Technik

Kritik an Aktion der Datenschutzbehörde: Analytics-Nutzer im Visier

Google-Analytics erlaubt Webseiten-Betreibern tiefe Einblicke: Sie erfahren, woher ihre Besucher kommen und was sie wo treiben. Das kostenlose Tool ist im Prinzip legal, doch möglicherweise setzt es nicht jeder richtig ein. Datenschützer gehen nun dagegen vor - und ernten umgehend Kritik.

Analytics ist relativ einfach zu handhaben, bietet dennoch tiefe Einblicke und ist für die Anwender kostenlos.
Analytics ist relativ einfach zu handhaben, bietet dennoch tiefe Einblicke und ist für die Anwender kostenlos.

Das Bayerische Landesamt für Datenschutzaufsicht (ByLDA) hat nach eigenen Angaben bei tausenden von Webseiten überprüft, ob sie Google Analytics den Vorschriften entsprechend einsetzen. Über zweitausend Webseiten-Betreiber erhielten ein sechsseitiges Schreiben (das n-tv.de vorliegt.) Darin wird gefordert, binnen Monatsfrist komplette Datenbestände zu löschen und vorbereitete Musterverträge mit Google abzuschließen.

Per Antwortformular sollen die Betroffenen bestätigen, ihr Profil bei dem Dienst gelöscht zu haben und Analytics nicht mehr weiter einzusetzen. Wer die Software weiter nutzen will, soll angeben, wann und unter welcher "Web-Property-ID" er sein neues Profil eröffnet und versichern, dass er "die Anonymisierungsfunktion "_anonymizeip()" nun korrekt implementiert" hat. Mancher fühlte sich zunächst an die Diktion einschlägiger Phishing-Mails erinnert.

Doch die Schreiben waren offenbar echt: Die Prüfung von 13.404 Webseiten sei nur ein "erster Durchgang", erklärte das BayLDA in einer Pressemitteilung. Es sei dabei im Übrigen eigens entwickelte Software zum Einsatz gekommen. Und unter den 2449 Seiten, die Google Analytics nutzten, waren nur 78 nicht zu beanstanden.

Post von der Datenschutzaufsicht: Hunderte Webseitenbetreiber wurden in einem sechsseitigen Schreiben aufgefordert, Google Analytics endlich datenschutzkonform einzusetzen und alte Daten zu löschen.
Post von der Datenschutzaufsicht: Hunderte Webseitenbetreiber wurden in einem sechsseitigen Schreiben aufgefordert, Google Analytics endlich datenschutzkonform einzusetzen und alte Daten zu löschen.

Bußgeldverfahren wollen die Bayern vorerst allerdings vorerst nur für den Fall einleiten, "wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA [nachhaltig weigert,] sein Programm anzupassen." Dann könnten allerdings Strafen von bis zu 50.000 Euro fällig werden.

"Millionenwerte vernichtet"

Die Behörden-Schreiben sorgen bei Seitenbetreibern und Webmarketing-Dienstleistern für Ratlosigkeit und Wut. Ein Branchenkenner, der nicht genannt werden möchte, sagte gegenüber n-tv.de, hier würden "Millionenwerte vernichtet". Zigtausende von Arbeitsstunden seien eingesetzt worden, um Analytics einzurichten und Webseiten nach den gewonnenen Erkenntnissen auf Nutzerfreundlichkeit hin zu optimieren. Zudem seien nun Anbieter aus Bayern gegenüber Wettbewerbern von anderswo benachteiligt, der Gleichbehandlungsgrundsatz verletzt. Nicht nur stünden wertvolle Datenbestände vor der Vernichtung. Der Vertrag mit der US-Firma Google, zu dem sie sich "genötigt" fühlten, verstoße seinerseits gegen Datenschutzgesetze.

Der bayerische Vorstoß ist zwar nicht der erste seiner Art. Bereits vor gut einem Jahr hatte einem Bericht von heise.de zufolge der Datenschutzbeauftragte von Rheinland-Pfalz 460 Unternehmen überprüft und bei der Hälfte Verstöße gegen Vorschriften festgestellt. Auch hier sollten die Betroffenen angeschrieben werden. Von Forderungen, Fristen oder Verfahren wurde aber nichts bekannt.

Grundlage der Aktion des BayLDA  ist ein Beschluss des sogenannten Düsseldorfer Kreises. Dieser besteht aus Behörden, die jeweils auf Landesebene Datenschutz betreibe,n und hat 2009 festgelegt, wie Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten gestaltet sein müssen. Google Inc. war darauf auch eingegangen und hatte sowohl ein Anonymisierungstool entwickelt als auch den Mustervertrag mit den Analytics-Nutzern bereitgestellt. Ob das alle Betroffenen auch mitbekommen haben, steht auf einem anderen Blatt.

Nach dem Telemediengesetz müssen jedenfalls die Besucher einer Seite etwa über das Tracking informiert werden und der Datenspeicherung auch widersprechen können. Außerdem muss gewährleistet sein, dass personenbezogene Daten allenfalls anonymisiert verarbeitet  und weitergegeben werden.

Update: Leser des Beitrags weisen darauf hin, dass die Aktion, aber auch das zugrundeliegende Rechtsverständnis der Datenschutzbehörde in Fachkreisen durchaus kritisch gesehen werden. IT-Fachanwalt Thomas Stadler bezeichnet letzteres in einem Blogbeitrag auf internet-law.de als "teilweise widersprüchlich und teilweise falsch". Rein juristisch sei "das, was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel". Andere Anwälte verweisen darauf, dass möglicherweise gar der strafrechtlich relevante Vorwurf der Nötigung gegen die Datenschützer erhoben werden könne und empfehlen, abzuwarten und die Fristen auszureizen und nicht vorschnell den Lösch-Aufforderungen nachzukommen.

Bilderserie

Quelle: n-tv.de

Empfehlungen