So kann man das neue XAMIT Datenschutzbarometer 2011 zusammenfassen. 82 von 100 deutschen Webseiten verstoßen gegen deutsches Recht. Ein deutlicher Anstieg um 12% gegenüber der Erhebung von 2010.
Insgesamt wurden über 3,2 Millionen Webseiten ausgewertet. Hierbei wurde untersucht ob und welche Shop-Software verwendet wird, ob Google Adsense verwendet wird, ob und welche Webstatistiken genutzt werden, ob Kontaktformulare vorhanden sind und ob sich der Facebook Like-Button im Einsatz befindet. Ebenso wurde das Vorhandensein von Datenschutzerklärungen geprüft.
Hauptübel: Facebook Like-Button und Google Analytics
Zugenommen haben die Datenschutzverstöße besonders bei der Nutzung des Facebook Like-Button von 0,6% in 2010 auf 6,6% in 2011 und dem Einsatz nicht datenschutzkonformer Webstatistiken, die um 12% gegenüber dem Vorjahr gestiegen sind. Der Anstieg bei den Webstatistiken ist in erster Linie auf die Einigung des Datenschutzes mit Google Analytics zurückzuführen, dessen Einsatz jetzt nur noch in der anonymisierten Form mit deutschem Recht zu vereinbaren ist. Immerhin 22% aller deutschen Webseiten haben Analytics im Einsatz.
Wettbewerbsnachteil für datenschutzkonform handelnde Unternehmen
Nachdem das Barometer gleichzeitig verdeutlicht, dass datenschutzkonform handelnde Unternehmen einen Wettbewerbsnachteil von mehr als 7,5 Milliarden Euro gegenüber solchen haben, die gegen deutsches Datenschutzrecht verstoßen, liegt es auf der Hand: Die Unternehmen wissen was sie tun.
Und noch mehr: Die Unternehmen wissen, dass Datenschutzverstöße nur in den wenigsten Fällen zu wirklichen Sanktionen führen. Laut XAMIT Geschäftsführer Dr. Niels Lepperhoff, fehlt den Behörden teilweise sogar die Befugnis, Datenschutzverstöße mit Bußgeldern zu ahnden. Zitat: „Hier müssen sich die Politiker fragen lassen, wie ernst sie es mit dem Datenschutz der ihnen anvertrauten Bürger nehmen.“
Was kann ich also meinen Kunden empfehlen?
In dieser unklaren Situation frage auch ich mich, was kann ich meinen Kunden empfehlen? Sich datenschutzkonform zu verhalten und damit wirtschaftliche Nachteile in Kauf zu nehmen oder zu den 82% Illegaler zu gehören und tracken was das Zeug hält, ohne großes Risiko auf Sanktionen.
Eigentlich sind die Richtlinien klar. Laut Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund, dürfen Nutzungsprofile nur bei der Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes. Die Analyse der vollständigen IP-Adresse ist nur mit bewusster, eindeutiger Einwilligung zulässig. Nachzulesen ist das Ganze unter „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.“
Trackt Daimler datenschutzkonform?
Greifen wir doch einfach mal einen global agierenden Konzern wir Daimler heraus: Unter dem Link „Datenschutz“ steht hier folgendes: „Wenn Sie unsere Webseiten besuchen, speichern unsere Webserver standardmäßig die IP-Adresse…“ „Daimler nutzt Ihre persönlichen Daten zu Zwecken der technischen Administration der Webseiten, zur Kundenverwaltung, für Produktumfragen und für das Marketing nur im jeweils dafür erforderlichen Umfang.“
Hier wird eindeutig meine IP-Adresse für Marketing- und Vertriebszwecke getrackt. Jeder Händler kann somit genau sehen, welche Firma sich für welches Auto interessiert und dem Verkäufer perfekte Daten zur Verfügung stellen. Und das Ganze findet ohne meine Einwilligung statt und ist damit, in meinen Augen zumindest, nicht datenschutzkonform. Aber damit steht Daimler nicht alleine. Laut der XAMIT Studie werden nur auf 2% der untersuchten Webseiten datenschutzkonforme Webstatistik-Tools, die eine Widerspruchsmöglichkeit anbieten, eingesetzt.
Sind unsere Datenschutzrichtlinien zum Webseitentracking sinnvoll?
Meiner Meinung nach ist eine IP-Adresse für den Otto-Normalverbraucher keiner Privatperson zuzuordnen und somit auch keine personenbezogene Information. Wenn Sie mit Telekom, Arcor Vodafone & Co. ins Netz gehen, erhalten Sie immer wieder eine neue IP-Adresse. Lediglich Firmen können sie eindeutig benennen und warum sollen Webseitenbetreiber diese Daten nicht nutzen dürfen?
Aber so ist nun einmal das Gesetz. Nur wird es nicht umgesetzt. Auch von der Datenschutzbehörde selbst erhält man keine klare Auskunft. Auf Anfrage bei der Hamburger Behörde, die die Einigung mit Google bezüglich Analytics verhandelt hat, ob ich meinen Kunden empfehlen darf, mit einem Datenschutz-Zusatz wie Daimler auch wie diese zu tracken habe ich nur die Antwort erhalten: „Wir sind für Daimler nicht zuständig, das machen unsere Kollegen aus Baden Württemberg.“ Der Buchbinder Wanninger lässt also grüßen. Eine Entscheidungshilfe ist jedenfalls nicht gegeben. Somit bleibt weiterhin die Gewissensfrage, die wohl jeder für sich selbst entscheiden muss: Möchte ich eine datenschutzkonforme Webseite, oder nutze ich die Vorteile, die viele Programme bieten, die personalisiert tracken?
Das XAMT Fazit
„Datenschutzskandale sind mittlerweile an der Tagesordnung und die Aufsichtsbehörden leiden unter extremem Personalmangel, so dass eine flächendeckende Kontrolle faktisch nicht stattfindet. Was ist also zu tun? Hier ist die Politik gefordert, einen wirksamen Datenschutz durchzusetzen. Dazu gehört insbesondere eine adäquate Ausstattung der zuständigen Aufsichtsbehörden. Wirksamer Datenschutz ist die Voraussetzung, damit Bürger und Konsumenten vertrauen können. Fehlendes Vertrauen führt zu empfindlichen Wohlstandverlusten, denn Käufe unterbleiben und zudem erhalten nicht datenschutzkonforme Unternehmen ungerechtfertigte Wettbewerbsvorteile.“
Was ist Ihre Meinung? Wie verhalten Sie sich als Unternehmer? Was raten Sie Ihren Kunden? Ein wirklich schwieriges und heikles Thema!
Kai-Uwe Gutsch
(Follow Me – Der Social Media und Online Marketing Blog)