ULD: Google Analytics wäre datenschutzrechtlich zu beanstanden

Von | 10. November 2011

Schleswig-Holsteins Behörden und Unternehmer ste­hen, wenn sie auf Facebook unter­wegs sind, in der Kritik des obers­ten Datenschützers des Landes. Müssen sich jetzt auch die vie­len Webseitenbetreiber warm anzie­hen, die den belieb­ten Dienst Google Analytics benut­zen? Denn im Gegensatz zu sei­nem Hamburger Kollegen Caspar hat Thilo Weichert wei­ter­hin Kritikpunkte an dem Dienst.

Das Blog Datenschutzbeauftragter-info.de berich­tet, der Datenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, hal­te Google Analytics für nicht daten­schutz­kon­form. Google Analytics ist bei Webseitenbetreibern sehr belieb­ter kos­ten­lo­ser Dienst, der den Zugriff auf Webseiten ana­ly­siert.
Als Beleg ver­weist es auf einen Tweet des Flensburger Fachanwalts für IT-Recht Stephan Hansen-Oest:

Das über­rascht. Schließlich hat der Hamburger Datenschützer Prof. Dr. Johannes Caspar erst vor zwei Monaten mit­ge­teilt, dass ein bean­stan­dungs­frei­er Betrieb von Google Analytics ab sofort mög­lich ist, wenn bestimm­te Hinweise des Hamburgischen Datenschutzbeauftragten beach­tet wer­den. Caspar, der seit Ende 2009 im Auftrag des dama­li­gen Düsseldorfer Kreises die Gespräche mit Google geführt hat­te, sag­te: „Wir befin­den uns am Ende eines lan­gen, aber kon­struk­ti­ven Abstimmungsprozesses.“

Also doch kein Ende? Droht, wie bei Facebook, Schleswig-Holsteins Webseitenbetreibern Ungemach? Ich habe Dr. Thilo Weichert gefragt.

Seine Behörde begrüßt die „deut­li­chen Fortschritte“ Googles bei dem Ziel, Google Analytics den gesetz­li­chen Vorgaben des euro­päi­schen und deut­schen Datenschutzrechts anzu­pas­sen. Das sei der „enga­gier­ten Tätigkeit“ ins­be­son­de­re der Hamburger Kollegen zu ver­dan­ken.

Dann kommt aber die Einschränkung: „Im Laufe der Abstimmung gab es kurz vor Ende der Frist durch Google für die Nutzerinnen und Nutzer von Google Analytics nach­tei­li­ge Änderungen in den Nutzungsbedingungen. Aus Sicht des ULD sind durch die­se
Änderungen lei­der Unklarheiten ent­stan­den, die das ULD direkt mit Google zu klä­ren ver­sucht.
Die Konsequenz straft Caspar dama­li­ger Feststellung Lügen: „Die Defizite in der aktu­el­len Fassung der Nutzungsbedingungen füh­ren dazu, dass ein Einsatz von Google Analytics aus Sicht des ULD aktu­ell daten­schutz­recht­lich zu bean­stan­den wäre.“ Er spricht im Konjunktiv, stellt aber klar: „Das ULD wird, um die Einheitlichkeit der Bewertung des Einsatzes des Dienstes durch die Aufsichtsbehörden in Deutschland nicht zu gefähr­den, kei­ne auf­sichts­be­hörd­li­chen Maßnahmen gegen Anwender des Dienstes ergrei­fen, solan­ge die Klärung der noch offe­nen Punkte mit Google nicht abge­schlos­sen ist.“

Unter https://www.datenschutzzentrum.de/tracking/ (die Seite ist augen­blick­lich anschei­nend nicht aktu­ell, dort steht noch: „Der Einsatz des Analysedienstes Google Analytics wird … als daten­schutz­recht­lich unzu­läs­sig bewer­tet“) wird das ULD zukünf­tig „über das wei­te­re Vorgehen und den aktu­el­len Verfahrensstand“ infor­mie­ren, kün­dig­te der obers­te Datenschützer des Landes an.

Worum geht es bei den Unklarheiten und Defiziten? Der Kieler Datenschützer begrün­det sei­ne Bedenken: 

„In den aktu­el­len Nutzungsbedingungen ist die Rechtsgrundlage für die Datenübermittlung unklar. § 15 Abs. 3 TMG allein stellt aus Sicht des ULD kei­ne Rechtsgrundlage für die Übermittlung der Daten in die USA dar. Nach dem Zwei-Stufen-Test für die Übermittlung von Daten in das außer­eu­ro­päi­sche Ausland — auch im Wege der Datenverarbeitung im Auftrag — benö­ti­gen ver­ant­wort­li­che Stellen mit Sitz in Deutschland auf der ers­ten Stufe eine Rechtsgrundlage für die Übermittlung. Während außer­halb des Anwendungsbereiches des TMG in der Regel § 28 Abs. 1  Nr. 2 BDSG i.V.m. mit den Vorgaben des § 11 BDSG her­an­ge­zo­gen wer­den kann, fehlt in § 15 Abs. 3 TMG eine Formulierung, aus dem ein Übermittlungstatbestand her­aus­zu­le­sen ist. Eine wei­te­re unge­klär­te Problematik liegt dar­in, dass die Beachtung von Art. 5 Abs. 3 E-Privacy-Richtlinie gewähr­leis­tet wer­den muss.

Die Nutzungsbedingungen ent­hal­ten Klauseln über unan­ge­kün­dig­te Änderungen und zur Löschung von Kundendaten. Beide Klauseln sind miss­ver­ständ­lich for­mu­liert und müs­sen kon­kre­ter gefasst wer­den. Die aktu­el­len Nutzungsbedingungen füh­ren dazu, dass Nutzer von Google Analytics kei­ne hin­rei­chen­de Gewissheit haben kön­nen, was mit ihren Daten pas­siert. Auch in sofern strebt das ULD mit Google eine Klärung an.“

 

Auch die Nutzer des Dienstes sieht er in der Pflicht:  

„Google bie­tet für den Einsatz von Analytics ver­schie­de­ne Optionen. Es ist so nicht gewähr­leis­tet, dass von Anbietern in Deutschland bzw. in Schleswig-Holstein die daten­schutz­freund­li­che­ren Parameter gewählt wer­den. Es ist wün­schens­wert, dass inso­fern Google prä­zi­se Vorgaben macht. Werden daten­schutz­wid­ri­ge Optionen von Anwendern im Zuständigkeitsbereich einer Aufsichtsbehörde gewählt, so ist wei­ter­hin — nicht nur in Schleswig-Holstein — nicht aus­zu­schlie­ßen, dass dies bean­stan­det wird.”

Es scheint, als ob die deut­schen Datenschützer – trotz glei­cher Rechtslage – unter­ein­an­der uneins sind. Das wäre viel­leicht noch akzep­ta­bel, wenn die zu hin­ter­fra­gen­den Verfahren lokal oder regio­nal aus­ge­prägt und begrenzt wären. Das Gegenteil ist aber der Fall. Selbst eine Eingrenzung auf Deutschland fällt schwer. Der Föderalismus zeigt uns sei­ne Grenzen. Grenzen kann man glück­li­cher­wei­se neu zie­hen. Manchmal muss man das sogar, wenn es zum Beispiel um die Rechtsgrundlagen geht.

Von:

Swen Wacker, 49, im Herzen Kieler, wohnt in Lüneburg, arbeitet in Hamburg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.