datum 02/2011

Inhalt

Themen

Tracking mittels Cookies: Nicht ohne Einwilligung der User

Die Auswertung des Surfverhaltens von Usern ist für die Onlinewerbebranche ein lukratives Geschäft; allerdings greift dies in die Privatsphäre ein. In Europa gibt es nun Bemühungen seitens der Gesetzgeber, aber auch der Branche selbst zur Stärkung der Userrechte. So sollen die Internetnutzer der Analyse ihrer Daten künftig widersprechen können. Zwischen Werbern und Datenschützern gibt es jedoch Differenzen bezüglich der Umsetzung dieses Vorhabens.

Wer im Internet unterwegs ist, hinterlässt Spuren. Ähnlich wie bei einer Winterwanderung anhand der Fusstapfen im Schnee, lässt sich im Web u.a. mittels der im Browser gespeicherten Textdateien (so genannte Cookies) der zurückgelegte Weg eines Users, seine IP-Adresse, der ungefähre geographische Standort, alle auf einer bestimmten Seite eingegebenen Angaben (bspw. Suchergebnisse oder Formularangaben) und noch vieles mehr ermitteln. Um an solche Spuren zu gelangen, setzt die Onlinewerbebranche u.a. Drittanbietercookies ein. Ausgewertet werden die gesammelten Informationen von spezialisierten Agenturen, die daraus Nutzerprofile generieren und sie der Werbewirtschaft verkaufen. Die verhaltensgesteuerte Werbung (Online Behavioural Advertising, OBA) ist ein lukratives Geschäft für beide Seiten, denn je genauer Unternehmen ihre potentiellen Kunden kennen, umso gezielter können sie sie bewerben.

Für die Privatsphäre des Users ist diese Praxis ist allerdings problematisch. Die beim Surfen anfallenden Daten können Dritten Aufschluss geben über seine Vorlieben, Einstellungen und sein Verhalten. «Geschwätzig» sind insbesondere die Drittanbieter-Cookies, die nicht vom Betreiber der Website, sondern von einem Dritten, etwa vom Auftraggeber eines Werbeinserats, gesetzt werden. Da die werbeschaltenden Agenturen in grossen Netzwerken organisiert sind und die Userdaten untereinander austauschen, entstehen riesige Datenberge, die sich wiederum mit anderen Informationen aus dem Web verknüpfen lassen. Besuchern einer Site ist selten klar, welche Informationen über sie erfasst werden, wer auf sie Zugriff erhält und zu welchen Zwecken sie verwendet werden. Das Recht jedes Einzelnen, selbst über seine Daten zu verfügen, wird ausgehebelt.

Zwei Ansätze in Europa: Gesetz vs. Selbstverpflichtung

Dieser Missstand soll nun behoben werden, zumindest wenn es nach dem Willen der EU geht. Gestützt auf die 2009 revidierte e-Privacy-Richtlinie fordert sie mehr Transparenz und Sicherheit für die Verbraucher im Netz. Konkret sollen Cookies nicht ohne die ausdrückliche Einwilligung der User auf deren Browser platziert werden dürfen. Auch verlangt die Richtlinie eine umfassende und klare Information der Nutzer über die Zwecke, zu denen die mit den Cookies erfassten Daten verwendet werden. Die Umsetzung dieser Vorgaben habe so „benutzerfreundlich wie möglich" zu erfolgen. Die Richtlinie muss in den Mitgliederstaaten der EU noch umgesetzt werden. Die ursprünglich dafür vorgesehene Frist ist am 25. März dieses Jahres abgelaufen.

Der Online-Werbebranche ist diese aus ihrer Sicht zu strenge gesetzliche Regelung ein Dorn im Auge. Sie macht sich für einen auf Selbstregulierung basierenden Ansatz stark. Führende Unternehmen wie AOL, Google, Microsoft und Yahoo haben daher ein Abkommen unterzeichnet, in dem sie sich freiwillig zur Einhaltung bestimmter Regeln im Umgang mit Online-Nutzerdaten verpflichten. Wird auf einer Website OBA eingesetzt, kann der Besucher per Klick auf ein dort angebrachtes Icon in Erfahrung bringen, wer die Werbung schaltet, wozu seine Nutzerdaten verwendet werden und wie er sich ihrer Erfassung widersetzen kann.

Diese Opt-Out-Variante, im April 2011 eingeführt, aber erst von 10 Prozent der Mitglieder des Branchenverbandes IAB eingesetzt, genügt den Europäischen Datenschützern nicht. Verhaltensgesteuerte Werbung müsse in den Browsern standardmässig unterbunden und nur auf ausdrücklichen Wunsch des Nutzers zugelassen werden, fordern sie. Und bemängeln an der jetzigen Variante der Branche u.a. die ungenügende Klarheit der Informationen, die beim Klick auf das Icon erscheinen.

Auch nach Schweizer Recht sind OBA-Verfahren nur bei ausreichender Transparenz und Information zulässig. Welche Folgen die EU-Richtlinie für die Schweizer Online-Werbebranche haben wird, ist bis zu deren konkreten Umsetzung in den EU-Mitgliedstaaten noch nicht absehbar. Der EDÖB steht diesbezüglich mit der Branche in Kontakt.

