Die ganze Verlogenheit einiger Entwicklungen beim Thema "Datenschutz" wird diese Woche einmal wieder überdeutlich. Während - vorbei an jeder öffentlichen Debatte - Europäische und US-Behörden sich das Recht abnicken lassen, ALLE noch so persönlichen Daten von Banküberweisungen einsehen zu dürfen und jeder Form der Rasterfahndung zu unterziehen, wollen nahezu zeitgleich die Landesdatenschutzbeauftragten ernsthaft beschließen, dass bei einem Besuch einer Website die IP-Nummer des Besuchers nicht gespeichert werden darf. Diese Herren sind im so genannten "Düsseldorfer Kreis" zusammengeschlossen. Der Text der aktuellen Beschlussvorlage des Düsseldorfer Kreises ist hier zu finden.
- nicht einer Person sondern einem Internet-Knoten zugewiesen
- ändern sich bei der überwiegenden Mehrheit der privaten Anschlüsse regelmäßig (werden zufällig neu vergeben)
- werden typischerweise bei mehreren Nutzern in einem Haushalt oder einer Firma gemeinsam genutzt (können also nicht einer Person zugeordnet werden)
- Das Vorgehen, das die Datenschutzbeauftragten nun kriminalisieren wollen, ist Grundlage fast aller Analysedienste, die "Besuche" (Visits) auswerten. Das betrifft nicht allein Google Analytics sondern nahezu alle in diesem Umfeld genutzen Systeme - auch die großen kommerziellen Produkte wie Webtrends, Omniture und Konsorten, genauso wie die "kleine" Lösungen á la eTracker und Konsorten.
- Einige dieser Lösungen erlauben es zwar, alternativ mit gekürzten IP-Nummern oder Hashes zu arbeiten. Sobald dabei aber (vor der Kürzung oder ver-hashung), die IP-Nummern in einer Art und Weise verwendet werden, die der Düsseldorfer Kreis für "personenbezogen" hält, ist das nur mit vorheriger, expliziter Zustimmung der Nutzer zulässig. Eine Auswertung, aus welchen Regionen Deutschlands oder der Welt die Besucher kommen, ist damit zum Beispiel quasi illegal. (Dieses Beispiel steht explizit im Entwurf für den Beschluss des Düsseldorfer Kreises.)
- Im Grund muss sich jeder Betreiber eine Website (egal ob er diese Daten mit einem Analytics Package untersucht oder nicht) ansehen, was seine Webserver loggen. Wenn da die IP-Adresse dabei ist, müsste dieser Websitebetreiber in den nächsten Monaten eine Strafbefehl des Landesdatenschutzbeauftragten bekommen.
- Wer meint, diese Einschränkungen ja zur Not mit Hilfe von Cookies umgehen zu können ... lese bitte hier über die aktuellen Bestrebungen auf EU-Ebene, Cookies faktisch zu verbieten.
Posted via email from _notizen
Ich würde das mal als gar nicht so weit hergeholt betrachten, dass IP-Nummern personenbezogene Daten sind, schließlich können sie mit den Kundenbestandsdaten beim Provider zusammengeführt werden und erlauben dann genaue Aussagen darüber, wann wer welche Internetseiten besucht hat. Google alleine hat zwar normalerweise keinen Zugriff auf die Daten beim Provider, aber andere Stellen (legale und illegale) könnten Zugriff bekommen sowohl auf Googles Daten als auch auf die Daten beim Provider und schon wäre das Surfverhalten vieler Nutzer plötzlich sehr transparent.
Gerichte haben bereits entschieden, dass z.B. das Bundesjustizministerium keine IP-Adressen der Besucher der Webseiten des Justiziministeriums speichern darf, eben weil die IP-Adressen personenbezogene Daten sind.
Ich lache über Leute, die ernsthaft in Zweifel stellen, dass IP-Adressen keine personenbezogenen Daten sind. Warum wohl werden sie bei der Vorratsdatenspeicherung mitgespeichert und warum wohl hat das Bundesverfassungsgericht den Zugriff auf diese Daten per einstweiliger Verfügung sehr eingeschränkt? Und warum wohl ist die Musikindustrie so scharf darauf, die IP-Adressen von File-Sharern in die Finger zu bekommen?
Braucht man Daten, um beispielsweise Statistiken über die Besucher einer Webseite zu erzeugen, so sollte man IP-Adressen anonymisieren, z.B. indem man sie durch Hash-Werte ersetzt. Die dauerhafte Speicherung der risikoreichen IP-Adressen wäre dazu nicht nötig.
Fazit: Die Speicherung von IP-Adressen ist ein unnötiges Risiko und damit nicht verhältnismäßig. So einfach ist das.
Zum Weiterlesen empfehle ich: http://www.wirspeichernnicht.de/
Posted by: Lucomo | Monday, 30 November 2009 at 12:59
@Lucomo: Danke für den Kommentar und insbesondere den Link. Mehr Diskussion zu diesem Beitrag hier: http://notizen.posterous.com/ist-google-analytics-illegal-die-ip-nummer-un
Posted by: Markus Breuer | Monday, 30 November 2009 at 13:07