Nachteile für Internetsurfer durch Google Analytics bei Finanzgeschäften?

Big DataData & StoragePolitikRecht

Eine Bewertungsgesellschaft wies darauf hin, dass Websites mit Google Analytics nicht unbedingt Datenschutz nach Gesetzeslage gewährleisten – und zumeist auch nichts von der Datenerfassung sagen. Nur wenige öffentliche Ämter haben schon reagiert.

»Der Schutz Ihrer persönlichen Daten ist uns sehr wichtig«, informierte das Wissenschaftsministerium des Landes Baden Württemberg die Besucher seiner Internetseite. Tatsächlich setzte das Ministerium aber Google Analytics ein, um die Interessen der Besucher zu protokollieren. Darauf wies eine Studie der Düsseldorfer Xamit Bewertungsgesellschaft hin. Im Quellcode der Internetseite fand sich ein entsprechender Hinweis auf den Google Dienst. §4 des Landesdatenschutzgesetzes verlangt eine Erlaubnis für die Verarbeitung personenbezogener Daten oder die Einwilligung des Betroffenen. Weder das Ministerium noch der Landesbeauftragte für den Datenschutz waren bis gestern in der Lage, die Frage zu beantworten, ob durch die Protokollierung der Nutzerdaten das Landesdatenschutzgesetz gebrochen wird.

Bemerkenswert ist auch, dass das Ministerium bisher versäumte, in seinen Datenschutzbestimmungen auf die Nutzung des Google Dienstes hinzuweisen. Dazu sind aber die Kunden von Google unter 8.1 der Lizenzbedingungen des Dienstes verpflichtet. Zuvor musste bereits der Nordrhein Westfälische Landtag seine Internetseite ändern.

Das Ministerium und der Landtag scheinen mit ihrer mangelnden Sensibilität in Sachen Datenschutz aber nur die Spitze des Eisbergs darzustellen: Nach Erkenntnis des ‘Xamit Datenschutz Barometer 2008’ »verstoßen 45 von 100 Webseiten gegen die gesetzlichen Bestimmungen oder weisen sonstige Indikatoren für ein mangelhaftes Schutzniveau auf«, wie es in der Xamit-Pressemitteilung heißt.

Besonders die Werbewirtschaft will wissen, mit wem sie es zu tun hat: 28 Prozent aller Webseiten dieser Branche setzen Google Analytics ein. Ihr folgen das Grundstücks- und Wohnungswesen (16%), das verarbeitende Gewerbe (17%) und die Informationstechnik (14%). Selbst Vereine (7%) und Handwerker (4%) wollen wissen, was die Besucher fesselt.

Weitere Missstände: »Lediglich 17 Prozent der Website-Anbieter, die ein Kontaktformular auf ihren Internetseiten platzieren«, so Xamit »informieren die Besucher per Datenschutzerklärung über den Umgang mit den von ihnen erhobenen Daten.« Und: »95 Prozent der Webseiten-Betreiber, die Marktführer Google Analytics hierfür einsetzen, verheimlichen ihre Erhebungen. «

Zwischen September und November dieses Jahres hat die Beratungsgesellschaft nach eigenen Angaben »26.209 deutsche Webpräsenzen mit 1,3 Millionen Seiten mittelständischer Unternehmen, sowie öffentlicher Institutionen mittels Quellcodeanalyse untersucht.« Lepperhoff erklärt: »Dazu haben wir eine Software genutzt, die wir selbst geschrieben haben. Wir haben die Seiten damit nach charakteristischen Zeichenketten durchsucht. Damit lassen sich beispielsweise Datenschutzerklärungen, Google Analytics oder andere Webstatistiken aufspüren. Kam eine Zeichenkette für Google Analytics vor, dann gehen wir von einer Nutzung aus. Wir folgen allen Links innerhalb einer Webpräsenz und untersuchen so die ersten 1000 Seiten. Wenn also die Startseite Google Analytics nutzt, suchen wir alle Seiten der Präsenz durch, ob wir auch eine Datenschutzerklärung finden. Wenn nein, dann nutzt die Webpräsenz Google Analytics ohne Datenschutzerklärung. «

Marit Hansen, stellvertretende Leiterin des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig Holstein erläutert: »Die Xamit-Studie ‘Datenschutzbarometer 2008’ enthält wichtige Aussagen zum Niveau des Datenschutzes in Bezug auf Websites. Mit der gewählten Untersuchungsmethode, die Webpräsenzen automatisiert auf bestimmte Punkte hin zu analysieren, war es möglich, eine sehr große Zahl von Seiten zu analysieren und recht verlässliche statistische Schlussfolgerungen abzuleiten. Außerdem bietet sich die Methode für vergleichende Analysen an, so dass man über die Jahre Trends wird ablesen können. «

