Impressum / Datenschutz
Lars Klatte

Oberste Datenschutzbehörden stufen Google Analytics als rechtswidrig ein

Lars Klatte | 3.12.2009 | Abmahnungen, Gesetze

Google AnalyticsWebtrackingIn der Kontroverse um die rechtliche Zulässigkeit von Webanalyse-Tools haben nun erstmals alle obersten Datenschutzbehörden gemeinsam Position bezogen. Auf ihrer Konferenz in Stralsund Ende letzter Woche fassten sie einen Beschluss darüber, welche rechtlichen Vorgaben beim Einsatz von Webanalyse-Tools zu beachten sind. Das marktführende Tool „Google Analytics“ erfüllt diese Vorgaben derzeit ganz klar nicht.

Welche Auswirkungen hat dies auf Google Analytics?

Die rechtliche Zulässigkeit des kostenlosen Webanalyse-Tools „Google Analytics“ wird in Fachkreisen bereits seit geraumer Zeit kontrovers diskutiert. Aufgrund von entsprechender Berichterstattung gewinnt die Debatte um den Einsatz von Webanalyse-Tools aktuell aber auch in der Öffentlichkeit immer mehr Aufmerksamkeit.

Im Fokus steht dabei neben der allgemeinen Zulässigkeit der Erstellung von sogenannten Nutzungsprofilen von Websitebesuchern insbesondere die Frage zur Zulässigkeit der Speicherung und Übermittlung von IP-Adressen durch die Analyse-Tools.

Aufsichtsbehörden beziehen gemeinsam Position

Erstmals haben nun die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in einem gemeinsamen Beschluss eine klare Position in der Diskussion um das Thema bezogen.

Der sogenannte „Düsseldorfer Kreis“, ein informeller Zusammenschluss der obersten Datenschutzbehörden, hat dazu auf seiner Konferenz am 26./27. November 2009 in Stralsund unter dem Titel „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ folgende Vorgaben für den Einsatz von Webanalyse-Tools beschlossen:

Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Die ersten vier Punkte des Beschlusses geben im Grunde lediglich die ohnehin bereits im Telemediengesetz (TMG) eindeutig festgelegten Zulässigkeitsvoraussetzungen für die Erhebung und Verwendung von personenbezogenen Daten in Telemedien und für die Erstellung pseudonymer Nutzungsprofile gemäß § 15 Abs. 3 TMG wieder.

Im letzten Punkt wird hingegen ausdrücklich auf Analyse-Tools, die IP-Adressen in ihre Auswertung einbeziehen, Bezug genommen und klar die Auffassung vertreten, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt.

Entscheidend ist die IP-Adresse

Aus rechtlicher Sicht entscheidend dafür, ob die Erstellung von Nutzungsprofilen unter Einsatz eines Webanalyse-Tools einer ausdrücklichen Einwilligung bedarf, ist die Frage, ob dabei auch Daten erhoben und gespeichert werden, die eine persönliche Identifizierung einzelner Nutzer möglich machen.

Unter Juristen noch immer umstritten und keineswegs abschließend durch die Rechtsprechung geklärt ist in diesem Zusammenhang der Status von IP-Adressen. Während Datenschützer die Auffassung vertreten, es handele sich bei der IP-Adresse immer um ein personenbezogenes Datum, gibt es ebenso auch Argumente gegen diese Ansicht (mehr dazu lesen Sie hier im Blog).

Der „Düsseldorfer Kreis“ vertritt in seinem Beschluss jedoch ganz klar die Auffassung, die IP-Adresse sei in jedem Fall ein personenbezogenes Datum und der Einsatz von Analyse-Tools, die auch die IP-Adresse auswerten, daher nur mit ausdrücklicher Einwilligung zulässig.

Auswirkungen auf Google Analytics

Zwar richtet sich der Beschluss des „Düsseldorfer Kreises“ nicht direkt gegen Google Analytics, da jedoch bekannt ist, dass durch das Tool Nutzungsprofile unter Verwendung von IP-Adressen erstellt und gespeichert werden, sind die Verwender von Google Analytics unmittelbar betroffen.

Der Einsatz des Tools ist dem Beschluss nach ohne eine zuvor eingeholte, ausdrückliche Einwilligung (Opt-in) des Websitebesuchers datenschutzrechtlich unzulässig und kann mit Bußgeldern geahndet werden oder Unterlassungsklagen nach sich ziehen. Einzelne Datenschutzbehörden haben auch bereits angekündigt, gegen die Betreiber betroffener Webseiten entsprechende Maßnahmen einzuleiten.

