Es gibt zahlreiche Tracking-Tools, die das Nutzerverhalten auf der Website auswerten, sodass eine Optimierung dieser Seiten möglich ist. Eines davon ist Google Analytics. Um mehr von den Besuchern zu erfahren, werden z.B. deren IP-Adressen gespeichert und in die USA übertragen. Aber darf man dies ohne Einwilligung des Besuchers?
RA Dr. Martin Schirmbacher gibt in seinem Gastbeitrag dazu Auskunft.
Mit Google Analytics bietet der weltbekannte Suchmaschinenanbieter Google ein Tool, das von vielen Websitebetreiber eingesetzt wird, um mehr über seine Besucher zu erfahren und letztlich der Optimierung der Website zu Gute kommt. Das Tracking-Tool bietet die Möglichkeit, verschiedenste benutzerbezogene Daten zu erheben und auszuwerten. Besucherbewegungen, verwendete Zeit, Browsertyp und ggf. die geographische Position des Users sind nützliche Informationen, um die Website zukünftig an dem Nutzerverhalten auszurichten.
Google-Analytics wird kritisch betrachtet
Das Tool befindet sich seit einiger Zeit unter kritischer rechtlicher Beobachtung. Hintergrund ist, dass nach § 15 Abs. 1 Telemediengesetz (TMG) der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, „soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“. Die Verwendung dieser Daten über das Ende des Nutzungsvorgangs hinaus ist nur erlaubt, „soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind“ (§ 15 Abs. 4 TMG).
Beides liegt beim Tracking von User-Daten nicht vor, so dass eine Erhebung, Speicherung und Verarbeitung personenbezogener Daten unzulässig ist, wenn der Betroffene in die Erhebung und Auswertung nicht zuvor eingewilligt hat. Eine Einwilligung ist aber nur erforderlich, wenn tatsächlich personenbezogene Daten erhoben werden.
Einsatz einer Datenschutzerklärung
Unabhängig davon hat der Websitebetreiber gemäß § 13 Abs. 1 TMG den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten auch in pseudonymisierter Form in allgemein verständlicher Form zu unterrichten. Hier kommt die Datenschutzerklärung ins Spiel. Diese muss für den Nutzer jederzeit abrufbar sein und sollte ähnlich dem Webimpressum über die Navigation der Website leicht zugänglich sein. Wer weitere personenbezogene Daten oder zu anderen Zwecken erhebt, muss die Datenschutzerklärung entsprechend erweitern und anpassen und dafür sorgen, dass sie bei jeder Preisgabe von personenbezogenen Daten durch den Nutzer für diesen unmittelbar abrufbar ist.
Einholung der Einwilligung
Lassen sich die Informationspflichten noch erfüllen, ist die Einholung der Einwilligung praktisch unmöglich, weil dies einen Dialog mit dem Nutzer vor der Speicherung der IP-Adressen voraussetzen würde. Einzig denkbare Möglichkeit ist die Integration einer Einwilligungsabfrage auf einer Landing-Page vor Erhebung der Daten. Abgesehen von der abschreckenden Wirkung ist dies insbesondere im Hinblick auf Deep-Links, also Links von außen auf Unterseiten der Website, problematisch.
IP-Adressen als personenbezogene Daten
Damit steht und fällt die datenschutzrechtliche Zulässigkeit der Verwendung von Google Analytics mit der Frage, ob die erhobenen Daten personenbezogen sind. Dies ist insbesondere für die regelmäßig erfasste IP-Adresse problematisch.
Gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Die Gretchenfrage ist damit, ob eine natürliche Person allein aus einer IP-Adresse „bestimmbar“ ist.
Relative Bestimmbarkeit
Es gibt zwei grundsätzlich verschiedene Auslegungsmöglichkeiten der Vorschrift. Nach der liberaleren Ansicht richtet sich die Bestimmbarkeit nach den Möglichkeiten der Person oder Stelle, die die Daten erhoben hat, den Nutzer zu identifizieren („relativen Bestimmbarkeit“). Dies führt dazu, dass das gleiche Datum für einen Dienstleister Personenbezug haben kann, weil er aus der Information einen Rückschluss auf eine konkrete Person ziehen kann, während das Datum für andere Dienstleister neutral ist, weil sie keine Möglichkeit haben, die dahinterstehende Person zu identifizieren.
