Sehr geehrter Herr Caspar,
ist Ihr derzeitiges Vorgehen in Bezug auf die Speicherung und Verarbeitung von IP Adressen in der Web-Analytics nun Inkompetenz oder Absicht, um den Datenschutz mehr ins Rampenlicht zu setzen?
Ihre fachlich unhaltbaren und juristisch nicht zu Klärung beitragenden jüngsten Äußerungen in der Presse sind mittlerweile nicht mehr hinnehmbar.
Zu diesen Äußerungen in Bezug auf Web Analytics Anbieter im allgemeinen und Google Analytics im Speziellen ist fachlich folgendes anzumerken:
- Kein Mensch betreibt ernsthaft Einzelbenutzertracking auf Basis von IP-Adressen. Diese sind viel zu volatil als dass sie dafür tatsächlich taugen würden. Ihre Schattengefechte gegen das Abspeichern oder Verarbeiten derselben sind in der Branche eine Lachnummer, weil das Thema verfehlt wird.
- Tatsächliche Verstöße gegen den Datenschutz beim Einsatz von 3rd-Party-Cookies werden von Ihnen und Ihren Kollegen derzeit weder erkannt, verstanden noch als Verstoß reklamiert.
- Ihre populistische Forderung zur generellen Abschaffung von Cookies ist ungefähr so realistisch wie die Abschaffung jeglichen Geldbesitzes zur Vermeidung von Diebstählen.
Um eines von vornherein klar zustellen: Was gesetzlich Verboten ist, gehört auch gesetzlich verfolgt und geahndet. Aber die Lebenserfahrung zeigt auch, das Gesetze keine Straftaten verhindern, sonst gäbe es keine Einbrüche und keine Gewalttaten mehr.
Der missbräuchliche Einsatz von Technologien zur Übervorteilung von Anwendern oder zum Betrug kann durch Gesetze nicht verhindert werden. Zu verbieten, dass IP-Adressen gespeichert werden, ist dem Ziel, die Verstöße nachverfolgbar zu machen und zu ahnden weder förderlich noch trägt er zu irgendetwas in diesem Zusammenhang bei - Stichwort Vorratsdatenspeicherung.
Alle Anbieter von Trackingsystemen haben ein höchstes Maß an Interesse daran, den jeweiligen nationalen Bestimmungen des Datenschutzes Folge zu leisten, schließlich handelt es sich um Unternehmen die im Rahmen der Gesetzgebung operieren wollen und müssen.
Diesen permanent und mit fachlich zweifelhaften bis lächerlichen Argumentationen unlautere Absichten zu unterstellen, schadet nicht zuletzt dem Ansehen des Datenschutzes selbst.
Der Grund, weshalb sich die Anbieter gegen Ihre Forderungen wehren, liegt deshalb auch nicht in dem Bedürfnis nach der IP-Adresse begründet, sondern in dem Umstand, das es technisch eine Herausforderung ist, auf einen Brief von Herrn Johannes Caspar zu antworten, ohne den Absender zu kennen (mithin, die Rückantwort-Adresse ist notwendiger Bestandteil der Rechner-zu Rechner-Kommunikation und kann nicht einfach weggeworfen werden - dann bekommt der Anwender nämlich die angeforderte Seite nicht zu sehen. Sicherlich das höchste Maß an Datenschutz: die Verhinderung jeglichen Datenaustausches, siehe oben.)
Die berechtigten Interessen der Anwender, vor individueller “Ausspionierung” und dem Missbrauch der persönlichen Daten geschützt zu werden, zu vertreten und diese in die Rechtsprechung einfließen zu lassen sowie Verstöße dagegen zu ahnden ist das Ziel des Datenschutzes in Deutschland und international.
Diesem Ziel gerecht zu werden ist auch das Interesse der Medienwirtschaft in Deutschland. In dieser Branche, die im übrigen unter der Überschrift “Dienstleistung” subsumiert wird und nach den jüngsten statistischen Aussagen erheblich zum Wirtschaftswachstum der letzten Monate beigetragen hat, arbeiten in Deutschland fast doppelt so viele Menschen wie in des Deutschen Lieblingsbranche Automobil. Leider sind die Unternehmen in den neuen Technologien und der Medienwirtschaft eher als “kleine Mittelständler” mit im Mittel weniger als 100 Arbeitnehmer zu verzeichnen, was ihnen per se nicht die Lobby gibt wie z.B. Unternehmen in der Automobilbranche oder der Energiewirtschaft. Hier sind Verbände wie BVDW, Bitkom und eco gefragt.
Aber, Herr Caspar, wollen Sie allen diesen Menschen in dieser Wirtschaft grundlegend unlautere Absichten unterstellen, nur weil sie auf den Webseiten ihrer Auftraggeber Cookies implementieren, für Reichweitenstatistiken sorgen oder Besucherströme analysieren? Wollen Sie ernsthaft verbieten, dass Anwender auf ihre Bedürfnisse optimierte Websites angeboten bekommen? Wollen Sie sich generell gegen den Einsatz von neuen Technologien, die dieses Land so dringend benötigt, sperren oder gar diese per Gesetz unterbinden? Wollen Sie z.B. einer Presse, die sich in der Transitionsphase von Print- nach Online-Inhalten befindet, die notwendigen Einnahmequellen durch gezielte Werbung entziehen?
Wenn dem nicht so ist, was soll dann dieser fachlich nicht haltbare Scharmützel mit Google und anderen Anbietern wegen IP-Adressen, die in der Praxis sowieso niemanden interessieren? Sie laufen Gefahr sich mit ihren obstrusen Anforderungen an den von Ihnen vertretenen Schutz von vermeintlich persönlichen Daten auf einen Nebenkriegsschauplatz zu begeben und die wirklichen Herausforderungen in diesem Bereich völlig aus dem Blickfeld zu verlieren.
