Google Analytics sorgt weiterhin für Verärgerung bei den Datenschützern. Die mit Google geführten Gespräche zur Verbesserung der vielfach eingesetzten Webanalyse-Lösung wurden abgebrochen. Online-Händlern drohen nun Bußgeldern. Die Datenschützer denken sogar an einen Musterprozess.
Hier erfahren Sie mehr über die Konsequenzen.
Die Gespräche zwischen Google und dem Hamburger Datenschutzbeauftragten Prof. Dr. Johannes Caspar wurden abgebrochen, berichtete die FAZ am 10.01.2011.
Abbruch der Gespräche
Grund des Abbruchs war, dass Google den Anforderungen des deutschen Datenschutzes nicht entsprochen hat. Der Düsseldorfer Kreis – ein informeller Zusammenschluss der obersten Datenschutzbehörden – stufte das Tracking Tool bereits im November 2009 als rechtswidrig ein.
Einer der Streitpunkte ist, dass Google Analytics die IP-Adresse des Nutzers ungekürzt erfasst, ein weiterer ist, dass diese Daten dann in die USA übertragen werden. Eine Einwilligung hierfür wird allerdings nicht eingeholt.
Keine Widerspruchsmöglichkeit
Außerdem ist grundsätzlich ein Widerspruch zu dieser Datenerhebung und Übertragung nicht vorgesehen. Nach Verhandlungen mit dem Datenschutzbeauftragten reagierte Google im Mai 2010 und versprach, dass gesammelte IP-Adressen verkürzt werden.
Auf Druck der Datenschutzbehörden bot Google lediglich eine Browser-Erweiterung an. Hatte der Nutzer diese installiert, wurde die IP-Adresse verkürzt erhoben.
Browser-Erweiterungen
Allerdings gibt es keine Erweiterungen für Browser wie Safari oder Opera. Damit werden ca. 10% der Internetnutzer von der Widerspruchsmöglichkeit ausgeschlossen. Außerdem, so berichtet die FAZ, habe Caspar bei verschiedenen Nutzern entdeckt, dass trotz Verwendung der Browsererweiterung, die vollständige IP-Adresse übertragen wurde.
Google dagegen ist der Meinung, dass das Tracking Tool bereits ohne die Verkürzung der IP-Adressen den europäischen Datenschutzvorschriften entsprach.
Außerdem weiß der Datenschutzbeauftragte von Google Deutschland nichts vom Abbruch der Gespräche.
Wie soll es weiter gehen?
Datenschützer Caspar will nun erneut den Düsseldorfer Kreis mit dem Thema Google-Analytics befassen.
Gegen Google selbst können die Datenschutzbehörden nicht vorgehen, allerdings gehen die Webseiten-Betreiber, und somit auch gegen Online-Händler, die dieses Tracking Tool verwenden. Die Datenschutzbeauftragten können zwar nicht abmahnen, aber empfindliche Bußgelder verhängen.
Denkbar sei auch ein Musterprozess gegen ein großes Unternehmen, welches das Tool einsetzt.
Fazit
Nachdem Google nun äußerst viel Zeit hatte, das Tool zu verbessern, ist die Reaktion der Datenschützer nachzuvollziehen. Beim Kurznachrichten-Dienst Twitter wird bereits über die Entscheidung der Beteiligten kontrovers diskutiert. Der Fehler wird dort überwiegend bei den Datenschützern gesucht und deren angekündigtes Vorgehen als “Geldschneiderei” bezeichnet. Diese Auffassung halte ich aber für verfehlt,
denn Schuld hat nicht der, der für die Einhaltung der Gesetze sorgt, sondern derjenige, der sie verletzt.
Noch sind wohl keine Bußgeldbescheide verschickt worden. Allerdings müssen Online-Händler, die das kostenlose Tool Google Analytics verwenden, die Situation genau beobachten. Sobald uns weitere Erkenntnisse vorliegen, werden wir Sie selbstverständlich hier informieren und dann auch konkrete Handlungsempfehlungen abgeben.
Noch bleibt abzuwarten, ob die Drohung mit Musterprozessen und Bußgeldverfahren lediglich dazu dient, Google zu Veränderungen zu bewegen. Denn klar ist, dass Google kein Interesse an Bußgeldbescheiden gegen Nutzer haben dürfte, denn dann würden dem Unternehmen zahlreiche Datenquellen in Deutschland verloren gehen. (mr)
Update: Was können Shopbetreiber tun?
Die Kanzlei Spreerecht berichtet in ihrem Blog von der “_anonymizeIp()”-Erweiterung, die Shopbetreiber nutzen können, damit keine vollständigen IP-Adressen mehr an Google übertragen werden. Außerdem gibt dort Autor RA Thomas Schwenke einen Tipp, wie die eigene Datenschutzerklärung im Falle der Nutzung dieser Erweiterung anzupassen ist.