AG München: IP-Adresse ist kein personenbezoges Datum
Dem entspricht eine Entscheidung des Amtsgericht München (Urteil vom 30.9.2008, Az. 133 C 5677/08). Danach ermöglichen es die einem Websitebetreiber normalerweise zur Verfügung stehenden Informationen und Hilfsmittel nicht, die hinter einer dynamischen IP-Adresse stehende natürliche Person ohne unverhältnismäßigen Aufwand zu ermitteln. Zwar besteht die theoretische Möglichkeit, den Anschlussinhaber mit Hilfe des Accessproviders zu identifizieren, mangels Rechtsgrundlage scheidet diese faktisch jedoch aus. Das Münchener Gericht entschied, dass eine illegale Handlung „kaum als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen“ werden könne. Danach handelt es sich bei dynamischen IP-Adressen um kein personenbezogenes Datum für den Websitebetreiber.
Absolute Bestimmbarkeit
Für die alternative Auslegung der Vorschrift im Sinne einer „absoluten Bestimmbarkeit“ genügt die theoretische Möglichkeit einer Identifizierung des Betroffenen, gleich ob das die Mitwirkung eines Dritten, illegale Methoden oder unverhältnismäßigen Aufwand erfordert. Nach dieser Ansicht genügt es etwa für die Annahme von Bestimmbarkeit, wenn der Websitebetreiber mit Hilfe der IP-Adresse unter Mitwirkung des Accessproviders den Anschlussinhaber – und damit womöglich den Nutzer – theoretisch identifizieren kann. Die Frage, wie wahrscheinlich eine Herausgabe der Daten durch den Accessprovider ist, stellen sich die Anhänger dieser Ansicht nicht.
Dem folgte das Amtsgericht Berlin-Mitte (Urteil vom 27.3.2007, Az. 5 C 314/06) in einem Verfahren, in dem es um die Speicherung von IP-Adressen der Nutzer durch das Bundesministerium der Justiz ging.
Das Amtsgericht begründete seine Ansicht mit einem Hinweis auf die zugrunde liegende EG-Datenschutzrichtlinie, wonach „bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen”.
IP-Adressen haben Personenbezug
Nach Auffassung des Gerichts, hätte eine Verneinung des Personenbezuges von dynamischen IP-Adressen unter Umständen die Nichtanwendbarkeit der Vorschriften des TMG zur Folge. Dies führe dazu, „dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden können, die ihrerseits die Möglichkeiten haben, den Nutzer aufgrund der IP-Adresse zu identifizieren“. Weiter meint das Amtsgericht, dass eine Bestimmbarkeit der Person auch dann gegeben sei, wenn der Betroffene nur mit illegalen Mitteln identifiziert werden kann.
Kritische Betrachtung
Zweifel an dieser Sichtweise sind durchaus angebracht. Dem Websitebetreiber ist es nämlich in der Regel nicht möglich, den Besucher aus der IP-Adresse individuell zu identifizieren. Ohne weitere Informationen (z.B. durch eine gleichzeitige vertragliche Beziehung mit dem Nutzer), fehlt ihm die Zuordnungsmöglichkeit. Die Accessprovider sind weder bereit noch verpflichtet, weitere Daten herauszugeben, so dass sich der Anschlussinhaber allenfalls mit Hilfe der Staatsanwaltschaft ermitteln lässt. Zudem ist damit eine eindeutige Identifizierung des Nutzers nicht möglich, weil etwa bei Unternehmensanschlüssen oder Internet Cafes eine Bestimmung des Surfenden unmöglich ist.
Fazit
Zwar spricht deutlich mehr für den relativen Bestimmbarkeitsbegriff. Es muss darauf ankommen, ob derjenige, der die Daten erhebt oder verarbeitet, aus den Daten natürliche Personen identifizieren kann. Dies ist im Verhältnis Websitebetreiber zu Internet-Nutzer regelmäßig nicht der Fall. Danach sind gespeicherte IP-Adressen keine personenbezogenen Daten in Sinne § 3 Abs. 1 BDSG. Das letzte Wort ist hier aber noch nicht gesprochen und wird wohl letztendlich vom Europäischen Gerichtshof in Luxemburg kommen müssen.
Der Websitebetreiber, der Google Analytics verwenden möchte, kann die Regelungen über personenbezogene Daten unter Hinweis auf die relative Bestimmbarkeit ignorieren. Gegebenenfalls drohen aber die Inanspruchnahme durch Betroffene und Wettbewerber, gegen die man sich – mit guten Chancen – wehren könnte.
