Wiedermal treibt mich eine “Amtshandlung” in der Wahnsinn und kostet mich (wesentlich schlimmer) unendlich Zeit. Konkreter Anlass dafür ist ein Schreiben des Bayrischen Landesamt für Datenschutzsaufsicht, kurz Bay LDA, das so einige Benutzer von Google Analytics in den letzten Wochen im Briefkasten vorgefunden haben. Hier werden bayrische Firmen (ich vermute auch andere Bundesländer bleiben nicht verschont) und deren Verwendung von Google-Analytics online überprüft. Motivation dahinter ist die  Validierung und anschließende Durchsetzung der im Jahr 2009 vom Düsseldorfer Kreis festgelegten Normen und Vorstellungen zur Reichweitenmessung.
Ich hoffe nicht zu viele Leser schon verloren zu haben, aber Ordnung und Erklärung muss ein. Was also wird genau von Google-Analytics Kunden erwartet:

  • Anonymes Tracking ohne Übergabe der IP -> Kurze Anpassung des Tracking-Codes und fertig!
  • Löschung des alten Profiles -> Für den ein oder anderen ärgerlich aber machbar
  • Information der Nutzer über den Einsatz von Google Analytics -> Kein Ding!
  • Vertrag zur Auftragsdatenverarbeitung

Genau beim letzten Punkt wird es aber dann lustig, da dieser doch die ein oder andere Konsequenz zur Folge hat. Bevor ich in die Tiefen der Auftragsdatenverarbeitung abtauche ist eigentlich erstmal die Frage zu klären ob diese noch Relevant ist. §13 des TMG schreibt die vertragliche Regelung ja nur vor, wenn personenbezogene Daten verabeitet werden. Jetzt habe ich doch mit dem Einfügen des Code Schnipsels _gat._anonymizeIp(); gerade das letzte Octet der IP-Adresse entfernt und den Personenbezug verhindert. Mehr als ein ??? kann ich daraus auch nach investigativer Forschung nicht schliessen.
Findet man sich frustriert damit ab, dass eine entsprechende Änderung notwendig ist, landet man schnell bei den Rahmenbedingungen der Auftragsdatenverarbeitung. Das Bundesdatenschutzgesetz regelt relativ klar welche wechselseitigen Rechte und Pflichten aus einer solchen Verarbeitung entstehen. Ein Beispiel des Irrsinns sind die mir zugestandenen Kontrollrechte gegenüber meinem Verarbeiter. Der Vertrag wird zwar mit Google Deutschland geschlossen aber die Daten vermutlich ja in Amerika verarbeitet. Natürlich ist nichts gegen eine kleine Betriebsreise einzuwenden und so werden wir das nächste Grillfest vermutlich in Übersee machen.
Jetzt kommt aber doch das BDSG im Ausland nicht zum tragen und außerdem gibt es doch noch USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act). Dieses herrliche Apronym das doch eigentlich ALLES erlaubt. Ich hoffe ich habe mich mit dem Link nicht strafbar gemacht.
Das es bei uns keinen “Patriot Act” gibt und Unternehmen die sensible Daten verarbeitet einer strengen Kontrolle unterliegen kann ich darüber hinaus aber nur begrüßen. Die Sicherheit der Datev, einem der ältesten Zahlungs-Cloud-Provider überhaupt, liegt bspw. vielen Euch stärker am Herzen als es Euch bewusst ist. Gerade hier macht Kontrolle, Vorsichtigkeit und Professionalität mit der solche Unternehmen Daten behandeln auch Sinn.
Da ich kein Jurist bin ist der Post vermutlich gespickt von Fehlern und abhängig von Interpretation der Sachlage wird es schon irgendwie RICHTIG sein. Was bleibt ist der Eindruck, dass sich eine Gruppe von Personen so lange auf die Hinterbeine gestellt hat, bis eine entsprechende Regelung zu deren Beruhigung geschaffen worden ist. Das letztendliche Ergebnis ist aus meiner Sicht trotzdem totaler Nonsens.
Was bleibt ist der Beigeschmack, dass die Regelungen und Schutzbehörden nicht wirklich Probleme lösen. Vielmehr wird solange an Formularen und Formulierungen geschraubt, bis sich jeder “Passt schon” denkt. Irgendwann ist dann jeder beruhigt und die nächste Krise kommt bestimmt.
Bevor ich zum pulsreduzierenden Abschluss komme noch ein paar schöne Beispiele aus der jüngeren Vergangenheit:

  • Google Street View war einige Wochen quasi täglich in der Tagesschau und dann konnte man nach Angabe seiner persönlichen Daten das Haus pixeln lassen. Das sich Microsoft einige Zeit später auch an der Digitalisierung versucht hat, blieb dem Großteil der Öffentlichkeit vollkommen verschlossen. Der Dienst ist der Zwischenzeit eingestellt und es gibt in Folge dieses Blödsinns viele hässliche Strassen im digitalen Universum.
  • Die Hälfte aller Posts zu Facebook behandeln die richtigen Privacy-Einstellungen und wie man sich in dem sozialen Netz richtig verhält. Der Medienlandschaft würde ohne dem ständigen Genörgel an den Bedingungen vermutlich soviel Content fehlen, dass man die Möglichkeit (ACHTUNG JETZT KOMMT’s) Facebook einfach nicht zu benutzen nicht wirklich in Betracht zieht.
  • Aktuell gibt es wieder mal Theater über das Meldegesetz, das zeitnah zum Fussballspiel durch den Bundestag ging. Der dort angestrebte Wiederspruch ist natürlich Mumpitz aber glauben dann alle tatsächlich die Sache ist neu. Wer von Euch hat sich nicht über den GEZ-Brief an die neue korrekte Anschrift gewundert, wenn er kürzlich erst das Einwohnermeldeamt verlassen hat.

Meiner Meinung nach machen Google und Facebook einen tollen Job und wenn ich oder wir bei NETWAYS Facebook einmal überdrüssig würden, hat das einfach nur die Abmeldung dort zur Folge. Bis dahin gibt es hier und dort einfach nur Content vom Feinsten, ein Gewinnspiel, Plätze bei der OSMC und dem PuppetCamp, und natürlich auch einen neuen Job.
Das Beste ist jedoch die Tatsache, dass dieser Blog auf einer OpenNebula-KVM in Nürnberg läuft und die IPs der Leser anoymisiert werden!

Bernd Erk
Bernd Erk
CEO

Bernd ist Geschäftsführer der NETWAYS Gruppe und verantwortet die Strategie und das Tagesgeschäft. Bei NETWAYS kümmert er sich eigentlich um alles, was andere nicht machen wollen oder können (meistens eher wollen). Darüber hinaus startet er das wöchentliche Lexware-Backup und investiert seine ganze Energie in den Rest der Truppe und versucht für kollektives Glück zu sorgen. In seiner Freizeit macht er mit sinnlosen Ideen seine Frau verrückt und verbündet sich dafür mit seinem Sohn.