Ein Blog von Rechtsanwalt Christos Paloubis

Schlagwort: Google Analytics

Landgericht Rostock verschärft die Regeln für Tracking!

Leseempfehlung:

Ein Beitrag meines Kollegen Felix Gebhard zu den verschärften Regeln für Nudging bei Consent Tools!

https://www.datenschutzerklaerung.info/cookie-consent-tools-lg-rostock/

Google Analytics: Abmahnung bei fehlerhaftem Einsatz

In der letzten Zeit erreichen uns Berichte von Abmahnungen gegen Website-Betreiber wegen des fehlerhaften Einsatzes von Google Analytics. Dies deckt sich mit unseren Erwartungen, wonach Datenschutzverstöße in Zukunft häufiger Gegenstand von Abmahnungen werden dürften.

In den konkreten Fällen werden offensichtlich Unterlassungsansprüche wegen Verletzungen des Persönlichkeitsrechts geltend gemacht, welche darauf beruhen sollen, dass IP-Adressen nicht anonymisiert gespeichert und übertragen werden und ein entsprechender Hinweis auf die Verwendung von Google Analytics in der Datenschutzerklärung fehlt. Die Erfolgsaussichten solcher Abmahnungen sind trotzdem nicht unzweifelhaft.

Datenschutzkonformer Einsatz von Google Analytics

Ergänzung zu unserem Artikel Google Analytics: Einigung beim Datenschutz.

Für einen datenschutzkonformen Einsatz von Google Analytics sollten nach den aktuellen Vorgaben der Aufsichtsbehörden folgende Punkte eingehalten werden:

  1. Es muss ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden (§ 11 BDSG);
  2. Es dürfen nur gekürzte und somit anonymisierte IP-Adressen erfasst werden;
  3. Es muss ein ausführlicher Datenschutzhinweis bereit gehalten werden;
  4. In dem Datenschutzhinweis muss auch auf die Anonymisierung sowie das jederzeitige Widerspruchsrecht bzw. die Möglichkeit zur Deaktivierung hingewiesen werden;
  5. Altdaten, die unter Nichteinhaltung der vorstehend genannten Vorgaben gesammelt wurden, müssen gelöscht werden.

Für den schriftlichen Vertrag zur Auftragsdatenverarbeitung hat Google einen entsprechenden Vordruck zur Verfügung gestellt, siehe Einleitung der Google Analytics Bedingungen.

Damit die IP-Adressen nicht vollständig verarbeitet und somit lediglich anonymisiert erfasst werden, muss die Erweiterung „anonymizeIP“ im Tracking-Code eingebunden werden. Eine Anleitung zur Einbindung der Erweiterung hält Google hier bereit.

In der Datenschutzerklärung muss ein ausführlicher Datenschutzhinweis ergänzt werden. Hierzu gibt Google in seinen Bedingungen eine entsprechende Formulierung vor, siehe Ziffer 8.1 der Google Analytics Bedingungen. Der dort genannte Text muss jedoch unter Berücksichtigung der oben genannten Vorgaben noch um einen Hinweis auf die Anonymisierungsfunktion ergänzt werden. Die Ergänzung könnte beispielsweise lauten:

„Wir verwenden Google Analytics mit der Erweiterung „_gat._anonymizeIp()“. Die IP-Adressen werden daher nur gekürzt weiterverarbeitet und gespeichert, so dass eine direkte Personenbeziehbarkeit ausgeschlossen ist.“

Google Analytics: Einigung beim Datenschutz

Laut einer Meldung von Spiegel Online haben sich der Hamburgische Datenschutzbeauftragte und Google auf eine datenschutzkompatible Version des vielfach eingesetzten Analyse-Tools Google Analytics geeinigt.

Google Analytics ist wieder deutschlandkompatibel: Der US-Konzern hat den Statistikdienst an deutsches Datenschutzrecht angepasst und der Hamburgische Datenschützer ist zufrieden – vorerst.

In der Vergangenheit gab es viel Verunsicherung bei Seitenbetreibern, da nach Auffassung vieler Experten und Behörden der Einsatz von Google Analytics (ohne ausdrückliche Zustimmung der User) gegen deutsches Datenschutzrecht verstosse (wir berichteten) .

