23. Februar 2011
Posted in Internet News

Während in Berlin ein C&P-Doktorhut in den Mülleimer getreten wird und in Libyen ein von der EU finanzierter und hofierter Diktator Amok läuft, sorgt auch ein - bisher wohl zu wenig beachteter - Sachbearbeiter des niedersächsischen Datenschutzbeauftragten für Furore. Er sieht in der Weitergabe von IP-Adressen, die an diverse Großunternehmen der Internet-Werbung geleitet werden, eine Verletzung des Bundesdatenschutzgesetzes.

Darum statuiert er ein Exempel an den weltweit bekannten Foren www.abnehmen-aktuell.de und www.hunde-aktuell.de mit Sitz in Hittbergen, im Lüneburger Landkreis zwischen Bullendorf und Wendewisch gelegen.

Der Sachbearbeiter fordert - nach einer Beschwerde in einem Forum der Behörde - unter anderem die Einstellung der Weitergabe von IP-Adressen an das Amazon-Partnerprogramm, an Google Adsense sowie an den deutschen Dienstleister InfoOnline. Die Dienste des zuletzt genannten Unternehmens werden von der Mehrheit der deutschen Internet-Medienanbieter genutzt, die im Rahmen der IVW-Zählungen wahrheitsgemäße und vergleichbare Angaben über ihre Werbereichweiten abliefern wollen.

Auf diesen Dienst verzichtet der Hobby-Forenbetreiber nun schon vollständig, denn er kann den Forderungen des Sachberabeiters ansonsten nicht nachkommen. Auch das Amazon-Script musste nun gewissermaßen der "Vernunft" weichen. Bezüglich Adsense scheint dagegen noch keine Entscheidung getroffen. Wobei der Sachbearbeiter gerade bei Google Adsense - zitiert nach Heise - moniert, dass sich dieses Unternehmen nicht "der Einhaltung der datenschutzgrechtlichen Mindeststandards verpflichtet" habe.

Davon abgesehen, dass es sich bei dem Lüneburger Fall offenbar um eine Art Alleingang handelt, verdient gerade dieser Punkt der Argumentation Beachtung.

Immer wieder monieren die deutschen Datenschützer, dass sich gerade Google Adsense nicht an die Regeln hält. Dabei vergessen sie aber gerne, dass es in dieser Hinsicht eine Regelung auf Basis eines nach wie vor gültigen Abkommens zwischen den USA und der EU gibt. Laut diesem Safe Harbor-Abkommen dürfen personenbezogene Daten legal in die USA exportiert werden, sofern das US-Unternehmen sich selbst dazu verpflichtet, Mindeststandards des Datenschutzes einzuhalten. Diese Voraussetzung hat Google erstmals im Jahr 2005 erfüllt und lässt sich seither jährlich neu zertifizieren.

Demnach wäre es für ein europäisches Unternehmen vollständig legal, Daten an Google in die USA zu exportieren. Was - nebenbei gesagt  - weder der kritisierte Forenbetreiber noch ein anderer Adsense-Partner tut. Die HTTP-Requests, die letztlich für die Übertragung direkt verantwortlich sind, werden von Google Adsense-Code ausgelöst. Der Betreiber der Website bindet lediglich den für die Werbeeinblendung notwendigen Code in seine HTML-Struktur ein und es ist ihm weder möglich noch gestattet, Änderungen an dem Code und seiner Funktion vorzunehmen.Außerdem darf Google ja laut Safe Harbor diese Daten importieren.

Deutsche Unternehmen als Exporteure müssen jedoch hinsichtlich des Safe Harbor-Abkommens eine Sonderregelung befolgen. So hat der Düsseldorfer Kreis der deutschen Datenschützer (genauer, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) im vergangenen Sommer beschlossen, dass diesem Verfahren nicht zu trauen ist.

Die Daten exportierenden Unternehmen müssen sich demnach "nachweisen lassen", dass die Safe Harbor Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden, "Mindestens muss das exportierende Unternehmen klären, ob die Safe Habor-Zertifizierung des Importeurs noch gültig ist. Außerdem muss sich das Daten exportierende Unternehmen nachweisen lassen, wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkommt".

Was die deuschen Datenschützer hier verlangen, ist im Grunde eine Schmalspur-Zertifizierung aus der Ferne. Der Schnitzelesser soll nachweisen, dass für die Herstellung seines panierten Formfleischbrockens kein Tier gequält wurde.

Denn grob vereinfacht stellt sich die Situation so dar, dass die EU zur Vermeidung eines Konfliktes mit den USA vor mehr als zehn Jahren eine Vereinbarung getroffen hat, deren Einhaltung von den USA aber sehr salopp gehandhabt wird. Ohne diese Vereinbarung hätte die EU konsequenterweise jede Übertragung personenbezogener Daten in die USA verbieten müssen. Was in der Praxis nur durch die Kappung aller Internet-Verbindungen in die USA möglich gewesen wäre.

Die EU in Gestalt ihrer Exekutive, der EU-Kommission, ist mit diesem Zustand vielleicht nicht glücklich, bewahrt aber die eigene Selbstzufriedenheit durch das Ignorieren von Praxisproblemen. Die ausführenden Datenschützer der Mitgliedsstaaten könnten ähnlich verfahren. Doch die deutschen Datenschützer haben festgestellt, dass sie damit ihrem Auftrag nicht gerecht würden.

Statt nun aber gegen die Verursacher dieser Situation vorzugehen, die nicht in der Lage waren, europäische Interessen in den USA durchzusetzen, verlagern sie sich auf ein Vorgehen gegen die Exporteure, die wiederum in erster Linie wirtschaftlichen Zwängen unterworfen sind. Denn ihre einzigen brauchbaren Partner, US-Unternehmen wie Amazon und Google, können sich sehr wohl auf das Safe Harbor-Abkommen stützen.

Somit ist letztlich das Vorgehen gegen den Foren-Betreiber aus Norddeutschland nur die Fortsetzung einer Logik des Scheiterns. Die EU scheitert an den USA und die deutschen Datenschützer scheitern an der EU und an den US-Unternehmen. Da bleibt doch im Grunde nur noch das Vorgehen gegen den Kleinsten in diesem ganzen Spiel - zumindest, wenn man wenigstens einen kleinen Sieg erringen will

Links:

• Abnehmen aktuell Posting 
• Google Safe Harbor 
• Heise 
• Spiegel