Streit um IP-Adressen Datenschützer legt sich mit Web-Werbern an
Amazon-Anzeige: Munterer Austausch mit Daten über Server-Grenzen hinweg
Hamburg - Der niedersächsische Datenschutzbeauftragte Joachim Wahlbrink wagt die Kraftprobe - und legt sich mit dem Internet an. Mit Einzelpersonen, die zum Spaß nebenbei eine kleine Website im Netz betreiben. Aber auch mit Riesenfirmen wie Google, Facebook, Amazon. Eigentlich mit der gesamten deutschen und internationalen Online-Medienlandschaft.
Denn Wahlbrink hält die Weitergabe einer IP-Adresse ohne die ausdrückliche Zustimmung des Surfers nicht nur für unzulässig - er geht jetzt auch dagegen vor. Das ist eine Premiere.
Im aktuellen Präzedenzfall geht es um das Web-Angebot von Matthias Reincke, dem Betreiber zweier Internetforen, der im vergangenen Jahr von einer Internetnutzerin bei der niedersächsischen Behörde angeschwärzt worden war. Die Behörde fing an zu prüfen - und befahl Reincke im September, Google-Werbung und ein Amazon-Partnerangebot von seinen Seiten zu entfernen. Im Klartext heißt das für Betreiber von Internetseiten: Wer beispielsweise ein Buch-Werbe-Widget von Amazon in sein Angebot eingebaut hat, handelt aus Sicht des niedersächsischen Datenschutzbeauftragten illegal.
Auch auf ein Zählpixel von INFOnline muss Reincke verzichten. INFOnline ist ein Dienstleister, auf den in Deutschland nahezu alle großen Internetangebote setzen. Dahinter steht die Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern, kurz IVW. Auch SPIEGEL ONLINE zählt seine Seitenbesucher mit Hilfe der IVW-Technik.
Wo genau liegt das Problem? Wer im Internet unterwegs ist, hat eine IP-Adresse. So wissen die Webserver, wohin sie ihre Daten schicken sollen. Ist beispielsweise auf einer Website auch ein YouTube-Video eingebunden, bekommt der YouTube-Server die IP-Adresse weitergereicht, damit die bewegten Bilder auch an der richtigen Stelle ankommen. So funktioniert es auch bei Online-Werbung oder bei sogenannten Zählpixeln, mit denen Website-Betreiber die Zugriffe auf ihre Seite messen lassen.
Sind IP-Adressen personenbezogene Daten?
Die IP-Adresse wird ohne eine ausdrückliche Zustimmung weitergereicht, ohne dass man sich als Surfer dagegen wehren könnte. Genau damit hat Datenschützer Wahlbrink jetzt ein Problem. Schließlich könne man nicht wissen, was mit den weitergegebenen Daten angestellt werde. Der Nutzer müsse daher sein ausdrückliches Einverständnis dazu geben, und zwar vorher.
Dieser Haltung liegt die umstrittene These zugrunde, dass IP-Adressen bereits personenbezogene Daten darstellen. Sollte sich diese Einschätzung auf breiter Front durchsetzen, wären weite Teile der deutschen Web-Landschaft unrechtmäßig. Denn das Problem ist aus Sicht des Datenschützers immer dasselbe: IP-Adressen werden an einen weiteren Server übertragen und dabei womöglich nicht nach den Vorstellungen der niedersächsischen Behörde anonymisiert.
Man sei sich der Brisanz des Themas durchaus bewusst, erklärt der Sprecher des niedersächsischen Datenschützers. Aufgrund einer Beschwerde habe man prüfen müssen - und setzte nun das Recht durch. Das sei ein ganz normaler Vorgang.
"Eine IP-Adresse ist keine personenbezogene Information"
Die Behörde verlangt nun, dass die Nutzer einer Weitergabe der IP-Adresse vorher zustimmen müssen. Ein einfacher Hinweis auf die Weitergabe reiche nicht aus. "Wir weichen da mit unserer Bewertung nicht von der anderer Landesdatenschützer oder des Bundesbeauftragen für den Datenschutz ab", sagt der Sprecher. Wer nicht den Anweisungen der Datenschützer Folge leistet, riskiert demnach eine Verfügung.
Bis zum 18. Februar hatte Reincke Zeit, den Forderungen nachzukommen. Ansonsten, drohte die Behörde, werde man ihn auffordern, die Domains und Nutzerdaten zu löschen. Der Aufforderung ist er nur zum Teil nachgekommen: Die Amazon-Buchwerbung hat er durch einen Screenshot ersetzt, den IVW-Zählpixel vorerst ausgebaut. Auf die Google-Werbung will er aber nicht verzichten. "Schließlich ist eine IP-Adresse keine personenbezogene Information, das hat das Oberlandesgericht in Hamburg im vergangenen Jahr erst festgestellt", sagt Reincke. Doch das interessiert die Datenschützer in Niedersachsen nicht.
