Schutz der Daten

Durch §9 BDSG und die dazugehörigen Anlagen legt der Gesetzgeber fest, dass die gesammelten Daten gut zu schützen sind. Er gebietet eine Kontrolle des Zutritts, des Zugangs, des Zugriffs, der Weitergabe, der Eingabe, des Auftrags und der Verfügbarkeit. Zudem muss gewährleistet werden, dass für verschiedene Zwecke erhobene Daten strikt voneinander getrennt gespeichert werden.

Auf die einzelnen Kontrollen soll an dieser Stelle nicht weiter eingegangen werden. Zusammenfassend kann man sagen, dass der Erheber von Daten verpflichtet ist, ausreichend in IT-Sicherheit zu investieren und sich über die aktuellen Richtlinien im Umgang mit sensiblen Daten zu informieren.

Häufiges Problem: Logging von Nutzerdaten

In den meisten Fällen sind die Betreiber von CMS an genauen Übersichten über ihre Besucher- und Zugriffsdaten interessiert. Dafür gibt es zahlreiche Softwarelösungen, die auch bei der Visualisierung der Daten helfen. Diese Datenerhebung ist allerdings nicht immer gesetzeskonform, da die meisten Analysetools die IP-Adresse der Besucher speichern.

In der aktuellen Rechtsprechung gilt eine IP-Adresse als persönliches Identifikationsmerkmal und fällt somit unter das Datenschutzgesetz. Im Falle des Apache-Logs ist das Problem relativ einfach zu lösen, indem per Skript die letzten beiden Bytes der IP-Adresse auf Null gesetzt werden. [2] Problematischer wird es mit Diensten wie Google Analytics. Diese Dienste gestatten zum einen nicht das Anonymisieren von IP-Adressen und übermitteln zum anderen die auf der Kundenhomepage erhobenen Daten an einen Server von Google. Die Übertragung entspricht somit einer nicht zulässigen Übermittlung an Dritte. Google nimmt sich zudem das Recht heraus, die durch Analytics gesammelten Daten auszuwerten und zu analysieren.