In der Kontroverse um die rechtliche Zulässigkeit von Webanalyse-Tools haben nun erstmals alle obersten Datenschutzbehörden gemeinsam Position bezogen. Auf ihrer Konferenz in Stralsund Ende letzter Woche fassten sie einen Beschluss darüber, welche rechtlichen Vorgaben beim Einsatz von Webanalyse-Tools zu beachten sind. Das marktführende Tool „Google Analytics“ erfüllt diese Vorgaben derzeit ganz klar nicht.
Welche Auswirkungen hat dies auf Google Analytics?
Die rechtliche Zulässigkeit des kostenlosen Webanalyse-Tools „Google Analytics“ wird in Fachkreisen bereits seit geraumer Zeit kontrovers diskutiert. Aufgrund von entsprechender Berichterstattung gewinnt die Debatte um den Einsatz von Webanalyse-Tools aktuell aber auch in der Öffentlichkeit immer mehr Aufmerksamkeit.
Im Fokus steht dabei neben der allgemeinen Zulässigkeit der Erstellung von sogenannten Nutzungsprofilen von Websitebesuchern insbesondere die Frage zur Zulässigkeit der Speicherung und Übermittlung von IP-Adressen durch die Analyse-Tools.
Aufsichtsbehörden beziehen gemeinsam Position
Erstmals haben nun die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in einem gemeinsamen Beschluss eine klare Position in der Diskussion um das Thema bezogen.
Der sogenannte „Düsseldorfer Kreis“, ein informeller Zusammenschluss der obersten Datenschutzbehörden, hat dazu auf seiner Konferenz am 26./27. November 2009 in Stralsund unter dem Titel „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ folgende Vorgaben für den Einsatz von Webanalyse-Tools beschlossen:
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
- Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
- Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
- Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Die ersten vier Punkte des Beschlusses geben im Grunde lediglich die ohnehin bereits im Telemediengesetz (TMG) eindeutig festgelegten Zulässigkeitsvoraussetzungen für die Erhebung und Verwendung von personenbezogenen Daten in Telemedien und für die Erstellung pseudonymer Nutzungsprofile gemäß § 15 Abs. 3 TMG wieder.
Im letzten Punkt wird hingegen ausdrücklich auf Analyse-Tools, die IP-Adressen in ihre Auswertung einbeziehen, Bezug genommen und klar die Auffassung vertreten, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt.
Entscheidend ist die IP-Adresse
Aus rechtlicher Sicht entscheidend dafür, ob die Erstellung von Nutzungsprofilen unter Einsatz eines Webanalyse-Tools einer ausdrücklichen Einwilligung bedarf, ist die Frage, ob dabei auch Daten erhoben und gespeichert werden, die eine persönliche Identifizierung einzelner Nutzer möglich machen.
Unter Juristen noch immer umstritten und keineswegs abschließend durch die Rechtsprechung geklärt ist in diesem Zusammenhang der Status von IP-Adressen. Während Datenschützer die Auffassung vertreten, es handele sich bei der IP-Adresse immer um ein personenbezogenes Datum, gibt es ebenso auch Argumente gegen diese Ansicht (mehr dazu lesen Sie hier im Blog).
Der „Düsseldorfer Kreis“ vertritt in seinem Beschluss jedoch ganz klar die Auffassung, die IP-Adresse sei in jedem Fall ein personenbezogenes Datum und der Einsatz von Analyse-Tools, die auch die IP-Adresse auswerten, daher nur mit ausdrücklicher Einwilligung zulässig.
Auswirkungen auf Google Analytics
Zwar richtet sich der Beschluss des „Düsseldorfer Kreises“ nicht direkt gegen Google Analytics, da jedoch bekannt ist, dass durch das Tool Nutzungsprofile unter Verwendung von IP-Adressen erstellt und gespeichert werden, sind die Verwender von Google Analytics unmittelbar betroffen.