Um es noch einmal deutlich und klar zu sagen:
Für die Erfassung und Speicherung eines detaillierten Profils eines Anwenders über mehrere Websites und über einen längeren Zeitraum und inklusive soziodemografischer Daten bis hin zu Namen und Geburtsdatum, ist die IP-Adresse nicht nur nicht notwendig, sondern untauglich. Und es gibt seit Jahren bereits andere technische Möglichkeiten wie Cookies. Auch dazu gibt es weitreichende technische Dokumentationen und Fachbeiträge. Zugegeben, die sind meist alle in Englisch und setzen zu ihrem Verständnis fundierte Kenntnisse voraus.
Die vielfach herausgestellte theoretische Möglichkeit der Herstellung einer Verbindung zwischen der Person des Anschlussinhabers und dem gespeicherten Profil über die Daten des Providers ist in der Praxis weder jemals vorgekommen noch ist diese Vorgehensweise für irgendeinen Anbieter praktikabel. Sie ist auch völlig praxisfern, da es viel einfachere Wege gibt, zum gleichen Endergebnis zu gelangen. Diese Lösungen sind organisatorisch wesentlich simpler, allerdings technisch deutlich komplexer.
Verbieten Sie das Speichern der IP-Adressen und Sie werden der Sache des Datenschutzes einen Bärendienst erweisen und vermutlich nicht mal einen Pyrrhus-Sieg erreicht haben. Ich sage damit nicht, dass man IP-Adressen nun ungehindert Speichern oder Verarbeiten lassen sollte, nur ist es definitiv nicht der zentrale Punkt, sondern ein beliebig nebensächliches Detail.
Aber zugegeben, es ist sehr populistisch und einfach weil monokausal - so etwas versteht Jeder und die Presse liebt es.
Die wirklichen Aufgaben des Datenschutzes, die einer Betrachtung wert sind, wären aus unserer Sicht:
- Clusterung von Opt-In Emails und deren Verkauf für unlautere Werbezwecke
- Site-übergreifendes Erfassen des Besucher-Kauf-Verhaltens
- Unlautere Nutzung der von Anwendern in sozialen Netzwerken freiwillig bereitgestellten Informationen zu Werbezwecken.
- Nutzung von Kaufinformationen zum sog. Retargeting oder Remarketing
- Jugendschutz und Schutz vor jugendgefährdenden Inhalten im Internet und damit einhergehend Ahndung der Verstöße anstatt “Nicht-Sichtbar-Machung” der Verstöße.
- u.v.m.
Hier gibt es viele offene Fragen und Diskussionspunkte, die heute noch gar nicht angegangen worden sind und wo sich Anbieter und Betreiber in einem rechts- und regulierungsfreien Raum bewegen.
Sie und ihre Kollegen im sogenannten ‘Düsseldorfer Kreis‘ können natürlich weiterhin Beiträge wie in diesem Blog ignorieren und vehement die fachlich lächerlichen Auffassungen von Datenschutz versuchen bei den Anbietern wie z.B Google durchzusetzen. Eine ganze Branche freut sich darüber, dass der Datenschutz in Deutschland weiterhin zwar irreale, aber letztendlich auch irrelevante Forderungen versucht durchzusetzen, verschafft dies doch einen gewissen Freiraum.
Oder aber, Sie fangen endlich an, sich von kompetenter und vor allem betroffener Seite beraten zu lassen und gemeinsam mit der Branche einen Ausgleich zwischen den berechtigten Interessen der Anwender und denen der Site-Betreibern (Ja auch diese gibt es und letztlich zahlen diese einen erheblichen Teil Ihrer Bezüge und Ihrer Spesen) herzustellen.
Die jüngsten Ausführungen und Eskapaden bezüglich der Verarbeitung von IP-Adressen bei Google sind - wenn nicht lächerlich - zumindest beschämend für die Kompetenz des deutschen Datenschutzes.
Auf Spiegel - Online war zu lesen, das Sie Ihre und einige andere institutionelle Websites abgeschaltet haben, weil durch den Site-Hoster aus Ihrer Sicht gegen das Telemediengesetz verstoßende Tracking Systeme zum Einsatz gekommen sind. Unabhängig von der fachlich fragwürdigen Begründung (s.o.) folgende Fragen an Sie:
- Wieso sind Sie nicht darüber informiert, was auf Ihrer Website für Tools im Einsatz sind?
- Ist diese Abschaltung und die damit einhergehende “Nicht-Kommunikation” für die Sache des Datenschutzes eher förderlich oder eher hinderlich?
- Warum lassen Sie beim Betrieb Ihrer eigenen Website nicht die gleiche Sorgfalt walten, die Sie von den von Ihnen “beklagten” Unternehmen verlangen?
- Wieso haben Sie ihre Dienstleister nicht im Griff, verlangen dies aber von anderen?
- Haben Sie schon in Erwägung gezogen, sich selbst als verantwortlichen Site-Betreiber bei ihrer eigenen Behörde anzuzeigen?
Für einen offenen Dialog stehe ich gerne bereit,
Axel Amthor
contentmetrics GmbH
(wir beraten Unternehmen beim gewinnbringenden Einsatz von Web Analytics, oder wie Sie zu sagen pflegen “Tracking Tools”)
Aktuell macht eine “Studie” des IT-Spezialisten Xamit die Runde, die Webanalyse-Anwender und -Interessenten sehr verunsichert: Darin steht, dass alle Webanalyseanbieter in Deutschland Datenschutzbestimmungen außer Acht lassen würden - außer einem: etracker.
