Müssen wir jetzt das Internet abschalten?

Nachdem sich der Hamburgische Landesdatenschützer erst gegen Google Analytics zu verschwören scheint, schreitet nun der niedersächsische Amtskollege gegen die Weitergabe von IP-Adressen ein. Gibt es denn nun wirklich Verstöße gegen geltendes Recht, oder ist alles nur Panikmache gegen das ach so böse Internet? Sowohl juristisch als auch technisch unterscheiden sich die beiden Vorwürfe, wie Christian Bennefeld in seinem Kommentar deutlich macht.

Der Hamburger Professor Caspar kritisiert primär die mangelhafte Widerspruchsmöglichkeit und den unzureichenden Vertrag zur Auftragsdatenverarbeitung bei Google Analytics. Beides ist zwingend gesetzlich vorgeschrieben. Denn Google erstellt Nutzerprofile von Besuchern auf Webseiten, die Google Analytics nutzen. Hier greift das Telemediengesetz, das jedem Bürger das Recht einräumt, der Erstellung von Nutzungsprofilen zu widersprechen. Kann der Widerspruch nicht erklärt werden, ist das ein klarer Verstoß gegen geltendes Recht. Ähnlich verhält es sich mit der im Bundesdatenschutzgesetz definierten Auftragsdatenverarbeitung. Diese wird nämlich bei der Erstellung von Nutzerprofildaten von den obersten Datenschützern, dem sogenannten Düsseldorfer Kreis, seit 2009 gefordert. In beiden Fällen verstößt Google klar gegen deutsche Gesetze. Beides könnte Google leicht abstellen, hat es aber bisher nicht getan. Den Anwendern von Google Analytics drohen daher derzeit empfindliche Bußgelder.

Etwas anders sieht es im Fall des Niedersächsischen Datenschutzbeauftragten aus. Dieser kritisiert die Tatsache, dass bei der Einblendung von (Amazon-) Werbeflächen oder dem IVW-Pixel auf einer Website die IP-Adresse des Besuchers automatisch an den Werbetreibenden bzw. dessen Server gegeben wird. Dies ist jedoch kein bewusst illegaler Vorgang, sondern das Prinzip des Internets. Werden nämlich Werbung, Facebook „Like“-Buttons, die beliebten Social Bookmarkdienste oder Bilder von fremden Servern auf der eigenen Webseite eingebunden, so werden diese Inhalte stets von diesen fremden Servern geladen. Technisch zwingend notwendig für das Laden der Inhalte ist aber die Übermittlung der IP-Adresse des Browsers, der die Inhalte abruft. Das ist eine elementare Funktion des TCP/Internet-Protokolls und keine eigenmächtige Handlung des Website-Betreibers.

Will man dies verhindern, wie es der Datenschutzbeauftragte fordert, kommt es der Abschaltung des Internets gleich. Die Forderung ist also ziemlich absurd. Die spannende Frage ist vielmehr, was Amazon, IVW und Co. mit den IP-Adressen tun. Werden sie unmittelbar nach der TCP-IP-Kommunikation verworfen oder verkürzt, ist die Welt rechtlich in Ordnung. Werden die vollständigen IP-Adressen aber verarbeitet oder gar gespeichert, etwa um Nutzerprofile zu erstellen, ist dies ohne Zustimmung des IP-Inhabers illegal. Die IVW hat bestätigt, dass sie vollständige IP-Adressen speichert und bis Juli Besserung gelobt. Ob Amazon, Facebook & Co. IP-Adressen speichern, ist jedoch offen. Und bevor dies nicht bestätigt wurde, gilt hoffentlich auch für Internetunternehmen die Unschuldsvermutung.

Wer aber glaubt, dass Amazon & Co. hier „schuldig“ sein könnten, der ist als Websitebetreiber derzeit gut beraten, keine fremden Dienste oder Werbung auf seiner Seite einzubinden. Denn für die rechtlich korrekte Verarbeitung sämtlicher Besucherdaten bleibt stets der Websitebetreiber selbst verantwortlich. Ihm drohen, wie der Fall Niedersachsen zeigt, unangenehme Verfügungen und Gerichtsprozesse hypersensibler Datenschützer.

Christian Bennefeld ist Gründer und Geschäftsführer der Etracker GmbH.