Der Einsatz des Tools ist dem Beschluss nach ohne eine zuvor eingeholte, ausdrückliche Einwilligung (Opt-in) des Websitebesuchers datenschutzrechtlich unzulässig und kann mit Bußgeldern geahndet werden oder Unterlassungsklagen nach sich ziehen. Einzelne Datenschutzbehörden haben auch bereits angekündigt, gegen die Betreiber betroffener Webseiten entsprechende Maßnahmen einzuleiten.
Bußgelder sollen dabei jedoch erst die zweite Sanktionsstufe darstellen, wenn betroffene Betreiber, die zuvor kontaktiert und auf die Rechtswidrigkeit hingewiesen wurden, nicht entsprechend mit Abschaltung des Tools oder Einholung einer Einwilligung reagieren.
Unser Tipp für Shopbetreiber
Solange durch Google Analytics weiter IP-Adressen erhoben und gespeichert werden, ist die Verwendung dieses Tools mit erheblichen rechtlichen Risiken verbunden. Da die Einholung einer Einwilligung vor dem Einsatz des Tools, d. h. bereits vor dem Betreten der Website, nur schwer umsetzbar sein dürfte, sollten Shopbetreiber, die rechtlichen Problemen ganz aus dem Weg gehen möchten, auf Google Analytics besser verzichten. In jedem Fall reagieren sollten Shopbetreiber aber spätestens dann, wenn sie von einer Datenschutzbehörde wegen der Verwendung von Google Analytics kontaktiert wurden.
Als Alternative bieten sich Analyse-Tools an, die auf die Speicherung von IP-Adressen entweder ganz verzichten oder diese verkürzt verwenden oder in anderer Weise unkenntlich machen. Beispielhaft sei hier etwa das Tool des Anbieters etracker genannt, das IP-Adressen bei entsprechender Einstellung datenschutzkonform verkürzt verwendet, oder der Econda Monitor, bei dem die IP-Adressen nach eigenen Angaben unkenntlich gemacht werden.
Und wieder einmal wird eine praktische Sache unnötig verkompliziert und mit unnützen Kosten verbunden… Vielen Dank! 🙁
Verrücktes Deutschland… Kunden zu ermitteln die per Lastschrift / Rechnung kauften und dann behaupten, Sie hätten nie was bestellt – kann man nun vergessen = nix IP vorhanden haha…, da die Daten ja ins US-Land wandern… aber die Zahlung einer Lieferantenrechnung wird freiwillig ans US-Land, dank SWIFT, übermittelt – natürlich zur Terrorbekämpfung GENAU. Toll…weiter so. Datenschützer haben echt keinen Plan, sorry…Videoüberwachung, Vorratsdatenspeicherung…usw. – aber bei google da holen Sie die Datenschutz-Keule für den Kunden raus. Vielen Dank. Adee Web2.0/X => Internet zurück in die Steinzeit.
Achsoo nicht vergessen, den Cookie auch gleich mit verbieten => dann verschicken wir alle wieder Printkataloge, die Umwelt freuts…
Die Diskussion über solche Tools ist ja nicht neu… es ist die nur die Frage inwiefern die Datenschützer ein Problem sehen, wenn die IP-Adresse ja nicht veröffentlicht wird. Klar Google hat die Daten, aber die müssen dann dafür sorgen, dass diese nicht in falsche Hände geraten.
Und wieder einmal scheint alles an einer unstimmingen Rechtssprechung in diesem Land zu hängen. Wenn die Gerichte sich einmal eindeutig darauf einigen könnten, ob eine IP wirklich personenbezogen ist, dann wären klare Grenzen gezogen. Meiner Meinung nach ist es aber irrwitzig anhand einer IP behaupten zu wollen, dass eine bestimmte Person an einem Rechner saß. Was ist denn mit Internet Cafés oder PC-Pools in Firmen, Schulen und Unis?
Zu guter Letzt würde mich ja zu gern interessieren, was die betroffenen Dienste dazu zu sagen haben. Ich kann mir nicht vorstellen, dass Google und Co das einfach so hinnehmen oder wenigstens für den dt. Markt eine gesonderte Version auf den Markt bringen. Wenn da jemand Infos zu hat, dann würde ich mich über Feedback freuen.