Quellen:

Kurz beleuchtet

Öffentlichkeitsgesetz.ch: Portal für eine transparente Verwaltung

Vor fünf Jahren ist in der Schweiz das Öffentlichkeitsgesetz in Kraft getreten, das zu einer transparenteren Bundesverwaltung beitragen soll. Jede Bürgerin und jeder Bürger kann seither Einsicht in amtliche Dokumente verlangen, und zwar ohne eine Begründung liefern zu müssen. Wer aber ein Gesuch stellt, stösst in der Praxis bei den zuständigen Stellen noch häufig auf Widerstand. Auch ist vielen Menschen die Existenz des Öffentlichkeitsgesetzes gar nicht oder kaum bekannt.

Der Verein Öffentlichkeitsgesetz.ch will nun mit dem gleichnamigen Onlineportal Schwung in die Sache bringen und das Öffentlichkeitsgesetz in der Schweiz zu einem griffigen Instrument v.a. für Medienschaffende machen. Die Redakteure bewerten Amtstellen, publizieren zugänglich gemachte Dokumente und berichten im Blog über aktuelle Entwicklungen. Bürgerinnen und Bürger, die von einer Kantons- oder Bundesbehörde erstellte Dokumente einsehen wollen, finden auf dem Portal Formulare, über die sie ihr Zugangsgesuch schnell und unkompliziert der gewünschten Behörde zustellen können.

Die Betreiber der Website erhielten Anfang November den 6. Medien-Award 2011 des Vereins „Qualität im Journalismus" für ihren Beitrag zur Qualitäts- und Rechercheförderung im Deutschschweizer Journalismus.

Weitere Informationen: http://www.oeffentlichkeitsgesetz.ch/

Aus der Presse

Gerichtsurteil: Bankkunden haben ein Recht auf ihre Daten

Das im Datenschutzgesetz verankerte Auskunftsrecht gilt auch für Banken, weshalb sie ihren Kunden grundsätzlich Zugang zu deren Daten gewähren müssen. Dieser vom EDÖB schon immer vertretenen Position hat sich nun auch das Zürcher Obergericht angeschlossen. Es war das erste Mal, dass sich ein höheres Schweizer Gericht mit dieser Frage befasste.

Das Obergericht hatte den Fall zweier Kunden einer Schweizer Grossbank zu beurteilen, die im Rahmen einer Auseinandersetzung mit der Bank Einblick in die im internen Informationssystem gespeicherten Beratungsprotokolle verlangt hatten. Den Einwand der Bank, den Klägern ginge es nicht um den Datenschutz, sondern um finanzielle Interessen, liessen die Richter nicht gelten. Bankkunden hätten das Recht darauf, Einblick in die von ihrer Bank bearbeiteten und sie betreffenden Daten zu erhalten. Die Beweggründe seien dabei irrelevant. Die Bank hat das Urteil an das Bundesgericht weitergezogen.

Quellen:

  • Gericht fällt Urteil zugunsten geprellter CS Bankkunden. Tages-Anzeiger vom 18.10.2011.
  • Credit Suisse geht wegen Datenstreit vor Bundesgericht. Tages-Anzeiger vom 12.11.2011.
Tipps

Kreditkarten: Auswertung von Kundendaten zu Marketingzwecken

Informationen über das Kaufverhalten der Konsumenten sind begehrt, denn sie ermöglichen es Unternehmen, potentielle Kundinnen und Kunden gezielter anzusprechen. Führende Kreditkartenunternehmen planen seit einiger Zeit, ihre Kundendaten auf den Markt zu bringen, um damit Profit zu machen. Es handelt sich dabei zwar vorwiegend um aggregierte, also nicht personenbezogene Daten; verknüpft mit Personendaten können sie aber durchaus zu datenschutzrechtlich problematischen Aussagen führen. Inhaber einer Mastercard-Kreditkarte, die keine Auswertung ihrer Daten zu Marketingzwecken wünschen, können sich auf der Website der Firma dagegen aussprechen.

In eigener Sache

Erläuterungen zum Cloud Computing

Immer mehr Unternehmen und Behörden/Institutionen lagern ihre bisher typischerweise intern erledigten Datenverarbeitungen an externe Unternehmen aus («Outsourcing») und setzen dafür auf «Cloud Computing» (deutsch: «Rechnen in der Wolke»). In seinen Erläuterungen zum Thema nennt der EDÖB die Risiken des Cloud Computings für die Privatsphäre und gibt Empfehlungen im Hinblick auf den Datenschutz ab.

Neuerscheinungen

Joachim Günter: Privatsphäre. Erschienen in: Schriftenreihe Vontobel-Stiftung 2011 (kann kostenlos bestellt werden).

Agenda 2012
  • 27. Januar 2012: 6. Europäischer Datenschutztag
  • 23. März 2012: Weiterbildungsveranstaltung Universität Freiburg, EDÖB: Datenschutz und neue Technologien, insbesondere soziale Netzwerke
«datum» ist eine Publikation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und erscheint zweimal jährlich. Beiträge aus dem «datum» dürfen mit Quellenangabe kopiert bzw. weiterverwendet werden.

Verantwortlicher Redaktor: Francis Meier

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/newsletter/aeltere-newsletter/datum-02-2011.html