EdöB: Internetpranger am Pranger

Wie der eidgenössische Datenschutzbeauftragte Hanspeter Thür im 20. Tätigkeitsbericht (PDF) ausführt, sei im Jahr 2012 einiges erreicht worden – aber wie immer bleibt viel zu tun. So erwähnte er den Durchbruch bei der Anonymisierung der AHV-Nummer für das E-Patientendossier und, um beim Thema zu bleiben, die schrittweise Einführung einer zertifizierten Datenannahmestelle zwischen zwischen Leistungserbringern (Spitäler, Ärzte etc.) und Krankenkassen. Auch darf der «Beauftragte» – wie sich der oberste Datenschützer auf Twitter oder im Web nennt – endlich das Personal in seinem Büro anstellen, das ihm vor 6 Jahren im Öffentlichkeitsgesetz zugeteilt worden ist. Er hoffe nun, dass die über 75 pendenten Fälle aus dem Jahr 2012 dieses Jahr massgeblich abgebaut werden können. 

Der umfangreiche Tätigkeitsbericht ist lesenswert. Unter anderem kritisiert Hanspeter Thür Internetpranger, die sich wachsender Beliebtheit erfreuen. Immer häufiger tauchen schwarze Listen im Internet auf mit persönlichen Angaben zu Personen, wie zum Beispiel Kunden, die ihre Rechnungen nicht bezahlen, Behördenmitglieder, die nicht im Sinne des Verfassers entscheiden oder Personen mit einer bestimmten politischen Meinung. Solche Internetpranger verletzen in der Regel die Persönlichkeitsrechte der Betroffenen in widerrechtlicher Weise, gibt Thür zu bedenken. Solche Pranger erfüllen im Allgemeinen kein allgemeines Informationsbedürfnis, und entgegen der landläufigen Meinung können die betroffenen Personen auch dann widerrechtlich in ihren Persönlichkeitsrechten verletzt werden, wenn bereits veröffentlichte Daten neu verknüpft und in einem vollkommen anderen Kontext publiziert werden. 

Ein weiteres Kapitel widmet sich dem Social Media Monitoring. So macht Thür darauf aufmerksam, dass Unternehmen und Behörden vermehrt in Erfahrung bringen wollen, wie sie in den sozialen Medien dargestellt werden. Auf dem Markt sind inzwischen Dutzende von Anbietern von Social-Media-Monitoring-Lösungen präsent, die ihre Tools anbieten. Doch aufgepasst, denn werden bestimmte Personen (natürliche oder juristische) beobachtet, liegt eine Datenbearbeitung im Sinne des Datenschutzgesetzes (PDF) vor. Der Datenschutzbeauftragte macht darauf aufmerksam, dass nicht jede technisch mögliche Bearbeitung von Tweets oder Posts gesetzlich gedeckt ist und empfiehlt Anbietern von Social Media Monitoring, sich auf das für die Auswertungszwecke nötige Minimum zu beschränken (keine Rückschlüsse auf Personen bzw. Unternehmen). Zudem müssen die Benutzer von Social Media Plattformen darüber informiert sein, dass Monitoring-Tools eingesetzt werden.

Gerade an diesem Beispiel zeigt sich beispielhaft, wie Realität und gesetzlicher Anspruch meilenweit auseinanderklaffen. So bietet Twitter selber mit Tweetdeck rudimentäres Social-Media-Monitoring an, ein ad-hoc Social Media Monitoring ist jederzeit möglich, man ist also durch das reine Beobachten von Live-Streams eigentlich schon Datenbearbeiter. Für ein ad-hoc-Monitoring scheint diese Regelung überzogen zu sein, doch sind die Grenzen zwischen ad-hoc und verwertbarem Monitoring natürlich fliessend. Spätestens dann, wenn man Live-Streams in weiterführender Form verfügbar macht (zum Beispiel als Excel-Liste) ist das Datenschutzgesetz wieder am richtigen Ort. 

Eine weitere interessante Begebenheit ist der Hinweis an die Bundesbehörden, dass der Einsatz von Webanalysetools besondere Tücken haben. Google Analytics zum Beispiel ist eines der Web-Analyse-Tools, das weltweit im Einsatz ist. Die Daten zu Nutzern werden auf Google-Servern gespeichert, also nicht lokal beim Webseitenanbieter. Dies ist aus Sicht von Thür gerade bei Webseiten der Bundesverwaltung problematisch, denn Bundesorganen obliegt die Pflicht, sorgsam mit den Personendaten ihrer Bürgerinnen und Bürger umzugehen und sie insbesondere vor dem unbefugten Zugriff einer ausländischen Behörde zu schützen. Gerade in Zeiten der PRISM-Diskussion rund um die Schnüffelaktivitäten des US-Geheimdienstes ist es mehr als nötig, auf solche Begebenheiten dezidiert hinzuweisen. Hier müssen die Bundesbehörden als gutes Beispiel vorangehen. Hanspeter Thür empfiehlt daher, auf den Einsatz von solchen Tools zu verzichten und Alternativen zu prüfen. Unter anderem wird darauf hingewiesen, dass es Webstatistikprogramme gibt, die die anfallenden Daten lokal auf Server abspeichern können, wie zum Beispiel das Open-Source-Tool Piwik.