Eine OpenSouce Alternative, die zugegebenermaßen noch nicht an den Funktionsumfang von Google Analytics herankommt ist Piwik. Setzte ich aus Datenschutzgründen in meinem Shop ein.
Die Installation ist denkbar einfach, die Daten bleiben auf dem eigenen Server und die IP-Adressen können mit einem Plugin einfach anonymisiert werden. Die Auswertungen, die mir Piwik liefert reichen mir vollkommen aus. Für Magento gibt es übrigens auch ein Plugin, mit dem man den kompletten Shop einfach verpixeln kann.
Grüße Felix
spielt wird hier java scrpt eine rolle? ich bin der meinung wenn user dies aktviert muss er damit rechnen dass scripte ausgefuer werden. die dns server stehen in usa, somit sind die web anfragen von usern sovieso nachvollziehbar. alles misst, von wegen datenschutz, sobald die daten uber auslands router laufen is das wurst.
Ich zweifel langsam am technischen Sachverstand der Datenschützer!
Bei jeder Anfrage bei einem Web-Server wird schon durch das TCP/IP-Protocol die eigene IP-Adresse mitgeschickt, weil sonst der Web-Server nicht wissen kann wo die Antwort hinzuschicken sei.
Dabei ist es nicht entscheidend ob nun der Domainname oder die IP-Adresse übermittelt wird. Denn der mittels kleinen Netzwerkprogrammen wie ‘nslookup’ (Unix) ergibt sofort die IP-Adresse aus dem Domainnamen … oder umgekehrt den Domainnamen.
Die vollständige Übertragung der IP-Adresse an amerkanische Web-Server zu verbieten kommt dem Abschalten des Internets gleich.
Hallo? … gehts noch?
@Hans
Man muss hier schon unterscheiden, weshalb die IP-Adresse übertragen wird. Natürlich wird diese bei der Kommunikation zwischen den Rechnern benötigt. Aber darum geht es hier nicht. Normalerweise weiß Rechner A die IP-Adresse von Rechner B und umgekehrt. Hier geht es aber darum, dass Rechner B die IP von Rechner A an Google schickt. Und das macht dann auch noch Rechner C, D, E, F…etc. Und dann weiß Google, was Rechner A so den ganzen Tag gemacht hat. Aber was geht das Google an? Warum soll Google erlaubt sein, vollständige Bewegungsprofile von Nutzern zu erstellen?
Und ich verstehe nicht, warum sich der Bürger aufregt, wenn der Staat gewisse Daten speichern will (Stichwort: Vorratsdatenspeicherung), Google soll aber genau das (und wahrscheinlich speichert und analysiert Google noch wesentlich mehr) erlaubt sein.
@Hans
Zunächst mal geht es hierbei nicht (nur) um die Übertragung der IP-Adresse, sondern um deren dauerhafte Speicherung durch Google in Nutzungsprofilen. Google legt solche Profile zudem nicht nur mit Hilfe von Analytics an, sondern z.B. auch mit diversen anderen Google Produkten, wie z.B. dem AdSense-Programm. Wie ein solches Profil aussieht, legt Google selbst in den Datenschutzhinweisen offen: http://www.google.com/privacy/ads/
Die durch die einzelnen Google Produkte angelegten Nutzungsprofile lassen sich (theoretisch, denn Google verneint, dass dies passiert) nun anhand der IP-Adresse problemlos zusammenfügen und ergeben dann ein umfassendes Bild über die Aktivitäten einer bestimmten IP-Adresse im Netz über einen bestimmten Zeitraum hinweg. Dabei mag es Google vielleicht gar nicht wirklich interessieren, wer genau sich hinter einer bestimmten IP-Adresse verbirgt, denn vordergründig geht es Google wohl nur darum, Werbung gezielt an den Mann zu bringen. Es sind jedoch genügend andere (privatwirtschaftliche und staatliche) Institutionen denkbar, die durchaus ein großes Interesse an detaillierten Auswertungen der Online-Aktivitäten genau bestimmbarer Personen haben könnten.
Von einem generellen Verbot der Datenübertragung an amerikanische Server habe ich im Übrigen in der Diskussion noch an keiner Stelle etwas lesen können. Wie kommen Sie darauf?
