EU-Auflagen für Suchmaschinen

Die Datenschützer aus den EU-Mitgliedsstaaten haben eine Reihe von Forderungen nach Auflagen veröffentlicht, die Google, Yahoo und Co. zu kürzeren Speicherfristen und zur Löschung personenbezogener Daten verpflichten sollen.

Die in der Artikel-29-Gruppe versammelten EU-Datenschützer haben am Montag ihre seit längerem erwartete Rechtsmeinung zum Themenkomplex Datenschutz und Speicherpraxis der Suchmaschinenbetreiber abgegeben.

Anlass für die Untersuchung sei die steigende Zahl von User-Beschwerden über Beeinträchtigung ihrer Privatsphäre gewesen, heißt es seitens des EU-Datenschutzgremiums.

Das Umfeld

Das Dokument ist freilich auch im Lichte der kürzlich erfolgten Übernahme von DoubleClick, dem führenden Vermarkter von Werbebannern, durch US-Suchmaschinenprimus Google zu sehen.

Zudem hat Auch-Suchmaschinenbetreiber Microsoft angekündigt, seinen Such-Konkurrenten Yahoo im Zweifel "unfreundlich" übernehmen zu wollen.

Der Zweck der Sammlung

Alle erwähnten Unternehmen sammeln und aggregieren personenbezogene Daten - freilich ohne einen "umfassenden Überblick zu geben, für welchen genauen und legitimen Zweck welche personenbezogenen Daten gesammelt werden", monieren die Datenschützer.

Und sie fordern: "Wenn persönliche Daten gespeichert werden, dann darf das nicht länger sein, als für einen genau definierten Zweck notwendig" sei. Eine nachträgliche "Zweckumwidmung" sei nach EU-Recht jedenfalls nicht möglich.

Was verboten ist

"Verschiedene Suchmaschinenbetreiber scheinen die Daten überhaupt auf unbestimmte Zeit zu sammeln, was verboten ist", merkt die Artikel-29-Gruppe an.

Die bisher abgegebenen Stellungnahmen seitens der Unternehmen zum Zweck ihrer Datensammlungen, ließen nicht erkennen, warum eine Speicherdauer jenseits von sechs Monaten gerechtfertigt sei.

Für den Fall, dass personenbezogene Daten länger als über diesen Zeitraum gespeichert werden sollen, müssten die Firmen "umfassend demonstrieren, dass dies unumgänglich notwendig" sei, heißt es in der Rechtsauffassung der Datenschützer.

Cookies bis 2076

Des Weiteren wird kritisiert, dass Cookies - Textdateien, die vom Browser mit dem Aufruf von Websites heruntergeladen werden und dem Benutzer eine unverwechselbare ID-Nummer zuordnen - mit exzessiven Ablaufdaten einherkämen.

Das mag ein jeder User in seiner Cookie-Datei selbst nachprüfen. Die auf der Workstation des Autors dieser Zeilen vorhandenen Cookie-Ablaufdaten von Microsoft, Google und Yahoo bewegen sich im Zeitraum von 2010 über 2017 und 2021 bis 2037, letztere stammen alle von Yahoo.

Den Vogel aber schießt die Domain-Registrierungsfirma Network Solutions ab, deren "Keks" erst am am 4. Juli 2076 erlöschen wird.

Einmalige ID

Da alle diese Dateien mit einer einmaligen ID-Nummer versehen sind, gelten sie als personenbezogene Daten, wie die EU-Experten mehrmals betonen.

Und diese müssten eben retroaktiv und vor allem weltweit gelöscht werden, wird festgestellt, wenn kein unmittelbarer Zweck der Datensammlung feststellbar sei.

Zustimmung und Information

Sobald die individuellen Benutzerprofile mit Daten aus anderen Quellen "angereichert" werden, dürfe das nicht ohne die Zustimmung des Benutzers geschehen.

Dazu wird mehrfach betont, dass die verpflichtende Information eines Benutzers, dessen Daten verarbeitet werden, durch die verarbeitende Institution einer der Grundpfeiler aller europäischer Datenschutzgesetze ist.

Möglichkeit zur Korrektur

Ebenso ist es nach Ansicht der Arbeitsguppe essenziell, dass registrierte Benutzer über ein webbasiertes System Zugang zu den über sie gespeicherten Daten haben, um falsche oder veraltete Daten zu korrigieren.

Gleiches gelte für personenbezogene Informationen, die zwar an ihrem ursprünglichen Publikationsort bereits gelöscht sind, jedoch im Cache der Suchmaschine weiterhin abrufbar sind.

• Microsoft will Yahoo übernehmen

• EU-Datenschutz auch für Google & Co

• Mobilmachung gegen GoogleClick

• Das EU-Dokument im Volltext

Die Auswirkungen

Zusammengefasst lässt sich sagen: Wenn die EU-Kommission auch nur einen Teil dieser in der Rechtsmeinung angeführten Punkte in eine Regelung überführt, dann steht den Searchengine-Betreibern eine profunde Umstellung bevor, was Geschäfte mit Benutzerprofilen und zielgerichteter Werbung in Europa angeht.

Erste Reaktion von Google

In einer ersten Reaktion vom Montag verteidigte Googles Datenschutzbeauftragter Peter Fleischer die Vorgehensweise seines Unternehmens, die Nutzerdaten für 18 Monate zu speichern.

Nur durch Analyse der Nutzerbewegungen im Netz könne Google seine Suchmethoden weiter verfeinern.

Fleischer spricht sich auch dagegen aus, die IP-Adresse eines Nutzers als personenbezogene Information zu betrachten. Googles eigene Analysen hätten ergeben, dass es darauf ankomme, wie die IP-Adressen vom Suchmaschinenbetreiber verwendet würden.

• Fleischers Reaktion im Google-Blog

(futurezone | Erich Moechel)