Datenschutz: Kritische Bewertung der ULD-Hinweise zu Piwik

Das „Unabhängige Zentrum für in Schleswig-Holstein“ hat „Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik““ veröffentlicht, zu finden hier. Ich sehe in erster Linie das bestätigt, was ich hier bereits zu Piwik geschrieben habe: Piwik ist eine datenschutzkonforme Alternative zu Google Analytics, jedenfalls dann, wenn man das „Anonymize“-Plugin aktiviert (das mitgeliefert wird). Allerdings kann die Dokumentation des ULD aus dem Jahre 2011 auch in einigen Aspekten kritisch gesehen werden.

Auf Seite 11 unter 3.3 liest man nämlich das hier

Die Referrer-Daten enthalten Informationen über den Anlass des Seitenaufrufs, z.B. zu den verwendeten Suchmaschinen und Suchbegriffen, den Herkunfts-Webseiten, Kampagnen und direkten Seitenaufrufen. Es besteht eine theoretische Möglichkeit, dass über die durch den Browser des Nutzers übertragenen Referrer-Informationen Rückschlüsse auf den Nutzer gezogen werden können und außerdem eine Zusammenführung der pseudony- men Nutzungsprofile mit identifizierenden Angaben erfolgen kann.
Das ULD weist darauf hin, dass eine derartige Profilbildung unzulässig sein kann, was auch einen Bußgeldtatbestand darstellt, §16 Abs.2 Nr.5 TMG.

Wenn man dem so folgt, wäre die Erhebung und Speicherung von Referern inkl. den genutzten Suchbegriffen die Erhebung eines Personenbezogenen Datums und damit der gleichen rechtlichen Problematik unterworfen wie IP-Adressen. Ich möchte das an dieser Stelle ausdrücklich ablehnen, da ich selbst im theoretischen Fall schon nicht sehe, wie das auf Grund einer Webseiten-Statistik überhaupt möglich sein soll. Die Diskussion an diesem Punkt ernsthaft zu eröffnen würde zudem schnell das Ende jeglichen Ansatzes im Bereich eines Webseiten-Marketings bedeuten. Hinzu kommt, dass User – anders als bei IP-Adressen – die freie Wahl haben, ob sie den Zugriff auf diese Daten erlauben oder nicht. Alles in allem sehe ich hier eine höchst problematische, weltfremde Ansicht, die zudem m.E. keineswegs zwingend ist mit Blick auf das Datenschutzrecht.

Richtig Haarig wird es dann auf Seite 12 unter 3.5, wo das ULD allen Ernstes schreibt:

Die erhobenen Daten sind nach Erstellen der Statistik oder jederzeit auf Verlangen des betroffenen Nutzers zu löschen oder, soweit eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, zu sperren. […] Das ULD empfiehlt, durch unmittelbare Aufforderung durch Nutzerinnen und Nutzer die erforderliche Löschung und eine regelmäßige anlasslose Löschung direkt in der Datenbank durch auf den jeweiligen Anwendungsfall optimierte SQL-Anweisungen umzusetzen.

M.E. gilt die Löschpflicht nur bei personenbezogenen Daten, nicht bei anonymisierten Daten. Auch kann ein einzelner User wohl kaum die Löschung der gesamten Datenbestände fordern, sondern wenn, dann nur die Löschung der Daten, die ihn betreffen. Wenn ein User hier aber nicht einmal Daten benennen kann zeigt sich schon die Fragwürdigkeit dieses (vermeintlichen) Anspruchs.

Das ansonsten durchaus lesenswerte Dokument verdient insgesamt Beachtung, speziell der Abschnitt zu den Cookies (ab Seite 12, inklusive Beachtung der „-“) sollte von Piwik-Nutzern gelesen und umgesetzt werden.

Dazu auch:

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.