+49 177 5046522 berdi@christoph-berdi.de

Für heute hat die Europäische Kommission den Tag des Datenschutzes ausgerufen. Obwohl das Thema Unternehmen und Menschen beschäftigen sollte, zieht dieser “Gedenktag” an der Öffentlichkeit vorbei wie ein Schiff in dunkler Nacht. Ein Weckruf ist nicht zu hören. Die Wirtschaft könnte ihn brauchen, denn viele Internetseiten gehen mit dem Datenschutzgesetz nicht konform.

Picke-packe voll war es in den Konferenzräumen der Metro AG gestern, als Etracker-Chef Christian Bennefeld über das Thema Webanalyse und Datenschutz referierte. Anlass bot das zweite Marketing-IT-Solution-Form unseres Hauses, und sachlich und nüchtern machte er seinen Zuhörern unter anderem deutlich, dass eine der wichtigsten Player im Bereich der Webanalyse, Google Analytics, nicht den aktuellen Datenschutzbestimmungen entspricht.

Dabei handelte es sich aber um keinerlei Wettbewerbsbeschimpfung,  hatte doch noch zu Beginn dieser Woche der Datenschutzbeauftragte des Landes Rheinland-Pfalz, Edgar Wagner, eine entsprechende Pressemeldung veröffentlicht. Danach ist Google Analytics nicht datenschutzkonform. Dies geht jene  Betreiber von Websites eine Menge an, die personenbezogene Nutzerdaten verarbeiten (das kann schon eine IP-Adresse sein!). Sie sie sind für die Einhaltung datenschutzrechtlicher Bestimmungen verantwortlich, nicht Google oder andere mit der Auswertung betraute Dienstleister. Wagner: “Es kann nicht sein, dass sich Anbieter von Webseiten mit Verweis auf Dienstleister wie Google aus ihrer datenschutzrechtlichen Verantwortung stehlen!”

In der Pressemitteilung heißt es weiter, eine Kontrolle des Landesbeauftragten habe ergeben, dass mehr als die Hälfte der 100 größten Unternehmen in Rheinland-Pfalz Verfahren zur Analyse der Webseitennutzung einsetzten, etwa ein Viertel greife dabei auf den Dienst “Google Analytics” zurück. Entgegen der gesetzlichen Vorgaben werde in der Hälfte der Fälle die Nutzer dabei über den Einsatz des Verfahrens und die Erstellung von Nutzungsprofilen nicht unterrichtet. Weiterhin werde die für die Übertragung personenbezogener Daten in die USA erforderliche Einwilligung nicht eingeholt. Bei den insgesamt vom LfD Rheinland-Pfalz untersuchten 400 Internet-Angeboten, die Google Analytics nutzten, lag dieser Anteil bei nahezu 60 Prozent. Und weiter heißt es: “Schließlich genügen die Vereinbarungen der Betreiber mit Google nicht den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung; insbesondere besteht keine Möglichkeit, die Datenverarbeitung durch Google wirksam zu kontrollieren.” Das Datenschutzbarometer der Firma Xamit zeigt für 2010 einen ungebrochenen Trend hin zu mehr Datenschutzverstößen im Internet. So wurden insgesamt 73 Verstöße gegen deutsches Recht oder weitere Fälle von Beanstandungen pro 100 deutscher Webpräsenzen festgestellt, etwa 20 Prozent mehr 2009.  Xamit analysierte den Quellcode von mehr als zwei Millionen deutschen Webseiten. Untersucht wurden u. a. das heimliche Erstellen von Webstatistiken, der Einsatz von Kontaktformularen ohne entsprechende Datenschutzerklärung, der Betrieb von unsicheren PHP-Installationen bei Webshops sowie die Einbindung von Werbung durch Dritte ohne Hinweis auf die daraus gewonnenen Nutzerdaten.

Gut für die Unternehmen, dass die Datenschutzbeauftragten der Länder kaum über Kapazitäten verfügen, um dem nachzugehen. In Hamburg gibt es dafür, wie Bennefeld berichtete, 1,5 Stellen beim Datenschutzbeauftragten.

Google weist in seinem Google-Analytics-Blog darauf hin, dass Google Analytics  den europäischen Datenschutzrichtlinien entspreche, die deutschen Behörden aber eine andere Auffassung vertreten. Vom Hamburger Datenschutzbeauftragten habe das Unternehmen die Zusage, dass gegen Verwender von Google Analytics nicht vorgegangen werde.

Verwunderlich, dass hier offensichtlich ein datenschutzrechtliches Vakuum entstanden ist. Der europweite Tag des Datenschutzes hätte mehr Sensibilität erzeugen können. Chance vertan. Wer noch einmal im Bundesdatenschutz nachlesen möchte, welche Strafen ihm bei Verstößen – offenbar nur im Prinzip! – drohen, den Text gibt es hier:

http://www.bfdi.bund.de/cae/servlet/contentblob/409518/publicationFile/25234/BDSG.pdf

Vielleicht halten Sie ja Ihren eigenen Tag des Datenschutzes ab?