In der Kontroverse um die rechtliche Zulässigkeit von Webanalyse-Tools haben nun erstmals alle obersten Datenschutzbehörden gemeinsam Position bezogen. Auf ihrer Konferenz in Stralsund Ende letzter Woche fassten sie einen Beschluss darüber, welche rechtlichen Vorgaben beim Einsatz von Webanalyse-Tools zu beachten sind. Das marktführende Tool „Google Analytics“ erfüllt diese Vorgaben derzeit ganz klar nicht.
Welche Auswirkungen hat dies auf Google Analytics?
Die rechtliche Zulässigkeit des kostenlosen Webanalyse-Tools „Google Analytics“ wird in Fachkreisen bereits seit geraumer Zeit kontrovers diskutiert. Aufgrund von entsprechender Berichterstattung gewinnt die Debatte um den Einsatz von Webanalyse-Tools aktuell aber auch in der Öffentlichkeit immer mehr Aufmerksamkeit.
Im Fokus steht dabei neben der allgemeinen Zulässigkeit der Erstellung von sogenannten Nutzungsprofilen von Websitebesuchern insbesondere die Frage zur Zulässigkeit der Speicherung und Übermittlung von IP-Adressen durch die Analyse-Tools.
Erstmals haben nun die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in einem gemeinsamen Beschluss eine klare Position in der Diskussion um das Thema bezogen.
Der sogenannte „Düsseldorfer Kreis“, ein informeller Zusammenschluss der obersten Datenschutzbehörden, hat dazu auf seiner Konferenz am 26./27. November 2009 in Stralsund unter dem Titel „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ folgende Vorgaben für den Einsatz von Webanalyse-Tools beschlossen:
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
- Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
- Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
- Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Die ersten vier Punkte des Beschlusses geben im Grunde lediglich die ohnehin bereits im Telemediengesetz (TMG) eindeutig festgelegten Zulässigkeitsvoraussetzungen für die Erhebung und Verwendung von personenbezogenen Daten in Telemedien und für die Erstellung pseudonymer Nutzungsprofile gemäß § 15 Abs. 3 TMG wieder.
Im letzten Punkt wird hingegen ausdrücklich auf Analyse-Tools, die IP-Adressen in ihre Auswertung einbeziehen, Bezug genommen und klar die Auffassung vertreten, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt.
Aus rechtlicher Sicht entscheidend dafür, ob die Erstellung von Nutzungsprofilen unter Einsatz eines Webanalyse-Tools einer ausdrücklichen Einwilligung bedarf, ist die Frage, ob dabei auch Daten erhoben und gespeichert werden, die eine persönliche Identifizierung einzelner Nutzer möglich machen.
Unter Juristen noch immer umstritten und keineswegs abschließend durch die Rechtsprechung geklärt ist in diesem Zusammenhang der Status von IP-Adressen. Während Datenschützer die Auffassung vertreten, es handele sich bei der IP-Adresse immer um ein personenbezogenes Datum, gibt es ebenso auch Argumente gegen diese Ansicht (mehr dazu lesen Sie hier im Blog).
Der „Düsseldorfer Kreis“ vertritt in seinem Beschluss jedoch ganz klar die Auffassung, die IP-Adresse sei in jedem Fall ein personenbezogenes Datum und der Einsatz von Analyse-Tools, die auch die IP-Adresse auswerten, daher nur mit ausdrücklicher Einwilligung zulässig.
Zwar richtet sich der Beschluss des „Düsseldorfer Kreises“ nicht direkt gegen Google Analytics, da jedoch bekannt ist, dass durch das Tool Nutzungsprofile unter Verwendung von IP-Adressen erstellt und gespeichert werden, sind die Verwender von Google Analytics unmittelbar betroffen.
Der Einsatz des Tools ist dem Beschluss nach ohne eine zuvor eingeholte, ausdrückliche Einwilligung (Opt-in) des Websitebesuchers datenschutzrechtlich unzulässig und kann mit Bußgeldern geahndet werden oder Unterlassungsklagen nach sich ziehen. Einzelne Datenschutzbehörden haben auch bereits angekündigt, gegen die Betreiber betroffener Webseiten entsprechende Maßnahmen einzuleiten.
Bußgelder sollen dabei jedoch erst die zweite Sanktionsstufe darstellen, wenn betroffene Betreiber, die zuvor kontaktiert und auf die Rechtswidrigkeit hingewiesen wurden, nicht entsprechend mit Abschaltung des Tools oder Einholung einer Einwilligung reagieren.
Solange durch Google Analytics weiter IP-Adressen erhoben und gespeichert werden, ist die Verwendung dieses Tools mit erheblichen rechtlichen Risiken verbunden. Da die Einholung einer Einwilligung vor dem Einsatz des Tools, d. h. bereits vor dem Betreten der Website, nur schwer umsetzbar sein dürfte, sollten Shopbetreiber, die rechtlichen Problemen ganz aus dem Weg gehen möchten, auf Google Analytics besser verzichten. In jedem Fall reagieren sollten Shopbetreiber aber spätestens dann, wenn sie von einer Datenschutzbehörde wegen der Verwendung von Google Analytics kontaktiert wurden.
Als Alternative bieten sich Analyse-Tools an, die auf die Speicherung von IP-Adressen entweder ganz verzichten oder diese verkürzt verwenden oder in anderer Weise unkenntlich machen. Beispielhaft sei hier etwa das Tool des Anbieters etracker genannt, das IP-Adressen bei entsprechender Einstellung datenschutzkonform verkürzt verwendet, oder der Econda Monitor, bei dem die IP-Adressen nach eigenen Angaben unkenntlich gemacht werden.
Abmahnradar Juni & Juli 2024
Bundesrat will DSGVO-Abmahnungen komplett verbieten
Abmahnradar April 2024