Wie bitte? Sorry - das können wir auf keinen Fall so stehen lassen!
Die “Studie” “Webstatistiken im Test - Welcher Dienst ist in Deutschland legal?” strotzt vor Fehlern. Das Problem: Xamit betreibt damit ungeniert Öffentlichkeitsarbeit, hat es damit bis in die Internet World geschafft - und bringt so unsere Branche in Verruf.
Hier einige der gröbsten Schnitzer:
Die Auswahl der untersuchten Marktangebote: Xamit nahm gerade einmal neun Angebote unter die Lupe - wobei drei davon (IVW, Piwik und phpmyVisites) eine Extrabehandlung erfuhren und außen vor blieben. Es sind also sechs übrig: Google Analytics (GA), etracker, WiredMinds, Statcounter, Stats4free sowie “weitere Anbieter”. Das bedeutet: Wichtige Marktteilnehmer wie Omniture und Webtrekk wurden außer Acht gelassen. Wie also kommt Xamit auf die Idee, anhand dieser mickrigen Auswahl eine pauschale Aburteilung der gesamten Branche vorzunehmen?
Die “weiteren Anbieter”: Diese sollen laut der Tabelle “Markt 2009″ gerade einmal 1% des Markts ausmachen. Ein Prozent? Für Omniture, coremetrics, WebTrends, Unica, AT Internet und Webtrekk und allen anderen, die nicht untersucht wurden, zusammen? Der Marktanteil von etracker hingegen wird mit 10% angeben. Die Tabelle “Markt 2009″ - ein Witz.
Die Marktbewertung: GA hat laut Xamit einen Marktanteil 79%. Anteil von was? Vom Umsatz wohl kaum, schon eher an der Anzahl der Websites. Hier wird aber nicht berücksichtigt, dass es in zahlreichen Unternehmen üblich ist, mehrere Tools zu verwenden - kostenlose, kostenpflichtige und selbst gebaute.
Die “Checkliste”: Diese müsste eigentlich “Selbstverständlichkeiten-Liste” heißen. Die ersten zwei Fragen lauten etwa: “Ist der Vertrag schriftlich abgefasst?” und “Ist der Auftragsgegenstand konkret beschrieben?” Wenn ein Unternehmen hinter solchen Fragen kein Häkchen machen kann, dann hat es ein massives Problem - aber nicht mit dem Datenschutz, sondern schon beim Einkauf, weil die kaufmännische Sorgfaltspflicht nicht eingehalten würde.
Die Argumentation: Wie kommt Xamit darauf, dass die untersuchten Lösungen nicht BDSG-konform sind? Diese Behauptung wird zwar aufgestellt, aber nicht belegt. Interessant ist auch die “Sonderstellung” der IVW. Natürlich sind ihre Statistiken nicht öffentlich und nur den Site-Betreibern zugänglich - wie bei allen anderen auch!
Das Thema “Geolokalisierung”: Der Düsseldorfer Kreis hat das “Speichern der IP-Adresse” als kritisch reklamiert. Wichtig ist, dass für eine Geolokalisierung die IP-Adresse nicht gespeichert werden muss. Der Ablauf ist:
- Verbindungsaufnahme auf TCP/IP-Ebene mit der IP-Adresse des Client-PCs (das entspricht der “Telefonnummer des Anrufers” und kann sinnvollerweise nicht unterbunden werden)
- Abfrage der Geolokalisation: “Verwerfen” der IP-Adresse, wird nur noch für die aktuelle Kommunikation benötigt.
Ein Speichern ist nicht nötig. Die Geolokalisierung als solche ist also nicht kritisch. Die Behauptung, diese ginge nur per Opt-In, ist schlicht falsch.
Das Thema “IP-Adressen”: Es gibt in GA keine IP-Adressen. Derjenige, der mir einen Standard-GA-Report zeigt, der eine IP-Adresse enthält (nicht explizit per Custom Parameter gemessen, sondern einen Standard Report ohne Custom Parameter), erhält von mir ein Exemplar unseres Buchs “Mehr Erfolg durch Web Analytics“.
Sehr wohl kann man aber in etracker bei ausgeschalteten IP-Adressen personenbezogene Profile gewinnen - im Standardreport:
Der Screenshot zeigt eine komplette Session eines einzelnen Benutzers. Die IP ist zwar abgeschnitten, aber deswegen könnte sie trotzdem irgendwo vollständig gespeichert werden (etracker macht ja auch Geolokalisierung). In GA bekomme ich einen solchen Report nicht, kein Wunder: Es gibt ihn nicht (siehe oben). Bleibt also die Frage: Weshalb bewertet Xamit hier etracker höher als GA? Faktisch gibt es dafür keine ausreichenden Anhaltspunkte, wenn man den gleichen “Annahmehorizont” zugrunde legt. Hier wird wohl mit zweierlei Maß gemessen.
Aus dieser “Studie” ziehen wir nur eine Erkenntnis: Das IT-Unternehmen Xamit versucht mit irreführenden Behauptungen Kompetenz in einem Markt vorzutäuschen, von dem es offensichtlich keine Ahnung hat. Von zahlreichen Kollegen hören wir mittlerweile, dass sie von besorgten Kunden und Interessenten angerufen werden, die von der “Studie” gelesen hätten. In diesen Gesprächen dürfen wir nun das Image der Web-Analytics-Branche wieder gerade rücken.
Danke, Xamit!