Über den Autor
RA Dr. Martin Schirmbacher
Martin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.
Weitere Informationen der Kanzlei HÄRTING:
Sehr interessanter Beitrag. Vielen Dank.
Ein Aspekt der nicht berücksichtigt wurde ist, das für Google die Profile oft personalisierbar sind. Durch die hohe Verbreitung von Analytics, Adsense und Co. erhält Google ein hervoragendes Profil und insbesondere durch Social Networks wie WKW, XING, etc. die fehlenden Daten dazu.
“Moralisch” finde ich das kritisch. Aber spielt das für die rechtliche Beurteilung eine Rolle?
muss man die verwendung von google analytics nun in seinem shop erwähnen oder nicht ?
@Andy B.: Ich empfehle, den Artikel oben zu lesen, dann wird Ihre Frage beantwortet. “Erwähnen” ist das allermindeste, es geht darüber hinaus um die Frage, ob der Kunde auch aktiv sein Einverständnis erklären muss.
@Christian Asche
Zu unterscheiden ist die Datenerhebung durch den Shop von der Erhebung durch Google. Wenn Google einen Personenbezug herstellen kann (durch AdSense- oder GMail-Daten), ist die IP-Adresse für Google ein personenbezogenes Datum, gleich welcher der geschilderten Ansichten man folgt.
Es ist dann allerdings Googles Obliegenheit, etwa erforderliche Einwilligungen der Nutzer einzuholen.
Das gilt analog für den Shop-Betreiber, wenn er selbst eine Identifizierung/Zuordnung über vorvorhandene Daten vornehmen kann.
Eine sehr gute Zusammenfassung der Thematik mit offensichtlich fundiertem Sachverstand, den man leider nicht überall antrifft.
Die Auffassung deckt sich mit der, die wir bereits im Oktober letzten Jahres in unserem Blog veröffentlicht hatten unter http://www.smartmetrics.de/tag/datenschutz/
Man muß sehr genau weitere Urteile in dieser Richtung abwarten und verfolgen.
Gruß,
Axel Amthor
Schöner Beitrag zur Klärung der etwas verwirrlichen aktuellen Situation, ganz meine Meinung.
Was vielleicht in den Betrachtungen aktuell noch zu kurz kommt: Jeder, der einen Google-Konto (Google Account) besitzt, hinterlegt dort seinen Namen und E-Mailadresse. Demzufolge könnte Google selbst theoretisch den Link zwischen namentlich bekannter Person und von dieser besuchten und mit Google Anlaytics (GA) getrackten Websites herstellen (der Website-Betreiber, der GA einsetzt, aber nicht). Dessen müsste man sich als Google Account-Nutzer bewusst sein (und wär man sich eigentlich auch, wenn man die zu akzeptierenden Bedingungen bei der Anmeldung für einen Google Account genau lesen würde). Rechtlich dürfte sich Google durch die aktive Einholung der Bestätigung zu den Account-Bedingungen zwar ausreichend abgesichert haben (und der Website-Betreiber, der GA einsetzt ist davon eigentlich nicht betroffen), es bleibt aber etwas unschön.
Mal ausgegangen davon dass die IP-Adresse als nicht personenbezogen gilt, geht meiner Meinung in der Praxis daher die Gefahr für die persönliche Identifizierbarkeit des Verhaltens nicht von Analytics-Produkten aus, sondern von jenen Diensten wie Google Account, Facebook, Xing etc. aus, wo man seine persönlichen Daten hinterlegt und eher unbewusst als bewusst zustimmt, dass Nutzungsdaten irgendwo gespeichert und verknüpft werden. (siehe dazu auch Problematik bei Xing: http://bit.ly/yhmg6 )
Hallo Herr Schirmbacher, vielen Dank für die ausführliche und differenzierte Betrachtung, die sich wohltuend vom Medienrummel der Datenschützer um Google Analytics abhebt. Eine Ergänzung: Neben dem Websitebetreiber kann auch Google mit der IP-Adresse des Nutzers im Allgemeinen nichts anfangen, was in Richtung Profilierung über mehrere Websites geht, da Google Analytics ausschließlich sog. First-Party-Cookies einsetzt, den Nutzer also über mehrere Websites hinweg nicht wiedererkennen kann. Viele Grüße, Christoph Gummersbach