Datenschutzirrsinn – made in Hamburg

Die Tage wurde der Begriff Datenschutztheater ins Leben gerufen. Ich möchte an dieser Stelle die Eskalationsstufe vorstellen: Der Datenschutzirrsinn.

Datenschutzirrsinn bezeichnet eine Maßnahme, die unter der Maßgabe eines vermeintlichen Datenschutzes und/oder mit Zustimmung einer Aufsichtsbehörde erfolgt,  ohne dabei praktikabel zu sein und den Anforderungen des Datenschutzrechts zu genügen.

Ein gutes Beispiel ist die gestern bekannt gewordene „Lösung“ im Streit um Google Analytics. Wie gestern schon geschrieben ist das Einlenken des hamburgischen Datenschutzbeauftragten zu begrüßen, doch nach der ersten Freude und einem genauen Blick in die Vorgaben, reibt man sich verwundert die Augen. Die „Lösung“ wirft mehr datenschutzrechtliche Fragen auf, als dass sie sie lösen würde. Hier ein paar Punkte, warum die vorgeschlagene Lösung als Datenschutzirrsinn bezeichnet werden kann:

  • Zunächst verwundert, dass der Landesdatenschutzbeauftragte die Browser-AddOn Lösung für datenschutzkonform hält, wenn 90% aller Desktop Browser und kein Mobiler Browser davon erfasst sind. Auch wenn eine große Mehrheit der Internetnutzer damit die Möglichkeit hat, von der Profilbildung nach § 15 Abs. 3 TMG zu widersprechen, so ist sie doch nicht jedem möglich. Hier erfolgt mit Zustimmung der Aufsichtsbehörde eine Aufweichung der Anforderungen. Es bleibt abzuwarten, ob wirklich alle Aufsichtsbehörden dem folgen und ob dies einer gerichtlichen Prüfung stand halten würde.
  • Nach Aussage von Google und dem Landesdatenschutzbeauftragten wird bei der IP-Adresse  „das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht (…), so dass darüber keine Identifizierung des Nutzers mehr möglich ist.“  Das ist, der Definition aus § 3 Abs. 6 BDSG folgend, eine Anonymisierung. Mit erfolgter Anonymisierung ist ein Personenbezug nicht mehr herstellbar und daher keine datenschutzrechtliche Zulässigkeit für die weitere Verarbeitung erforderlich. Es verwundert, warum dann allerdings gleichzeitig eine Vereinbarung über die Auftragsdatenverarbeitung mit Google abschlossen werden soll. Einzig einleuchtende Begründung hierfür, wäre die Tatsache, dass die Anonymisierung nicht auf der jeweiligen Webseite direkt erfolgt, sondern nach Übermittlung an Google aber bevor die anonymisierte IP-Adresse für Google Analytics verarbeitet wird. Schaut man in die Mustervereinbarung von Google, erfährt man überrascht, dass sich diese nicht nur auf den Anonymisierungsvorgang bezieht sondern die Analyse durch Google Analytics insgesamt. Da „Kundendaten“ neben der IP-Adresse auch Cookie-Informationen enthält, stellt sich die Frage, welchen Personenbezug durch diese Cookies hergestellt werden kann und warum, in Abweichung der IP-Adresse, hier keine Anonymisierung vor der Erhebung, Verarbeitung und Nutzung erforderlich sein soll.
  • Am überraschensten erscheint jedoch, dass die Mustervereinbarung die Zustimmung der Aufsichtsbehörde erhalten hat, da sie wohl den Anforderungen aus § 11 Abs. 2 BDSG nicht gerecht wird. So vermisst man Angaben über Dauer der Auftragsdatenverarbeitung und die Art der verarbeiteten Daten ist nur vage umschrieben und führt nur „insbesondere“ konkrete Beispiele auf. Auch die Anforderungen an die Kontrollrechte entsprechen nicht der bisherigen Auffassung und der Intention des Gesetzgebers. Es bleibt daher abzuwarten, ob sich diese Erleichterung der Kontrollrechte wirklich durchsetzt.
  • Arg verwunderlich ist auch die Einschränkung der Einzelweisungen durch den Auftraggeber. Diese kann der Auftraggeber nur erteilen, wenn er die zur Durchführung von Google veranschlagten Kosten begleicht. Dadurch, dass der Auftragnehmer die Kosten für die Durchführung einer Weisung des Auftragnehmers frei bestimmen kann, wird letztlich die Weisungsgebundenheit ausgehebelt und der Sinn der Auftragsdatenverarbeitung ad absurdum geführt. Es ist erstaunlich, dass dies die Zustimmung des Landesdatenschutzbeauftragten gefunden hat.
Dies seien nur ein paar Punkte, um aufzuzeigen, dass das „Ergebnis“ in Sachen Google Analytics nicht passt und unbefriedigend ist. Es bleibt abzuwarten, ob sich die anderen Aufsichtsbehörden diesem Irrsinn anschließen und damit statt einer Durchsetzung der strengen Vorgaben des Datenschutzrechts eine Aufweichung derselben einleiten.

