smartmetrics

Internationale WA-Tool-Anbieter tragen keine Schuld an Datenschutzverletzungen

Der Bundesdatenschutzbeauftragte Peter Schaar kritisierte kürzlich, dass viele gesetzliche Krankenkassen “unzulässige Analysedienste” für ihre Websites einsetzen würden. Heise.de berichtet, Schaar wolle das Stichprobenergebnis nun als Aufhänger nutzen, um generell Kritik an der “häufigen Verwendung unzulässiger Systeme zur Analyse der Reichweitenmessung” zu üben.

Wir meinen: Herr Schaar verfolgt die falsche Logik. Denn was genau sind “unzulässige Analysedienste”? Laut “Düsseldorfer Kreis” sind das solche, die unter anderem das individuelle Surfverhalten von Nutzern registrieren und auswerten, ohne dass diese ausreichend informiert wurden und eingewilligt hätten. Ein Analysedienst kann hierzu nur Mittel zum Zweck sein, das heißt: Nicht er missachtet den Datenschutz, sondern sein Anwender. “Unzulässige Analysedienste” kann es deshalb ebenso wenig geben wie “unzulässige Autos”, die mit 250 km/h durch ein Dorf brettern könnten.

Für Betroffene einer Datenschutzverletzung innerhalb Deutschlands ist immer der deutsche Website-Betreiber der “Vertragspartner”. Dabei kann es dem Betroffenen egal sein, ob der Site-Betreiber ein außereuropäisches WA-Tool verwendet oder für die Aufbereitung der Daten einen Dienstleister irgendwo auf dieser Welt beauftragt. Relevant ist, dass der Website-Betreiber für die Einhaltung des Datenschutzes juristisch verantwortlich ist und von Betroffenen belangt werden kann, wenn er diesen nicht einhält!

Ein Kritikpunkt Schaars: Weil viele der Analysedienste von außereuropäischen Anbietern stammten, basierten sie zum einen nicht auf deutschem Recht, zum anderen sei eine Rechtsdurchsetzung schwierig. Tatsächlich müssen hier Website-Betreiber bei der Entscheidung für oder gegen einen Dienstleister aufpassen. Denn viele amerikanische Anbieter betonen, dass sie Mitglied des “Safe-Harbour-Abkommens” seien - und wiegen ihre Interessenten in falscher Sicherheit, ähnlich wie das die deutschen Anbieter mit ihren TÜV-Siegeln tun. Es sei hier auf den letzten Absatzes des Beschlusses des Düsseldorfer Kreises vom 26./27.11.2009 verwiesen, in dem es heißt: “Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten.“.

Das “Safe-Harbour-Abkommen” soll - eigentlich - bedeuten: Diese Hersteller sichern zu, dass sie personenbezogene Daten aus Europa nach EU-Datenschutzstandards verarbeiten. Eigentlich. Denn dass dem häufig nicht so ist, ergab nun ein Gutachten des US-Beratungsunternehmens Galexia (heise.de): Häufig verletzten US-Mitglieder dieses Abkommen, was obendrein meist ohne rechtliche Konsequenzen bleibe. Der Vorwurf: Viele der Mitglieder des “Safe-Harbour-Abkommens” haben sich eingekauft ohne zertifiziert zu werden und gehen viel zu lax mit den vereinbarten Vorschriften um. Ob der Dienstleister Mitglied des “Safe-Harbour-Abkommens” ist, ist zivilrechtlich relevant, wenn es um die Frage nach der Haftung des Dienstleisters gegenüber dem Site-Betreiber geht.

Fazit: Würde der Autobauer Toyota der Logik Schaars folgen, würde er seine Kunden, deren Autos klemmende Gaspedale haben, an den Zulieferer verweisen. Und der kann dann alle Vorwürfe von sich weisen mit dem Argument: Bei mir ist alles in Ordnung, denn ich arbeite ja nach DIN ISO 9000.

---