Auch zu Google Analytics hat das ULD eine Meinung: »Während ein Webseitenbetreiber nur ‘seine’ Besucher sieht, hat Google Kenntnis aller Analytics-basierten Webseiten, die der Nutzer besucht hat. Google kann die so erlangten Nutzungsdaten für weitere eigene Auswertungen verwenden. Eine Zusammenführung mit Nutzungsdaten mit denen anderer Google-Dienste« – wie etwa Google News, Google Maps, Google Earth, dem Browser Google    Chrome, den Büroanwendungen Google Text und Tabellen, der elektronischen Patientenakte Google Health, dem Bewegungsprofil, das der Anwender mit dem Google Handy Android von sich preisgibt und vielen anderen – »ist möglich und wird generell von Google bestätigt. Dadurch hat das Unternehmen die Möglichkeit, über Surfer im Internet detaillierte Nutzungs- und Interessenprofile zu erstellen und diese vor allem für Werbezwecke zu verwenden. «

Wer könnten die Abnehmer dieser Nutzungsprofile sein? Zum Beispiel könnte die Kreditwirtschaft das »Kreditscoring« noch ein wenig aufpeppen. Wikipedia definiert: »Mit Kreditscoring […] kann ein Unternehmen die Kreditwürdigkeit nach einem vorgegebenen Verfahren mehr oder weniger automatisiert ermitteln« und Onlinemedien berichten von »22 Millionen scoring-gestützten Entscheidungen bei Kreditinstituten«. Der Rechtsanwalt Ulrich Schulte am Hülse ergänzt: »Im Internet kursieren Gerüchte, wonach auch der Wohnort des Kunden in den Scorewert einfließt bzw. ein häufiger Wohnortwechsel. Dies streitet die Schufa Holding AG allerdings vehement ab. Informationen zu Wohnvierteln mit Hinweisen auf die Nationalität, dem Alter der Bewohner, dem Anteil von Familien oder ähnliche soziodemografische Daten würden nicht erfasst werden und nicht in den Score einfließen, so die Schufa Holding AG. «

Über tatsächlich schlechte Erfahrungen mit zentral gespeicherten Daten kann so Mancher berichten, der gern eine Versicherung abschließen möchte.Tagesschau.de berichtete im Januar 2008 über das »Hinweis- und Informationssystem« (HIS) der Versicherungswirtschaft. Negative Hinweise können offenbar leicht zu horrenden Versicherungskonditionen führen. HIS wird von der Versicherungswirtschaft betrieben und genießt offenbar auch unter Datenschützern einen schlechten Ruf. Tagesschau.de schreibt: »Das Verfahren sei illegal, denn« so wird der ULD-Leiter Thilo Weichert zitiert: »es wird ein Übermaß an Daten übermittelt, es besteht keine ausreichende Transparenz, und auch die gesetzlichen Regelungen reichen nicht aus«.

Welche Bedeutung hat der Einsatz von Google Analytics vor diesem Hintergrund? Niels Lepperhoff verweist auf eine Xamit-Studie aus dem Vorjahr. Seine Firma habe bereits damals Aufsehen erregt, weil mehrere NRW-Landesministerien mit Datenschutzverstößen auffielen. Viele Menschen hätten 2008 den Glauben an den rechtmäßigen Umgang mit Daten bei Einwohnermeldeämtern, der Deutschen Telekom und anderen Unternehmen der Privatwirtschaft verloren. Dass der Staat vor diesem Hintergrund nach wie vor am Einsatz von Google Analytics festhalte sei bemerkenswert.

Was können die Datenschützer in Bund und Ländern angesichts dieser Situation tun? Niels Lepperhoff stellt fest: »Wir haben 3,5 Millionen registrierte Unternehmen, 900 Bundesbehörden, Dutzende Landesbehörden allein in Nordrhein Westfalen. Dem stehen nur wenige Datenschützer gegenüber: Etwa 150 im Bund und beispielsweise 50 in NRW oder 26 in Schleswig Holstein. Solange sich diese Situation nicht drastisch ändert, werden wir weiter spektakuläre Datenschutzvorfälle haben. « Zum Vergleich: Allein NRW beschäftigt 50.000 Polizisten.