Verfasst von Axel Amthor
am 3. Mai 2010 unter
Markt
Aus Datenschutzgründen wird Internet-Nutzern immer wieder geraten, sie sollten doch die “gefährlichen Cookies” in ihren Browsern löschen, diese auf keinen Fall akzeptieren und überhaupt alles Erdenkliche anstellen, um diese von der Festplatte zu radieren. Das ist bestimmt gut gemeint und im Sinne einer Anonymisierung und des Schutzes der Privatsphäre auch superkorrekt!
Aber ich bekenne: Ich gehöre zu den Verweigerern dieser Ratschläge - ich lösche keine Cookies. Aktuell habe ich rund 500 Cookies auf meinem PC. Und es ist mir egal, von wem und warum die dort sind. Ich lösche sie nicht und lasse sie, wo sie sind. Im Gegenteil: Ich habe sogar meinem Virenscanner und meinem CCleaner beigebracht, Cookies nicht zu löschen.
Der Grund ist ein ganz einfacher: Ich mag es, wenn man mich auf einer Website wiedererkennt - genauso, wie ich es mag, wenn mich die Bäckereifachverkäuferin morgens begrüßt. Ich würde nicht auf die Idee kommen, solche Läden mit Verkleidung zu betreten, jeden Morgen mit einer anderen, damit ich um Gottes willen nicht wiedererkannt werde. Kurzum: Ein bisschen Eitelkeit darf sein, deshalb lösche ich meine Cookies nicht.
Zugegeben, das klingt etwas pathetisch, aber es ist einfach an der Zeit, mal etwas Gutes über Cookies zu sagen. Es sind kleine Helfer, die viele Dinge im Internet einfacher und bequemer machen:
- Man wird automatisch auf Websites eingeloggt.
- Websites speichern individuelle Einstellungen in Cookies und ich muss nicht jedesmal neu konfigurieren.
- Shops wissen, was ich mag und bieten mir interessante Dinge an.
- Ich genieße Einkaufsvorteile, weil ich einen Cookie besitze und der Shop mich als Stammkunden wiedererkennt.
- Websites tauschen untereinander Daten aus und Social-Media-Applikationen “sprechen” untereinander, weil ich deren Cookies akzeptiere.
Cookies wurden weder von der CIA, noch von der NSA und schon gar nicht vom BND erfunden, sondern von Site-Betreibern und Webserver-Programmierern, die einfach wissen wollen, wer da virtuell vor ihnen steht. Diese erfahren auch nichts “von mir”, sondern lediglich über mein Internet-Benutzungsverhalten, also einen recht schmalen und einseitigen Ausschnitt meiner “Persönlichkeit”.
Für wesentlich “gefährlicher” halte ich Rabattkartensysteme, weil sie in der Lage sind, mein gesamtes Offline-Verhalten lückenlos nachzuvollziehen. Damit habe ich tatsächlich ein Problem, und darum besitze ich keine einzige dieser Karten.
Also, liebe Rabattkarten-Besitzer: Macht bitte nicht so viel Getöse um die angebliche Schädlichkeit von Cookies, diese haben aus meiner Sicht einen berechtigten Daseinszweck.
Im Übrigen kennt die oben erwähnte Bäckereifachverkäuferin die Größe meiner Familie, deren Essgewohnheiten, die Anzahl Autos und deren Marken sowie die Zahl unserer Fahrräder. Und sie weiß, wie viele Kreditkarten ich besitze. Sie weiß auch, dass ich selten Kekse kaufe. Und das alles ganz ohne Browser-Cookies.
Der Bundesdatenschutzbeauftragte Peter Schaar kritisierte kürzlich, dass viele gesetzliche Krankenkassen “unzulässige Analysedienste” für ihre Websites einsetzen würden. Heise.de berichtet, Schaar wolle das Stichprobenergebnis nun als Aufhänger nutzen, um generell Kritik an der “häufigen Verwendung unzulässiger Systeme zur Analyse der Reichweitenmessung” zu üben.
Wir meinen: Herr Schaar verfolgt die falsche Logik. Denn was genau sind “unzulässige Analysedienste”? Laut “Düsseldorfer Kreis” sind das solche, die unter anderem das individuelle Surfverhalten von Nutzern registrieren und auswerten, ohne dass diese ausreichend informiert wurden und eingewilligt hätten. Ein Analysedienst kann hierzu nur Mittel zum Zweck sein, das heißt: Nicht er missachtet den Datenschutz, sondern sein Anwender. “Unzulässige Analysedienste” kann es deshalb ebenso wenig geben wie “unzulässige Autos”, die mit 250 km/h durch ein Dorf brettern könnten.
Für Betroffene einer Datenschutzverletzung innerhalb Deutschlands ist immer der deutsche Website-Betreiber der “Vertragspartner”. Dabei kann es dem Betroffenen egal sein, ob der Site-Betreiber ein außereuropäisches WA-Tool verwendet oder für die Aufbereitung der Daten einen Dienstleister irgendwo auf dieser Welt beauftragt. Relevant ist, dass der Website-Betreiber für die Einhaltung des Datenschutzes juristisch verantwortlich ist und von Betroffenen belangt werden kann, wenn er diesen nicht einhält!
