Angesichts der stetigen Weiterentwicklung der Internet-Technologien laufen Internetnutzer Gefahr immer mehr ungewollt Spuren zu hinterlassen. Anonym im Internet zu surfen ist nur noch mit Zusatzwissen möglich. Oft ist dabei nicht klar, welche Daten vom Besucher einer Webseite gespeichert werden. Eines der Probleme ist die Übermittlung der vollständigen IP-Adresse des Internetnutzers. IP-Adressen gelten in Deutschland nach Auffassung der Aufsichtsbehörden als personenbezogene Daten, durch die Webseitenbetreiber theoretisch in die Lage versetzt werden zu erkennen, wer auf Ihren Seiten surft. Das kostenlose Tool Google Analytics hilft dabei, die Zugriffe auf den jeweiligen Internetseiten zu analysieren und den Betreibern zu Optimierung Ihrer Webseite zugänglich zu machen. Eine Übertragung von Daten zu diesem Zweck in die USA kann nicht umgangen werden. Kann man dennoch Google Analytics datenschutzkonform einsetzen? Wohl ja…

Problematik

Grundsätzlich bedarf es der ausdrücklichen Einwilligung eines Internetnutzers, dass seine personenbezogene Daten durch den Webseiten Betreiber verarbeitet werden dürfen, soweit nicht ein Gesetz eine Rechtsgrundlage hierfür liefert. (§ 4 Bundesdatenschutzgesetz kurz BDSG). Als Rechtsgrundlage für die Optimierung der Webseite des Betreibers könnte man § 15 Abs. 3 Telemediengesetz (kurz TMG) ansehen. Danach kann der Betreiber einer Webseite unter anderem für Zwecke der Werbung oder zur Optimierung der Webseite Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Voraussetzung ist jedoch, dass der Benutzer auf sein Widerspruchsrecht für diese Nutzung hingewiesen wird und der Betreiber die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt.

Webseitenbetreiber verwenden zur Auswertung des Nutzungsverhaltens der Besucher vielfach das marktführende kostenlose Tool Google Analytics. Dieses Tool verwendet zur Erkennung eines Webseitenbenutzers sogenannte Cookies, die auf dem Rechner des Webseitenbenutzers hinterlegt werden. Daran kann Google erkennen, ob der Benutzer schon mal auf der Webseite war. Zusätzlich werden auch noch andere Daten wie Version des Betriebssystems, benutzter Browser und dessen IP-Adresse zu Google in die USA übertragen. Hier liegen damit zwei Probleme:

  • Übertragung der Daten in die USA, die ein anderes Datenschutzniveau aufweist ohne einen rechtskonformen Vertrag und
  • die durch die IP-Adresse theoretisch mögliche Zusammenführung der Nutzungsdaten mit dem Träger des Pseudonyms.

Voraussetzung für eine rechtskonforme Nutzung

Damit kann eine rechtmäßig Nutzung von sogenannten Webtracking Tools, wie Google Analytics, nur unter folgenden Bedingungen erfolgen: (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund Darstellung in kursiv)

  1. Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen.Korrekte Umsetzung durch den Webseitenbetreiber:

    Technisch lässt sich dies durch Tools von Google oder Addins für Firefox realisieren. Auf diese Möglichkeit sollte der Betreiber hinweisen. Ein kleines Problem stellt es dar, dass nicht für alle Internet Browser ein entsprechendes Tool zu Verfügung steht. Dennoch wird für mehr als 95 % aller in Deutschland verwendeten Browser ein Tool angeboten. Auf Ausnahmen sollte der Betreiber hinweisen.
  2. Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.Korrekte Umsetzung durch den Webseitenbetreiber:

    Neben der Möglichkeit zum Widerspruch muss auch ein Hinweis auf diese Möglichkeit in deutlich erkennbarer Weise (z.B. Links auf der Startseite) dargelegt werden. (So macht es die activeMind AG)
  3. Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.Korrekte Umsetzung durch den Webseitenbetreiber:

    Allein durch die Nutzung von Google Analytics erhält der Webseitenbetreiber keine Möglichkeit diese Daten zusammenzuführen, da Google Analytics die IP-Adressen des Webseitenbesuchers nicht an den Betreiber zurückgibt. Problematisch ist jedoch dass Google theoretisch die Möglichkeit der Zusammenführung der Daten hat. Google sichert in seinen durch den Webseitenbetreiber einzusetzenden Hinweisen jedoch zu, dass eine Zusammenführung der IP-Adressen mit anderen Daten nicht erfolgt. Erfasst jedoch der Betreiber die IP-Adressen in eine anderen zusätzlich Weise (z.B. im Rahmen der Abrechnung kostenpflichtiger eigener Dienste) und führt diese mit den Auswertungsdaten des Tracking Tools zusammen, so müsste er diese zusammengeführten Daten löschen, wenn diese für die Abrechnung nicht mehr notwendig sind oder ein Benutzer dies verlangt. Eine Zusammenführung intern erfasster IP-Adressen mit Google Daten ist aber im Rahmen des Einsatzes von Google Analytics nur in den seltensten Fällen der Fall und damit eher unrelevant.
  4. Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.Korrekte Umsetzung durch den Webseitenbetreiber:

