Drucksache 17/5200
– 48 –
anders als in der realen Welt, wo Werbepsychologen sich
mit dem Kaufverhalten der Verbraucher beschäftigen und
Kaufhäuser ebenso wie kleine Geschäfte ihr Angebot dann
so präsentieren, dass es die Kunden anspricht und zum
Kauf auffordert oder manchmal auch verführt.
Die digitale Welt im Netz bedient sich elektronischer Mittel, um diese Aufgabe zu lösen, denn die vom Nutzer hinterlassenen digitalen Spuren lassen sich leicht auswerten.
Und so gibt es zahlreiche Dienst- und Programmangebote,
mit deren Hilfe Website-Anbieter das Nutzerverhalten aufzeichnen und analysieren, um dann mit diesen Erkenntnissen die Gestaltung ihres Angebots zu verbessern (zur Nutzung von Google Analytics durch die gesetzliche
Krankenkasse vgl. u. Nr. 4.3.1). Diese Dienste verwenden
unterschiedliche Verfahren: In vielen Fällen wird die
IP-Adresse verwendet, um die „Bewegung“ eines Nutzers
innerhalb eines Angebots zu verfolgen, oder es wird ein
Cookie gesetzt, um den Nutzer beim nächsten Besuch wiederzuerkennen. Oft geschieht beides – und unbemerkt.
Soweit die Fakten. Ein Blick in das für Internet-Angebote
zu beachtende TMG zeigt, dass es für die Erstellung von
Nutzungsprofilen sehr enge Vorgaben enthält: die Verwendung von Pseudonymen und die Widerspruchsmöglichkeit des Nutzers. Zur Klarstellung sei gesagt, dass die
IP-Adresse ein personenbezogenes Datum ist und kein
Pseudonym. Und dass der Nutzer sein Widerspruchsrecht
nur dann ausüben kann, wenn er von der Beobachtung
überhaupt erfährt und auch ein geeignetes Verfahren vorhanden ist, den Widerspruch zu äußern. Diese Vorgaben
sind – soweit mir bekannt – in fast keinem der angebotenen Dienste und Programme umgesetzt.
Der Düsseldorfer Kreis der Datenschutzaufsichtsbehörden
hat in einem Beschluss die Anforderungen zusammengefasst, die an Webanalyseprogramme gestellt werden (vgl.
Kasten zu Nr. 4.3). Website-Anbieter sollten prüfen, ob die
von ihnen eingesetzten Programme diese Anforderungen
erfüllen, und ggf. Änderungen vornehmen oder ein anderes Produkt einsetzen. Ich habe diesen Beschluss zum Anlass genommen, die Bundesbehörden noch einmal auf die
gesetzlichen Vorgaben hinzuweisen.
Im Übrigen: Die Besuche meiner eigenen Website werden nur anonymisiert ausgewertet, denn die IP-Adressen
der Nutzer sind um die letzten beiden Oktette gekürzt.
K a s t e n zu Nr. 4.3
Beschluss der obersten Aufsichtsbehörden für
den Datenschutz im nicht-öffentlichen Bereich
(Düsseldorfer Kreis am 26./27. November 2009)
Datenschutzkonforme Ausgestaltung von
Analyseverfahren zur Reichweitenmessung bei
Internet-Angeboten
Viele Web-Seitenbetreiber analysieren zu Zwecken der
Werbung und Marktforschung oder bedarfsgerechten
Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungs-
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
profile verwenden sie vielfach Software bzw. Dienste,
die von Dritten kostenlos oder gegen Entgelt angeboten
werden.
Die obersten Aufsichtsbehörden für den Datenschutz im
nicht-öffentlichen Bereich weisen darauf hin, dass bei
Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG)
zu beachten sind. Demnach dürfen Nutzungsprofile nur
bei Verwendung von Pseudonymen erstellt werden. Die
IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu
beachten:
– Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen
einzuräumen. Derartige Widersprüche sind wirksam
umzusetzen.
– Die pseudonymisierten Nutzungsdaten dürfen nicht
mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden,
wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der
Nutzer dies verlangt.
– Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen
die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
– Personenbezogene Daten eines Nutzers dürfen ohne
Einwilligung nur erhoben und verwendet werden,
soweit dies erforderlich ist, um die Inanspruchnahme
von Telemedien zu ermöglichen und abzurechnen.
Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
– Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer
Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger
Einwilligung zulässig. Liegt eine solche Einwilligung
nicht vor, ist die IP-Adresse vor jeglicher Auswertung
so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben
des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.
4.3.1
Nutzung von Webanalysediensten
durch gesetzliche Krankenkassen
Einige gesetzliche Krankenkassen nutzten den Webanalysedienst Google Analytics. Dies begegnete datenschutzrechtlichen Bedenken, denen die betreffenden Kassen
Rechnung getragen haben.
Durch Recherchen auf den Internetseiten der gesetzlichen
Krankenkassen habe ich festgestellt, dass eine Vielzahl
von Kassen den Webanalysedienst Google Analytics ein-