ländern die Betreiber von Websites, notfalls auch durch Sanktionen, dazu bewegen, auf das Statistik-Tool Google Analytics zu verzichten, weil man deren Einsatz nach deutschem Recht für unzulässig hält.

Interessant hieran ist in jedem Fall, dass man sich gerade an Google Analytics festbeißt, nachdem Tracking-Technologien insgesamt weit verbreitet sind und vielfach eingesetzt werden, z.B. im Bereich des Affiliate-Marketing.

Wenn man deutsches Datenschutzrecht nach Lesart der Datenschutzbeauftragten strikt anwenden würde, dann müsste man Deutschland und vermutlich die ganze EU ohnehin vom Internet abkoppeln. Denn Daten fließen nicht innerhalb von Landesgrenzen und die Datenübermittlung in Länder außerhalb der EU – auch ohne ausdrückliche Zustimmung des Betroffenen – geschieht laufend. Wenn Google keine Daten in den USA verarbeiten darf, dann dürfen es andere auch nicht. Man sollte sich vor Augen führen, welche Auswirkungen das – zu Ende gedacht – auf die Funktionsfähigkeit des Netzes bzw. die Nutzbarkeit in Deutschland haben müsste.

Die entscheidende Frage ist letztlich die, ob das deutsche und europäische Datenschutzrecht wirklich netzkompatibel ist bzw. ob und wie man es netzkompatibel gestalten kann, ohne das bisherige Datenschutzniveau in Frage zu stellen. Eine offene Untersuchung des status quo würde vermutlich zu interessanten Ergebnissen führen.

Die konkrete Diskussion um Analytics könnte Google selbst durch eine striktere Anonymisierung von IP-Adressen und eine Änderung der Nutzungsbedingungen entschärfen. Google sollte zudem auf eine gerichtliche Klärung der Fragen um Analytics hinwirken, damit der Nutzer weiß woran er ist.

Bei der ganzen Diskussion sollte man aber auch nicht vergessen, dass die Datenschützer häufig wenig realitätsnahe Grundsatzpositionen einnehmen, die rechtlich nicht zutreffend sein müssen.

Wie Heise berichtet, hält der Bundesdatenschutzbeauftragte Peter Schaar Webtracking allgemein und speziell das gängige Statistiktool „Google Analytics“ datenschutzrechtlich für unzulässig, was zur Folge hätte, dass dieses und andere Tools die ähnlich arbeiten von deutschen Seitenbetreibern nicht verwendet werden dürften. Diese Ansicht ist nicht gänzlich neu und auch in der juristischen Literatur bereits vertreten worden (vgl. z.B. Ott, K&R, 2009, 308). Diese Rechtsauffassung fußt freilich u.a. auf der umstrittenen Annahme, IP-Adressen seien personenbezogene Daten.

Die Frage ist aber ohnehin, ob dem Webtracking in Europa nicht durch eine neue EU-Richtlinie generell der Gar ausgemacht wird.

Die Aussagen von Schaar zeigen jedenfalls deutlich, wie weit die Auslegung des Datenschutzrechts und die tatsächliche Praxis im Internet auseinanderklaffen. Dass das Webtracking trotz des europäischen Datenschutzrechts nicht verschwinden wird, dürfte keine gewagte Prognose sein. Das Datenschutzrecht leidet unter einem beträchtlichen und zunehmenden Vollzugsdefizit, das gerade bei Fragen wie Webtracking oder Cookies durch ein Akzeptanzproblem verstärkt wird.

Vor einigen Wochen habe ich den Datenskandal bei der Postbank zum Anlass genommen, die Postbank als Kunde anzuschreiben und um Auskunft zu bitten, inwieweit meine personenbezogene Daten an Handelsvertreter oder sonstige Dritte weitergegeben worden sind. Weder die Postbank noch ihr betrieblicher Datenschutzbeauftragter, den ich gesondert angeschrieben hatte, haben hierauf geantwortet.