Google Analytics ist datenschutzkonform nutzbar!?

Es ist eine kleine, jedenfalls unerwartete Sensation. Der Hamburgische Datenschutzbeauftragte Caspar bestätigt, dass Google Analytics nach weiteren Anpassungen datenschutzkonform nutzbar ist. Damit geht ein langes Ringen zwischen Google und den Datenschützern zu ende.

Was war der Vorwurf und wie ist er nun gelöst worden?

Google Analytics wurden drei Dinge vorgeworfen: Einerseits IP-Adressen ohne die nach Ansicht der Aufsichtsbehörden erforderlichen Einwilligung in die USA zu übermitteln. Andererseits war der Vorwurf, Google würde Profile im Sinne von § 15 Abs. 3 TMG erstellen ohne eine ausreichende Widerrufsmöglichkeit zu bieten. Schließlich sei Google Analytics ein klassischer Fall der Auftragsdatenverarbeitung der den Anforderungen des § 11 BDSG nicht genüge.

Bereits vor einigen Monaten hatte Google nachgebessert und ein Opt-Out Plugin sowie eine Anonymisierungsmöglichkeit vorgestellt. Beide waren jedoch weiterhin als unzureichend angesehen worden, da einerseits nicht alle Browser erfasst wurden und die IP-Adressen erst nach Übermittlung in die USA anonymisiert wurden.

Nun hat Google anscheinend drei Dinge geändert:

  1. Google bietet nun für alle gängigen Browser AddOns an
  2. Die Daten werden in Europa anonymisiert
  3. Google schließt mit Kunden eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung nach § 11 BDSG

Das klingt alles schön und gut. Der reinen Lehre folgend wid man sich jedenfalls hinsichtlich der ersten Lösung verwundert die Augen reiben. Sowohl Google als auch der Landesdatenschutzbeauftragte geben zu, dass alle gängigen Desktop-Browser eine Opt-Out Lösung bieten (IE, Firefox, Chrome, Safari und Opera). Da weder Spartenbrowser noch Smartphones und TabletPCs hiervon erfasst sind, ist jedenfalls mit solchen Geräten ein Widerspruch nach § 15 Abs. 3 TMG weiterhin nicht möglich. Erstaunlich, dass dies jedoch hier als vernachlässigbar angesehen wird.

Die Vereinbarung zur Auftragsdatenverarbeitung ist zudem ein noch nie dagewesenes Novum. Wie Kollege Ferner schreibt, bleibt abzuwarten, ob dies eine abschreckende Hürde für Nutzer darstellt.

Update 13:40: Der Kollege Stadler hat sich bereits die Zeit genommen, die Vereinbarung zur Auftragsdatenverarbeitung genau anzuschauen und auch deren Erforderlichkeit hinterfragt. Da eine Anonymisierung allerdings erst NACH einer Übermittlung an Google (unklar bleibt ob Google Deutschland, Google Inc. oder eine andere Gesellschaft des Konzerns gemeint ist) erfolgt, ist insoweit weiterhin eine Datenschutzerklärung und wohl auch die Vereinbarung zur Auftragsdatenverarbeitung erforderlich.

 

Update: Einer vertieften Analyse habe ich einen gesonderten Blogpost gewidmet.

Das Datenschutztheater – ein gewolltes Dilemma?

Im Blog der datenschutzkritischen Spackeria hat Jürgen Geuzter (aka „tante“) den Begriff des Datenschutztheater ins Leben gerufen. Er definiert Datenschutztheater als

eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen.

Das halte ich nicht für „Theater“ sondern reinen Populismus, dennoch ist der Begriff des „Datenschutztheaters“ durchaus treffend, wenn man sich aktuelle Diskussionen um den Datenschutz ansieht. Ich würde noch ein prominentes Beispiel dazu packen: Den heise 2-Klick Button (dazu mehr in diesem Blogbeitrag). Der heise Verlag hat eine datensparsame Lösung für die Einbindung von Social Media Plugins präsentiert, die gefühlt den Schutz von Daten verbessert, das rechtliche Problem aber lediglich um einen Klick verzögert.

