Verfallsdatum für Nutzerdaten

Ein Gut­ach­ten der EU-Da­ten­schüt­zer schlägt eine ge­setz­lich vor­ge­schrie­be­ne ma­xi­ma­le Spei­che­rungs­dau­er für per­so­nen­be­zo­ge­ne Daten vor - dabei haben sie ins­be­son­de­re Such­ma­schi­nen im Vi­sier.

Die Be­trei­ber sol­len ver­pflich­tet wer­den, sämt­li­che Nut­zer­da­ten nach sechs Mo­na­ten zu lö­schen; gän­gi­ge Pra­xis sind mo­men­tan deut­lich län­ge­re Spei­cher­zei­ten: Goog­le löscht an­schei­nend über­haupt nicht, son­dern an­ony­mi­siert die Daten erst nach 18 Mo­na­ten und auch dann nur zu Tei­len. Ähn­lich ver­fährt Yahoo. Mi­cro­soft wird zi­tiert, die Daten nach 18 Mo­na­ten zu lö­schen - bis dahin wer­den sie für in­di­vi­du­ell zu­ge­schnit­te­ne Wer­bung ge­nutzt.
Vie­len Be­nut­zern von Such­ma­schi­nen ist nicht be­wu­ßt, wel­che Da­ten­spu­ren sie dort hin­ter­las­sen: Jede Such­an­fra­ge, jeder Klick wird pro­to­kol­liert und an­hand von Coo­kies dem­sel­ben Be­nut­zer zu­ge­ord­net. Wie de­tail­liert sol­che Pro­to­kol­le sind, zeig­te der Vor­fall von 2006, bei dem sol­che Logs ei­ni­ger Be­nut­zer ver­se­hent­lich öf­fent­lich zu­greif­bar waren. Goog­le mit sei­ner Viel­zahl an Diens­ten und An­ge­bo­ten ist dabei be­son­ders bri­sant: Hier kom­men neben Such­an­fra­gen auch noch die Ana­ly­se­da­ten aus E-Mails sowie die Daten aus Goog­le Ana­ly­tics hinzu - letz­te­rer Dienst wird von vie­len Web­sei­ten­be­trei­bern gern ver­wen­det, um Be­su­cher­sta­tis­ti­ken zu füh­ren. Ab­hil­fe kön­nen bei­spiels­wei­se Brow­ser-Ex­ten­si­ons wie Cust­o­mi­ze Goog­le schaf­fen, wel­che spe­zi­ell diese Da­ten­über­mitt­lun­gen blo­ckie­ren. Goog­le wie­gelt üb­ri­gens ab: So schlimm sei alles nicht, und ab­ge­se­hen davon hat man sich ja "do no evil" auf die Fah­nen ge­schrie­ben.

Span­nend hin­ge­gen finde ich die­sen Pas­sus über das Gut­ach­ten: Das Gut­ach­ten stellt fest, dass per­sön­li­che Daten – Such­be­grif­fe, IP-Adres­sen, Coo­kies – von den Such­ma­schi­nen nur für "le­gi­ti­me Zwe­cke" ver­wen­det wer­den dür­fen. So­bald das nicht mehr der Fall ist, sol­len die Be­trei­ber die Daten ent­we­der un­wi­der­ruf­lich an­ony­mi­sie­ren oder bes­ser gleich lö­schen.

Was ist der "le­gi­ti­me Zweck" einer Such­ma­schi­ne bzw. der da­hin­ter­ste­cken­den Firma? Für den Be­nut­zer der (zu­nächst kos­ten­lo­sen) Diens­te na­tür­lich das Er­brin­gen der Such-Dienst­leis­tung - für die Firma hin­ge­gen das Ver­die­nen von Geld. Geld ver­die­nen Such­ma­schi­nen mo­men­tan pri­mär mit dem Ein­blen­den von Wer­bung, wobei per­so­na­li­sier­te Wer­bung das ei­gent­lich in­ter­es­san­te Mit­tel ist. Eine ge­wis­se Zeit­span­ne der Da­ten­spei­che­rung wird man den Such­ma­schi­nen wohl zu­ge­ste­hen müs­sen, wenn man sie als kos­ten­lo­sen Dienst er­hal­ten will - of­fe­ne Fra­gen sind je­doch, wie lange dies tat­säch­lich nötig ist und zu wel­chen wei­te­ren Zwe­cken die Daten aus­ge­wer­tet oder gar wei­ter­ge­ge­ben wer­den dür­fen. Nach deut­schem Recht ist eine Wei­ter­ga­be zwar nicht zu­läs­sig, aber im Aus­land sieht das ganz an­ders aus...