Ein Kritikpunkt Schaars: Weil viele der Analysedienste von außereuropäischen Anbietern stammten, basierten sie zum einen nicht auf deutschem Recht, zum anderen sei eine Rechtsdurchsetzung schwierig. Tatsächlich müssen hier Website-Betreiber bei der Entscheidung für oder gegen einen Dienstleister aufpassen. Denn viele amerikanische Anbieter betonen, dass sie Mitglied des “Safe-Harbour-Abkommens” seien - und wiegen ihre Interessenten in falscher Sicherheit, ähnlich wie das die deutschen Anbieter mit ihren TÜV-Siegeln tun. Es sei hier auf den letzten Absatzes des Beschlusses des Düsseldorfer Kreises vom 26./27.11.2009 verwiesen, in dem es heißt: “Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch
die Anbieter einzuhalten.“.
Das “Safe-Harbour-Abkommen” soll - eigentlich - bedeuten: Diese Hersteller sichern zu, dass sie personenbezogene Daten aus Europa nach EU-Datenschutzstandards verarbeiten. Eigentlich. Denn dass dem häufig nicht so ist, ergab nun ein Gutachten des US-Beratungsunternehmens Galexia (heise.de): Häufig verletzten US-Mitglieder dieses Abkommen, was obendrein meist ohne rechtliche Konsequenzen bleibe. Der Vorwurf: Viele der Mitglieder des “Safe-Harbour-Abkommens” haben sich eingekauft ohne zertifiziert zu werden und gehen viel zu lax mit den vereinbarten Vorschriften um. Ob der Dienstleister Mitglied des “Safe-Harbour-Abkommens” ist, ist zivilrechtlich relevant, wenn es um die Frage nach der Haftung des Dienstleisters gegenüber dem Site-Betreiber geht.
Fazit: Würde der Autobauer Toyota der Logik Schaars folgen, würde er seine Kunden, deren Autos klemmende Gaspedale haben, an den Zulieferer verweisen. Und der kann dann alle Vorwürfe von sich weisen mit dem Argument: Bei mir ist alles in Ordnung, denn ich arbeite ja nach DIN ISO 9000.
In der Web-Analytics-Branche entsteht gerade ein “Prüfsiegel-Trend”: Der Toolhersteller Webtrekk wirbt neuerdings mit dem “TÜV Siegel für vorbildlichen Datenschutz” für seine Software Q3. etracker lockt mit seinem selbst entworfenen Bundesdatenschutzgesetz-Siegel (”100% BDSG konform”). Und auch WiredMinds geht mit einem TÜV-Datenschutz-Zertifikat an die Öffentlichkeit. Mal sehen, wer als nächstes mit einem Zertifikat auf sich aufmerksam machen will.
Ursache für diesen Trend ist wohl die aktuelle Datenschutz-Debatte, in der vor allem der Datenmissbrauch mit IP-Adressen angeprangert wird. (Mit IP-Adressen könnte man anonyme Daten, die aus der Web Analytics gewonnen werden, Personen zuordnen - was aber verboten ist.) “Die jüngsten Diskussionen über Datenschutz im Internet haben in der Gesellschaft zu großer Verunsicherung geführt und teilweise berechtigte Ängste geschürt. Wir nehmen dieses Thema sehr ernst und wollen nun im Rahmen unserer Möglichkeiten einen Beitrag dazu leisten, wieder mehr Vertrauen zu schaffen”, beteuert etwa Christian Sauer, Geschäftsführer der Webtrekk GmbH.
Die Hersteller von Webanalyse-Tools versuchen, die Unbedenklichkeit ihrer Produkte herauszustellen. Potentielle Kunden sollen den Eindruck gewinnen, dass sie mit diesen Produkten nichts falsch machen können. Webtrekk etwa versichert, dass die Kundendaten, die Webtrekk für eine Analyse des Nutzerverhaltens erhebt, anonymisiert und nach der Auswertung umgehend wieder gelöscht würden.
Dass sich Webtrekk einer TÜV-Prüfung unterzieht, ist natürlich lobenswert. Dennoch muss gefragt werden: Um welche Definition von “Datenschutz” geht es hier eigentlich? Bei genauerer Betrachtung wird klar: Es geht nicht um den aktuell so erhitzt diskutierten “Schutz vor Datenmissbrauch”. Denn eine Web-Analytics-Software kann schlichtweg nicht die Verantwortung dafür übernehmen, dass während ihrer Anwendung das Gesetz eingehalten wird: Es ist immer der Anwender, der die Gesetze bricht! Und das geht, nebenbei bemerkt, auch ohne IP-Adressen. Hierzu haben wir bereits den Blogbeitrag “Datenschutz in der Web Analytics - ein brandheißes Thema?” veröffentlicht.
Das bedeutet: Käufer von Tools, die mit einem Prüfsiegel ausgezeichnet wurden, sind nicht automatisch davor geschützt, dass sie - wissentlich oder unwissentlich - den Datenschutz verletzen.
Ein Prüfsegel ist also keine Unbedenklichkeitsbescheinigung für die Toolanwender. Wer sicher gehen will, dass seine Web-Analytics-Projekte gesetzeskonform sind, sollte sich Expertenrat holen, idealerweise von einem Medienrechtler und einem Datenschutzexperten.
Dennoch: Das TÜV-Siegel für das Webtrekk-Tool bestätigt eine andere - ebenfalls sehr sinnvolle - Art des Datenschutzes: Es besagt, dass die Daten beim Hersteller sicher aufgehoben und vor fremden Zugriff geschützt sind. Das ist vor allem für Kunden mit extrem sensiblen Daten, etwa Finanzdienstleister, ein sehr bedeutender Hinweis!
Wenn es also um das Bestätigen der Datensicherheit geht, können solche Prüfsiegel durchaus sinnvoll sein - nicht aber als Garant für Gesetzeskonformität. Aus unserer Sicht dienen die Zertifikate derzeit vor allem einem Zweck: Sie dienen den Herstellern als PR-Mittel, um von der aktuellen Themenwelle zu profitieren.