Bußgelder sollen dabei jedoch erst die zweite Sanktionsstufe darstellen, wenn betroffene Betreiber, die zuvor kontaktiert und auf die Rechtswidrigkeit hingewiesen wurden, nicht entsprechend mit Abschaltung des Tools oder Einholung einer Einwilligung reagieren.

Unser Tipp für Shopbetreiber

Solange durch Google Analytics weiter IP-Adressen erhoben und gespeichert werden, ist die Verwendung dieses Tools mit erheblichen rechtlichen Risiken verbunden. Da die Einholung einer Einwilligung vor dem Einsatz des Tools, d. h. bereits vor dem Betreten der Website, nur schwer umsetzbar sein dürfte, sollten Shopbetreiber, die rechtlichen Problemen ganz aus dem Weg gehen möchten, auf Google Analytics besser verzichten. In jedem Fall reagieren sollten Shopbetreiber aber spätestens dann, wenn sie von einer Datenschutzbehörde wegen der Verwendung von Google Analytics kontaktiert wurden.

Als Alternative bieten sich Analyse-Tools an, die auf die Speicherung von IP-Adressen entweder ganz verzichten oder diese verkürzt verwenden oder in anderer Weise unkenntlich machen. Beispielhaft sei hier etwa das Tool des Anbieters etracker genannt, das IP-Adressen bei entsprechender Einstellung datenschutzkonform verkürzt verwendet, oder der Econda Monitor, bei dem die IP-Adressen nach eigenen Angaben unkenntlich gemacht werden.

Hier lesen Sie mehr zum Thema Datenschutz in unserem Blog:

22 Reaktionen zu “Oberste Datenschutzbehörden stufen Google Analytics als rechtswidrig ein”

  1. M. Müller

    Und wieder einmal wird eine praktische Sache unnötig verkompliziert und mit unnützen Kosten verbunden… Vielen Dank! 🙁

  2. Oberste Datenschutzbehörden stufen Google Analytics als rechtswidrig ein | xtcModified eCommerce Shopsoftware

    […] ganzen Artikel lesen. Share this on del.icio.usDigg this!Stumble upon something good? Share it on StumbleUponShare this […]

  3. Google Analytics in Deutschland nun illegal? | Kim Huebel - Online

    […] Vielen Dank jedenfalls für deinen Besuch!Wie ich heute morgen im Shopbetreiber-Blog lesen konnte, stufen die obersten Datenschutzbehörden Google-Analytics als rechtswidrig ein. Wer den Artikel liest, wird feststellen, dass man dies darauf begründet, dass hier durch die […]

  4. dogblanco

    Verrücktes Deutschland… Kunden zu ermitteln die per Lastschrift / Rechnung kauften und dann behaupten, Sie hätten nie was bestellt – kann man nun vergessen = nix IP vorhanden haha…, da die Daten ja ins US-Land wandern… aber die Zahlung einer Lieferantenrechnung wird freiwillig ans US-Land, dank SWIFT, übermittelt – natürlich zur Terrorbekämpfung GENAU. Toll…weiter so. Datenschützer haben echt keinen Plan, sorry…Videoüberwachung, Vorratsdatenspeicherung…usw. – aber bei google da holen Sie die Datenschutz-Keule für den Kunden raus. Vielen Dank. Adee Web2.0/X => Internet zurück in die Steinzeit.
    Achsoo nicht vergessen, den Cookie auch gleich mit verbieten => dann verschicken wir alle wieder Printkataloge, die Umwelt freuts…

  5. Michael Erp Software

    Die Diskussion über solche Tools ist ja nicht neu… es ist die nur die Frage inwiefern die Datenschützer ein Problem sehen, wenn die IP-Adresse ja nicht veröffentlicht wird. Klar Google hat die Daten, aber die müssen dann dafür sorgen, dass diese nicht in falsche Hände geraten.

  6. Christian

    Und wieder einmal scheint alles an einer unstimmingen Rechtssprechung in diesem Land zu hängen. Wenn die Gerichte sich einmal eindeutig darauf einigen könnten, ob eine IP wirklich personenbezogen ist, dann wären klare Grenzen gezogen. Meiner Meinung nach ist es aber irrwitzig anhand einer IP behaupten zu wollen, dass eine bestimmte Person an einem Rechner saß. Was ist denn mit Internet Cafés oder PC-Pools in Firmen, Schulen und Unis?

    Zu guter Letzt würde mich ja zu gern interessieren, was die betroffenen Dienste dazu zu sagen haben. Ich kann mir nicht vorstellen, dass Google und Co das einfach so hinnehmen oder wenigstens für den dt. Markt eine gesonderte Version auf den Markt bringen. Wenn da jemand Infos zu hat, dann würde ich mich über Feedback freuen.