IP-Adressen im Kreuzfeuer der Datenschützer

Endlich ist es soweit: die öffentlich-rechtlichen Datenschützer haben verstanden, dass IP-Adressen von Website-Besuchern nicht nur bei den „Datenkraken“ Facebook und Google landen können, sondern auch von vielen anderen, v. a. Werbeanbietern fleissig genutzt werden (siehe Beitrag in heise online: Datenschutz im Internet: Harte Linie gegen Website-Betreiber). Leider haben die Datensheriffs nicht verstanden, dass das heutige Internet ohne den Austausch von IP-Adressen und ohne die Inanspruchnahme von Service und Hosting Providern nicht funktionieren kann. Entsprechend skurril muten nun auch die vermeintlichen Datenschutzmassnahmen an.

Google Analytics: vorerst doch keine Bußgelder?

Erst kürzlich hatte der Hamburger Datenschutzbeauftragte Johannes Caspar in der FAZ bekannt gegeben, dass die Verhandlungen mit Google über Google Analytics gescheitert seien. Webseiten-Betreiber, die das Analyse-Tool weiterhin einsetzen würden, müssten mit empfindlichen Bußgeldern rechnen. Wir berichteten. Einer Mitteilung von Google Analytics zufolge kann nun jedoch – jedenfalls was die Hamburger Datenschutz-Aufsichtsbehörde anbelangt – Entwarnung gegeben werden.

Tracking-Tool „Google Analytics“ im Visier der Datenschützer

Seit November 2009 verhandelte der Hamburger Datenschutzbeauftragte Johannes Caspar mit Google über Google Analytics, nachdem die Verwendung dieses Tools vom sogenannten „Düsseldorfer Kreis“ weitgehend für unzulässig befunden worden war (wir berichteten). Nun gab Caspar in der FAZ bekannt, dass die Verhandlungen gescheitert seien. Gleichzeitig kündigte er an, dass Unternehmen, die die Tracking-Software weiterhin einsetzen würden, mit empfindlichen Bußgeldern rechnen müssten. Auch ein Musterprozess gegen ein größeres Unternehmen würde in Erwägung gezogen.

Personenbezug von IP-Adressen – eine unendliche Geschichte

Seit einiger Zeit wird kontrovers diskutiert, ob IP-Adressen personenbezogene Daten sind. Die Frage schien bereits beantwortet, nachdem der so genannte Düsseldorfer Kreis, ein Zusammenschluss von Datenschutzbehörden, vor einem Jahr ankündigte, gegen die Nutzung von Google Analytics vorzugehen und dabei von einem Personenbezug von IP-Adressen ausging (siehe auch hier). Angesichts dieses klaren Standpunktes ebbte die Diskussion in der Folge etwas ab. Nun jedoch zeichnet sich durch zwei aktuelle gerichtliche Entscheidungen eine gegenläufige Tendenz ab. Die Diskussion geht damit in die nächste Runde.

Das LG Wuppertal hatte in einem Fall (Beschluss v. 19.10.2010, Az. 25 Qs 10 Js 1977/08-177/10) über die Strafbarkeit so genannten Schwarzsurfens, also der Einwahl in offene WLAN-Netzwerke, zu entscheiden. Die Kammer sah in diesem Verhalten keinerlei strafrechtliche Relevanz und verneinte sämtliche in Betracht kommende Straftatbestände, so auch das unbefugte Abrufen oder Sich-Verschaffen personenbezogener Daten gemäß den §§ 43 Abs. 2 Nr. 3, 44 BDSG.

Verbesserter Datenschutz bei Google Analytics

Im vergangenen November hatten Deutschlands oberste Datenschutz-Aufsichtsbehörden in einer gemeinsamen Erklärung den Einsatz von Google Analytics als weitgehend unzulässig eingestuft (siehe auch hier). Die Einsatzmöglichkeiten des Webanalyse-Tools reduzierten sich dadurch faktisch auf Null. Nun stellt Google für Website-Betreiber erstmals die technische Möglichkeit zur Verfügung, IP-Adressen zu pseudonymisieren, wie es das geltende Datenschutzrecht explizit fordert. Parallel dazu stellt Google ein Browser-Addon zur Verfügung, um das Datensammeln durch Google Analytics zu unterbinden. Der Einsatz von Google Analytics dürfte nach alldem in Deutschland wieder zulässig sein.

