Datenschutzproblem Google Analytics: Zunächst abschalten
Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, nach dem die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in seiner derzeitigen Form in den meisten Fällen abzuraten.
Hintergrund: Entscheidung der Datenschutz-Aufsichtsbehörden
Die Aufsicht über die Einhaltung des Datenschutzes im so genannten nicht-öffentlichen Bereich (sprich: Unternehmen) obliegt den Datenschutz-Aufsichtsbehörden der Länder. Um in bundesweit relevanten Rechtsfragen eine einheitliche Praxis der Aufsichtsbehörden sicherzustellen, haben sich diese informell zum so genannten „Düsseldorfer Kreis“ zusammengeschlossen, der in Stellungnahmen gemeinsame Standpunkte formuliert. In einem aktuellen Beschluss vom 26.11.2009 ist Folgendes festgehalten worden:
“Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. (…)“
Anwendung auf Google Analytics und vergleichbare Tracking-Tools
Damit ist die Verwendung von Google Analytics und ähnlichen Tracking-Tools, die für ihre Analyse auf die vollständige IP-Adresse zurückgreifen, nach Auffassung der Datenschutz-Aufsichtsbehörden unzulässig, wenn keine vorherige Einwilligung des Betroffenen eingeholt wurde. Die von Google vorgesehene Erläuterung in der Datenschutzerklärung allein ist nicht ausreichend, um den Einsatz von Google Analytics zu rechtfertigen.
Einwilligung einholen in den meisten Fällen unpraktikabel
Möglich wäre, von jedem Webseitennutzer vor Speicherung seiner IP-Adresse im Wege des Opt-In Verfahrens eine Einwilligungserklärung zu verlangen – eine in den meisten Fällen wahrscheinlich höchst unpraktikable Lösung (mit wenigen Ausnahmen im Finanzbereich, wo bereits jetzt der Nutzer vor Besuch der Webseite eine Nutzungserklärung zu akzeptieren hat, bevor die Webseite angezeigt wird).
Drohen Bußgelder der Aufsichtsbehörden?
Theoretisch ja – allerdings haben die ersten Aufsichtsbehörden angekündigt, Shopbetreiber vor der Verhängung von Bußgeldern erst anzuschreiben und die Abschaltung von Google Analytics und ähnlichen Tools zu fordern. Auch stellt sich derzeit noch die Frage, wie die Datenschutzbehörden angesichts der Vielzahl betroffener Webseiten dies rein organisatorisch bewältigen können.
Abschalten – und was dann?
Wir empfehlen Ihnen angesichts der klaren Worte der Aufsichtsbehörde, Google Analytics vorerst abzuschalten, also insbesondere den Tracking-Code von Google aus Ihrer Webseite zu entfernen. Unserer Ansicht nach ist damit zu rechnen, dass Google in Kürze reagieren und eine datenschutzrechtlich zulässige Variante von Google Analytics anbieten wird. Auch ist denkbar, dass der Gesetzgeber eingreifen und legislativ die Frage behandeln wird, ob es sich bei IP-Adressen tatsächlich um personenbezogene Daten handelt.
Fazit:
Der Einsatz von Google Analytics (und ähnlicher auf der vollständigen IP-Adresse aufbauenden Tracking-Tools) in der derzeitigen Form ist nach Ansicht der zuständigen Datenschutz-Aufsichtsbehörden unzulässig. Webseitenbetreibern ist daher zu raten, derartige Tools abzuschalten und den entsprechenden Tracking-Code aus der Webseite zu entfernen. Es ist unserer Ansicht nach damit zu rechnen, dass eine datenschutzrechtlich zulässige Variante von Google Analytics entwickelt werden wird. Bis dahin sollten Sie auf alternative Tracking-Tools zurückgreifen.
Über die Autoren:
Der Beitrag wurde gemeinsam von Ressortleiter Sebastian Kraska und Alma Lena Fritz verfasst. Alma ist Rechtsassessorin aus München und freiberufliche Mitarbeiterin des Instituts für IT-Recht IITR. Derzeit besucht Frau Fritz den aufbauenden Master-Studiengang zum Informationsrecht in Hannover/Oslo und absolviert zugleich die theoretische Ausbildung zur Fachanwältin für IT-Recht.