Aus diesem Grund habe ich bei der Postbank jetzt schriftlich nachgehakt:

Sehr geehrte Damen und Herren,

mit obigem Schreiben haben ich Sie als Kunde der Postbank um Auskunft nach § 34 BDSG darüber ersucht, welche Daten zu meiner Person von Ihnen an freie Handelsvertreter oder andere Dritte weitergegeben worden sind. Dieses Schreiben haben Sie leider nicht beantwortet, die gesetzte Frist zur Erfüllung Ihrer gesetzlichen Auskunftspflicht haben Sie verstreichen lassen. Auch eine E-Mail an Ihren betrieblichen Datenschutzbeauftragten blieb unbeantwortet.

Dies zeigt mir, dass Sie den Schutz der Daten Ihrer Kunden nicht ernst nehmen und ihr innerbetriebliches Datenschutzkonzept weder funktioniert noch den gesetzlichen Anforderungen entspricht.

Ich fordere Sie nochmals und letztmals außergerichtlich auf, die in meinem Schreiben vom 27.10.09 näher erläuterte Auskunft bis spätestens zum 01.12.2009 zu erteilen. Nach Ablauf dieser Frist haben Sie damit zu rechnen, dass ich meinen gesetzlichen Auskunftsanspruch gerichtlich geltend machen werde.

Ihren Datenschutzbeauftragten werde ich ebenfalls erneut informieren, sowie über mein Blog auch die Öffentlichkeit.

Es erscheint mir unerträglich, dass Sie zunächst in großem Stil rechtswidrig Kundendaten weitergeben und anschließend berechtigte Auskunftsverlangen einfach ignorieren.

Mit freundlichen Grüßen
Thomas Stadler

Bundesjustizministerin Leutheusser-Schnarrenberger sagte der Berliner Zeitung, es wäre unglücklich, wenn das sog. Swift-Abkommen, das den US-Behörden Zugriff auf die Daten europäischer Bankkunden ermöglichen soll, noch schnell nach den alten Regeln und damit ohne Mitbestimmung des EU-Parlaments umgesetztgesetzt würde.

Die Bundesregierung hat ihren EU-Botschafter deshalb angeblich angewiesen, dem Abkommen in der jetzigen Form nicht zuzustimmen.

Das wäre zumindest mal eine positive Nachricht und eine Haltung für die die neue Justizministerin Lob verdient hat.

Quelle: Deutschlandradio

Während sich das EU-Parlament datenschutzrechtlich primär mit Keksen beschäftigen darf, versucht der Rat der EU noch schnell eine Einigung über die Weitergabe von Bankdaten an die USA zu erreichen und zwar bevor der Vertrag von Lissabon in Kraft tritt. Denn ab diesem Zeitpunkt müsste das EU-Parlament zustimmen. Ein ausgearbeiteter Entwurf des Rats, der auf den 10.11.09 datiert, liegt bereits vor, netzpolitik.org hat ihn geleakt.

Mittlerweile zeigt sich auch immer mehr, dass die Obama-Administration vor allem beim Thema „Terrobekämpfung“ und Bürgerrechte nicht ansatzweise gewillt ist, von der von Bush eingeschlagenen Hardliner-Linie abzuweichen.

Die Bundesregierung, speziell die neue Justizministerin Leutheusser-Schnarrenberger, kann den Abschluss dieser Vereinbarung verhindern und exakt das muss von ihr auch verlangt werden.

In Fefes Blog war gestern folgendes zu lesen: „Kurze Durchsage der EU: Web-Cookies sind ab jetzt genehmigungspflichtig“.

Damit meint er wohl den im Rahmen des Telekompakets erarbeiteten Richtlinienvorschlag (2007/0248/COD) der u.a. eine Ergänzung der Richtlinie 2002/58/EC (Datenschutzrichtlinie für elektronische Kommunikation) in seinem Artikel 5(3) vorsieht. Das Verfahren ist m.W. noch nicht abgeschlossen, da die 3. Lesung im EU-Parlament noch nicht stattgefunden hat. Allerdings handelt es sich bei der letzten Textfassung um denjenigen Kompromiss zu dem alle Seiten Zustimmung signalisert haben, weshalb mit Widerstand des Parlaments nicht mehr zu rechnen ist. Die aktuelle (deutschsprachige) Vorschlagsfassung zur Änderung von Artikel 5 Abs. 3 der Richtlinie lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat . Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .

