Hamburger Datenschützer offline: Alles nicht so einfach
Peinlich: Auf der Website des Hamburger Datenschutzbeauftragten kam ein Tracking-Dienst zum Einsatz, der den eigenen erklärten Ansprüchen an Datenschutz nicht genügt. Die Seite ist nun offline.
HAMBURG/BERLIN dpa/taz | Wenn es um große Konzerne wie Facebook oder Google geht, sind die Hamburger Datenschützer streng. Doch beim eigenen Web-Auftritt der Aufsichtsbehörde ging es anscheinend einige Monate lang auch nicht ganz nach dem deutschen Datenschutzrecht zu: Dort kam ein Tracking-Dienst zum Einsatz, der die Informationen der Nutzer nach der Einschätzung der Datenschutzer nicht gesetzeskonform verarbeitete. Am Donnerstagabend zog die Behörde Konsequenzen und ließ die Website vorerst abschalten.
Die Hamburger Datenschutzbehörde findet sich normalerweise unter www.datenschutz-hamburg.de, der Internet-Auftritt lief über die Seite Hamburg.de. Und über die technische Infrastruktur entscheide nicht seine Behörde, sondern der Betreiber, erklärte der Hamburger Datenschutzbeauftragte Johannes Caspar.
Seine Behörde begann nach eigenen Angaben im März 2010, das Portal Hamburg.de zu überprüfen. Am Montag dieser Woche sei klar geworden, das ein Tracking-Programm, das auch auf der Datenschützer-Seite zum Einsatz kam, gegen das Telemedienrecht verstoße.
Da es nicht gelungen sei, mit dem Betreiber von Hamburg.de eine "zeitnahe Umsetzung unserer Rechtsauffassung zu erreichen", habe man den Internet-Auftritt vorerst vom Netz genommen. Derzeit wird auf www.datenschutz.de umgeleitet.
Die Betreiber von Hamburg.de haben einen Dienstleister damit beauftragt, Statistiken über Besucher der Website zu erstellen. In diesem Fall kommt der Dienst INFOnline zum Einsatz, der die Daten aggregiert und anonymisiert an die Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) weiterreicht.
Dieser Dienst ist Standard für alle News-Websites, die Anzeigeplätze verkaufen, weil er ausweist, wie viele Menschen über eine Website mit Werbung erreicht werden können – auch taz.de nutzt ihn. Aus den Ergebnissen leiten sich zum Beispiel auch die Website-Vergleiche von Meedia.de ab, wie wir sie regelmäßig in unserem Hausblog veröffentlichen.
Dabei geben die Nutzer dieses Dienstes – technisch gesehen – direkt keine Daten weiter. Das Tool wird eingebunden, indem ein sogenanntes Zählpixel in alle einzelnen Seiten eines Auftritts integriert wird. Beim Zählpixel handelt es sich um ein 1 Pixel großes, unsichtbares "Bild", das direkt von einem INFOnline-Server geladen wird. INFOnline wertet diese Zugriffe aus – und kann dabei auch an die IP-Adressen kommen.
Auch taz.de hat den Zählpixel von INFOnline für IVW auf seiner Website integriert. Was genau sie dabei erheben, inwieweit sie anonymisieren, das steht außerhalb der direkten Kontrolle von taz.de und allen anderen Kunden-Websites. Nach Angaben des Hamburger Datenschutzbeauftragte Caspar will der Anbieter IVW seinen Dienst bis Juli 2011 an dessen rechtlichen Vorgaben anpassen.
Der Dienst INFOnline erhebt nach Caspars Angaben die vollen IP-Adressen der Nutzer. Das verstößt gegen die Vorgaben des Düsseldorfer Kreises, eines informellen Zusammenschlusses der Datenschutzbeauftragten. Unter Umständen lassen sich mithilfe von IP-Adressen personalisierte Nutzerprofile erstellen. Zum anderen bieten INFOnline und IVW keine Widerspruchsmöglichkeit an.
Dazu kommt, dass die Datenschutzerklärung auf Hamburg.de offenbar veraltet ist. IVW und INFOnline werden dort nicht erwähnt. Dagegen widmen sich drei Absätze den "Social Plugins" von Facebook, mit der Website-Betreiber den "Gefällt mir"-Daumen des Online-Netzwerks einbinden können. Diesen Dienst warf Hamburg.de jedoch bereits im Juni 2010 auf Caspars Drängen hinaus – aus Datenschutzgründen.
Peinlich für den Hamburger Datenschutzbeauftragten wegen des Streit um Google Analytics. Erst diese Woche beklagte Caspar, Google Analytics anonymisiere die IP-Adressen bestimmter Nutzer nicht, erklärte Johannes Caspar diese Woche und ließ Gespräche mit dem Unternehmen platzen.
Caspar weist aber nicht zu unrecht darauf hin, dass sich die Datenschutz-Versäumnisse auf der Webseite seiner Behörde nicht mit dem, was er an Google Analytics kritisiere, vergleichen ließen: "Anders als Google hat der Hersteller des auch auf Hamburg.de zum Einsatz kommenden Tracking-Tools deutlich gemacht, dass er die rechtlichen Vorgaben anerkennen und auch umzusetzen will."
Die Verantwortung für die Datenerhebung tragen nicht die Hersteller von Tracking-Software, sondern die Website-Betreiber, im Falle des Hamburger Datenschutzbeauftragten ist das Hamburg.de. Dennoch bleibt Caspar dabei, auch die Anbieter von Tracking-Diensten in die Pflicht nehmen zu wollen. "Ich hoffe, dass auch Google hinsichtlich der Software Analytics weiterhin daran arbeitet, die Vorgaben des Düsseldorfer Kreises umzusetzen", betonte er.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rekrutierung im Krieg gegen Russland
Von der Straße weg
Proteste bei Nan Goldin
Logiken des Boykotts
Israelische Drohnen in Gaza
Testlabor des Grauens
Pressefreiheit unter Netanjahu
Israels Regierung boykottiert Zeitung „Haaretz“
Gewalt an Frauen
Ein Femizid ist ein Femizid und bleibt ein Femizid
Twitter-Ersatz Bluesky
Toxic Positivity