Lesezirkel
Feeds
alle Blogeinträge mit RSSalle Blogeinträge mit AtomBlogeinträge (RSS)
alle Kommentare mit RSSalle Kommentare mit AtomKommentare (RSS)

Datenschutzbasiertes Google Bashing

Durch einen Kunden wurde ich auf eine Pressemitteilung des ULD in Kiel aufmerksam gemacht, die auch von Heise aufgegriffen wurde. Nun bin ich selbst ein Freund von Datenschutz, wobei ich den Begriff nicht mag. Es hört sich an, als sollten die Daten vor dem Zugriff Ihrer Eigentümer oder des Bürgers geschützt werden.

Jedoch um so mehr ich mich mit der Meldung beschäftigte, um so mehr verwirrte sie mich. Als erstes überprüfte ich, ob die Daten von Google Analytics wirklich in den USA zentral gespeichert werden, so wie es da behauptet wurde. Tatsächlich bekam ich bei den Tests eher das Gefühl, dass die Datensammlung regional an unterschiedlichen Standorten stattfindet. In Europa anscheinend in UK oder Irland. Auf Nachfrage in Kiel bekam ich dann mit, dass auch das ULD nur vermutet, dass die Daten in die USA gelangen. Na gut, am Ende nehme ich ebenfalls an, dass die kumulierten Daten zentral in den USA gespeichert werden, jedoch sollte eine Behörde doch etwas vorsichtiger sein mit Ihren Formulierungen.

Als problematisch sehe ich jedoch an, wie man Prioritäten gewichtet. So soll die Nutzung von Google Analytics praktisch unmöglich datenschutzkonform zu erreichen sein. Praktisch müsste ich eine Seite meiner eigentlichen Webseite davorschalten, damit ich den Nutzer über die anonyme Erfassung durch Google Analytics informieren und ihm die Wahl geben kann, ob er dies wünscht oder nicht. Noch mehr fiel mir auf, dass andere Arten der Speicherung am Ende nichts anderes tun. Wer webstats oder awstats nutzt wird über sein Standard Apache Logfile ähnliche, wenn nicht noch mehr Daten erfassen können. Mit entsprechenden Algorithmen ist es auch möglich damit einen Clickweg eines Nutzers zu verfolgen und man erhebt ähnliche Daten, wie sie Google Analytics erhebt. Dieser Mechanismus wird von vielen deutschen Webseiten erhoben, insofern befinden sich diese im Einflussbereich des ULD und anderer Datenschutzbeauftragter.

Das Schlüsselargument ist, dass ja ein Webserverbetreiber nur seine eigenen Logfiles analysiert, aber eine weitergefasste Analyse der Internetnutzung von Bürgern nicht durchführen kann. Ein Administrator des Webservers von FOCUS kann also einen Nutzer nicht soweit verfolgen, dass er auch mitbekommt was dieser auf Google eingibt bzw. was er beim SPIEGEL liesst.

Nur sehe ich das nicht so. Einerseits kann – zumindest aus eigenen Logfiles – sehr wohl rausgefunden werden, welche Suchwörter bei Google genutzt wurden und zu einem Sprung auf die eigene Webseite führte. Viel entscheidender ist aber, dass die Aussage so nicht stimmt. So könnte natürlich ein Konzern wie Gruner+Jahr über alle Angebote hinweg die Erfassung eines Nutzerprofiles durchführen, auch wenn so ein Konzern dies nicht tun wird. Technisch wäre es möglich und um einen anderen Aspekt scheint es ja nicht zu gehen.

Schlussendlich gibt es aber ein System in Deutschland, welches über sehr viele Webserver hinweg zentral Daten erhebt. Anders als ursprünglich konzipiert, findet die Datenerfassung dabei auch zentral statt durch einen beauftragten Dienstleister und es nehmen sehr viele wichtige und bedeutende Webserver Deutschlands daran teil: Die Werbeträgerkontrolle der IVW.

Anders als bei Google Analytics handelt es sich hier um einen in Deutschland erbrachten Dienst, der kostenpflichtig ist und wo auf Grund der Zielsetzung auch ein weit aus größeres wirtschaftliches Interess bestehen würde weitergehende Nutzerprofile zu erstellen um den angeschlossenen Mitgliedern einen Mehrwert zu bieten.

Allerdings sind die Mitglieder so ziemlich jeder, der im Internet in grossen Umfang Werbung treibt, unter anderem Zeitungen, Magazine, Radiosender, Internet Portale und Fernsehsender. Da stellt sich schon die Frage, ob sich hier die Datenschützer Google Analytics wg. dem höheren Datenschutzrisiko herausgreifen oder weil man sich nicht mit der geballten deutschen Medienlandschaft anlegen will und ja auch seine eigene Sicht sehr schnell vor Gericht vertretem müsste.

Am Ende komme ich für mich zu dem Schluss:

Google Bashing ist In, egal ob gerechtfertigt oder nicht. Es ist einfach, man muss seine Datenschutzthesen nicht belegen (Google hat seinen Sitz ja in den USA) und man kann gut Pressearbeit machen. Natürlich wurde hier auch gleich die Gelegenheit wahrgenommen, auf das (gebührenpflichtige) Datenschutzsiegel aufmerksam zu machen. Auch wenn ein Datenschutzsiegel sinnvoll ist, und ja auch eines auf EU Ebene vergeben wird, gibt es noch keinen allgemein gültigen Standard, Rechtsgrundlage und klaren Vorteil (ausser den der Gewissensberuhigung) für dieses Siegel. Solange im ganzen Bundesgebiet oder besser EU-weit z.B. der Einsatz von zertifizierter Software und Hardware bei Behörden nicht vorgeschrieben ist, kann man das Siegel noch nicht wirklich empfehlen gegenüber anderen Zertifikatne wie z.B. PCI oder P3P.

Aber bevor man mich hier falsch versteht: Wenn größere Datensammlungen, besonders zentrale Datensammlungen stattfinden, müssen diese überprüft und regelmäßig vor Ort auch in der Praxis zertifizert werden. Es sollte jedoch auch möglich sein, kumulierte und anonym erfasste Daten zu nutzen. Sei es zur Verbesserung der Nutzerführung von Webseiten, optimierung von Internet Angeboten oder auch zur Kontrolle des eigenen Erfolges und als Beleg gegenüber zahlenden Werbekunden. Die pauschale Ablehnung wirft nicht nur das Internet zurück, sondern auch den Datenschutz. Denn verstehen tut das keiner. Weder die Betreiber der Webseiten, die ihre Optimierungen wieder nur auf blosse Vermutungen durchführen mussten, noch der Nutzer der erst umfangreichen Datenschutzbestimmungen zustimmen soll, bevor er zum eigentlichen Internet Angebot kommt.

Kommentieren ist momentan nicht möglich.