Die Liste der Datenschutztheater ließe sich wohl endlos fortsetzen, aber wie kommt es regelmäßig zu solch einem Datenschutztheater? Zu Beginn des Datenschutztheaters steht regelmäßig ein Verstoß gegen Datenschutzrecht. Dieser wird durch Aufsichtsbehörden oder in der Öffentlichkeit heftig kritisiert. Die Kritik der Aufsichtsbehörden erfolgt dabei regelmäßig durch Stellungnahmen auf Landes-, Bundes- oder gar EU-Ebene durch Gremien wie der Düsseldorfer Kreis oder die Art. 29 Datenschutzgruppe. Selten wird ein angeprangerter Verstoß durch eine Aufsichtsbehörde auch tatsächlich auch sanktioniert.

Schlechte Publicity sind im Datenschutz derzeit ein schärferes Schwert als Bußgelder und Untersagungsverfügung. Das führt dazu, dass Lösungen regelmäßig zwischen Wirtschaft und Aufsichtsbehörden „ausgehandelt“ werden, ohne dabei zu wirklich datenschutzrechtlich sauberen Lösungen zu führen, die man als Datenschutztheater bezeichnen kann. Aus Sicht der betroffenen Unternehmen ist dies durchaus nachvollziehbar, denn gerichtliche Verfahren dauern lange und sorgen dementsprechend lange für schlechte Presse. Es gibt jedoch auch Datenschutztheater (etwa Google Analytics oder Facebook) da hat man den Eindruck, dass auch die Aufsichtsbehörden eine gerichtliche Klärung scheuen und lieber halb gare Lösungen akzeptieren, statt die eigene Rechtsauffassung durchzusetzen.

Das führt jedoch dazu, dass gerade auf dem Bereich des Datenschutzrechts keine oder kaum belastbare Rechtsprechung existiert, welches zur Klärung der offenen Streitthemen im Datenschutz beiträgt. Es werden daher noch viele Datenschutztheater folgen.

Eine unerwartete Antwort von Herrn Weichert

Nico Lumma hat vor einigen Wochen 7 Fragen zum Datenschutz gestellt. Zu den ausgewählten Befragten gehörte auch Thilo Weichert. Dieser hat nun ebenfalls 7 Antworten gegeben. Eine Antwort fand ich dabei durchaus unerwartet:

Frage: Was ist so schlimm am Like-Button?

Thilo Weichert: Der Button tut nicht körperlich weh. Das Anclicken des Buttons löst aber Datenverarbeitungen aus, die für die Nutzenden weder transparent noch selbstbestimmt sind. Es geht um das Setzen eines Cookies, um die Profilierung mit Hilfe des Cookies bei Facebook/USA und die kommerzielle oder sonstige Nutzung dieser Profile, worüber Facebook nicht ansatzweise Informationen herausgibt. Das verstößt gegen das deutsche Telemediengesetz und gegen die europäische E-Privacy-Directive. In diesen Verstößen liegen unzweifelhaft Verletzungen des Grundrechts auf informationelle Selbstbestimmung der Betroffenen.

Es geht also um das „Klicken“ des Like-Buttons, was ein Cookie setzt.  Das klang bislang noch ganz anders und würde sämtliche (für einen Datenschutzhardliner unzureichenden) 2-Klick-Lösungen überflüssig machen. Da ich die mir aufdrängende Frage schon gestellt habe, frage ich lieber: Woher kommt der Sinneswandel?

Ist der 2-Klick-Button wirklich datenschutzkonform?

Am Donnerstag stellte der heise-Verlag für seine Internetangebote den „2-Klick-Button“ vor. Mit dem 2-Klick-Button soll, so heise, eine „datenschutzfreundliche“ Einbindung von Social-Media-PlugIns möglich sein. Das Prinzip ist einfach und alles andere als neu. Auf dieser Seite wird derzeit ebenfalls eine 2-Klick Lösung getestet, die der Kollege Jens Ferner bereits vor Monaten vorgestellt hat, lange bevor das ULD sich zur datenschutzrechtlichen Problematik des Facebook Like-Buttons geäußert hat. Die grafisch ansprechende Lösung des heise-Verlags wurde im Netz, dank der selbstüberzeugten Beschreibung, als die heilbringende Lösung gefeiert. Doch die Reaktion von Facebook kam prompt. Die Umsetzung widerspreche den Plattform-Richtlinien. Der heise-Verlag (und viele Nutzer) reagierten ungläubig, wenn nicht gar eingeschnappt. Schließlich habe der 2-Klick-Button zur Lösung eines datenschutzrechtlichen Problems beigetragen. Aber ist das wirklich so? „Ist der 2-Klick-Button wirklich datenschutzkonform?“ weiterlesen