Reibt sich Google Analytics am Datenschutzrecht?

google-analyticsWebtrackingEs gibt zahlreiche Tracking-Tools, die das Nutzerverhalten auf der Website auswerten, sodass eine Optimierung dieser Seiten möglich ist. Eines davon ist Google Analytics. Um mehr von den Besuchern zu erfahren, werden z.B. deren IP-Adressen gespeichert und in die USA übertragen. Aber darf man dies ohne Einwilligung des Besuchers?

RA Dr. Martin Schirmbacher gibt in seinem Gastbeitrag dazu Auskunft.

Mit Google Analytics bietet der weltbekannte Suchmaschinenanbieter Google ein Tool, das von vielen Websitebetreiber eingesetzt wird, um mehr über seine Besucher zu erfahren und letztlich der Optimierung der Website zu Gute kommt. Das Tracking-Tool bietet die Möglichkeit, verschiedenste benutzerbezogene Daten zu erheben und auszuwerten. Besucherbewegungen, verwendete Zeit, Browsertyp und ggf. die geographische Position des Users sind nützliche Informationen, um die Website zukünftig an dem Nutzerverhalten auszurichten.

Google-Analytics wird kritisch betrachtet

Das Tool befindet sich seit einiger Zeit unter kritischer rechtlicher Beobachtung. Hintergrund ist, dass nach § 15 Abs. 1 Telemediengesetz (TMG) der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, „soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“. Die Verwendung dieser Daten über das Ende des Nutzungsvorgangs hinaus ist nur erlaubt, „soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind“ (§ 15 Abs. 4 TMG).

Beides liegt beim Tracking von User-Daten nicht vor, so dass eine Erhebung, Speicherung und Verarbeitung personenbezogener Daten unzulässig ist, wenn der Betroffene in die Erhebung und Auswertung nicht zuvor eingewilligt hat. Eine Einwilligung ist aber nur erforderlich, wenn tatsächlich personenbezogene Daten erhoben werden.

Einsatz einer Datenschutzerklärung

Unabhängig davon hat der Websitebetreiber gemäß § 13 Abs. 1 TMG den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten auch in pseudonymisierter Form in allgemein verständlicher Form zu unterrichten. Hier kommt die Datenschutzerklärung ins Spiel. Diese muss für den Nutzer jederzeit abrufbar sein und sollte ähnlich dem Webimpressum über die Navigation der Website leicht zugänglich sein. Wer weitere personenbezogene Daten oder zu anderen Zwecken erhebt, muss die Datenschutzerklärung entsprechend erweitern und anpassen und dafür sorgen, dass sie bei jeder Preisgabe von personenbezogenen Daten durch den Nutzer für diesen unmittelbar abrufbar ist.

Einholung der Einwilligung

Lassen sich die Informationspflichten noch erfüllen, ist die Einholung der Einwilligung praktisch unmöglich, weil dies einen Dialog mit dem Nutzer vor der Speicherung der IP-Adressen voraussetzen würde. Einzig denkbare Möglichkeit ist die Integration einer Einwilligungsabfrage auf einer Landing-Page vor Erhebung der Daten. Abgesehen von der abschreckenden Wirkung ist dies insbesondere im Hinblick auf Deep-Links, also Links von außen auf Unterseiten der Website, problematisch.

IP-Adressen als personenbezogene Daten

Damit steht und fällt die datenschutzrechtliche Zulässigkeit der Verwendung von Google Analytics mit der Frage, ob die erhobenen Daten personenbezogen sind. Dies ist insbesondere für die regelmäßig erfasste IP-Adresse problematisch.

Gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Die Gretchenfrage ist damit, ob eine natürliche Person allein aus einer IP-Adresse „bestimmbar“ ist.

Relative Bestimmbarkeit

Es gibt zwei grundsätzlich verschiedene Auslegungsmöglichkeiten der Vorschrift. Nach der liberaleren Ansicht richtet sich die Bestimmbarkeit nach den Möglichkeiten der Person oder Stelle, die die Daten erhoben hat, den Nutzer zu identifizieren („relativen Bestimmbarkeit“). Dies führt dazu, dass das gleiche Datum für einen Dienstleister Personenbezug haben kann, weil er aus der Information einen Rückschluss auf eine konkrete Person ziehen kann, während das Datum für andere Dienstleister neutral ist, weil sie keine Möglichkeit haben, die dahinterstehende Person zu identifizieren.