    Grüße
    Christian

  7. Andy

    Hmm, alles so unnötig kompliziert in Deutschland was die Rechtssprechung angeht! Wenn man keine IP-Adressen zu seinen Kunden speichern darf, wie soll man dann der Polizei z.B.: bei Kreditkartenbetrügern helfen? Genau, es geht nicht! Man macht dem Verbrechen noch weiter die Tür auf.
    Habe auch in 3 Jahren Google Analytics noch keine IP Adressen da drin gesehen und wüsste auch nicht was ich damit anstellen könnte.
    Die einzigen die einen Nutzen aus der Sache ziehen, ist die Konkurrenz: Econda, Etracker, usw….
    Jede Woche ein neues Gesetz. Es gibt immer was zu tun 😉

  8. Dr. Carsten Föhlisch

    Nur zur Klarstellung: es handelt sich hier weder um Rechtsprechung noch ein neues Gesetz, sondern um eine Rechtsansicht der obersten Datenschutzbehörden. Und dass Google Analytics nur in Deutschland problematisch ist, steht in dem Artikel auch nicht.

  9. Christian

    @Dr. Carsten Föhlisch: also ist das alles wieder nur Panikmache? Wie kann dann aber schon von Abmahnungen gesprochen werden, wenn es sich noch gar nicht um ein neues Gesetz handelt?
    Ja, Google hat da sicher auch in einigen anderen Ländern Probleme, aber für mich persönlich ist ja erst einmal die dt. Rechtssprechung bzw. der Sachverhalt an sich hier in Deutschland wichtig und ausschlaggebend…

    Ich wäre dennoch sehr daran interessiert, was Google nun zu dem Thema sagt und wie darauf reagiert werden soll, wenn diese Rechtsansicht doch gültiges Recht in Deutschland wird. Vielleicht kann der Autor ja diesbezüglich mal ein wenig in Erfahrung bringen und auf diesem Artikel aufbauend was dazu schreiben…

  10. Freddy

    Hallo Christian,

    dein Argument teil ich nicht. Natürlich kann man nicht immer auf eine natürliche Person schließen. Dennoch ist eine Verwendung der Internets von zu Hause nicht einfach möglich, ohne persönliche IP-Spuren von mir zu hinterlassen.

    Es ist so ein bisschen wie mit Nummernschildern an Autos. Natürlich kann jemand anders mein Auto gefahren sein. Aber möchte ich deswegen zustimmen, dass mitgetrackt wird, wo welches (mein) Auto langfährt? Nein – das kann kein Gegenargument sein.

    Eine angepasste Version von Google Analytics kann aber auch kein angepasstes Interface sein. Bereits die Speicherung oder Erfassung der IPs muss ausgeschlossen sein. Und technisch wäre das ohne weiteres umsetzbar.

    Viele Grüße

    Frederic

  11. Dr. Carsten Föhlisch

    Hier noch ein Bericht aus UK: http://www.out-law.com/page-10555

  12. sd

    @Freddy: Der Vergleich mit dem Nummernschild hinkt in dieser Form gewaltig. Vielmehr ist es so, dass jedes Mal, wenn ich mit dem Auto losfahre, ich ein neues Nummernschild bekomme. Die Datenschützer meinen nun, dass ich ja theoretisch zur Polizei gehen könnte und dort herausfinde, wo das Auto langgefahren ist. Das ist absurd!

    Jedes Mal wenn ich eine ausländische Internetseite ansurfe oder eine deutsche Internetseite, deren Server im Ausland steht oder irgendeine Seite, die auch nur einen „ausländischen“ Besucherzähler integriert hat wird meine IP-Adresse ins Ausland übertragen. Das ist unvermeidbar, weil das Internet auf dieser Technologie basiert. Ob und wie meine IP-Adresse dort gespeichert oder verwertet wird, können deutsche Datenschützer nicht beeinflussen.

    Wenn ich also die IP-Adressen meiner Bürger wirksam schützen will, müsste ich nicht nur Google-Analytics, sondern überhaupt die Benutzung aller anderen Google-Produkte inklusive der Suche auf google.de verbieten. Wenn wir schonmal dabei sind, natürlich auch yahoo.de, aol.de, den „nicht-deutschen“ Teil von Wikipedia und jeder anderen Internetseite, die nicht den deutschen Datenschutzrichtlinien unterliegt.

    Sobald ein deutsches Gericht abschließend urteilt, dass die IP-Adresse eine personenbezogene Information ist, wird ein winziger Teil des Internets – der deutsche Teil – sanktioniert und wettbewerbsunfähig gemacht. Willkommen, Wirtschaftskrise 2.0!

  13. Arthur W. Borens

    Es ist auch nicht wie Autonummern, denn welches Auto bekommt immer dann eine zufällig gewählte neue Nummer, wenn es auf die Straße fährt?

