Die ganze Verlogenheit einiger Entwicklungen beim Thema "Datenschutz" wird diese Woche einmal wieder überdeutlich. Während - vorbei an jeder öffentlichen Debatte - Europäische und US-Behörden sich das Recht abnicken lassen, ALLE noch so persönlichen Daten von Banküberweisungen einsehen zu dürfen und jeder Form der Rasterfahndung zu unterziehen, wollen nahezu zeitgleich die Landesdatenschutzbeauftragten ernsthaft beschließen, dass bei einem Besuch einer Website die IP-Nummer des Besuchers nicht gespeichert werden darf. Diese Herren sind im so genannten "Düsseldorfer Kreis" zusammengeschlossen. Der Text der aktuellen Beschlussvorlage des Düsseldorfer Kreises ist hier zu finden.
Als Begründung dafür muss herhalten, dass die IP-Nummer ein "personenbezogenes" Datum sei, das nur mit ausdrücklicher Genehmigung des Nutzers gespeichert werden darf.
Ich würde das mal als ziemlich weit her geholt betrachten, oder - salopper formuliert: selten so gelacht. Dazu einmal ein paar Fakten: IP-Nummern, wie sie die meisten Web-Server ständig in ihre Log-Files schreiben, sind
- nicht einer Person sondern einem Internet-Knoten zugewiesen
- ändern sich bei der überwiegenden Mehrheit der privaten Anschlüsse regelmäßig (werden zufällig neu vergeben)
- werden typischerweise bei mehreren Nutzern in einem Haushalt oder einer Firma gemeinsam genutzt (können also nicht einer Person zugeordnet werden)
Worum es tatsächlich geht, ist dass den Datenschutzbeauftragten die Arbeit von Google, speziell auch Google Analytics und ähnlichen Services ein Dorn im Auge ist (aus nachvollziehbaren Gründen, die ich allerdings surreal finde). Indem sie die IP-Nummer als "personenbezogen" deklarieren - was ich für absurd halte und in juristischen Kreisen stark umstritten ist - bauen sie bewusst eine Popanz auf, um ihre Sicht der Dinge ohne tatsächliche gesetzliche Grundlage durchzusetzen.
Alle diejenigen, die sich mit dem wachsenden Erfolg des Unternehmens auf das Feindbild Google eingeschossen haben, und sich nun vielleicht freuen, dass endlich jemand dem "Bösen Google Einhalt gebietet", sollten bedenken:
- Das Vorgehen, das die Datenschutzbeauftragten nun kriminalisieren wollen, ist Grundlage fast aller Analysedienste, die "Besuche" (Visits) auswerten. Das betrifft nicht allein Google Analytics sondern nahezu alle in diesem Umfeld genutzen Systeme - auch die großen kommerziellen Produkte wie Webtrends, Omniture und Konsorten, genauso wie die "kleine" Lösungen á la eTracker und Konsorten.
- Einige dieser Lösungen erlauben es zwar, alternativ mit gekürzten IP-Nummern oder Hashes zu arbeiten. Sobald dabei aber (vor der Kürzung oder ver-hashung), die IP-Nummern in einer Art und Weise verwendet werden, die der Düsseldorfer Kreis für "personenbezogen" hält, ist das nur mit vorheriger, expliziter Zustimmung der Nutzer zulässig. Eine Auswertung, aus welchen Regionen Deutschlands oder der Welt die Besucher kommen, ist damit zum Beispiel quasi illegal. (Dieses Beispiel steht explizit im Entwurf für den Beschluss des Düsseldorfer Kreises.)
- Im Grund muss sich jeder Betreiber eine Website (egal ob er diese Daten mit einem Analytics Package untersucht oder nicht) ansehen, was seine Webserver loggen. Wenn da die IP-Adresse dabei ist, müsste dieser Websitebetreiber in den nächsten Monaten eine Strafbefehl des Landesdatenschutzbeauftragten bekommen.
- Wer meint, diese Einschränkungen ja zur Not mit Hilfe von Cookies umgehen zu können ... lese bitte hier über die aktuellen Bestrebungen auf EU-Ebene, Cookies faktisch zu verbieten.
Zusammengefasst: Worum es dem Düsseldorfer Kreis wirklich geht, ist es, letztendlich jede tiefergehende Analyse zur Gewinnung von Daten über reale Attribute der Besucher sowie die Korrelation von Daten über mehrere Besuche hinweg zu kriminalisieren! Dies wird nur für deutsche Website-Betreiber gelten. US-Websites und Websites in anderen Ländern können selbstverständlich weiterhin solche Analysen durchführen, diese zur Verbesserung ihrer Conversion-Rates nutzen und daraus abgeleitete personalisierte Services für ihre Besucher bieten.
Irrsinn!
Posted via email from _notizen
Ich würde das mal als gar nicht so weit hergeholt betrachten, dass IP-Nummern personenbezogene Daten sind, schließlich können sie mit den Kundenbestandsdaten beim Provider zusammengeführt werden und erlauben dann genaue Aussagen darüber, wann wer welche Internetseiten besucht hat. Google alleine hat zwar normalerweise keinen Zugriff auf die Daten beim Provider, aber andere Stellen (legale und illegale) könnten Zugriff bekommen sowohl auf Googles Daten als auch auf die Daten beim Provider und schon wäre das Surfverhalten vieler Nutzer plötzlich sehr transparent.
Gerichte haben bereits entschieden, dass z.B. das Bundesjustizministerium keine IP-Adressen der Besucher der Webseiten des Justiziministeriums speichern darf, eben weil die IP-Adressen personenbezogene Daten sind.
Ich lache über Leute, die ernsthaft in Zweifel stellen, dass IP-Adressen keine personenbezogenen Daten sind. Warum wohl werden sie bei der Vorratsdatenspeicherung mitgespeichert und warum wohl hat das Bundesverfassungsgericht den Zugriff auf diese Daten per einstweiliger Verfügung sehr eingeschränkt? Und warum wohl ist die Musikindustrie so scharf darauf, die IP-Adressen von File-Sharern in die Finger zu bekommen?
Braucht man Daten, um beispielsweise Statistiken über die Besucher einer Webseite zu erzeugen, so sollte man IP-Adressen anonymisieren, z.B. indem man sie durch Hash-Werte ersetzt. Die dauerhafte Speicherung der risikoreichen IP-Adressen wäre dazu nicht nötig.
Fazit: Die Speicherung von IP-Adressen ist ein unnötiges Risiko und damit nicht verhältnismäßig. So einfach ist das.
Zum Weiterlesen empfehle ich: http://www.wirspeichernnicht.de/
Posted by: Lucomo | Monday, 30 November 2009 at 12:59
@Lucomo: Danke für den Kommentar und insbesondere den Link. Mehr Diskussion zu diesem Beitrag hier: http://notizen.posterous.com/ist-google-analytics-illegal-die-ip-nummer-un
Posted by: Markus Breuer | Monday, 30 November 2009 at 13:07