Auch wenn bisher nicht abschließend geklärt ist, ob eine IP-Adresse eine personenbezogene Information darstellt, haben große Unternehmen wie Google allerdings bereits auf den Druck der deutschen Datenschützer reagiert. Aus der Google-Zählmechanik kann man sich ausklinken, YouTube-Videos können in einem sogenannten "erweiterten Datenschutzmodus" eingebettet werden. Dann, verspricht Google, werden auf den Rechnern der Betrachter keine Cookies gesetzt.
IVW verhandelt längst mit Datenschützern
Auch die IVW weiß um die Datenschutzsorgen - und hat ebenfalls Besserung gelobt. Hintergrund: Anfang des Jahres hatte der Hamburger Datenschützer Johannes Caspar seine eigene Behördenseite vom Netz nehmen lassen. Er hatte strengeren Datenschutz gefordert, gleichzeitig war auf seiner Behördenseite ein Zählpixel eines Drittanbieters verbaut.
Caspar hat die IVW aufgefordert, bei INFOnline nachzubessern und künftig anonym zu zählen. Teile der IP-Adresse sollen gar nicht erst erfasst werden. Kai Kuhlmann, Bereichsleiter Online-Medien bei der IVW, bestätigt die Zusammenarbeit mit dem Datenschützer. Im Grunde sei man sich längst einig und arbeite an einer einvernehmlichen Lösung - für mehr Datenschutz. Bis Anfang Juli werde man das System umbauen, verspricht er.
Auch eine Opt-out-Lösung wird dann wohl von der IVW eingeführt: Wie bei Google können Netznutzer der Erhebung ihrer Daten dann widersprechen. "Bei uns wird aber ohnehin nur mit der IP-Adresse und weiteren Daten eine eindeutige Kennziffer erhoben - und die schon nach zehn Minuten wieder gelöscht", sagt Kuhlmann. Um trotzdem noch verlässliche Besucherzahlen liefern zu können, muss die IVW eine auf Schätzungen basierende Fehlerkorrektur einbauen.
Sowohl IVW als auch der Hamburger Datenschützer Caspar betonen, dass man gemeinsam konstruktiv an einer Lösung arbeite - und eine Umstellung eben nicht binnen ein paar Tagen zu schaffen sei. Dass nun Niedersachsen trotzdem vorprescht, sorgt für Verwunderung. Kai Kuhlmann von der IVW findet das unnötig - der Jurist vermutet föderales Kompetenzgewirr als Grund. "Die mangelnde Koordination ist uns wenig verständlich", sagt Kuhlmann.
"Wir üben Druck auf die Anbieter aus"
Erstaunen auch in Hamburg: Zwar seien die Betreiber der Websites letztlich verantwortlich, sagt Datenschützer Caspar. Derzeit hält er es noch nicht für nötig, gegen sie vorzugehen. Obwohl diese letztlich rechtlich verantwortlich sind, habe man in Hamburg bisher davon abgesehen.
"Wir üben stattdessen Druck auf die Anbieter aus", sagt Caspar. Derzeit läuft für Akteure wie Google oder INFOnline eine Übergangsfrist für gesetzeskonforme Lösungen. Erst wenn dieser Weg keinen Erfolg bringe, werde eine ordnungsrechtliche Strategie unausweichlich."
Während Datenschützer andernorts also an einvernehmlichen Lösungen arbeiten, wird in Niedersachsen zum Angriff geblasen. Reincke vermutet, dass womöglich ein Mitarbeiter der Behörde über das Ziel hinausgeschossen ist und man nun das Gesicht wahren wolle. Er erwartet nun die Verfügung der Behörde. Abschalten will er seine Seite deshalb nicht: "Wenn die Verfügung kommt, werde ich dagegen klagen."
Mit dem Datenschutz hat es der Niedersachse Wahlbrink übrigens selbst nicht so: Ausdrücklich heißt es in der Datenschutzerklärung auf der Website des Landesbeauftragten , dass "lediglich beim Aufruf von Seiten, für die eine Anmeldung erforderlich ist" ein sogenannter Session-Cookie gesetzt wird. Eine kleine Datei auf dem Rechner des Surfers mit einem Code, der diesen eindeutig identifiziert.
Tatsächlich bekommt jeder Surfer einen Cookie verpasst, ganz ohne Anmeldung und mit individuellem Tracking-Code.
Am Dienstag darauf angesprochen, verwies der Sprecher der Behörde auf das Portal niedersachsen.de, unter dem die Datenschützer ihren Internetauftritt haben. Das offizielle Portal der Landesregierung speichert die Dateien zur Identifizierung der Surfer auf deren Rechnern. Wenig später meldete sich der Sprecher erneut: Man habe die Staatskanzlei jetzt gebeten, doch zumindest auf den Datenschutzseiten auf die Cookies zu verzichten.