@Herr Schmidt
Mit der Erweiterung können nicht sämtliche datenschutzrechtlichen Probleme von Analytics gelöst werden. So gibt es weitere Kritikpunkte, wie z.B. die mangelhafte Umsetzung der Widerspruchsmöglichkeit, die Datenübermittlung in die USA, die ewige Datenspeicherung ohne Löschmöglichkeit oder die mangelhafte Umsetzung der Vorschriften für die Auftragsdatenverarbeitung (§ 11 BDSG). Die Erweiterung macht Analytics demnach zwar schon deutlich datenschutzfreundlicher aber noch nicht vollständig datenschutzkonform.
was ist mit der analytics erweiterung:
._anonymizeIp ?
damit sollte es doch Datenschutzkonform sein, oder nicht?
Mittlerweile verlautete, dass die Gespräche doch nicht abgebrochen sind und dass selbst die Website des Datenschutzbeauftragten nicht dessen eigenen Ansprüchen genügt. Wir sind der Meinung, dass hunderttausende Websites nicht über Nacht ins rechtliche Abseits gerückt werden können und dass den Websitebetreibern Zeit eingeräumt werden sollte dies zu klären, wenn eine Einigung herbeigeführt wurde.
@Marco L.
“Über Nacht” ist hier nicht ganz zutreffend. Seit November 2009 (!) ist bekannt, dass die Datenschützer Google Analytics für unzulässig erachten. Insofern hätte jeder Webseiten-Betreiber bereits seit über einem Jahr Zeit gehabt, sich nach Alternativen umzusehen. Wer das nicht getan hat, muss sich seit diesem Zeitpunkt bewusst sein, dass er evtl. mal einen Bußgeld-Bescheid ins Haus bekommt.
@Christian
Damit verdrehen Sie aber die im Gesetz verankerte Verantwortung. Nicht der Nutzer hat für die datenschutzkonforme Verwendung der Seite zu sorgen, sondern der Betreiber der Webseite! Und es wird sich nicht nur über Google beschwert. Aber über dieses Unternehmen wird halt in der Öffentlichkeit am meisten diskutiert, da es wohl auch die meisten Daten sammelt und analysiert. Und sind wir doch mal ehrlich: Dem Shopbetreiber kann es relativ egal sein, ob die IP jetzt mit getrackt wird oder nicht, denn er kann mit diesem Datum gar nichts anfangen.
Die folgende Schlussfolgerung im Bericht halte ich für sehr zweifelhaft und einseitig gedacht:
“Auf Druck der Datenschutzbehörden bot Google lediglich eine Browser-Erweiterung an. Hatte der Nutzer diese installiert, wurde die IP-Adresse verkürzt erhoben. Allerdings gibt es keine Erweiterungen für Browser wie Safari oder Opera. Damit werden ca. 10% der Internetnutzer von der Widerspruchsmöglichkeit ausgeschlossen.”
Wenn jemand bewusst ein Tool nutzen möchte, welches seine IP gegenüber Google verkürzt, dann wird er wohl auch einen verbreiteten Browser dafür verwenden können, mit dem dieses Tool als Browser-Erweiterung auch funktioniert.
Hier wird also m.E. überhaupt niemand von seiner Widerspruchsmöglichkeit ausgeschlossen, denn ausgeschlossen wäre es nur, wenn er gar keine Möglichkeit zur Nutzung hätte, was hier nicht der Fall ist.
Darüber hinaus frage ich mich, was mit den ganzen Werbungsanbietern ist, die Banner vermarkten und damit auch – wenn diese Server in den USA haben – natürlich die IP des Surfenden bekommen und Verknüpfungen über Webseiten hinweg anstellen können. Beschwert sich darüber niemand, nur immer über Google?
@Martin Rätze
Und da sind wir beim interessantesten Punkt der Aufregungskultur. Der Shopbetreiber kann mit dem Datum der ach so gruseligen IP Adresse, dem heiligen Gral der Datenschützer, nichts anfangen. Er sind für ihn unüberwindliche Schwierigkeiten, Auskunft von Dritten – meinetwegen der Telekom – zu erhalten, wer denn hinter der IP-Adresse namentlich steckt. Und man sollte doch wohl noch glauben müssen, dass es beim Datenschutz im hiesigen Kontext um Personendatenschutz geht und nicht um technischen Datenschutz, für den die Bußgeldverteiler gar nicht zuständig sind. Und darum folgt daraus: IP-Adressen sind für Shopbetreiber, die Analytics einsetzen, gar kein personenbezogenes Datum. Auch nicht für die Hosting-Provider des Shop-Betreibers. Und dass die “Datenschützer” sich einen Hosting-Provider herauspicken wollen, und nicht den bösen Schurken Google, dessen Leistungen alle kostenfrei benutzen, ist die allergrößte Heuchelei.
Was für eine große Irrung!