AG München: IP-Adresse ist kein personenbezoges Datum

Dem entspricht eine Entscheidung des Amtsgericht München (Urteil vom 30.9.2008, Az. 133 C 5677/08). Danach ermöglichen es die einem Websitebetreiber normalerweise zur Verfügung stehenden Informationen und Hilfsmittel nicht, die hinter einer dynamischen IP-Adresse stehende natürliche Person ohne unverhältnismäßigen Aufwand zu ermitteln. Zwar besteht die theoretische Möglichkeit, den Anschlussinhaber mit Hilfe des Accessproviders zu identifizieren, mangels Rechtsgrundlage scheidet diese faktisch jedoch aus. Das Münchener Gericht entschied, dass eine illegale Handlung „kaum als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen“ werden könne. Danach handelt es sich bei dynamischen IP-Adressen um kein personenbezogenes Datum für den Websitebetreiber.

Absolute Bestimmbarkeit

Für die alternative Auslegung der Vorschrift im Sinne einer „absoluten Bestimmbarkeit“ genügt die theoretische Möglichkeit einer Identifizierung des Betroffenen, gleich ob das die Mitwirkung eines Dritten, illegale Methoden oder unverhältnismäßigen Aufwand erfordert. Nach dieser Ansicht genügt es etwa für die Annahme von Bestimmbarkeit, wenn der Websitebetreiber mit Hilfe der IP-Adresse unter Mitwirkung des Accessproviders den Anschlussinhaber – und damit womöglich den Nutzer – theoretisch identifizieren kann. Die Frage, wie wahrscheinlich eine Herausgabe der Daten durch den Accessprovider ist, stellen sich die Anhänger dieser Ansicht nicht.

Dem folgte das Amtsgericht Berlin-Mitte (Urteil vom 27.3.2007, Az. 5 C 314/06) in einem Verfahren, in dem es um die Speicherung von IP-Adressen der Nutzer durch das Bundesministerium der Justiz ging.

Das Amtsgericht begründete seine Ansicht mit einem Hinweis auf die zugrunde liegende EG-Datenschutzrichtlinie, wonach „bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen”.

IP-Adressen haben Personenbezug

Nach Auffassung des Gerichts, hätte eine Verneinung des Personenbezuges von dynamischen IP-Adressen unter Umständen die Nichtanwendbarkeit der Vorschriften des TMG zur Folge. Dies führe dazu, „dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden können, die ihrerseits die Möglichkeiten haben, den Nutzer aufgrund der IP-Adresse zu identifizieren“. Weiter meint das Amtsgericht, dass eine Bestimmbarkeit der Person auch dann gegeben sei, wenn der Betroffene nur mit illegalen Mitteln identifiziert werden kann.

Kritische Betrachtung

Zweifel an dieser Sichtweise sind durchaus angebracht. Dem Websitebetreiber ist es nämlich in der Regel nicht möglich, den Besucher aus der IP-Adresse individuell zu identifizieren. Ohne weitere Informationen (z.B. durch eine gleichzeitige vertragliche Beziehung mit dem Nutzer), fehlt ihm die Zuordnungsmöglichkeit. Die Accessprovider sind weder bereit noch verpflichtet, weitere Daten herauszugeben, so dass sich der Anschlussinhaber allenfalls mit Hilfe der Staatsanwaltschaft ermitteln lässt. Zudem ist damit eine eindeutige Identifizierung des Nutzers nicht möglich, weil etwa bei Unternehmensanschlüssen oder Internet Cafes eine Bestimmung des Surfenden unmöglich ist.

Fazit

Zwar spricht deutlich mehr für den relativen Bestimmbarkeitsbegriff. Es muss darauf ankommen, ob derjenige, der die Daten erhebt oder verarbeitet, aus den Daten natürliche Personen identifizieren kann. Dies ist im Verhältnis Websitebetreiber zu Internet-Nutzer regelmäßig nicht der Fall. Danach sind gespeicherte IP-Adressen keine personenbezogenen Daten in Sinne § 3 Abs. 1 BDSG. Das letzte Wort ist hier aber noch nicht gesprochen und wird wohl letztendlich vom Europäischen Gerichtshof in Luxemburg kommen müssen.

Der Websitebetreiber, der Google Analytics verwenden möchte, kann die Regelungen über personenbezogene Daten unter Hinweis auf die relative Bestimmbarkeit ignorieren. Gegebenenfalls drohen aber die Inanspruchnahme durch Betroffene und Wettbewerber, gegen die man sich – mit guten Chancen – wehren könnte.

Über den Autor

RA Dr. Martin Schirmbacher

06_martinschirmbacher_smallMartin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.

Weitere Informationen der Kanzlei HÄRTING:

 

Hier lesen Sie mehr zum Thema Datenschutz bei uns im Blog:

16.07.09
Dr. Martin Schirmbacher

Dr. Martin Schirmbacher