Diese Neufassung ist kritikwürdig, zumal ein früherer Entwurf die durchaus sinnvolle Regelung enthielt, dass die Browsereinstellungen die notwendige Zustimmung des Nutzers indizieren. Die Regelung zielt in der Tat auf sog. Cookies ab und ist auch hierzulande bereits in der Presse diskutiert worden, ohne, dass es zu einem großen Aufschrei gekommen wäre.

Diese Änderung wird vermutlich vermehrte Belehrungen durch PopUp-Fenster und/oder spezielle Landing-Pages zur Folge haben, was bei Internetnutzern erfahrungsgemäß wenig beliebt ist.

Ob damit der beabsichtigte Zweck, ein höheres Datenschutzniveau im Web zu gewährleisten, erreicht werden kann, darf bezweifelt werden. Die User werden diese Belehrungen nämlich überwiegend genervt wegklicken bzw. zügig durch den OK-Button bestätigen, ohne die Information überhaupt wahrgenommen zu haben.

Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten. Die Entwicklung im Netz hat dazu beigetragen, dass die gesetzlichen Regelungen und das tatsächliche Datenschutzniveau immer weiter auseinanderdriften, weil sowohl diejenigen die Daten verarbeiten als auch diejenigen, deren Daten geschützt werden wollen, nicht in ausreichendem Maße Verständnis für derartige Regelungen aufbringen. Dass man dieses Dilemma nicht auflöst, sondern eher verstärkt, indem man die gesetzlichen Anforderungen immer weiter verschärft, ist bei den politischen Entscheidern offenbar immer noch nicht angekommen.

Die fast logische Konsequenz ist, dass die neuen Regeln immer weniger beachtet werden.

Vielleicht sollte man sich deshalb, gerade bei einem Thema wie dem Datenschutz, das wirklich jeden betrifft, stärker mit der Frage beschäftigen, was sich die Menschen für eine Regelung wünschen, bzw. ob sie mit dem derzeitigen Rechtszustand zufrieden sind. Gerade auf Ebene der EU muss man lernen, die Menschen nicht nur eindimensional als Verbraucher, sondern vielmehr als Bürger wahrzunehmen.

Und es gibt ehrlich gesagt auch ganz andere datenschutzrechtliche Probleme in Europa. Solange es die EU erlaubt, dass Bankdaten ihrer Bürger in die USA übermittelt werden, mutet eine gesetzliche Regelung zu Cookies als eher lächerlich an.

Diese neuen Regeln werden die Nutzer vor allen Dingen nerven, die Seitenbetreiber mit zusätzlichen Pflichten belasten und insgesamt die Useability beeinträchtigen.

Es gibt sicher Gründe, die „Kekse“ als nicht ganz unbedenklich einzustufen. Aber der Nutzer hat durch Änderung seiner Browsereinstellungen auch die Möglichkeit selbst zu steuern, ob und in welchem Umfang er Cookies akzeptieren will. Vielleicht sollte die EU einfach stärker auf die Aufklärung und auf mündige Bürger – nicht Verbraucher – setzen. Durch Regelungen wie diese wird eine möglicherweise gute Absicht in ihr Gegenteil verkehrt und der bestehende Unmut gegenüber den Institutionen der EU nur noch verstärkt.

Update:

Weil offenbar z.T. immer noch die Vorstellung existiert, dass die Browsereinstellungen des Nutzers für eine Einwilligung reichen würden, nochmal der Hinweis dass die Formulierung

„sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt“

die in einem früheren Entwurf noch vorhanden war, in der letzten Fassung wieder gestrichen worden ist. Dadurch wird deutlich, dass die Browsereinstellung gerade nicht als Einwilligung ausreichen soll. Und auch nach allgemeinen juristischen Auslegungskriterien wird hierin schwerlich eine Einwilligung im datenschutzrechtlichen Sinne gesehen werden können. Im Widerspruch hierzu scheint Erwägungsgrund 66 darauf hinzudeuten, dass die Browsereinstellung des Nutzers vielleicht doch als Einwilligung angesehen werden können. Dieser Erwägungsgrund verweist freilich wiederum auf die Datenschutzrichtlinie und dort ist unter Einwilligung eine (ausdrückliche) Willensbekundung zu verstehen, was mit Default-Einstellungen des Browsers schwierig in Einklang zu bringen ist. Handwerklich aber einmal mehr schlecht gemacht.