Verfasst von Axel Amthor
am 27. Januar 2010 unter
Markt
In den Medien herrscht derzeit große Aufregung. Denn in der Web Analytics soll es mit dem Datenschutz nicht zum Besten stehen. Im Wesentlichen geht es in der aktuellen Debatte um IP-Adressen und deren Anwendung. Der Vorwurf lautet, sehr grob formuliert: Mit Hilfe von IP-Adressen könne man anonyme (und damit erlaubte) Daten, die aus der Web Analytics gewonnen werden, Personen zuordnen. Und diese Personalisierung ist verboten. Die kurz gefasste Schlussfolgerung der Medien: Weil die Verknüpfung von IP-Adressen mit anderen Daten in der Web Analytics ein Leichtes ist, öffnet sie dem Rechtsbruch Tür und Tor.
Kein Wunder also, dass derzeit zahlreiche Web-Analytics-Anwender nach einer solchen Lektüre besorgt bei uns, bei Agenturen und Rechtsanwälten um Rat fragen. Unser Tipp: Gelassen bleiben. Die aktuelle Diskussion entbehrt aus unserer Sicht jeder sachlichen Grundlage, und zwar aus mehreren Gründen:
- Es ist nicht Aufgabe des Tools, vor Missbrauch zu schützen! Derzeit entsteht der Eindruck, dass es Tools wie Google Analytics sind, die den Datenschutz unterwandern. etracker etwa wirbt mit einem selbst entworfenen Bundesdatenschutzgesetz-Siegel und auch WiredMinds will mit einem Datenschutz-Zertifikat punkten. Diese Siegel sollen belegen, dass ihre Tools datenschutzkonform sind. Mit Verlaub: Was für ein Unsinn. Selbstverständlich können auch mit etracker IP-Adressen generiert werden. Es ist nicht die Software, die den Datenschutz verletzt, sondern immer der Anwender! Ein WA-Betreiber wollte sich kürzlich von seinem Toolanbieter schriftlich bestätigen lassen, dass sein Produkt rechtskonform ist. Die Antwort kam prompt: Der Toolanbieter fühlt sich nicht zuständig und unterschrieb gar nichts. Zu Recht: Das wäre so, als würde ein Koch den Herdhersteller dafür verantwortlich machen, dass er keine giftige Suppe kocht. Stattdessen läuft die Sache umgekehrt: Große Toolanbieter wie Omniture und coremetrics sichern sich vor ihren Kunden ab. Diese müssen schriftlich bestätigen, dass sie im Umgang mit dem erworbenen Tool den Datenschutz einhalten werden.
- Auch ohne IP-Adresse kann der Datenschutz verletzt werden! Durch geschickte Kombination von Daten mit zusätzlichen Informationen - etwa aus dem Warenwirtschaftssystem – können personalisierte Daten generiert werden, man muss nur filigran genug messen. Zum Missbrauch braucht es also keine IP-Adressen. Deshalb wäre es für die aktuelle Diskussion sehr sachdienlich, die Perspektive zu erweitern.
- Google Analytics wird zu unrecht an den Pranger gestellt. Vor allem das kostenlose Tool Google Analytics wird in den Medien angegriffen, weil es den Datenschutz nicht einhalten soll. Fakt aber ist: Google Analytics liefert keine IP-Adressen an seine Anwender aus. Ob Google allerdings dennoch IP-Adressen sammelt und diese bloß nicht weiterleitet, ist eine interessante Frage – die Google leider nicht beantwortet.
- Die aktuelle Diskussion hätte bereits vor vielen Jahren geführt werden können. Es gibt derzeit keine neue oder veränderte Gesetzgebung, die eine erhitzte Diskussion wie die aktuelle rechtfertigen würde. Die Datenschutzrichtlinie der EU, nach der Website-Besucher über die Verwendung von Cookies informiert werden sollen, ist gerade erst in Planung und es wird dauern, bis diese in Kraft tritt und in die deutsche Gesetzgebung einfließt.
Was empfehlen wir derzeit unseren Kunden? Das, was wir seit jeher empfehlen:
- Seid Euch Eurer Verantwortung bewusst! Holt zwei Rechtsexperten: einen Medienrechtler, einen für Datenschutz. Mit deren Rat sollen die WA-Projekte so aufgebaut und durchgeführt werden, dass das Generieren personenbezogener Daten nicht möglich ist.
- Website-Besuchern muss die Möglichkeit angeboten werden, das Verfolgen anhand von Cookies zu unterbinden. Ein guter Platz dafür sind die Datenschutzbedingungen, die gut erreichbar sein sollten. Gutes Beispiel: unser Kunde Weltbild
- Personenbezogenen Daten sind für effiziente Webanalyse nicht nötig. Es reichen Cluster, die anhand soziografischer Informationen wie Geschlecht und PLZ gebildet werden, um gute Analysen durchführen zu können.
- Und: Bitte gesunden Menschenverstand einschalten und die Originaltexte lesen – nicht nur Medienberichte. Selbst einige Rechtsanwälte lassen sich derzeit von der hitzigen Debatte anstecken und scheinen nicht immer klar zu sehen. Als Lektüre empfehlen wir den Beschluss des „Düsseldorfer Kreises“ (ein Zusammenschluss der Datenschutz-Aufsichtsbehörden der Länder). Darin werden kompakt und lesbar essentielle Grundlagen der Web Analytics zusammengefasst, zum Beispiel:
- Man darf Web Analytics Tools einsetzen, um anonymisierte Profile zu bilden.
- Man darf diese Profile aber nicht in einen Personenbezug bringen.
