SIBETH: Landesbehörden markieren engere Grenzenfür Analysen von Online-Nutzerverhalten - Düsseldorfer Kreis hält Verwendung vollständiger IP-Adressenohne Zustimmung der Nutzer für nicht zulässig

15.12.2009

SIBETH

Ohne Website geht für ein Unternehmen heute gar nichts mehr, und längst geht der Nutzen des Internetauftritts über den einer reinen Online-Visitenkarte hinaus: Die regelmäßige Analyse des Nutzerverhaltens liefert wertvolle Erkenntnisse für das betreffende Unternehmen und bietet damit einen hohen Anreiz, den eigenen Web-Auftritt zu einer Art Marktforschungs- und Marketinglabor zu machen. Nicht immer zur Freude von Datenschützern und Verbrauchern. Der Düsseldorfer Kreis, ein Zusammenschluss von 16 Landesbehörden, hat daher erst dieser Tage neue Richtlinien verabschiedet, die zunächst für die Verwaltungspraxis bindend sind – und von denen auch eine hohe Signalwirkung für die Rechtsprechung ausgehen wird.

Personenbezogen oder nicht – das ist die Frage

Bisher gab es auf dem Gebiet der so genannten WebAnalytics eine recht uneinheitliche Grenzziehung im Umgang mit Nutzerdaten. Die Überwachung von entsprechenden Datenschutz-Vorgaben ist in Deutschland föderal organisiert, das bedeutet: Insgesamt 16 Landesbehörden mit teilweise weit auseinanderklaffenden Vorstellungen sind hier aktiv. Dr. Rupprecht von Bechtolsheim, Rechtsanwalt der Kanzlei SIBETH, kennt die sich daraus ergebende, schwierige Rechtslage: „So stufte die Datenschutzbehörde Nordrheinwestfalen den Abgleich von IP-Adressen generell als Verwendung personenbezogener Daten ein, ungeachtet ob dabei IP-Adressen verkürzt, vollständig oder auch gar nicht abgespeichert wurden. Dagegen meinte der Hamburgische Datenschutzbeauftragte, personenbezogene Daten seien hier nur betroffen, wenn vollständige IP-Adressen abgespeichert würden.“ Dieser Streit ist für Web-Analytics besonders relevant, da ein solcher Abgleich gängige Praxis ist, zum Beispiel um Benutzer geografisch zu orten („geolocalisation“) oder deren Provider zu ermitteln.

Unternehmen immer in der Verantwortung

Vor diesem Hintergrund tagte nun der aus 16 Landesbehörden gebildete so genannte „Düsseldorfer Kreis“, der für die Verwaltungspraxis maßgebliche, einheitliche Auslegungsrichtlinien erarbeitet. Zum Thema Web-Analytics fasste er Ende November einen weit reichenden Beschluss, der zwar zunächst nur für die Verwaltungspraxis bindend ist, erwartungsgemäß aber auch die Rechtsprechung nachhaltig beeinflussen wird. Betreffen wird der Beschluss alle Beteiligten, wie Dr. von Bechtolsheim festhält: „Auch mit diesem Beschluss gilt natürlich, dass datenschutzrechtlich immer in erster Linie das im Impressum genannte Unternehmen, der „data controller“ verantwortlich ist, vor allem den Benutzern gegenüber. Daran ändert sich auch nichts, wenn Anbieter von Web-Analytics zwischengeschaltet werden. Diese Anbieter sind aus Sicht des Datenschutzes nur Auftragsverarbeiter („data processor“), also eine Art datenschutzrechtlicher Erfüllungsgehilfe.“ Stets aber sind auch die Anbieter den Behörden verantwortlich. Alle beteiligten Wirtschaftsbereiche müssen also wissen, ob die eingesetzten Web-Analytics den Vorgaben des Datenschutzes entsprechen.

