Datenschutz im Internet: Harte Linie gegen Website-Betreiber

Im Internet nahmen die obersten Datenschützer bislang insbesondere Webtracking-Tools wie Google Analytics ins Visier. Diese Dienste loggen und verarbeiten Surfer-IP-Adressen, die nach Ansicht der deutschen Datenschutzbeauftragten personenbeziehbar sind und damit gegen Vorgaben des Datenschutzes verstoßen. Eine aktueller Fall aus Lüneburg zeigt nun, dass zumindest der niedersächsische Datenschutzbeauftragte Joachim Wahlbrink weitreichendere Konsequenzen aus der juristischen Auffassung herleitet.

Der Webmarketing-Spezialist Matthias Reincke betreibt als Hobby zwei Foren mit den Themen Abnehmen und Hundehaltung. Seit September 2010 nun liegt er im Clinch mit dem Sachbarbeiter "Internet, nicht-öffentlicher Bereich" beim Landesdatenschutzbeauftragten (LfD) in Hannover. Was war konkret passiert? Eine ehemalige Forennutzerin hatte sich bei der Behörde über angebliche Datenschutzmängel in einem Forum von Reincke beschwert. Der LfD-Sachbearbeiter forderte den verdutzten Reincke auf, eine "Datenverarbeitungsverfahrensbeschreibung für das Verfahrensregister beim Datenschutzbeauftragten" zu erstellen, wie es die Meldepflicht in Paragraf 4d Abs. 4 des Bundesdatenschutzgesetzes (BDSG) vorsehe (siehe die Informationsseite des niedersächsischen Landesdatenschutzbeauftragten zur Meldepflicht und der Stellung der Behörde dazu).

Der Forenbetreiber füllte den Vordruck wohl ungenügend aus, denn als Antwort erhielt er vom Sachbarbeiter eine Auflistung von datenschutzrechtlichen Verfehlungen, die er umgehend abzustellen habe. So habe er nicht sichergestellt, dass sich Google als Betreiber des von ihm verwendeten AdSense "der Einhaltung der datenschutzgrechtlichen Mindeststandards verpflichtet" habe. Bezüglich des verwendeten IVW-Zählpixels monierte der Sachbarbeiter, dass nicht sichergestellt sei, dass IP-Adressen anonymisiert an Dritte übertragen werden. Außerdem forderte er von Reincke, dass er beschreiben soll, inwieweit sein Webhoster Host Europe als "Auftragsdatenverarbeiter" fungiere.

Reincke kam den Forderungen offenbar nicht gänzlich nach, denn das Verfahren eskalierte. Der Sachbearbeiter des niedersächsischen Datenschutzbeauftragten droht nun mit Bußgeld und damit, Reincke per Anordnung dazu zu zwingen, seine Websites "abzuschalten", falls er bis zum heutigen 18. Februar nicht alle Forderungen erfülle. Auch die Forderungen selbst sind seit Beginn des Verfahrens mehr geworden. Der Betreiber soll der Aufsichtsbehörde nun einen gültigen Vertrag "für die Auftragsdatenverarbeitung bei der Host Europe GmbH" vorlegen – solche Verträge mit Endkunden sind im Hosting-Business recht unüblich. Außerdem soll Reincke die "Übermittlung von personenbezogenen Daten", also von IP-Adressen, an Google AdSense, ans Amazon-Partnerprogramm sowie an INFOnline (IVW) sofort einstellen und die Anwendungen entfernen.

Reincke selbst erklärte uns, dass die AdSense- und Amazon-Werbung auf den Forenseiten dazu diene, die Aufwendungen für die Server-Infrastruktur zu finanzieren. Darüber hinaus werfe der Betrieb keinen Erlös ab. Er habe den Abruf des IVW-Pixels aus dem Quellcode entfernt und das Amazon-Script herausgenommen. Außerdem habe er mit Host Europe nun eigens einen "Vertrag für die Auftragsdatenverarbeitung" geschlossen. Er sehe es aber nicht ein, dass nun ausgerechnet er auf die Google-AdSense-Einnahmen verzichten solle, die "Millionen anderer Betreiber" auch bekämen.

In dieser Schärfe und Kombination von beanstandeten Verstößen hat das Verfahren gegen Reincke tatsächlich eine neue Qualität. Gegenüber heise online bestätigte Michael Knaps, Sprecher des Datenschutzbeauftragten, die Vorgehensweise des Sachbearbeiters. Sie entspreche der Auffassung der obersten Datenschutzbehörden, die sich im sogenannten Düsseldorfer Kreis eindeutig auf die Personenbeziehbarkeit von IP-Adressen festgelegt hatten. Knaps erklärte außerdem, dass die im aktuellen Vorgehen gezeigte harte Linie auch künftig gefahren werde. Es sei allerdings nicht so, "dass wir jetzt im Web auf Streife gehen und Datenschutzsünder suchen". Entsprechende Hinweise verfolge die Behörde aber. (hob)