Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2011-02: Fleißige Datensammler für lukratives Geschäftsmodell gesucht

Ein kleiner Hobby-Forumsbetreiber bekam Ärger mit dem Datenschutzbeauftragten von NRW. Der Grund: Er verwendete IVW-Besucherzählung, das Amazon-Partnerprogramm und Google-AdSense, alles Tools, die Besucherdaten sammeln und diese Daten an die "Besitzer" weitergegeben. Eine Bagatelle? Ich denke nicht, denn jeder noch so Kleine arbeitet damit den Großen in die Tasche.

Der ertappte Bösewicht wollte Berichten von heise online zufolge seine beiden Hobby-Foren mit der IVW-Besucherzählung, dem Amazon-Partnerprogramm und Google-AdSense mitfinanzieren. Das störte jemand (mich stört so etwas übrigens auch) und der beklagte sich. Der Landesdatenschutzbeauftragte forderte den Betreiber daraufhin auf, die Missstände abzustellen und die besagten Tools von seiner Website zu entfernen. Auflage war auch, mit dem Hoster des Servers einen Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Irgendwie lächerlich scheint es auf den ersten Blick schon, dass ausgerechnet ein Betreiber einer popeligen Hobby-Website Ärger mit dem Landesdatenschutzbeauftragten (LfD) bekommt. Der Meinung sind auch mindestens die Hälfte der über 800 Kommentare auf heise online. Doch irgendwie auch wieder nicht. Denn genau betrachtet haben die Verstöße gegen das Datenschutzgesetz mit der Größe seines "Geschäfts" gar nichts zu tun.

Viele fleißige kleine Sammler füllen den Datentopf

Jedes Portal, jede Website, die die Werbe- und Tracking-Tools der großen Dienste- und Contentanbieter wie Google, Ebay oder Amazon einbinden, ist deren Erfüllungsgehilfe. Der „Kleine“ sammelt die Daten für die „Großen“, eine Art Crowdsourcing zum Datensammeln. Erst durch diese vielen, vielen zuverlässigen und kostenlosen Messstellen bekommen Google, Amazon und wie sie alle heißen, das begehrte Wissen und den Überblick über die Websurfer und deren Verhalten.

Das Finanzierungsmodell des Betreibers der besagten kleinen Hobbyseite sieht also so aus, dass er die Daten seiner Besucher weiterverkauft. Richtig, „verkauft“ ist hier der richtige Begriff. Denn er bekommt Geld dafür, dass er in seine Seite etwas einbaut, das die Werbung des Dritten anzeigt und „nebenbei“ ein Tracking dieses Dritten ermöglicht. Aber die IVW, sagen Sie, was ist denn da dran Schlimmes? Das ist doch eine seriöse Institution und dafür zuständig, die Druckauflage von Medien zu messen?

Stimmt, aber es gibt einen kleinen Unterschied: Bei Druckerzeugnissen kann die IWV nie wissen, was der Leser alles liest, denn der hat keinen Kontakt zur IVW und seine Daten bekommt sie auch nicht. Online jedoch setzt die IVW (bzw. deren Dienstleister infOnline) ein Cookie mit einer „beliebige[n], intern vergebene[n] Zahlenfolge zur Erstellung einer Marktforschungsstudie“, Gültigkeit ein Jahr. Das bedeutet, dass infOnline von allen IVW-getrackten Seiten erfährt, die ich besuche. (Außer ich würde ein Jahr lang keine einzige davon besuchen.) Dahinter steckt das Interesse der Werbewirtschaft. Es geht also wieder um Geld.

Auch den Großen eins auf die Mütze

Was natürlich wie so oft unfair an der Sache ist: Den kleinen „Kleinen“ macht man die Hölle heiß, und die Großen lässt man laufen. Oder die Großen haben einen Datenschutzbeauftragen, der ihnen den LfD vom Halse hält. Appellieren wir also innigst an die Landesdatenschutzbeauftragten aller Bundesländer, endlich auch die großen Website-Betreiber genau unter die Lupe zu nehmen und ihnen eins auf die Mütze zu geben.

Denn erst wenn Google keine Daten mehr aus Deutschland bekommt, wird Google seine Sammelwut den deutschen Gesetzen anpassen. Und den „Partnern“ hoffentlich auch eine ordentliche Vereinbarung zur Auftragsdatenverarbeitung anbieten. Da allerdings das Geschäftsmodell von Google "Datenaggregation" heißt, würden sie sich damit selbst das Wasser abgraben.

Goebel Consult sammelt derzeit „rein statistische“ Daten, wie viele Websites in Deutschland Google Analytics, AdSense, Amazon oder IVW verwenden. Mein Tipp: über 50 Prozent.

Ein paar Anekdoten am Rande:

  • Der Forenbetreiber hat nun also einen Vertrag zur Auftragsdatenverarbeitung mit seinem Hoster, HostEurope, geschlossen. HostEurope nimmt es auf seiner eigenen Website aber nicht so ernst mit dem Datenschutz und verwendet selbst Google Analytics (steht sogar in den „Datenschutzhinweisen“). Über die Problemen mit Google Analytics habe ich in der Kolumne vor einem Jahr ausführlich berichtet.

  • IWV, bzw. deren Dienstleister infOnline, nehmen es mit dem Datenschutz auch nicht so genau: Der Vertrag enthält keine Vereinbarungen, die m.E. (juristischer Laie) den Anforderungen des DBSG bzgl. Vereinbarung zur Auftragsdatenverarbeitung genügt. Er verweist auf Website, die sich aber jederzeit ändern kann.

  • Der Forenbetreiber will mit der Werbung sein Hobby refinianzieren. InfOnline kostet pro Jahr mindestens 150 Euro, der dazu nötige IVW-Beitrag mindestens 314 Euro. Mit dem Geld könnte er schon sieben Monate einen Dedicated Server bei seinem Hoster bezahlen, also über ein halbes Jahr.