Als Webseitenbetreiber steht man mit einem Bein im Gefängnis, zu groß ist die Gefahr, ein unzulässiges Impressum zu verwenden, im Forum bedenkliche Kommentare zu haben oder mit einem Foto eines Würstchens mit Kartoffelsalat Abmahngebühren in Höhe von 1000 € zu riskieren. Von solch paradiesischen Zuständen, nur ein lächerliches Bein im Kerker zu haben, können die Betreiber kirchlicher Gemeindehomepages nur träumen. Für sie ist die Lage noch um einiges kniffliger.
Natürlich ist die Lage nicht ganz so dramatisch. Obwohl das Geschäft der Abmahnanwälte blüht, bleiben die meisten Seitenbetreiber von Rechtstreitereien verschont, wenn sie einige Vorsichtsmaßnahmen befolgen. Tatsächlich aber sollte der Anbieter einer kirchlichen Internetpräsenz nicht glauben, auf sicherem Boden zu stehen, weil er sich an staatliches Recht hält. Das gilt für ihn – aber er muss noch mehr beachten.
Vom Kirchenrecht haben viele schon einmal etwas gehört und denken dabei an Presbyteriumswahlen oder Fälle, in denen kirchlichen Mitarbeitern gekündigt wurde, weil ihr Lebenswandel nicht den Moralvorstellungen der jeweiligen Konfession genügte. Das Kirchenrecht geht aber viel weiter. So haben sich beispielsweise sowohl die evangelische als auch die katholische Kirche ein eigenes Datenschutzrecht gegeben. Das liest sich zwar in weiten Teilen wie das BDSG, weicht jedoch in Details ab.
Streng genommen geht es schon bei der Wahl des Webhosters los. Bietet dieser mehr als nur den reinen Rechnerbetrieb an, sondern kümmert sich auch noch um den Webserver selbst und bietet vielleicht noch eine schöne Logfilestatistik, erhebt er mit den IP-Adressen personenbeziehbare, bei entsprechend programmierten Anwendungen mittels der aufgerufenen URIs auch personenbezogene Daten und betreibt damit eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG – könnte man meinen und lehnt sich entspannt zurück, weil die üblichen Hostingverträge diesen Fall abdecken. Da es sich aber um eine kirchliche Internetpräsenz handelt, greift bei der evangelischen Kirche § 11 DSG-EKD, und der sieht in Absatz (4) vor, dass sich der Auftragnehmer dem kirchlichen Datenschutzgesetz und der Kontrolle kirchlicher Datenschutzbeauftragter unterwirft. Es kommt noch besser: Vor Vertragsabschluss muss die Genehmigung der nach kirchlichem Recht zuständigen Stelle vorliegen – nach § 4 (1) DSVO das Landeskirchenamt. Jetzt sehen wir uns einmal um und fragen uns, wie viele von einem internetbegeisterten Pfarrer mit Hilfe eines gerade in die Welt des Programmierens vordringenden Konfirmanden zusammengeklickten Internetpräsenzen diesen Kriterien genügen. Was Google mit jemandem anstellt, der an die Türen ihrer Rechenzentren klopft, sich als kirchlicher Datenschutzbeauftragter vorstellt und sich von der Wirksamkeit der technischen und organisatorischen Maßnahmen überzeugen will, steht ohnehin auf einem anderen Blatt.
Das weiß die Kirche natürlich auch, und deswegen bietet beispielsweise die Evangelische Kirche im Rheinland schon seit mehreren Jahren ihren Gemeinden an, Homepages auf kirchlicher Infrastruktur zu betreiben. Jetzt endlich, sollte man meinen, ist alles rechtlich sauber geregelt.