- Dies ist gestattet, wenn der Betroffene zustimmt - was etwa beim Online-Kauf über die AGBs geregelt ist.
Fazit: Datenschutz in der Web Analytics ist ein wichtiges Thema – aber ganz bestimmt kein aktuelles. Und es muss anders darüber diskutiert werden als es aktuell der Fall ist. Es wäre an der Zeit, dass Verbände wie der BVDW, die BITKOM und auch der OVK sich einschalten und Medien, Anwälten und auch Toolherstellern fachlich belegen, dass ihr IP-Adressen-Getöse zur falschen Zeit stattfindet, den Kern nicht trifft, und, gelinde gesagt, Unsinn ist.
Verfasst von Axel Amthor
am 10. Dezember 2009 unter
Analytics
“Google Analytics ist gesetzeswidrig”, lautet der Tenor in einigen Presseveröffentlichungen und in vielen Blogs zum Thema Web Analytics. Jetzt gibt es selbst beim BVDW erste Meldungen und E-Mails, die aus den Regelungen diverser Gesetze wie dem Telemediengesetz (TMG) oder BDSG herleiten wollen. Doch selbst die vielen Diskussionsbeiträge können nicht darüber hinwegtäuschen, dass viele Interpretationen juristisch nicht haltbar sind. Im §13 des TMG wird explizit von “personenbezogenen Daten” gesprochen. Es wird weder über IP-Adressen, “Tracking” noch über Google Analytics (GA) etwas verlautbart. Weiterhin sei hier auf den §15 des TMG hingewiesen, insbesondere auf Ziffer (3) ff, der die Erhebung von Nutzungsprofilen von Telemedien ausdrücklich erlaubt, sofern dies anonymisiert erfolgt.
Zunächst bedeutet das, dass ein Diensteanbieter im Sinne dieses Gesetzes bei der Speicherung von personenbezogenen Daten zuerst (!) die Einwilligung des Anwender einholen muss. Dabei hat der Gesetzgeber an das Ausfüllen von Formularen zur Bestellung oder zu einem Abonnement gedacht. Nicht eingeschlossen ist dabei die Aufzeichnung von Seitenabrufen des Anwenders in Trackingsystemen.
Meiner Ansicht nach ergeben sich daraus folgende Fragen:
- Ist das Aufzeichnen der Seitenabrufe eines Anwenders auf einer Anbietersite und der damit entstehende “Clickstream” ein “personenbezogenes Datum”?
- Sind die damit einhergehend ebenfalls aufgezeichneten Informationen wie IP-Adressen, Browser-Footprints etc. ebenfalls als “personenbezogene Daten” anzusehen?
Eine eindeutige Rechtsprechung gibt es bislang hierzu noch nicht. Zwar gibt es Meinungen von Datenschützern und Einzelfall-Urteile dazu, doch die lassen sich nicht in jedem Falle verallgemeinern. Es ist derzeit für einen Website-Betreiber nicht eindeutig zu beantworten, ob zum Beispiel eine IP-Adresse abgelegt werden darf oder muss oder wie er damit umgehen darf, wenn er “nur” Web Analytics betreiben möchte. Es empfiehlt sich zwar, IP-Adressen nicht zu speichern, aber ist man damit bereits auf der sicheren Seite?
Daher ergeben sich für Datenschützer und insbesondere Landes- oder Bundesdatenschutzbeauftragte aus unserer Sicht folgende Problemstellungen:
- Wenn das Gesetz / die Gesetze hier tatsächlich eine eindeutige juristische Interpretation zulassen, läge im Sinne dieser Gesetze ein Verstoß der Sitebetreiber vor, wenn diese nicht angezeigte Trackingtools einsetzen. Dies hätte zwingend eine Anzeige von Amts wegen zur Folge. Erfolgt diese nicht, machen sich die amtlichen Datenschutzbeauftragten mindestens selber einer Amtspflichtverletzung schuldig, da sie die Sitebetreiber nicht anzeigen.
- Und weiter: Dies gälte generell für alle Trackingtools ebenso wie für jegliche Server Logfiles. Denn letztlich ist der jeweilige Sitebetreiber für den Gesetzesverstoß verantwortlich und nicht der Tool-Anbieter.
Da eine Anzeige bisher nicht erfolgt ist, scheint die Angelegenheit nicht ganz so eindeutig zu sein. Schließlich wären die Datenschutzbeauftragten ansonsten dazu angehalten, umgehend für eine juristische Klarstellung zu sorgen - das gehört zu ihren Aufgaben und Pflichten.
Und nun zu Google Analytics:
Die vorgenannten juristischen Aspekte dienen meiner Ansicht nach derzeit dazu, vordergründig gegen Google als Unternehmen vorzugehen. Das gipfelt in boulevardesken Übertreibungen wie der Schlagzeile “Google Analytics ist gesetzeswidrig”.
Dabei gibt es kein Gesetz, das die Verwendung von Google Anlaytics verbietet. Selbst eine weitläufige Auslegung bestehender Gesetze kann nicht dazu hergenommen werden, eventuelle moralische Ressentiments gegen die Verwendung von GA zu überdecken.
Außerdem bietet das Analysetool dem Endanwender keine Möglichkeit, an IP Adressen von Besuchern heranzukommen. Es bleibt somit die juristische Frage offen, ob die faktische Nicht-Verfügbarkeit einer IP Adresse für den Anwender nicht sogar zu dessen Gunsten ausgelegt werden muss (siehe Screenshot links).
