Schleswig-Holsteins Behörden und Unternehmer stehen, wenn sie auf Facebook unterwegs sind, in der Kritik des obersten Datenschützers des Landes. Müssen sich jetzt auch die vielen Webseitenbetreiber warm anziehen, die den beliebten Dienst Google Analytics benutzen? Denn im Gegensatz zu seinem Hamburger Kollegen Caspar hat Thilo Weichert weiterhin Kritikpunkte an dem Dienst.
Das Blog Datenschutzbeauftragter-info.de berichtet, der Datenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, halte Google Analytics für nicht datenschutzkonform. Google Analytics ist bei Webseitenbetreibern sehr beliebter kostenloser Dienst, der den Zugriff auf Webseiten analysiert.
Als Beleg verweist es auf einen Tweet des Flensburger Fachanwalts für IT-Recht Stephan Hansen-Oest:
Das überrascht. Schließlich hat der Hamburger Datenschützer Prof. Dr. Johannes Caspar erst vor zwei Monaten mitgeteilt, dass ein beanstandungsfreier Betrieb von Google Analytics ab sofort möglich ist, wenn bestimmte Hinweise des Hamburgischen Datenschutzbeauftragten beachtet werden. Caspar, der seit Ende 2009 im Auftrag des damaligen Düsseldorfer Kreises die Gespräche mit Google geführt hatte, sagte: „Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses.“
Also doch kein Ende? Droht, wie bei Facebook, Schleswig-Holsteins Webseitenbetreibern Ungemach? Ich habe Dr. Thilo Weichert gefragt.
Seine Behörde begrüßt die „deutlichen Fortschritte“ Googles bei dem Ziel, Google Analytics den gesetzlichen Vorgaben des europäischen und deutschen Datenschutzrechts anzupassen. Das sei der „engagierten Tätigkeit“ insbesondere der Hamburger Kollegen zu verdanken.
Dann kommt aber die Einschränkung: „Im Laufe der Abstimmung gab es kurz vor Ende der Frist durch Google für die Nutzerinnen und Nutzer von Google Analytics nachteilige Änderungen in den Nutzungsbedingungen. Aus Sicht des ULD sind durch diese
Änderungen leider Unklarheiten entstanden, die das ULD direkt mit Google zu klären versucht.“
Die Konsequenz straft Caspar damaliger Feststellung Lügen: „Die Defizite in der aktuellen Fassung der Nutzungsbedingungen führen dazu, dass ein Einsatz von Google Analytics aus Sicht des ULD aktuell datenschutzrechtlich zu beanstanden wäre.“ Er spricht im Konjunktiv, stellt aber klar: „Das ULD wird, um die Einheitlichkeit der Bewertung des Einsatzes des Dienstes durch die Aufsichtsbehörden in Deutschland nicht zu gefährden, keine aufsichtsbehördlichen Maßnahmen gegen Anwender des Dienstes ergreifen, solange die Klärung der noch offenen Punkte mit Google nicht abgeschlossen ist.“
Unter https://www.datenschutzzentrum.de/tracking/ (die Seite ist augenblicklich anscheinend nicht aktuell, dort steht noch: „Der Einsatz des Analysedienstes Google Analytics wird … als datenschutzrechtlich unzulässig bewertet“) wird das ULD zukünftig „über das weitere Vorgehen und den aktuellen Verfahrensstand“ informieren, kündigte der oberste Datenschützer des Landes an.
Worum geht es bei den Unklarheiten und Defiziten? Der Kieler Datenschützer begründet seine Bedenken:
„In den aktuellen Nutzungsbedingungen ist die Rechtsgrundlage für die Datenübermittlung unklar. § 15 Abs. 3 TMG allein stellt aus Sicht des ULD keine Rechtsgrundlage für die Übermittlung der Daten in die USA dar. Nach dem Zwei-Stufen-Test für die Übermittlung von Daten in das außereuropäische Ausland — auch im Wege der Datenverarbeitung im Auftrag — benötigen verantwortliche Stellen mit Sitz in Deutschland auf der ersten Stufe eine Rechtsgrundlage für die Übermittlung. Während außerhalb des Anwendungsbereiches des TMG in der Regel § 28 Abs. 1 Nr. 2 BDSG i.V.m. mit den Vorgaben des § 11 BDSG herangezogen werden kann, fehlt in § 15 Abs. 3 TMG eine Formulierung, aus dem ein Übermittlungstatbestand herauszulesen ist. Eine weitere ungeklärte Problematik liegt darin, dass die Beachtung von Art. 5 Abs. 3 E-Privacy-Richtlinie gewährleistet werden muss.
Die Nutzungsbedingungen enthalten Klauseln über unangekündigte Änderungen und zur Löschung von Kundendaten. Beide Klauseln sind missverständlich formuliert und müssen konkreter gefasst werden. Die aktuellen Nutzungsbedingungen führen dazu, dass Nutzer von Google Analytics keine hinreichende Gewissheit haben können, was mit ihren Daten passiert. Auch in sofern strebt das ULD mit Google eine Klärung an.“
Auch die Nutzer des Dienstes sieht er in der Pflicht:
„Google bietet für den Einsatz von Analytics verschiedene Optionen. Es ist so nicht gewährleistet, dass von Anbietern in Deutschland bzw. in Schleswig-Holstein die datenschutzfreundlicheren Parameter gewählt werden. Es ist wünschenswert, dass insofern Google präzise Vorgaben macht. Werden datenschutzwidrige Optionen von Anwendern im Zuständigkeitsbereich einer Aufsichtsbehörde gewählt, so ist weiterhin — nicht nur in Schleswig-Holstein — nicht auszuschließen, dass dies beanstandet wird.”
Es scheint, als ob die deutschen Datenschützer – trotz gleicher Rechtslage – untereinander uneins sind. Das wäre vielleicht noch akzeptabel, wenn die zu hinterfragenden Verfahren lokal oder regional ausgeprägt und begrenzt wären. Das Gegenteil ist aber der Fall. Selbst eine Eingrenzung auf Deutschland fällt schwer. Der Föderalismus zeigt uns seine Grenzen. Grenzen kann man glücklicherweise neu ziehen. Manchmal muss man das sogar, wenn es zum Beispiel um die Rechtsgrundlagen geht.
