Der Prividor (Privacy Violation Detector) wird vor allem die Arbeit der Marketingabteilungen grundlegend verändern. Den Mahnungen und Drohungen der Datenschutzbehörden bezüglich des Einsatzes von Tracking-Tools wie Google Analytics oder die Auswertung von Surfverhaltensdaten über IP-Adressen, Flash-Cookies oder DOM Storage folgen jetzt Taten. Der Bundesdatenschutzbeauftragte Peter Schaar stellte am Freitag in Berlin, das vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelte Tool zur Aufdeckung von Datenschutzverletzungen vor.
Der Inhalt im Überblick
Analyse-Tools im Visier der Datenschutzbehörden
Stellvertretend für das Datenschutzproblem bei dem Einsatz von Tracking-Tools wurde das Unternehmen Google von diversen Landesdatenschutzbehörden scharf kritisiert, weil die Datenweitergabe an Google im Rahmen des Einsatzes von Google Analytics nicht datenschutzkonform sei.
Die Frage, ob IP-Adressen personenbezogene Daten (§ 3 Abs. 1 BDSG) oder nur pseudonymisierte (§ 3 Abs. 6a BDSG) personenbezogene Daten sind, ist nach wie vor höchstrichterlich nicht geklärt und somit offen.
Zwar hat Google durch das Anbieten der Funktion „anonymizeIP“, der Einräumung eines Widerspruchsrechts sowie die Möglichkeit über ein Browser-Add-on Google Analytics zu deaktivieren, ihr Entgegenkommen bezüglich des datenschutzkonformen Umganges mit Daten signalisiert, aber nach wie vor ist Google Analytics umstritten.
Verunsicherung beim Einsatz von Google Analytics
Datenschutzbeauftragte und Unternehmen, die mittlerweile das von Google angebotene Tool auf ihre Webseiten eingebunden haben, sind verunsichert. Der Nutzen des Tools ist groß, es bietet eine gute Qualität und verursacht nahezu keine Kosten. Hinzu kommt, dass die Datenschutzbehörden trotz der öffentlichen Kritik den Einsatz von Google Analytics bisher nicht sanktioniert haben. So ist es zu erklären, dass Google Analytics nach wie vor sehr weit verbreitet ist und große Beliebtheit genießt. Auch die Datenschutzbehörde Hamburg hat bis vor kurzem selbst ein Tracking-Tool eingesetzt, das ebenfalls IP-Adressen vollständig, ohne Anonymisierung erfasst und speichert.
Was kann Prividor?
Das Tool Prividor soll im Prinzip Webseiten aufspüren können, die Webanalysetools einsetzen oder in sonstiger Weise das Surfverhalten dokumentieren und auswertbar machen. Auch das Einsetzens des Verfahrens zur History Stealing, also die Technik zum Durchstöbern der Browser-History, soll über Prividor möglich sein. Darüberhinaus soll Prividor problematische Online-Dienste aufdecken, die beispielsweise unverschlüsselte Formulare einsetzen.
Abmahnung und Bußgelder beim Einsatz von Google Analytics?
Es stellt sich die Frage, welche Konsequenzen Unternehmen und öffentliche Stellen durch den Einsatz von Prividor zu erwarten haben. Zunächst einmal wird die Kontrolle Institutionen betreffen, für die der Bundesdatenschutzbeauftragte unmittelbar zuständig ist, die Bundesbehörden sowie die Post- und Telekommunikationsunternehmen.
Der Bundesdatenschutzbeauftragte stellte aber in Aussicht, dass auch die Landesdatenschutzbehörden Prividor einsetzen werden. Damit wären auch die Webseiten von nicht öffentlichen Stellen, also von Unternehmen betroffen, für die die Landesdatenschutzbehörden zuständig wären. Angedacht ist aber auch, das Tool für die Allgemeinheit zur Verfügung stellen. Kritiker sehen darin die Gefahr, dass sich ähnlich wie im Wettbewerbsrecht eine Abmahnindustrie für Datenschutz entwickelt.
Der Bundesdatenschutzbeauftragte beschwichtigte und erklärte, nicht bei jedem Verstoß sofort einschreiten zu wollen. Sofern gegen das Transparenzgebot verstoßen werden würde, wenn beispielsweise eine verdeckte Analyse stattfinden sollte oder die Datenschutzerklärung keinen Hinweis auf den Einsatz von Analysetools enthalte würde, wäre ein Einschreiten sicher geboten.