Google Analytics ist wohl eines der beliebtesten Tracking Tools im Online-Handel. Ohne den Einsatz der Code-Erweiterung „anonymizeIP“ werden jedoch die IP-Adressen der Nutzer an Google weitergegeben. Das LG Dresden (Urt. v. 11.01.2019 – 1a O 1582/18) entschied nun, dass der Einsatz von Google Analytics ohne die Code-Erweiterung „anonymisiert“ eine Verletzung des allgemeinen Persönlichkeitsrechts darstellt.
Die Beklagte betreibt eine Website und nutzte den Webanalysedienst Google Analytics. Mit diesem Dienst werden Daten über die Aktivitäten der Nutzer überwacht und in Echtzeit Google zur Auswertung zur Verfügung gestellt. Damit erhält Google auch die IP-Adressen der Websitebesucher. Weil die Übermittlung der IP-Adressen seit vielen Jahren von Datenschützern als unzulässig eingestuft wird, sieht der Tracking-Dienst Google Analytics die Möglichkeit vor, durch den Quellcode-Zusatz „anonymisiert“ die letzten 8 Bit einer IP-Adresse zu löschen und dadurch die IP-Adressen zu anonymisieren. Der Kläger, ein Verbraucher, besuchte die Website und stellte fest, dass das Tracking-Tool ohne den Quellcodezusatz „anonymisiert“ genutzt wurde. Der Kläger forderte die Abgabe einer Unterlassungserklärung, Auskunft über die zu seiner Person gespeicherten Daten und Erstattung der anwaltlichen Kosten. Die Beklagte kam keinem der Verlangen nach.
Das Gericht entschied, dass der Einsatz ohne Anonymisierung gegen Datenschutzrecht verstößt und den Betroffenen in seinem Persönlichkeitsrecht verletzt.
Verletzung des allgemeinen Persönlichkeitsrechts
Das Gericht stellte zunächst fest, dass durch die Weitergabe der IP-Adresse an Google das allgemeine Persönlichkeitsrecht des Klägers verletzt werde. Dessen Schutzbereich umfasse auch personenbezogene Daten.
Das allgemeine Persönlichkeitsrecht des Klägers – im speziellen das informationelle Selbstbestimmungsrecht – wurde verletzt, als die Beklagte die Daten des Klägers an Google Inc. weitergab. […] Der Schutzbereich des Selbstbestimmungsrechts umfasst auch Daten, die gegenüber Dritten erkennbar einer Person zugeordnet sind. Dabei geht es um die Erhebung der Daten und um die Frage, ob und inwieweit diese Daten gespeichert werden.
Durch die Nutzung ohne Anonymisierung werde in den Schutzbereich des Persönlichkeitsrechts eingegriffen.
IP-Adressen stellen personenbezogene Daten i. S. d. § 12 Abs. 1und Abs. 2 TMGLV m. § 3 Abs. 1 BDSG dar, wenn diese von einem Anbieter von Online-Mediendiensten beim Zugriff auf Internetseiten gespeichert werden. […]
Die Beklagte griff auch zum Nachteil des Klägers in die geschützte Sphäre des Klägers ein: Die Beklagte hat hier die IP-Adresse des Klägers an die Google Inc. weitergeleitet, ohne diese Adresse zu anonymisieren, als der Kläger die Webseite des Beklagten aufsuchte. Denn die Beklagte nutzte den sogenannten Tracking-Dienst Google Analytics, ohne dabei gleichzeitig den Quellcode-Zusatz „anonymisiert“ zu verwenden. Dieser Quellcode-Zusatz hätte es ermöglicht, die IP-Adressen zu anonymisieren.
Keine Einwilligung des Nutzers
Eine Erhebung und Verwendung personenbezogener Daten ist jedoch nur möglich, wenn eine Vorschrift dies erlaubt oder der Nutzer eingewilligt hat. Der Anbieter müsse sicherstellen, dass die Einwilligung bewusst und eindeutig erteilt werde.
Dies setzt voraus, dass der Nutzer vom Erklärungsinhalt Kenntnis hat. Zwar schreibt das Gesetz eine spezielle Gestaltungsform dafür nicht vor, allerdings wird konkrete Einwilligungshandlung vorausgesetzt – durch Setzen eines Häkchens durch Anklicken oder Bestätigung eines Buttons mit der Aufschrift „ich akzeptiere und willige ein“. Nicht ausreichend ist ein bloßer Hinweis auf die AGB des Dienstanbieters, in denen ein Einwilligungstext enthalten ist. Denn dann fehlt es nach Ansicht des LG Dortmund – Urteil vom 23.02.2007, Az.: 8 O 194/06 – bereits an einer bewussten und eindeutigen Handlung des Nutzers, mit der die Einwilligung erklärt wird.
Dies sei nicht der Fall gewesen. Der Nutzer habe lediglich die Seite aufgerufen. Darin sein keine – auch nicht konkludente – Einwilligung zu sehen.
Keine Pflicht des Nutzers zur Anonymisierung
Die Beklagte versuchte sich damit zu verteidigen, dass der Kläger ohne Weiteres die Weiterleitung seiner IP-Adresse an Dritte hätte ausschließen können, wenn er die entsprechende Einstellung in seinem Browser vorgenommen hätte, mit der seine IP-Adresse bereits vor dem Aufruf der Website anonymisiert wäre, oder wenn er seine IP-Adresse durch Verwendung von Werbeblockern, Nutzung eines Brave-Browsers oder Verschleierung der eigenen IP-Adresse durch Einsatz etwa eines VPN-Tunnels unkenntlich gemacht hätte.
Dem widersprach das Gericht und betonte, dass keine Pflicht des Nutzers zur Verschleierung seiner IP-Adresse bestehe.
Dies widerspricht jedoch den geltenden Grundsätzen und auch dem Zweck des Datenschutzrechts. Denn der Zweck der DSGVO besteht u. a. darin, die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, insbesondere die Wahrung des Schutzes personenbezogener Daten. Durch die Datenschutzrechte soll vor Beeinträchtigungen des allgemeinen Persönlichkeitsrechts geschützt werden. Eine Verpflichtung dem Verletzten aufzuerlegen, sich vor einer vermuteten Rechtsverletzung selbst durch Vorkehrungen zu schützen, um eine tatsächliche Rechtsverletzung zu verhindern, widerspricht den vorgenannten Grundsätzen des Datenschutzes. Dies hätte zur Folge, dass der Datenschutz leerlaufen würde und sich die Dienstanbieter ihrer datenschutzrechtlichen Pflichten entziehen könnten.
Für die Einhaltung des Datenschutzrechts sei der Betreiber verantwortlich.
Die Beklagte muss ihre Webseite so einrichten, dass die Datenschutzrechte gewährleitstet sind. Natürlich kann ein Nutzer seine Adresse schwer zugänglich machen, indem er Umwege geht oder einen VPN-Tool nutzt. Das Internet beruht aber darauf, dass der Nutzer einen Anspruch darauf hat, Webseiten frei zu besuchen, ohne sich auf rechtswidrige Eingriffe des Webseitenbetreibers einstellen zu müssen.
Dem Kläger standen damit seine Ansprüche zu.
Alexander Kirch/Shutterstock.com
