Hamburger Datenschützer offline: Alles nicht so einfach

Peinlich: Auf der Website des Hamburger Datenschutzbeauftragten kam ein Tracking-Dienst zum Einsatz, der den eigenen erklärten Ansprüchen an Datenschutz nicht genügt. Die Seite ist nun offline.

Die Webseite des Hamburger Datenschutzbeauftragten (aus dem Google Cache). Bild: screenshot datenschutz-hamburg.de

HAMBURG/BERLIN dpa/taz | Wenn es um große Konzerne wie Facebook oder Google geht, sind die Hamburger Datenschützer streng. Doch beim eigenen Web-Auftritt der Aufsichtsbehörde ging es anscheinend einige Monate lang auch nicht ganz nach dem deutschen Datenschutzrecht zu: Dort kam ein Tracking-Dienst zum Einsatz, der die Informationen der Nutzer nach der Einschätzung der Datenschutzer nicht gesetzeskonform verarbeitete. Am Donnerstagabend zog die Behörde Konsequenzen und ließ die Website vorerst abschalten.

Die Hamburger Datenschutzbehörde findet sich normalerweise unter www.datenschutz-hamburg.de, der Internet-Auftritt lief über die Seite Hamburg.de. Und über die technische Infrastruktur entscheide nicht seine Behörde, sondern der Betreiber, erklärte der Hamburger Datenschutzbeauftragte Johannes Caspar.

Seine Behörde begann nach eigenen Angaben im März 2010, das Portal Hamburg.de zu überprüfen. Am Montag dieser Woche sei klar geworden, das ein Tracking-Programm, das auch auf der Datenschützer-Seite zum Einsatz kam, gegen das Telemedienrecht verstoße.

Da es nicht gelungen sei, mit dem Betreiber von Hamburg.de eine "zeitnahe Umsetzung unserer Rechtsauffassung zu erreichen", habe man den Internet-Auftritt vorerst vom Netz genommen. Derzeit wird auf www.datenschutz.de umgeleitet.

Die Betreiber von Hamburg.de haben einen Dienstleister damit beauftragt, Statistiken über Besucher der Website zu erstellen. In diesem Fall kommt der Dienst INFOnline zum Einsatz, der die Daten aggregiert und anonymisiert an die Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) weiterreicht.

Dieser Dienst ist Standard für alle News-Websites, die Anzeigeplätze verkaufen, weil er ausweist, wie viele Menschen über eine Website mit Werbung erreicht werden können – auch taz.de nutzt ihn. Aus den Ergebnissen leiten sich zum Beispiel auch die Website-Vergleiche von Meedia.de ab, wie wir sie regelmäßig in unserem Hausblog veröffentlichen.

Dabei geben die Nutzer dieses Dienstes – technisch gesehen – direkt keine Daten weiter. Das Tool wird eingebunden, indem ein sogenanntes Zählpixel in alle einzelnen Seiten eines Auftritts integriert wird. Beim Zählpixel handelt es sich um ein 1 Pixel großes, unsichtbares "Bild", das direkt von einem INFOnline-Server geladen wird. INFOnline wertet diese Zugriffe aus – und kann dabei auch an die IP-Adressen kommen.

Auch taz.de hat den Zählpixel von INFOnline für IVW auf seiner Website integriert. Was genau sie dabei erheben, inwieweit sie anonymisieren, das steht außerhalb der direkten Kontrolle von taz.de und allen anderen Kunden-Websites. Nach Angaben des Hamburger Datenschutzbeauftragte Caspar will der Anbieter IVW seinen Dienst bis Juli 2011 an dessen rechtlichen Vorgaben anpassen.

Der Dienst INFOnline erhebt nach Caspars Angaben die vollen IP-Adressen der Nutzer. Das verstößt gegen die Vorgaben des Düsseldorfer Kreises, eines informellen Zusammenschlusses der Datenschutzbeauftragten. Unter Umständen lassen sich mithilfe von IP-Adressen personalisierte Nutzerprofile erstellen. Zum anderen bieten INFOnline und IVW keine Widerspruchsmöglichkeit an.

Dazu kommt, dass die Datenschutzerklärung auf Hamburg.de offenbar veraltet ist. IVW und INFOnline werden dort nicht erwähnt. Dagegen widmen sich drei Absätze den "Social Plugins" von Facebook, mit der Website-Betreiber den "Gefällt mir"-Daumen des Online-Netzwerks einbinden können. Diesen Dienst warf Hamburg.de jedoch bereits im Juni 2010 auf Caspars Drängen hinaus – aus Datenschutzgründen.

Peinlich für den Hamburger Datenschutzbeauftragten wegen des Streit um Google Analytics. Erst diese Woche beklagte Caspar, Google Analytics anonymisiere die IP-Adressen bestimmter Nutzer nicht, erklärte Johannes Caspar diese Woche und ließ Gespräche mit dem Unternehmen platzen.

Caspar weist aber nicht zu unrecht darauf hin, dass sich die Datenschutz-Versäumnisse auf der Webseite seiner Behörde nicht mit dem, was er an Google Analytics kritisiere, vergleichen ließen: "Anders als Google hat der Hersteller des auch auf Hamburg.de zum Einsatz kommenden Tracking-Tools deutlich gemacht, dass er die rechtlichen Vorgaben anerkennen und auch umzusetzen will."

Die Verantwortung für die Datenerhebung tragen nicht die Hersteller von Tracking-Software, sondern die Website-Betreiber, im Falle des Hamburger Datenschutzbeauftragten ist das Hamburg.de. Dennoch bleibt Caspar dabei, auch die Anbieter von Tracking-Diensten in die Pflicht nehmen zu wollen. "Ich hoffe, dass auch Google hinsichtlich der Software Analytics weiterhin daran arbeitet, die Vorgaben des Düsseldorfer Kreises umzusetzen", betonte er.