Die Beauftragte für den Datenschutz und die Informationsfreiheit

Internet

Hinweise zur Speicherung Ihrer IP-Adresse beim Surfen, zur Veröffentlichung Ihrer Daten im Internet durch den Provider und zu weiteren Themen.

Weitere ausführliche Informationen finden Sie unter Datenschutz - Telefon und Internet.

Ein Website-Betreiber nutzt den Google Analytics Service. Ist das zulässig?

Google Analytics ist ein Werkzeug um Webanalysen durchzuführen. Anbieter von Websites, die dieses Werkzeug einsetzen, können so gezielt Informationen über die Zugriffe auf ihr Internet-Angebot erhalten und auswerten. Google Analytics und auch Analysetools von anderen Anbietern erlauben es den Website-Betreibern, durch Auswertung des Nutzungsverhaltens ihr Angebot zu optimieren. Unter den Voraussetzungen des Telemediengesetz (TMG) §15 Absatz 3 ist die Erstellung von Nutzungsprofilen (entspricht dem Nutzungsverhalten) grundsätzlich zulässig. Zur Erstellung von Nutzungsprofilen werden, falls Google Analytics eingesetzt wird, die auf der Website erhobene IP-Adresse (in gekürzter Form) an Google Inc. in die USA weitergegeben. Nach der Aufhebung des Safe-Harbor-Abkommens im Oktober 2015 gab es jedoch keine gesetzliche Grundlage zu dieser Datenübermittlung in die USA. Mittlerweile hat die Google Inc. die Zertifizierung gemäß dem EU-US-Privacy Shield durchgeführt, sodass eine Datenübermittlung im Rahmen einer Auftragsdatenverarbeitung nunmehr grundsätzlich wieder zulässig ist.

Hinsichtlich der Vorgaben, die sich aus dem Telemediengesetz § 15 Absatz 3 und § 13 TMG Absatz 1 Satz 1 ergeben, hat Google nach langen Verhandlungen das Verfahren für den Einsatz in Deutschland so geändert, dass die Betroffenen ihr Recht auf Widerspruch, Information und Auskunft sowie Löschung der Daten gemäß TMG nun wirksam wahrnehmen können. Der Hinweis auf Widerspruch zur Datenerhebung mittels Google Analytics findet sich jedoch oft innerhalb der Datenschutzerklärung versteckt.

Die Webseiten-Anbieter müssen jedoch bestimmte Vorgaben umsetzen, damit ein beanstandungsfreier Betrieb von Google Analytics möglich ist. So hat das Landgericht Hamburg in einer einstweiligen Verfügung vom 10.03.2016 (Az. 312 0 127/16) einem Webseiten-Betreiber den Einsatz von Google Analytics untersagt, da dieser die Besucher des Internet-Angebots nicht zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichtet hat.

Für die datenschutzrechtliche Kontrolle der Website-Anbieter auch hinsichtlich des rechtskonformen Einsatzes von Google Analytics und anderer Analyse-Werkzeuge sind die Aufsichtsbehörden der Länder zuständig. Die Zuständigkeit richtet sich dabei nach dem Sitz der jeweiligen Firma bzw. des Wohnortes des Privatanbieters und liegt somit bei der jeweiligen Landesdatenschutzbehörde. Die Websites von Bundesbehörden unterliegen direkt meiner Datenschutzaufsicht.

Wie erfahre ich, ob ich von der Überwachung durch PRISM betroffen bin?

PRISM ist ein Programm zur Überwachung und Auswertung elektronischer Medien und elektronisch gespeicherter Daten. Es wird von der US-amerikanischen National Security Agency (NSA) geführt. Da deutsches Recht ausschließlich deutsche Stellen bindet, ist es auf die Aktivitäten ausländischer Behörden nicht anwendbar.

Dies bedeutet, dass Sie sich nur mit einem Antrag auf Auskunft unmittelbar an die NSA wenden können, um ein ggf. nach nationalem US-amerikanischem Gesetz bestehendes Auskunftsrecht geltend zu machen.

Die Möglichkeiten und die Verfahren, Auskunft nach dem sogenannten „Privacy Act“ zu beantragen, sind unter http://www.nsa.gov/public_info/foia/submit_privacy_act_request/index.shtml abrufbar.

Die Seite ist leider nur in Englisch verfügbar.

Darf meine dynamische IP-Adresse von meinem Internet-Zugangsanbieter gespeichert werden, obwohl ich eine Internet-Flatrate abgeschlossen habe?

