Datenschutzirrsinn – made in Hamburg

Die Tage wurde der Begriff Datenschutztheater ins Leben gerufen. Ich möchte an dieser Stelle die Eskalationsstufe vorstellen: Der Datenschutzirrsinn.

Datenschutzirrsinn bezeichnet eine Maßnahme, die unter der Maßgabe eines vermeintlichen Datenschutzes und/oder mit Zustimmung einer Aufsichtsbehörde erfolgt,  ohne dabei praktikabel zu sein und den Anforderungen des Datenschutzrechts zu genügen.

Ein gutes Beispiel ist die gestern bekannt gewordene „Lösung“ im Streit um Google Analytics. Wie gestern schon geschrieben ist das Einlenken des hamburgischen Datenschutzbeauftragten zu begrüßen, doch nach der ersten Freude und einem genauen Blick in die Vorgaben, reibt man sich verwundert die Augen. Die „Lösung“ wirft mehr datenschutzrechtliche Fragen auf, als dass sie sie lösen würde. Hier ein paar Punkte, warum die vorgeschlagene Lösung als Datenschutzirrsinn bezeichnet werden kann:

  • Zunächst verwundert, dass der Landesdatenschutzbeauftragte die Browser-AddOn Lösung für datenschutzkonform hält, wenn 90% aller Desktop Browser und kein Mobiler Browser davon erfasst sind. Auch wenn eine große Mehrheit der Internetnutzer damit die Möglichkeit hat, von der Profilbildung nach § 15 Abs. 3 TMG zu widersprechen, so ist sie doch nicht jedem möglich. Hier erfolgt mit Zustimmung der Aufsichtsbehörde eine Aufweichung der Anforderungen. Es bleibt abzuwarten, ob wirklich alle Aufsichtsbehörden dem folgen und ob dies einer gerichtlichen Prüfung stand halten würde.
  • Nach Aussage von Google und dem Landesdatenschutzbeauftragten wird bei der IP-Adresse  „das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht (…), so dass darüber keine Identifizierung des Nutzers mehr möglich ist.“  Das ist, der Definition aus § 3 Abs. 6 BDSG folgend, eine Anonymisierung. Mit erfolgter Anonymisierung ist ein Personenbezug nicht mehr herstellbar und daher keine datenschutzrechtliche Zulässigkeit für die weitere Verarbeitung erforderlich. Es verwundert, warum dann allerdings gleichzeitig eine Vereinbarung über die Auftragsdatenverarbeitung mit Google abschlossen werden soll. Einzig einleuchtende Begründung hierfür, wäre die Tatsache, dass die Anonymisierung nicht auf der jeweiligen Webseite direkt erfolgt, sondern nach Übermittlung an Google aber bevor die anonymisierte IP-Adresse für Google Analytics verarbeitet wird. Schaut man in die Mustervereinbarung von Google, erfährt man überrascht, dass sich diese nicht nur auf den Anonymisierungsvorgang bezieht sondern die Analyse durch Google Analytics insgesamt. Da „Kundendaten“ neben der IP-Adresse auch Cookie-Informationen enthält, stellt sich die Frage, welchen Personenbezug durch diese Cookies hergestellt werden kann und warum, in Abweichung der IP-Adresse, hier keine Anonymisierung vor der Erhebung, Verarbeitung und Nutzung erforderlich sein soll.
  • Am überraschensten erscheint jedoch, dass die Mustervereinbarung die Zustimmung der Aufsichtsbehörde erhalten hat, da sie wohl den Anforderungen aus § 11 Abs. 2 BDSG nicht gerecht wird. So vermisst man Angaben über Dauer der Auftragsdatenverarbeitung und die Art der verarbeiteten Daten ist nur vage umschrieben und führt nur „insbesondere“ konkrete Beispiele auf. Auch die Anforderungen an die Kontrollrechte entsprechen nicht der bisherigen Auffassung und der Intention des Gesetzgebers. Es bleibt daher abzuwarten, ob sich diese Erleichterung der Kontrollrechte wirklich durchsetzt.
  • Arg verwunderlich ist auch die Einschränkung der Einzelweisungen durch den Auftraggeber. Diese kann der Auftraggeber nur erteilen, wenn er die zur Durchführung von Google veranschlagten Kosten begleicht. Dadurch, dass der Auftragnehmer die Kosten für die Durchführung einer Weisung des Auftragnehmers frei bestimmen kann, wird letztlich die Weisungsgebundenheit ausgehebelt und der Sinn der Auftragsdatenverarbeitung ad absurdum geführt. Es ist erstaunlich, dass dies die Zustimmung des Landesdatenschutzbeauftragten gefunden hat.
Dies seien nur ein paar Punkte, um aufzuzeigen, dass das „Ergebnis“ in Sachen Google Analytics nicht passt und unbefriedigend ist. Es bleibt abzuwarten, ob sich die anderen Aufsichtsbehörden diesem Irrsinn anschließen und damit statt einer Durchsetzung der strengen Vorgaben des Datenschutzrechts eine Aufweichung derselben einleiten.