Erhebliche Datenschutzmängel

Prüfungen des Hamburgischen Datenschutzbeauftragten:

Erhebliche Datenschutzmängel bei Internet-Anbietern

Prüfungen des Hamburgischen Datenschutzbeauftragten Dr. Hans-Hermann Schrader bei Anbietern von Internet-Diensten haben ergeben, dass in vielen Fällen Datenschutzvorschriften nicht eingehalten wurden. Insbesondere wurden erheblich mehr personenbezogene Nutzungsdaten gespeichert, als es das Gesetz erlaubt.

Seit Jahresbeginn wurden 27 Anbieter von Tele- und Mediendiensten geprüft, sowohl Anbieter von Internet-Zugangsdiensten („Access- Provider“) als auch Anbieter von Inhalten („Content Provider“). Bei einem Teil der Prüfungen kam das beim Hamburgischen Datenschutzbeauftragten entwickelte Prüftool OPTuM („Online-Prüfung von Tele- und Mediendiensten“) zum Einsatz, das es unter anderem ermöglicht, verdeckte Datenerhebungen (insb. mittels Cookies, Web-Bugs und automatisierte Weiterleitungen) aufzufinden und auszuwerten. Einzelheiten zu diesen neuen Prüfungen ergeben sich aus der noch einmal beigefügten Presseerklärung vom 7.2.2002.

In der Mehrzahl der Fälle haben die Prüfungen ergeben, dass in Logdateien erheblich mehr personenbezogene Nutzungsdaten gespeichert wurden, als es das Teledienstedatenschutzgesetz und der Mediendienste-Staatsvertrag erlauben. Typische Nutzungsdaten sind z.B. Systemdaten, die für die Angebotsvermittlung erforderlich sind (etwa die IP-Nummer des vom Nutzer verwendeten Systems), Daten, die den Nutzer identifizieren (insb. Nutzerkennungen, Passwörter),Beschreibung der nachgefragten Ressource (insb. die URL), technische Angaben, die bei der Internet-Nutzung erkannt werden, d.h. Angaben über die benutzte Hard- und Software, insbesondere das eingesetzte Betriebssystem und den Browsertyp,
spezifische, auf den jeweiligen Dienst zugeschnittene Informationen wie zum Beispiel Anfragen bei einer Suchmaschine.

Die Speicherung von Nutzungsdaten über das Ende der jeweiligen Inanspruchnahme des Tele- und Mediendienstes hinaus ist nur zulässig, soweit die Daten für Abrechnungszwecke erforderlich sind. Dabei ist das Gebot der Datenvermeidung (§ 3a Bundesdatenschutzgesetz) zu beachten. Daten, die nicht für Abrechnungszwecke benötigt werden, sind nach Beendigung des Nutzungsvorgangs zu löschen. Eine Abrechnung mit detailgenauen Angaben ist nur zulässig, wenn der Nutzer einen Einzelnachweis ausdrücklich verlangt.

Weitere Datenschutzmängel betrafen unter anderemschlecht auffindbare oder inhaltlich unzulängliche Datenschutzinformationen,eine unzureichende Anbieterkennzeichnung,die Verwendung von Cookies mit sehr langer Laufzeit,automatische Weitervermittlungen ohne gesetzlich vorgeschriebene Unterrichtung.
Wir haben durchgesetzt, dass die unzulässig gespeicherten Daten gelöscht werden und dass die Praxis der Anbieter auch im Übrigen an die gesetzlichen Vorgaben angepasst wird.


Peter Schaar
datenschutz.hamburg.de
19. September 2002 /das19c