Gemäß § 96 Abs. 1 und 2 Telekommunikationsgesetz gilt, dass die Internet-Zugangsprovider Verkehrsdaten – und somit auch dynamische IP-Adressen – grundsätzlich nach dem Ende der Verbindung löschen müssen. Eine Verwendung dieser Daten über das Ende der Verbindung hinaus ist nur für bestimmte gesetzlich vorgesehene Zwecke zulässig, so etwa für die Entgeltberechnung und die Abrechnung mit dem Kunden. Da das Prinzip einer Flatrate gerade darin besteht, dass die Internetverbindungskosten pauschal abgerechnet werden, ist eine Speicherung der jeweiligen IP-Adresse des Flatrate-Kunden zu Abrechnungszwecken grundsätzlich unnötig.

Unter Umständen kann eine vorübergehende Speicherung der IP-Adresse aber nach § 100 Abs. 1 Telekommunikationsgesetz erforderlich sein, um Störungen oder Fehler in der Telekommunikationsanlage feststellen und beheben zu können. Da eine solche Störungsbeseitigung zeitnah erfolgen muss, ist es allerdings angemessen, die Speicherung der IP-Adressen auf einen Zeitraum von bis zu maximal 7 Tagen zu beschränken. Dieser Auffassung der BfDI hat sich vor kurzem auch der Bundesgerichtshof in einer Entscheidung zu den Voraussetzungen für die Befugnis zur Speicherung von dynamischen IP-Adressen explizit angeschlossen.

Meine E-Mails bei Google Mail werden gefiltert. Ist das zulässig?

Google Mail ist ein webbasierter E-Mail-Service und wie viele andere Web-Mail-Dienste durchsucht auch Google den Inhalt der E-Mails, um den Nutzer vor Viren zu schützen und vor Spam (das heißt unerwünschte Werbe-E-Mails) zu bewahren – aber bis vor Kurzem, auch zum Erkennen bestimmter Inhalte zu Werbezwecken.

Stand in der E-Mail zum Beispiel das Wort Urlaub, so erhielt der Nutzer bei der Bearbeitung seiner E-Mail Werbeanzeigen der Firmen, die dieses Schlüsselwort bei Google gekauft hatten. Gefiltert wurden aber nicht nur E-Mails von Google-Mail-Kunden, an andere Google-Kunden, sondern auch solche E-Mails, die an diese gesendet wurden.

Zu diesem seit Jahren von Datenschützern, Verbraucherverbänden, aber auch von Kunden kritisierten Analyseverfahren der E-Mail-Texte hatte Google im Juni 2017 eine Änderung angekündigt. E-Mail-Texte sollen demnach nicht mehr als Input für personalisierte Werbung genutzt werden. Stattdessen will Google das Verfahren zur Personalisierung der Werbung produktübergreifend vereinheitlichen und zur Auswahl von Werbeanzeigen auf die vom Nutzer gewählten Einstellungen zurückgreifen. Seit Mai 2018 kann nun endlich personalisierte Werbung abgeschaltet werden. Die Abschaltung von Werbung insgesamt ist bis heute nicht möglich.

Zur Spam-Erkennung und zum Schutz vor Viren sowie zu anderen Zwecken, wie dem Smart Replay, werden die Texte der E-Mail weiter analysiert.

Vor diesem Hintergrund sollten Sie sich auch mit den datenschutzrechtlichen Bestimmungen bei Google Mail beschäftigen. Diese können Sie einsehen unter

https://policies.google.com/privacy?hl=de.

Wie ist der Einsatz des Google Browsers Chrome aus datenschutzrechtlicher Sicht zu bewerten?

Mit Chrome hat Google einen eigenen Browser auf den Markt gebracht, der aus datenschutzrechtlicher Sicht kritisch zu beurteilen ist. Nach meinen Erkenntnissen gibt die Standard-Konfiguration unnötig viele Nutzerdaten preis und die Verwendung ist nicht zu empfehlen.

So pflanzt Chrome beispielsweise bei der Installation einen Globally Unique Identifier (GUID) ins Nutzerkonto des Anwenders. Das führt dazu, dass ein Computer unabhängig von der IP-Adresse oder dem Vorhandenseins eines spezifischen Cookies jederzeit für Google wiedererkennbar ist. So ist es technisch möglich, jede Suchanfrage und jede Aktivität eines Nutzers im Einflussbereich von Google über lange Zeit miteinander zu verknüpfen. Der GUID wird auch verwendet um die gewählte Spracheinstellung zu speichern sowie  um nachzuvollziehen, welche Datenerfassung Sie abgelehnt haben. Desweiteren wird der GUID  zur Speicherung von Marketingdaten verwendet.