Grüße
Christian
Hmm, alles so unnötig kompliziert in Deutschland was die Rechtssprechung angeht! Wenn man keine IP-Adressen zu seinen Kunden speichern darf, wie soll man dann der Polizei z.B.: bei Kreditkartenbetrügern helfen? Genau, es geht nicht! Man macht dem Verbrechen noch weiter die Tür auf.
Habe auch in 3 Jahren Google Analytics noch keine IP Adressen da drin gesehen und wüsste auch nicht was ich damit anstellen könnte.
Die einzigen die einen Nutzen aus der Sache ziehen, ist die Konkurrenz: Econda, Etracker, usw….
Jede Woche ein neues Gesetz. Es gibt immer was zu tun 😉
Nur zur Klarstellung: es handelt sich hier weder um Rechtsprechung noch ein neues Gesetz, sondern um eine Rechtsansicht der obersten Datenschutzbehörden. Und dass Google Analytics nur in Deutschland problematisch ist, steht in dem Artikel auch nicht.
@Dr. Carsten Föhlisch: also ist das alles wieder nur Panikmache? Wie kann dann aber schon von Abmahnungen gesprochen werden, wenn es sich noch gar nicht um ein neues Gesetz handelt?
Ja, Google hat da sicher auch in einigen anderen Ländern Probleme, aber für mich persönlich ist ja erst einmal die dt. Rechtssprechung bzw. der Sachverhalt an sich hier in Deutschland wichtig und ausschlaggebend…
Ich wäre dennoch sehr daran interessiert, was Google nun zu dem Thema sagt und wie darauf reagiert werden soll, wenn diese Rechtsansicht doch gültiges Recht in Deutschland wird. Vielleicht kann der Autor ja diesbezüglich mal ein wenig in Erfahrung bringen und auf diesem Artikel aufbauend was dazu schreiben…
Hallo Christian,
dein Argument teil ich nicht. Natürlich kann man nicht immer auf eine natürliche Person schließen. Dennoch ist eine Verwendung der Internets von zu Hause nicht einfach möglich, ohne persönliche IP-Spuren von mir zu hinterlassen.
Es ist so ein bisschen wie mit Nummernschildern an Autos. Natürlich kann jemand anders mein Auto gefahren sein. Aber möchte ich deswegen zustimmen, dass mitgetrackt wird, wo welches (mein) Auto langfährt? Nein – das kann kein Gegenargument sein.
Eine angepasste Version von Google Analytics kann aber auch kein angepasstes Interface sein. Bereits die Speicherung oder Erfassung der IPs muss ausgeschlossen sein. Und technisch wäre das ohne weiteres umsetzbar.
Viele Grüße
Frederic
Hier noch ein Bericht aus UK: http://www.out-law.com/page-10555
@Freddy: Der Vergleich mit dem Nummernschild hinkt in dieser Form gewaltig. Vielmehr ist es so, dass jedes Mal, wenn ich mit dem Auto losfahre, ich ein neues Nummernschild bekomme. Die Datenschützer meinen nun, dass ich ja theoretisch zur Polizei gehen könnte und dort herausfinde, wo das Auto langgefahren ist. Das ist absurd!
Jedes Mal wenn ich eine ausländische Internetseite ansurfe oder eine deutsche Internetseite, deren Server im Ausland steht oder irgendeine Seite, die auch nur einen “ausländischen” Besucherzähler integriert hat wird meine IP-Adresse ins Ausland übertragen. Das ist unvermeidbar, weil das Internet auf dieser Technologie basiert. Ob und wie meine IP-Adresse dort gespeichert oder verwertet wird, können deutsche Datenschützer nicht beeinflussen.
