Artikel 29-Gruppe fordert mehr Datenschutz von Suchmaschinenbetreibern

Dieser Artikel ist auch verfügbar auf:
Englisch: Article 29 WP asks more data protection from search engine operators

In einem Schreiben vom 26. Mai 2010 an die drei großen IT-Unternehmen Google, Yahoo und Microsoft äußert die Artikel 29 Arbeitsgruppe (WP29), eine unabhängige Gruppe von EU-Datenschutzbehörden, Bedenken hinsichtlich Fragen des Datenschutzes und drängt die Unternehmen dazu, den Online-Datenschutz zu verbessern.

In ihrem Schreiben erklärt die Datenschutzgruppe, dass die Suchhistorie einer Person Fußabdrücke der Interessen, Beziehungen und Absichten dieser Person enthalten und „zu Recht als hoch vertrauliche personenbezogene Daten behandelt werden“ und fordert daher die Einschränkung der Aufbewahrungsfrist personenbezogener Daten, die Verminderung der Möglichkeit, User in Suchprotokollen zu identifizieren und die Schaffung eines Prüfprozesses sowie einer unabhängigen und externen Überwachungsbehörde.

Diese Aktion der Datenschutzgruppe 29 ist eine Folge der Analyse jener Antworten, die die WP29 von den Suchmaschinenbetreibern erhalten hatte, nachdem sie im März 2008 eine Stellungnahme über die aus der EU-Datenschutzrichtlinie resultierenden spezifischen Verpflichtungen für Suchmaschinenbetreiber veröffentlicht hatte.

Die Stellungnahme der WP29 hatte die Risiken einer unvollständigen Anonymisierung von Usern angesprochen. „Auch wenn IP-Adressen und Cookies durch einzelne Kennungen ersetzt werden, kann die Zuordnung von gespeicherten Suchanfragen die Identifizierung von Individuen ermöglichen.“

Google sagte zu, IP-Adressen in seinen Serverprotokollen nach neun Monaten durch Löschung der letzten acht Stellen der IP-Adresse zu anonymisieren, doch die WP29 ist der Überzeugung, dass diese Maßnahme „die Identifizierung von Datensubjekten nicht verhindert“. Nach Analyse von Googles Antwort begrüßte die WP29 die Selbstverpflichtung zur Einschränkung der Aufbewahrungsfrist, empfahl jedoch dem Unternehmen dringend, seine Politik zu revidieren und „sie mit der in der Datenschutzgesetzgebung der EU empfohlenen Speicherfrist von höchstens sechs Monaten in Einklang zu bringen“. „Entsprechend der Datenschutzrichtlinie sollte die Speicherdauer nicht länger sein als für spezifische Zwecke der Datenverarbeitung erforderlich, und die Daten danach gelöscht werden“, so der Wortlaut des Schreibens.

Eine weitere Kritik an Google ist, dass das Unternehmen Cookies für einen Zeitraum von 18 Monaten speichert. „Dies würde über einen beträchtlichen Zeitraum die Zuordnung einzelner Suchanfragen ermöglichen. Es dürfte auch jedes Mal, wenn ein Nutzer innerhalb dieser 18 Monate eine neue Anfrage stellt, eine leichte Wiedererkennung von IP-Adressen zu ermöglicht werden.“ Die WP29 schließt daraus, dass das Unternehmen sich nicht an die Europäische Datenschutzrichtlinie hält.

Yahoo! hatte zugestimmt, seine Suchprotokolle nach 90 Tagen „mit wenigen Ausnahmen im Falle von Betrug, wegen Sicherheit oder rechtlicher Verpflichtungen“ zu anonymisieren und die komplette IP-Adresse, und nicht bloß das letzte Oktett zu löschen, doch die WP29 kam zu dem Schluss, dass „eine teilweise Löschung von personenbezogenen Daten, die in Suchprotokollen enthalten sind, keine wahre Anonymität gewährleistet.“ Das Schreiben äußert zudem Bedenken, dass das Unternehmen keine ausreichenden Informationen über seiner Techniken zur Anonymisierung von Nutzerkennungen und Cookies zur Verfügung gestellt hat. Daraus schloss die Gruppe, dass Yahoo! die Europäische Datenschutzrichtlinie ebenso wenig einhält.

Microsofts Selbstverpflichtung bestand darin, Cookies nach einer Suchanfrage sofort unkenntlich zu machen, die zur Suchanfrage gehörigen IP-Adressen nach sechs Monaten zu entfernen und die unkenntlich gemachte Cookie-ID sowie jegliche verbliebenen Cross-Session-Kennungen
nach 18 Monaten zu löschen.

Die WP29 ist jedoch der Ansicht, dass alle Cookies nach sechs Monaten gelöscht werden sollten. „Der technischen Beschreibung zufolge wird nach sechs Monaten eine Pseudonymisierungs- und Hash-Funktion auf die Cookies registrierter User angewandt, doch die Cookies nicht registrierter User werden offensichtlich 18 Monate lang aufbewahrt“, so das Schreiben. Und es wird hinzugefügt, dass der Begriff „anonyme ID“ nicht ganz angemessen sei, da eine Verknüpfung von Suchanfragen scheinbar für einen recht langen Zeitraum möglich ist.

„Zweitens haben Sie keine ausreichenden Informationen über die Pseudonymisierungstechniken bereitgestellt, um die Qualität Ihrer Anonymisierungspolitik technisch beurteilen zu können“, führt die WP29 aus und kommt zu dem Schluss, dass auch Microsoft der europäischen Datenschutzrichtlinie nicht entspricht.

Die Datenschutzgruppe sandte eine Kopie des Schreibens an die US-amerikanische Kartellbehörde (FTC – Federal Trade Commission) und forderte die Einrichtung auf zu prüfen, ob die Geschäftspraktiken der drei Unternehmen in Einklang mit dem Kartellgesetz, das unfaire und irreführende Praktiken verbietet, stehen. Eine weitere Kopie des Schreibens ging an Viviane Reding, Vizepräsidentin der Europäischen Kommission und Kommissarin für Justiz, Grundrechte und Bürgerschaft.

Schreiben der Artikel 29 Arbeitsgruppe an Suchmaschinenbetreiber (Englisch, 26.5.2010)

Datenschutzbehörden weiten Beschwerden gegen Suchmaschinen aus (Englisch, 28.5.2010)

Internetsuchmaschinen von EU-Regulierern gerügt (Englisch, 27.5.2010)