Wie Sie derartige Standard-Kofingurationen ändern können und weitere allgemeine datenschutzrechtliche Hinweise zu diesem Browser stehen Ihnen zur Verfügung unter
http://www.google.com/chrome/intl/de/privacy.html?hl=de

Eine beispielhafte, datenschutzfreundliche Konfiguration zeigt das Unabhängige Datenschutz Zentrum Saarland anhand einer älteren Version unter https://datenschutz.saarland.de/it-sicherheit/browsersicherheit/google-chrome/.

Ich möchte einer Veröffentlichung meiner Daten bei Google Street View widersprechen. Wie geht das?

Google Street View ermöglicht die digitale Erfassung von Fotos von Gebäude- und Grundstücksansichten, die über Geokoordinaten eindeutig lokalisiert und damit einer Gebäudeadresse und dem Gebäudeeigentümer sowie den Bewohnern zugeordnet werden können. In der Regel handelt es sich dabei um personenbezogene Daten, deren Erhebung und Verarbeitung nach dem Bundesdatenschutzgesetz zu beurteilen ist.

Die Erhebung, Speicherung und Bereitstellung zum Abruf ist nur zulässig, wenn nicht schutzwürdige Interessen der Betroffenen überwiegen. Bei der Beurteilung schutzwürdiger Interessen ist von Bedeutung, für welche Zwecke die Bilddaten verwendet werden können und an wen diese übermittelt bzw. wie diese veröffentlicht werden. Keine schutzwürdigen Interessen bestehen, wenn die Darstellung der Gebäude und Grundstücke so verschleiert beziehungsweise abstrakt erfolgt, dass keine individuellen Eigenschaften mehr erkennbar sind.

Die obersten Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft (sogenannter Düsseldorfer Kreis) sind sich einig, dass die Veröffentlichung von georeferenziert und systematisch bereit gestellten Bilddaten unzulässig ist, wenn hierauf Gesichter, Kraftfahrzeugkennzeichen oder Hausnummern erkennbar sind. Sie haben daher im November 2008 einen Beschluss gefasst, wonach den betroffenen Bewohnern und Grundstückeigentümern die Möglichkeit einzuräumen ist, der Veröffentlichung der sie betreffenden Bilder zu widersprechen und dadurch die Bereitstellung der Klarbilder zu unterbinden.

Betroffene können der Veröffentlichung Ihrer Daten nun widersprechen unter
http://www.google.de/intl/de/help/maps/streetview/faq.html#q7

Weitere Informationen zu den Verhandlungen zwischen dem Unternehmen Google Inc. und den Datenschutzbehörden der Länder können Sie dem Internetangebot des Hamburgischen Datenschutzbeauftragten entnehmen.

Meine Daten werden bei der Suchmaschine Google angezeigt. Kann ich meine Daten löschen lassen?

In den meisten Fällen gibt die Google-Suchmaschine nur ein korrektes Abbild der im Internet veröffentlichten Daten wieder. Sofern Sie sich dadurch in Ihren Rechten verletzt sehen, müssen Sie zunächst gegen den Anbieter der Website, die Ihre Daten veröffentlicht hat, vorgehen und gegebenenfalls die hierfür datenschutzrechtlich zuständige Aufsichtsbehörde für den nicht-öffentlichen Bereich einschalten. Eine Liste der Kontaktdaten der Aufsichtsbehörden können Sie unter der Rubrik Anschriften und Links einsehen.

Ausschließlich in Fällen, in denen zum Beispiel eindeutig rechtswidrige Inhalte vorhanden sind und nicht gegen den Anbieter vorgegangen werden kann oder wenn Informationen, die auf der ursprünglichen Website nicht mehr vorhanden sind, noch im Cache von Google abrufbar sind, kann die Datenschutzaufsichtsbehörde in Hamburg helfen.

Bitte wenden Sie sich in diesen Fällen direkt an die insoweit zuständige Aufsichtsbehörde, den Hamburgischen Datenschutzbeauftragten, Klosterwall 6 (Block C), 20095 Hamburg oder mailbox@datenschutz.hamburg.de

Sie haben aber auch selbst die Möglichkeit, Seiten aus dem Suchindex von Google zu löschen: Nach (zwingender) Registrierung bei Google können Anträge auf Löschung von Webseiten gestellt werden. Bitte nutzen Sie hierfür den Link
https://www.google.com/webmasters/tools/removals?hl=de


Für diesen Service steht Ihnen auch eine Hilfefunktion zur Verfügung unter
http://www.google.com/support/websearch/bin/answer.py?answer=92865&hl=de

Grundsätzliche Informationen zu dem Thema Datenschutz bei Suchmaschinen entnehmen Sie dem Arbeitspapier WP 148 der Artikel-29-Gruppe, des unabhängigen Beratungsgremiums der Europäischen Union in Datenschutzfragen.