E-Mail: fritz@iiTR.de
Telefon: 089 – 5130 3920
Wichtiger Hinweis
Der vorliegende Rechtsbeitrag stellt weder eine Rechtsberatung dar noch ersetzt er die Beratung durch einen fachkundigen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Der Beitrag ist abgestimmt auf die dem Autor bei der Veröffentlichung bekannte Rechtsprechung und die herrschende Meinung in der einschlägigen Rechtsliteratur. Es ist nicht auszuschließen, dass einzelne Textpassagen im Lichte eines unbekannten oder nicht veröffentlichten Urteils zu beanstanden sind. Bitte informieren Sie sich über derartige Umstände oder holen im Zweifel fachkundigen Rat ein.
Lustig, ihr empfehlt das Tracking abzuschalten, benutzt es aber selber hier in eurem Blog!? Was soll man jetzt davon halten? Und welche Alternativen könnt ihr empfehlen, auch im Hinblick auf die Kosten?
Was gibt es denn aber für Alternativen, die aktuell gesetzeskonform sind und über die man ähnlich effektiv wie über Google Analytics das Benutzerverhalten auf seiner Website auswerten kann?
Typisch Deutschland – als ob wir nicht andere Probleme hätten, zeigen unsere Behörden mal wieder, wozu sie fähig sind (und wozu nicht) und katapultieren uns zurück in die Internet-Steinzeit.
Dann aber Innovationen in Deutschland fördern wollen. Überlegen jetzt ernsthaft, mit 2 Startups in die Schweiz überzuwechseln…
Alternativen würden mich auch interessieren….
Eine Alternative bietet etracker – siehe hierzu auch die Diskussion unter http://www.etracker.com/de/etracker-unternehmen-web-controlling-und-analyse-software/etracker-news-aktuelles-neuigkeiten/article/aktuelle-diskussion-um-den-datenschutz-im-rahmen-der-webanalyse.html
Diese Aufsichtsbehörde entpuppt sich als der Maschinenstürmer des deutschen Webs. Mit diesem “Beschluss” wird Websitebetreibern DAS Tool zur Optimierung der Website genommen wird. Leidtragender ist am Ende der User … einfach traurig die ganze Geschichte!
Mein Alternativtip zu Analytics ist Piwik.
Soso, Analytics abschalten.
Indextools, Webtrekk, Omniture, Google Website Optimiser und Co auch gleich? Was ist mit den Apache-Logs? Soll ich die gleich löschen?
Das kommt davon, wenn Juristen im stillen Kämmerlein “ein Problem” lösen wollen.
@Gustav.
Das trifft den Nagel auf den Kopf.
Seit der “Google SMS” von Frau Zypries sind wir international eh nur noch die Lachnummer.
@Gustav:
Nicht abschalten, wir ziehen einfach alle nach Amsterdam. Sollen die Zurückbleibenden doch wieder in Telefonbüchern blättern… ;)
Sie empfehlen, Google Analytics abzuschalten, also insbesondere den Tracking-Code von Google zu entfernen. Warum gehen Sie nicht mit gutem Beispiel voran? In Ihrem Quellcode ist der Analytics-Code noch enthalten und Sie haben nicht um meine Einwilligung zur Auswertung personenbezogener Daten gebeten…
Ich finde es schade, dass eine Seite wie gruenderszene.de so unkritisch mit dem Thema umgeht und nicht klar Position GEGEN diesen Regulierungswahn der Datenschützer bezieht. Denkt noch einmal nach!
würde es reichen, wenn wir unsere Servers im Ausland haben?
Auch wenn es wünschenswert wäre, dass jeder Mensch anonym das Internet nutzen könnte. Leider ist Google Analytics nicht das einzige “Problem”. Externe JavaScripts, Werbung, Youtube etc. Alles wird von externen Servern geladen, weshalb die IP (u.a.) auch dorthin übertragen wird.
Weitere Infos: http://blog.zeidlos.de/ueber-den-unsinn-der-google-analytics-diskussion
Das Problem ist doch Hausgemacht.