Die Frage, ob man das Google-Angebot für die Webanalyse gut oder schlecht findet und ob man es Anbietern empfehlen kann oder lieber davon abraten sollte, lässt sich auch jenseits von justiablen Vorgängen betrachten. Denn es geht schlicht um die Frage der Transparenz in bestimmten vertikalen Märkten, die man Google einräumt, wenn man dem Suchmaschinen-Konzern sowohl die Akquisition, die Konversion als auch die Nutzung der Websites von kommerziellen Anbietern durch den Anwender vollständig überlässt.
Darüber hinaus stellen sich mir folgende Fragen: Was ist im Sinne des Datenschutzes im Rahmen von Web Analytics erlaubt und was ist nicht erlaubt? Wie geht man mit Analysetools wie Google Analytics und Yahoo!Indextools um? Ist es vertretbar oder gilt es zu verhindern, das Unternehmen mit Quasi-Monopolstellung vertikale Märkte komplett transparent in ihren Datenarchiven abspeichern und ggf. für eigene Geschäfte nutzen? Ich bin gespannt auf Ihre Meinung zum Thema.
IP Adressen sind persönliche - und damit schützenswerte - Daten und dürfen nicht gespeichert oder erhoben werden.
Allenthalben werden die neuesten Urteile und Regelungen des Datenschutzes in Verbindung mit der IP Adresse als das große Problem für Web Analyse und Benutzungsstatistiken angesehen.
Um diesem Unsinn einmal technisch entgegenzuhalten: die IP Adresse eines Anwenders ist in der modernen Web Analyse als “volatiles Datum” völlig irrelevant. Begründung: moderne DSL oder ISDN Router sind default-mässig auf eine Idle Time von 5 bis 10 Minuten eingestellt. Heißt: nach 5 bis 10 Minuten Inaktivität wird die Verbindung unterbrochen und bei Bedarf neu “eingwählt”. In 90% der Fälle wird der Anwender bei der erneuten “Einwahl” seines DSL “Modems” eine neue IP Adresse aus dem Pool des Providers zugewiesen bekommen. Analysen zeigen, das pro Session (!) teilweise bis zu zehn IP Adressen pro Anwender vergeben werden. Das Erkennen und matchen von Benutzeraktivitäten über IP Adressen ist deshalb mit erheblichem Speicher- und Rechenaufwand verbunden, der vermieden wird, weil es viel einfachere Methoden der Zuordnung gibt. Eine Langfristbeobachtung von Anwendern über IP Adressen ist für einen Website Betreiber technisch völlig unmöglich.
Wenn nun also die IP Adresse als “persönliches Datum” nicht mehr gespeichert und ausgewertet werden darf - prima, die hat uns in der Vergangenheit sowiso nicht interessiert …
Oder, um das mal etwas schärfer zu formulieren: Sollen sich die Datenschützer doch mit IP Adressen von Anwendern gesetzgeberisch herumschlagen - dass hält sie dann von anderen dummen Ideen ab und verschafft Freiraum.
Seit ewigen Zeiten ist es das ureigenste Interesse eines jeden Anbieters von Waren oder Dienstleistungen möglichst viel über seine Kunden und Interessenten zu erfahren, sei es um sein Angebot der Nachfrage anzupassen oder seine Produkte besser herauszustellen. Was im Einzelhandel seit vielen Jahren mit mehr oder weniger aufwendigen Verfahren des Kunden-Trackings zur Shop- und Rackoptimierung beiträgt, ist im heutigen e-business mit ausgefeilter Software weitaus effizienter zu bewerkstelligen, jeder Klick, jede Mausbewegung kann einem bestimmten Benutzer zugeordnet werden, ich sehe von welcher Site er kommt und zu welcher er nach meiner wechselt und, und, und, …
Das es hierbei über kurz oder lang zu Konflikten mit den einschlägigen Gesetzen wie z.B. dem Bundesdatenschutzgesetz (BDSG) kommen kann, liegt auf der Hand, insbesondere dann, wenn die erhobenen Daten einer identifizierbaren Person zugeordnet werden können.
§3a des Bundesdatenschutzgesetzes regelt hier eindeutig:
“Datenvermeidung und Datensparsamkeit -Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”
In §4 und 4a ist darüberhinaus geregelt, daß der Betroffene über Art, Umfang und Zweck der Erhebung zu unterrichten ist und dieser Erhebung in freier Entscheidung zustimmen muß. Ist diese Erklärung beispielweise Bestandteil von Allgemeinen Geschäftsbedingungen, so ist diese Erklärung besonders hervorzuheben.
Es kann also nur die Empfehlung ausgesprochen werden, die Tracking-Daten streng von der Person zu trennen und nur zu Zwecken der Statistik und allgemeinen Optimierung zu verwenden, oder den Benutzer darüber aufzuklären, das er beim Besuch dieser Website der totalen Überwachung unterliegt und sich hierfür seine Zustimmung einzuholen.
Streng angewandter Datenschutz sollte auch immer im ureigensten Interesse des Site-Betreibers liegen, denn Datenschutz=Kundenschutz und das größte Hemmnis bei e-commerce sind immer noch Zweifel der Verbraucher am Datenschutz.
Darüberhinaus kann es ansonsten durchaus passieren, das der Site-Betreiber Besuch vom Staatsanwalt erhält, weil dieser mit Hilfe der gespeicherten Tracking-Daten, Straftatbestände wie z.B. Pädophilie o.ä. ermitteln will.
Thomas Feddersen-Raymond
(Data Secur, Gesellschaft für Datenschutz und Sicherheit in der Informationstechnik mbH, Hamburg)
Verfasst von Axel Amthor
am 20. September 2004 unter
Analytics
