EU Datenschutz: Suchprotokoll nach 6 Monaten anonymisieren

Die Datenschutzgruppe 29 wendet sich in offenen Briefen an die Suchmaschinenbetreiber Google, Yahoo! und Microsoft. Alle drei Betreiber werden aufgefordert, Suchprotokolle spätenstens nach 6 Monaten zu anonymisieren. Die bisherige Praxis von Google, Yahoo! und Microsoft sei nicht ausreichend.

Auf Drängen der EU Datenschutzgruppe 29 (ARTICLE 29 Data Protection Working Party – kurz: WP 29) haben bedeutende Suchmaschinenbetreiber bereits die Speicherung personenbezogener Daten eingeschränkt. Google auf 9 Monate, Yahoo! auf 90 Tage und Microsoft gab im Januar 2010 eine Willenserklärung ab, zukünftig eventuell 6 Monate einzuhalten.

Die Schritte der Suchmaschinenbetreiber gehen in die richtige Richtung, weisen jedoch im Detail schwerwiegende Mängel auf. Diese Mängel führen dazu, dass alle drei Suchmaschinenbetreiber nicht die Forderungen der Europäischen Datenschutzkommission erfüllen. Neben individuellen Schreiben an die drei Suchmaschinenbetreiber wurde ein Schreiben an die US-amerikanische Verbraucherschutzkommission (Federal Trade Commission – FTC) gesendet. Die Kommission soll prüfen, ob das Verhalten der Suchmaschinebtreiber mit Artikel 5 des Federal Trade Commission Act übereinstimmt.

Die WP 29 sandte folgende Aufforderung an alle drei Betreiber:

Die Möglichkeit, Nutzer über die Suchlogs identifizieren zu können, sollen reduziert werden. Die Suchmaschinenbetreiber sollen sich einem externen Prüfungsprozess öffnen, welcher bestätigt, dass die Versprechungen bezüglich Einhaltung der Privatshäre erfüllt werden.

Im Einzelnen wurden u.a. folgende Forderungen übermittelt.

An Google:

Die Suchgeschichte eines Individiums enthält einen Fingerabdruck der Interessen, Beziehungen und Absichten dieser Person. Die Inhalte der Suchgeschichte sollten als hochvertrauliche, persönliche Daten behandelt werden. Selbst wenn IP-Adresse und Cookie von einer eindeutigen Kennzeichung abgelöst werden, der Zusammenhang zwischen den gespeicherten Suchanfragen könnte die Identifizierung einzelner Personen ermöglichen.

Die Löschung des letzten Ziffernblocks einer IP-Adresse ist ungenügend, um eine angemessene Anonymisierung zu garantieren. Eine derartige, teilweise Löschung schützt nicht vor der Erkenung von Daten. In Ergänzung dazu werden Cookies für einen Zeitraum von 18 Monaten gespeichert. Das erlaubt die Zuordnung zu individuellen Suchanfragen für einen erheblichen Zeitraum. Zudem scheint eine leichte Wiederzuordnung zur IP-Adresse möglich, zu jedem Zeitpunkt, wenn ein Nutzer eine neue Suchanfrage innerhalb dieser 18 Monate stellt.

An Yahoo!:

Es ist gern gesehen, dass Sie Schritte zur Verbesserung der (technischen) Anonymisierungsregelung angekündigt haben. Beispielsweise die Löschung der kompletten IP-Adresse vom ersten kompletten Datensatz nach 90 Tagen, anstatt den letzten Ziffernblock zu löschen. Dennoch, eine teilweise Löschung persönlicher Daten im Suchlog bringt keine echte Anonymisierung. Zweitens haben Sie nicht genügend Informationen über die Techik des Hashings, speziell bezüglich Nutzeridentifizierung und Cookies geliefert, um die technische Qualität Ihrer Anonymisierungsregelung einschätzen zu können.

An Microsoft:

Ihr Unternehmen kündigte die Bereitschaft an, die Datenspeicherung von Cokies und IP-Adressen auf 6 Monate zu reduzieren, abhängig gemacht von der Bereitschaft, dass andere Suchmaschinen folgen. In der gleichen Darlegung betont Ihr Chief Privacy Officer die Wichtigkeit starker Anonymisierungstechniken: “Wir glauben, unsere Lösung, die komplett alle sich kreuzenden Informationen zur Identifizierung löscht, ist der beste Weg zur Anonymisierung der Daten.”

Nach einer sorgfältigen Prüfung Ihrer Antwort sendet WP 29 einen öffentlichen Brief, begrüsst die Regelung zur Löschung der IP-Adressen, statt diese zu anonymisieren. Doch WP 29 empfiehlt, dass Sie Ihre Regelung zur Speicherung überprüfen um sie in Übereinstimmung mit dem empfohlenen Zeitraum von max. 6 Monaten zu bringen, unabhängig von Mitbewerbern.

Die Regelung, die IP-Adresse nach 6 Monaten zu löschen, ist eine bedeutende Verbesserung. Dennoch, um auf einen wirklichen Datenschutz auf diesem Gebiet verweisen zu können, sollten Sie das gleiche Verfahren auf alle Cookies anwenden.

Gemäss einem technischen Dokument welches die Deidentifizierung beschreibt, wenden Sie die Deidentifizierung für registrierte Nutzer nach 6 Monaten an, aber behalten die Cookies unregisitrierter Nutzer für einen Zeitraum von 18 Monaten. Das Wort “Anonyme ID” scheint nicht angemessen, weil scheinbar die Zusammenführung für einen beträchtlichen Zeitraum erlaubt wird. Zweitens haben Sie nicht genügend Informationen über die Technik des Hashings geliefert um technisch die Qualität Ihrer Anonymisierungsregelung einschätzen zu können.

Bisher entspricht die Anonymisierung von Daten also bei keiner der drei Suchmaschinen den europäischen Richtlinien. Es entsteht der Eindruck, dass mit geschickten Formulierungen und Regelungen der Eindruck erweckt werden soll, die Forderungen der Datenschützer werden erfüllt. In Wirklichkeit werden jedoch durch entsprechende Regelungen Hintertüren offen gehalten. Der bedeutendste Fortschritt ist bei Yahoo! zu sehen.

Auf dieser Seite der EU-Kommission
Datenschutz — Europäische Kommission

finden sich die Verweise zu folgenden PDF-Dokumenten mit Datum vom 26.05.2010:

– Schreiben der Artikel-29-Datenschutzgruppe an Suchmaschinenbetreiber (jeweils Google, Microsoft, Yahoo!)
– Schreiben der Artikel-29-Datenschutzgruppe an die “Federal Trade Commission” im Zusammenhang mit Suchmaschinen (Google, Microsoft, Yahoo!)
– Schreiben der Artikel-29-Datenschutzgruppe an Viviane Reding,Vizepräsidentin der Europäischen Kommission verantwortlich für Justiz, Grundrechte und Bürgerschaft im Zusammenhang mit Suchmaschinen (Google, Microsoft, Yahoo!)


Posted

in

, , ,

by