    Die überwiegende Anzahl der Nutzer erhält vom Einwahlprovider eine gerade freie IP zu gewiesen. Insofern ist es nicht immer die gleiche. Man kann also seitens der Analyse lediglich ermitteln, bei welchem Provider diese IP liegt, mehr nicht. An die jeweiligen Nutzerdaten kommt man ohne richterlichen Beschluss doch nicht heran, oder – Herr Föhlisch?

    Zum Thema Datenschützer stellt sich mir nur die Frage: Wieso ignorieren diese „kompetenten Fachleute“ die technischen und rechtlichen Rahmenbedingungen und schaffen sich eine eigene Realität?

  14. Ralph P. Görlach

    Nun – inwieweit Daten, die in der Regel nicht mit Personen-Daten verbunden werden können – überhaupt datenschutzrechtliche Bedenken auslösen können ist mir schleierhaft und nicht nachvollziehabar.

    Google hat die IP-Adresse. Weiter nichts. Der Shop hat die Nutzerdaten, vorausgesetzt der Kunde hat sich registriert und/oder eine Bestellung aufgegeben.

    Aber: Die IP-Adressen für gewöhnlich nach 24 Stunden und sind dann für Google bzw. den Site-Betreiber wertlos. Eine direkte Verküpfung der personenbezogenen Daten mit der IP-Adresse ist nur über die Staatsanwaltschaft im Wege strafrechtlicher Ermittlungen möglich.

    Ich glaube, dass die Datenschützer sich wohl kaum mit der Problematik eingehend befasst haben können. Jede Telefon-Nummer bietet m.E. weit mehr Ansatzpunkte als ein Analysetool, welches persönliche Daten mit der IP-Adresse nur indirekt verbindet und hier zudem die Hürde Staatsanwalt dazwischen steht.

  15. Arthur W. Borens

    Die Hürde heißt eher Richter, nicht Staatsanwalt.

  16. Linktipps zu rechtlichen Diskussionen zu Google Analytics, Best Practices für Anmeldeseiten und Bewegtbild aus PR-Sicht | usabilityblog.de

    […] Oberste Datenschutzbehörden stufen Google Analytics als rechtswidrig ein Autorin: Lars Klatte Quelle: shopbetreiber-blog.de […]

  17. Thomas

    Wieso sollte man auf immer auf eine Reaktion von Google warten. Wir haben das so gelöst das wir alle Anfragen (gs.js und __utm.gif) über unsere Server leiten bevor diese vom Server an Google gesendet wird. Das funktioniert wunderbar. Die einzigste Einschränkung ist das man die Herkunft der Besucher im Karten-Overlay als (not set) angezeigt bekommt, der Rest funktioniert tadellos, da die IP-Adresse bei Analytics ansonsten nicht benutzt wird. Außer man hat einen Benutzerdefinierten Filter eingeschaltet (was warscheinlich die wenigsten für die IP-Adresse eingerichtet haben) der die IP Adresse filtert, dann wird das auch nicht mehr korrekt funktionieren.

  18. Andreas Becker

    Wie soll man dann bitte diese FAQ von Google werten: http://www.google.com/support/googleanalytics/bin/answer.py?hl=de&answer=72299

  19. Thomas

    Google beschreibt in der FAQ das „Besucher > Landkarten-Overlay“ und „Netzwerkeigenschaften > Netzseite“ Daten sind, die über die IP-Adresse berechnet werden. Alle anderen Daten werden über das ga.js berechnet und über das __utm.gif übermittelt. Was allerdings auch möglich ist wie ich oben bereits erwähnt habe, das man einen Filter anhand der IP Adresse setzt: http://www.google.com/support/googleanalytics/bin/answer.py?answer=55496

  20. Florian Münkel

    Thomas: Wie leitest du die Anfragen weiter? Und wie setzt du den Filter?

  21. Besuchsstatistik Tool - Web to Date Forum

    […] in seine Nutzungsbestimmungen nicht umsonst so viel rein. Vielleicht auch mal hier schauen. Oberste Datenschutzbeh

  22. Google Analytics jetzt Oberstadt-Kind? » Marketing » Blog für den Onlinehandel

    […] bis dato (aus datenschutzrechtlicher Sicht) gar nicht, das hatte zuletzt sehr vehement der Düsseldorfer Kreis festgestellt. Der Landesbeauftragten für den Datenschutz Rheinland-Pfalz: Der Einsatz der Software […]

Einen Kommentar schreiben




1 von 11

Archiv

  • August 2016
  • Juli 2016
  • Juni 2016
  • Mai 2016
  • April 2016
  • März 2016
  • Februar 2016
  • Januar 2016
  • © 2011 Trusted Shops GmbH | Powered by WordPress