Damit liefern Sie das beste Argument, weshalb man auf IP-Adressen verzichten kann: Sie nützt dem Händler gar nichts. Also braucht der Händler auch kein Analysetool nutzen, welches vollständige IP-Adressen erfasst und dann auf Servern in den USA speichert und (höchstwahrscheinlich) mit einer Menge anderer Daten zusammenführt. Wenn er dieses Datum nicht braucht, braucht er es auch nicht wissen.
Warum sollte unter Datenschutz nicht auch der technische Datenschutz fallen? Natürlich ist er davon auch erfasst.
@Martin Rätze
Abgesehen davon, dass es nicht stimmt, dass IP-Adressen dem Provider nichts nützen, weil sie ja – nicht personenbezogene – andere (technische) Daten im Huckepack transportieren, ist es niemandes Sache, dann dem Provider zu sagen, was für ihn sinnvoll ist und was nicht. Es ist die Freiheit im Unternehmertum, Sachen zu tun, die dem Händler nichts nützen. Und dies gerade dann, wenn das Unnütze gesetzlich weder reguliert noch gesetzlich verboten ist. Und wenn dann ein Dritter daherkommt und mit ihm besonders zur Verfügung stehenden Mitteln, über IP-Adressen einen Pesonenbezug erstmals herstellt – wenn das überhaupt geht – dann ist das sicher kein Problem des deutschen Shop-Betreibers. Dann müssen die Personendatenschützer (der bloße technische Datenschutz geht sie nicht an) doch mal den Kampf mit dem so bösen Buben aufnehmen und die Shop-Betreiber in Ruhe lassen. Wenn und weil IP-Adressen keine personenbezogenen Daten für den Shop-Betreiber sind, haben Shop-Betreiber kein Problem und sie müssen auch nichts befürchten.
@leachim
Ich habe nichts über Provider geschrieben, sondern nur vom Händler gesprochen.
Die Frage, ob IP-Adressen personenbezogene Daten sind oder nicht, ist ja gerade der Streitpunkt. Es gibt Rechtsprechung, die das bejaht, aber auch welche, die das verneint. Sollte das Ergebnis sein, dass IP-Adressen personenbezogene Daten sind, ist natürlich auch der Shopbetreiber dafür verantwortlich, denn ohne ihn könnte Google die Daten ja nicht erheben. Die unternehmerische Freiheit endet dort, wo Rechte Dritter verletzt werden.
Und die Behauptung, dass der “technische Datenschutz” die Datenschützer nichts angehe, kann ich nicht nachvollziehen, weil schon eine Trennung, wie Sie sie vorschlagen nicht möglich ist. So spricht auch § 9 BDSG explizit davon, dass öffentliche und nicht-öffentliche (also auch Shopbetreiber) entsprechende technische und organisatorische Maßnahmen zu treffen haben, um die Anforderungen dieses Gesetzes zu erfüllen. Im Detail werden dann im Anhang zum BDSG bestimmte technische und organisatorische Maßnahmen vorgeschrieben.
Mal wieder die leidige Diskussion.
IP-Adressen sind ein relativ unwichtiges Schnipsel im Online-Tracking. Damit bekommt man besten falls eine Auswertung, aus welchen geographischen Bereichen jemand kommt.
Das Tracking funktioniert über Cookies. Über die IP erfahre ich höchstens, über welchen Router (welcher Internetzugang) ein Besucher kommt. Über Cookies kann ich jeden einzelnen Rechner hinter dem Router identifizieren. Und das über beliebig lange Zeiträume und beliebig häufige Wechsel der dynamisch vergebenen IP-Adresse.
@Klaus Blömeke
Dies mag aus Sicht des Seitenbetreibers durchaus zutreffend sein, und wird zum Teil auch so vertreten. In der juristischen Debatte wird jedoch ebenfalls vertreten, dass sich über den Provider oder durch andere (z.B. auch illegale) Methoden letztlich natürliche Personen, die sich hinter den IP-Adressen verbergen, konkret bestimmen lassen. Mehr zu diesem Meinungsstreit lesen Sie hier http://www.shopbetreiber-blog.de/2009/01/14/vorsicht-bei-der-speicherung-von-ip-adressen/
Hinzu kommt noch, dass der Anbieter eines solchen Tools nicht nur die Daten einer einzelnen Webseite erhält, sondern von allen Seiten, die das Tool einsetzen, wodurch er in der Lage ist, umfassende Nutzungs-, Interessen- und Bewegungsprofile mit Hilfe von IP-Adressen anzulegen. Werden zusätzlich personalisierte Dienste von dem Anbieter angeboten (z.B. E-Mail-Accounts), ist theoretisch auch eine Zusammenführung der Daten möglich und damit eine Personenbeziehbarkeit nicht ausgeschlossen.