Wenn ich also die IP-Adressen meiner Bürger wirksam schützen will, müsste ich nicht nur Google-Analytics, sondern überhaupt die Benutzung aller anderen Google-Produkte inklusive der Suche auf google.de verbieten. Wenn wir schonmal dabei sind, natürlich auch yahoo.de, aol.de, den “nicht-deutschen” Teil von Wikipedia und jeder anderen Internetseite, die nicht den deutschen Datenschutzrichtlinien unterliegt.
Sobald ein deutsches Gericht abschließend urteilt, dass die IP-Adresse eine personenbezogene Information ist, wird ein winziger Teil des Internets – der deutsche Teil – sanktioniert und wettbewerbsunfähig gemacht. Willkommen, Wirtschaftskrise 2.0!
Es ist auch nicht wie Autonummern, denn welches Auto bekommt immer dann eine zufällig gewählte neue Nummer, wenn es auf die Straße fährt?
Die überwiegende Anzahl der Nutzer erhält vom Einwahlprovider eine gerade freie IP zu gewiesen. Insofern ist es nicht immer die gleiche. Man kann also seitens der Analyse lediglich ermitteln, bei welchem Provider diese IP liegt, mehr nicht. An die jeweiligen Nutzerdaten kommt man ohne richterlichen Beschluss doch nicht heran, oder – Herr Föhlisch?
Zum Thema Datenschützer stellt sich mir nur die Frage: Wieso ignorieren diese “kompetenten Fachleute” die technischen und rechtlichen Rahmenbedingungen und schaffen sich eine eigene Realität?
Nun – inwieweit Daten, die in der Regel nicht mit Personen-Daten verbunden werden können – überhaupt datenschutzrechtliche Bedenken auslösen können ist mir schleierhaft und nicht nachvollziehabar.
Google hat die IP-Adresse. Weiter nichts. Der Shop hat die Nutzerdaten, vorausgesetzt der Kunde hat sich registriert und/oder eine Bestellung aufgegeben.
Aber: Die IP-Adressen für gewöhnlich nach 24 Stunden und sind dann für Google bzw. den Site-Betreiber wertlos. Eine direkte Verküpfung der personenbezogenen Daten mit der IP-Adresse ist nur über die Staatsanwaltschaft im Wege strafrechtlicher Ermittlungen möglich.
Ich glaube, dass die Datenschützer sich wohl kaum mit der Problematik eingehend befasst haben können. Jede Telefon-Nummer bietet m.E. weit mehr Ansatzpunkte als ein Analysetool, welches persönliche Daten mit der IP-Adresse nur indirekt verbindet und hier zudem die Hürde Staatsanwalt dazwischen steht.
Die Hürde heißt eher Richter, nicht Staatsanwalt.
Wieso sollte man auf immer auf eine Reaktion von Google warten. Wir haben das so gelöst das wir alle Anfragen (gs.js und __utm.gif) über unsere Server leiten bevor diese vom Server an Google gesendet wird. Das funktioniert wunderbar. Die einzigste Einschränkung ist das man die Herkunft der Besucher im Karten-Overlay als (not set) angezeigt bekommt, der Rest funktioniert tadellos, da die IP-Adresse bei Analytics ansonsten nicht benutzt wird. Außer man hat einen Benutzerdefinierten Filter eingeschaltet (was warscheinlich die wenigsten für die IP-Adresse eingerichtet haben) der die IP Adresse filtert, dann wird das auch nicht mehr korrekt funktionieren.
Wie soll man dann bitte diese FAQ von Google werten: http://www.google.com/support/googleanalytics/bin/answer.py?hl=de&answer=72299
Google beschreibt in der FAQ das “Besucher > Landkarten-Overlay” und “Netzwerkeigenschaften > Netzseite” Daten sind, die über die IP-Adresse berechnet werden. Alle anderen Daten werden über das ga.js berechnet und über das __utm.gif übermittelt. Was allerdings auch möglich ist wie ich oben bereits erwähnt habe, das man einen Filter anhand der IP Adresse setzt: http://www.google.com/support/googleanalytics/bin/answer.py?answer=55496
Thomas: Wie leitest du die Anfragen weiter? Und wie setzt du den Filter?