Anonymisiert – oder mit Einwilligung

Der aktuelle Beschluss des Düsseldorfer Kreises trifft nun zu WebAnalytics zwei weit reichende Aussagen: Zum einen wird klar gestellt, dass Nutzerprofile, die ohne IP-Adressen erstellt, verarbeitet oder gespeichert abgelegt werden, per se keine personenbezogene Daten darstellen. Zum anderen gilt dies aber ausdrücklich nur, so lange die Nutzerprofile nicht mit vollständigen IP-Adressen kombiniert werden. „Diese dürfen aber immerhin in gekürzter Form verwendet werden“, so von Bechtolsheim. „Wer wegen des erhöhten Marketingnutzen auf einen Abgleich mit vollständigen IP-Adresse nicht verzichten will, müsste also vorab eine ausdrückliche Einwilligung der Nutzer abfragen. Das ist technisch wohl kaum und wirtschaftlich sicherlich nicht machbar.“ Da das eigentliche Interesse des Analyseauftrags im Abgleich der Nutzerprofile mit den dazu gehörigen IP-Adressen bestehen dürfte, kommt diesem Beschluss für die Praxis eine weit reichende Bedeutung zu.

Vieles bleibt weiterhin ungeklärt

Weiterhin offen lässt der Beschluss allerdings die – damit äußerst relevante - Frage, wie weit IP-Adressen anonymisiert werden müssen. Mangels vollständiger gerichtlicher Klärung gilt grundsätzlich: Je höher das Datenrisiko, desto weitergehend sollte anonymisiert werden – und je geringer der Grad der Anonymisierung im Einzelfall, desto höher das Risiko für die beteiligten Unternehmen, einen datenschutzrechtlichen Verstoß zu begehen. Unklar ist auch die im Vertragsverhältnis zwischen Anbieter und dessen Kunde relevante Frage, ob und inwieweit Anbieter verpflichtet sind, Bestandskunden über den neuen Beschluss des Düsseldorfer Kreises zu informieren bzw. ihre neuen Web-Analytics Angebote anzupassen, um Probleme der Kunden mit Behörden oder Nutzern aus dem Einsatz der angebotenen Web-Analytics von vornherein aufzufangen. Ferner stellt sich auch die Frage, ob und inwieweit Kunden von Analyse-Dienstleistern selbst - als data controller - verpflichtet sind, die derzeit eingesetzten Web-Analytics zu prüfen. SIBETH-Rechtsanwalt Dr. von Bechtolsheim rät zu Aufmerksamkeit und aktiver Vorsicht: „In jedem Fall sollten alle Beteiligten darauf hinwirken, dass verwendete IP-Adressen, auch anonymisierte Adressen, immer und nur gesondert abgelegt werden; jeder Zugriff darauf sollte erheblich strenger geregelt und kontrolliert sein als der Zugriff auf sonstige Analyseergebnisse.“

Über Ihre Berichterstattung und Ihr Interesse an einem Hintergrund-Interview mit Dr. Rupprecht von Bechtolsheim, Rechtsanwalt der Kanzlei SIBETH, freuen wir uns sehr!

ÜBER SIBETH

SIBETH ist eine Partnerschaft von Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern mit derzeit über 65 Berufsträgern in Frankfurt am Main, München und Berlin.

PRESSEKONTAKT

HartzCommunication

Dr. Sabine Gladkov

Telefon: 089 / 998461-15

Fax: 089 / 998461-20

E-Mail: s.gladkov@hartzcommunication.de

Verlagsadresse

RWS Verlag Kommunikationsforum GmbH & Co. KG

Aachener Straße 222

50931 Köln

Postanschrift

RWS Verlag Kommunikationsforum GmbH & Co. KG

Postfach 27 01 25

50508 Köln

Kontakt

T (0221) 400 88-99

F (0221) 400 88-77

info@rws-verlag.de

© 2024 RWS Verlag Kommunikationsforum GmbH & Co. KG

Erweiterte Suche

Seminare

Rubriken

Veranstaltungsarten

Zeitraum

Bücher

Rechtsgebiete

Reihen



Zeitschriften

Aktuell