Der wesentliche Kritikpunkt der Datenschützer ist die Speicherung von IP-Adressen durch Google Analytics in nicht pseudonymer Form. Datenschutzrechtlich ist dies allenfalls mit ausdrücklicher Einwilligung des Betroffenen zulässig, was jedoch im Hinblick auf Google Analytics praktisch kaum umsetzbar ist. Die neue Funktion mit der Bezeichnung „_anonymizeIp()“ ermöglicht nun die Pseudonymisierung: Die IP-Adresse wird unkenntlich gemacht, indem vor jeder weiteren Verarbeitung die letzten acht Bit gelöscht werden. Eine Identifizierung des Benutzers ist somit ausgeschlossen, eine grobe Lokalisierung bleibt hingegen weiterhin möglich. Dem Erfordernis einer pseudonymen Speicherung dürfte damit Genüge getan sein. Das Konkurrenz-Tool etracker verfährt bereits seit längerem auf diese Weise.

Google Analytics – Einsatz in Deutschland unzulässig?

Google Analytics wird mittlerweile auf Millionen von Seiten eingesetzt. Das kostenlose Webanalyse-Tool zur Messung des für Websitebetreiber wichtigen Surf-Verhaltens ist kostenlos und einfach zu bedienen. Datenschutzrechtlich ist der Einsatz dieses Dienstes allerdings problematisch. Seit einiger Zeit wird deshalb kontrovers diskutiert, ob dessen Benutzung überhaupt zulässig ist. Der Düsseldorfer Kreis, ein Zusammenschluss von Datenschutz-Aufsichtsbehörden, hat nun festgestellt, dass Google Analytics nach deutschem Recht nur mit erheblichen Einschränkungen genutzt werden darf.

Der Düsseldorfer Kreis hat auf seiner Konferenz am 27.11.2009 einen Katalog von datenschutzrechtlichen Vorgaben aufstellt, denen Webanalysetools entsprechen müssen. Diese Kriterien erfüllt Google Analytics nicht. Das datenschutzrechtliche Problem bei Google Analytics besteht darin, dass durch dessen Einsatz Nutzungsprofile unter der Verwendung von IP-Adressen erstellt und gespeichert werden. Eine Speicherung ist nach dem Telemediengesetz (TMG) allerdings nur in pseudonymer Form zulässig, also wenn keine personenbezogenen Daten des Nutzers erfasst werden. Andernfalls bedarf es einer ausdrücklichen Einwilligung durch den Betroffenen.

Die Zulässigkeit von Google Analytics hängt also von der seit längerem höchst umstrittenen Frage ab, ob IP-Adressen personenbezogene Daten sind (siehe auch hier). Geht man von einer Personenbezogenheit aus, hätte dies zur Folge, dass der Verwender von Google Analytics die Einwilligung seiner Seitenbesucher einholen müsste, um Google Analytics überhaupt verwenden zu dürfen. Nach Auffassung der Datenschützer vom Düsseldorfer Kreis sind IP-Adressen auf jeden Fall personenbezogene Daten. Folglich sind IP-Adressen auch keine Pseudonyme im Sinne des TMG bzw. BDSG.

Der Beschluss des Düsseldorfer Kreises dürfte die Verwendung von Google Analytics erheblich einschränken. Zulässig wäre demnach nur ein Einsatz nach vorheriger Einwilligung der Websitebesucher (opt-in), was gerade beim Angebot kostenloser Dienste wie beispielsweise Nachrichten-Sites praktisch unmöglich sein dürfte, aber auch im Onlinehandel mit erheblichen Schwierigkeiten verbunden ist. Auch wenn dieser Beschluss keine Rechtsbindung entfaltet, ist er besonders vor dem Hintergrund brisant, dass einzelne Datenschutzbehörden bereits angekündigt haben, den Einsatz von Google Analytics gezielt zu unterbinden. Schlimmstenfalls drohen Bußgelder.

Wer rechtlich auf der sicheren Seite sein möchte, sollte sich nach Alternativen wie beispielsweise etracker oder Econda Monitor umsehen, die entweder die IP-Adressen verkürzen (anonymisieren) oder ganz ohne deren Speicherung auskommen.

Die Vorgaben finden Sie im Einzelnen im Beschluss des Düsseldorfer Kreises.

Copyright paloubis.com // Datenschutzerklärung // Impressum