Wäre da nicht Google Analytics. Im Vergleich zu den etwas karg daher kommenden Webalizer-Statistiken erscheint dieser Dienst den meisten Webmastern wie ein Füllhorn der Informationen. Mit einer Detailliertheit und Übersichtlichkeit, die ihresgleichen sucht, schlüsselt Analytics auf, woher die Nutzer kamen, was sie suchten und wie sie sich durch die Seitenhierarchie bewegten – gratis. Wer kann da schon nein sagen? Entsprechend oft wird dieser Dienst auf kirchlichen Internetpräsenzen eingebunden.
Sie ahnen es: § 11 DSG-EKD greift hier. Darüber hinaus hat Google bei Datenschützern etwa den gleichen Leumund wie Russland bei Menschenrechtsaktivisten – es gibt Schlimmere, aber gut ist anders. Erinnert man sich darüber hinaus an die Entrüstung, mit der viele Menschen darauf reagierten, dass Streetview Hauswände fotografierte, werden sie wahrscheinlich ähnliches Unwohlsein beim Gedanken empfinden, dass Analytics ihre Mausbewegungen aufzeichnet. Wer auf den Seiten eines Internetversandhändlers herumstöbert, mag mit derartiger Neugier noch rechnen, aber auf einer Kirchenhomepage?
So lange die Rechtslage noch ungeklärt ist, rate ich entweder dazu, Analytics ersatzlos abzuklemmen oder, wenn man keinesfalls auf die bunten Bildchen verzichten möchte, sich die Open-Source-Alternative Piwik zu installieren und die Daten auf den eigenen Servern zu verarbeiten. Für die meisten Homepages merke ich an: Zwischen Statistiken angucken und verstehen gibt es einen Unterschied, und so lange ich mir die bunten Diagramme nur ansehe, aber meine Seiten nicht entsprechend umgestalte, muss ich mir die Frage gefallen lassen, wozu ich dieses Wissen überhaupt brauche. Je weniger Daten ich habe, desto weniger muss ich mich darum zu sorgen, sie zu schützen und desto weniger Ärger habe ich zu fürchten.
Jochim Selzer ist Datenschutzbeauftragter der evangelischen Kirche des Kirchenkreises Bonn, der angeschlossenen Kirchengemeinden sowie des Kirchenkreises Bad Godesberg-Voreifel. Er versieht diese Aufgabe ehrenamtlich, engagiert sich darüber hinaus beim Arbeitskreis Vorratsdatenspeicherung und bei CAcert. Beruflich arbeitet er in der IT eines internationalen Logistikdienstleisters.
2 Antworten zu “Google, übernehmen Sie”
Wie sieht es denn mit der Funktion „_anonymizeIp()“ von Google Analytics aus? Dabei sollen doch die letzten 8 Bit der IP-Adressen gelöscht und damit anonymisiert werden. Ist diese Lösung mit dem § 11 DSG-EKD vereinbar?
Das hängt davon ab, wo die Verschleierung stattfindet. Nach meinem Verständnis rufe ich Seite X auf, führe auf meinem Client den Analytics-Javascript-Code aus und rufe dann Google zur weiteren Verarbeitung auf. In diesem Fall wüsste Google auf jeden Fall meine IP und nähme sie erst später aus den Statistiken heraus. Die Daten lägen damit wenigstens temporär vor, und ich müsste darauf vertrauen, dass Google vernünftig mit ihnen umgeht.
Selbst wenn das letzte Byte aus der IPv4-Adresse gelöscht wird, kann man sich übrigens darüber streiten, wie weit es dabei mit der Anonymisierung her ist. Für gewöhnlich enthält das User-Agent-Feld des Clients so viele Informationen über den Browser und das verwendete Betriebssystem, dass man allein anhand dieser Informationen eine Maschine mit hoher Wahrscheinlichkeit identifizieren kann. Ich habe einmal die Logfiles des Intranet-Webservers einer Firma untersucht, deren Mitarbeiter alle das gleiche Standardimage auf ihren Dienstrechnern hatten und konnte bei mehreren tausend Clients allein über den User-Agent-String mit achtzigprozentiger Wahrscheinlichkeit sagen, von wem ein Aufruf stammt.