Wenn nicht böse Buben alles ausnutzen würden um sich daraus einen Vorteil zu schaffen, würde kein hahn drüber krähen. Ich habe gar keine Lust zusehen wer dahinter steht. Für mich ist wichtig wie kommen die Besucher auf meinen Blog oder die Seite.
Die Tage hatte ich eine Meldung an die Polizei gegeben wegen einem Foto was nicht sauber war (Pädo). Komisch die waren Glücklich, das ich ihnen die IP geben konnte.
Wir müssen die Kirche mal im Dorf lassen und diejenigen aus dem Internet kicken, die sich dadurch zu betrügerischen Absichten hinziehen lassen.
Mir kommt gerade der Gedanke, dass IP-Adressen sich mit Nummernschildern am Auto vergleichen lassen.
Wenn ich ein Kennzeichen kenne, dann kann nur die Polizei den Halter bestimmen. Und als Sitebetreiber kann ich mit der IP auch nur über die Polizei an den User kommen. Also? Wollen wir Nummernschilder auch verbieten?
Weitere 150 Alternativen zu Google Analytics gibt’s hier: http://www.webanalyticsbook.com/webanalytics-vendor/
Also ich finde bei meinem Analytic´s Acount keine IP Adressen.
Kann mir einer sagen wo ich die einsehen kann????????
Das Problem ist weitreichender als nur Google Analytics.
Durch die Einstufung der IP-Adresse als personenbezogene
Information, ist eine Protokollierung unzulässig.
Das bedeutet aber auch, dass ich keine Skripte, keine
Bilder und keine Videos einbinden darf, die auf einem
anderen Server liegen.
Außer: Der Nutzer willigt ausdrücklich ein oder der Anbieter
garantiert, dass die IP-Adresse nicht gespeichert (oder zuvor
anonymisiert) wird – und das tut kein US-Dienst.
Das ist eine folgenreiche Entwicklung für das deutsche
Internet. Mehr Infos:
http://www.anonym-surfen.com/ip-adresse-als-personenbezogene-information/
Ist irgendwie widersprüchlich, dass man keine Analyticsdienste nutzen darf, weil das ein Staat verbietet, der die Internetüberwachung in den letzten Jahren nahezu perfektioniert hat, was den Iran vor Neid erblassen lässt.
[...] Portal gruenderszene.de hat das Thema Google Analytics aufgegeriffen und nochmal die Problematik mit dem Datenschutz [...]
Hi
tracken oder nicht – darueber laesst sich diskutieren.
ueber google-analytics aus meiner sicht keinesfalls.
da es gute alternativen gibt sehe ich auch ueberhaupt keinen grund dafuer.
gute praktikable informationen sind dort zu finden:
http://www.tobsolution.de/allgemein/piwik-opensource-alternative-zu-google-analytics
http://www.tobsolution.de/webentwicklung/piwik-datenschutz-teil-2
http://datenschutzalltag.de/tag/piwik/
die analogie zu kennzeichen und polizei finde ich interessant.
ja! google ist hier die polizei.
ja! google kann den halter herausfinden.
ja! google sammelt ueber die verschiedensten kanaele daten.
ja! google weiss zuviel.
wissen ist macht – sagten die Nazis. warum wohl?
PIWIK hingegen hat nur den einen infokanal und die daten bleiben im haus. doch:
google liest WLANs und speichert private daten.
google bietet mail an: vorher zwingend ist eine unterschrift, dass die ALLES lesen duerfen.
google steckt auch hinter vieler mail wie GMX etc – denn viele leiten weiter.
google weiss damit namen, IP, zeiten, programme, system, …
google sucht auf vielen seiten. Firefox zb laedt mit jedem aufruf ein google-bildchen.
google bringt die daten ausser landes. wer weiss wohin?
google braucht google-watch.org.
google watcht zuviel. nun wird zurueck gewatcht.
google muss kontrolliert werden!
Update: http://www.gruenderszene.de/recht/google-und-datenschutz-google-analytics-erfullt-zentrale-forderung-der-datenschutz-aufsichtsbehorden/
Kommentar verfassen
Redakteur
mehr Informationen
Du willst auch für Gründerszene im Ressort Rechtsfragen schreiben? Dann melde dich bei Sebastian
Sponsoren