    Da nach Auffassung der Aufsichtsbehörden neben z.B. Namen, Adresse, Kontonummer auch IP-Adressen personenbezogene Daten darstellen, darf deren Erfassung nur ohne ausdrücklichen Einwilligung erfolgen, soweit dies zur Ermöglichung der Inanspruchnahme und deren Abrechnung notwendig ist. (z.B. bei Kauf in einem Webshop oder Abrechnung des Datenvolumens durch den Provider)Bei einer reinen Informationswebseite ist die Speicherung von personenbezogenen Daten nur im Rahmen der kurzfristig aufbewahrbaren Zugriffslogs zur Gewährleistung der technischen Sicherheit der Fall. Darüber hinaus ist eine Speicherung jedoch nur erlaubt, wenn eine ausdrückliche Einwilligung eingeholt wurde, diese erfolgt nicht durch eine stillschweigende Nutzung der Webseite selbst wenn entsprechende Datenschutzhinweise bestehen.Durch den Einsatz von Google Analytics und der Übertragung ungekürzter IP-Adressen werden personenbezogene Daten erhoben und an Google weitergegeben. Eine Lösung hierfür ist durch den Einsatz der Option „_anonymizeIp()“

    <script type=“text/javascript“>
    var _gaq = _gaq || [];
    _gaq.push([‚_setAccount‘, ‚IHRE GOOGLE ID‘]);
    _gaq.push([‚_gat._anonymizeIp‘]);
    _gaq.push([‚_trackPageview‘]);

    (function() {
    var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
    ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;
    var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s); })();

  5. Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.Korrekte Umsetzung durch den Webseitenbetreiber:

    Dieser Punkte betrifft exakt die Verwendung von Webtracking Tools, wie Google Analytics. Da eine bewusste Einwilligung gerade nicht durch eine stillschweigende Nutzung der Webseite selbst bei entsprechende Datenschutzhinweise erfolgt, ist der Einsatz der Option „_anonymizeIp()“ notwendig (siehe oben)
  6. Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.Korrekte Umsetzung durch den Webseitenbetreiber:

    Da Google außerhalb der Europäische Union die Daten verarbeitet sind die Regelungen zu Auftragsdatenverarbeitung nicht anwendbar. (§ 3 Abs. 8 BDSG) Eine Übertragung von Daten an einen Dritte und die Übertragung in außereuropäisches Ausland bedarf einer jeweiligen Einwilligung oder anderen Rechtsgrundlage, wenn es sich um personenbezogenen Daten handelt. Wenn IP-Adressen jedoch (wie oben beschrieben) gekürzt werden, ist der Webseitenbesucher auch theoretisch nicht mehr ermittelbar und nicht mehr mit den pseudonymisierten Daten von Google zusammenführbar. Die Daten, die Google verarbeitet sind damit zum Zeitpunkt der Speicherung bereits anonymisiert. (siehe Google) Die Verarbeitung durch Google bedarf damit nicht der ausdrücklichen Einwilligung. Auf die Verarbeitung anonymisierter Daten sollte vorsichtshalber hingewiesen werden. Dies geschieht durch die Datenschutzhinweise, die eingesetzt werden müssen, wenn Google Analytics eingesetzt wird.Werden damit die oben angegebenen Punkte erfüllt, ist der Einsatz von Google Analytics aus unserer Sicht rechtmäßig.

    Zu einer anderen Auffassung könnte man kommen, wenn die Beurteilung der Rechtmäßigkeit auf die Übertragung unabhängig von der Speicherung abstellt. Dies erscheint jedoch künstlich. In diesem Fall ergeben einige zusätzliche Schwierigkeiten. Die Schwierigkeit im Zusammenhang mit der Übertragung in die USA wird dadurch reduziert, dass Google dem Safe Harbor Abkommen beigetreten ist und damit einem in Europa ansässigen Unternehmen gleichgestellt werden kann. Auch hierüber besteht in gewissen Umfang Streit. Die sich hieraus ergebenden Folgen sprengen jedoch angesichts der Komplexität die in einem Blogg darstellbaren Ausführungen. Folgt man dieser Auffassung sollte der Wechsel zu einem europäischen Anbieter und der Abschluss eines Vertrages im Sinne des § 11 BDSG erwogen werden. Dann kann auch nach der zweiten Ansicht ein rechtskonformes WEB Tracking erfolgen, wenn auch nicht mit Google Analytics.

8 Kommentare
  1. Andreas Kamleiter
    Andreas Kamleiter sagte:

    Ein sehr schöner und aufschlussreicher Artikel.
    Ich habe den Analytics-Code mit dem auf meiner Webseite verwendeten verglichen und festgestellt, dass sich hier wohl im letzten Jahr einiges geändert hat. Der Analytics-Code vor einem Jahr war noch grundlegend anders aufgebaut und könnte für Verwirrung sorgen. Ich empfehle auf der Google-Analytics Seite eine aktuelle Version des Tracking-Codes zu besorgen und diesen dann ggf. an zu passen.

    Antworten
    • admin
      admin sagte:

      Vielen Dank. Ich gehe davon aus, dass sich Ihre Empfehlung nicht auf unsere Seite bezieht, oder?
      Wir sollten den aktuellen Code verwendet haben in unserer Empfehlung.

      Antworten
  2. Andreas Kamleiter
    Andreas Kamleiter sagte:

    Ja, hier wird der aktuelle Code verwendet. Ich wollte nur darauf aufmerkasm machen, dass sich am Code etwas geändert hat. Nicht dass sich andere Leser darüber wundern, dass der Tracking-Code, den sie verwenden, völlig anders aussieht als der hier erwähnte.

    Antworten
  3. Monex
    Monex sagte:

    Wenn man Google Analytics einsetzt muss also ein Datenschutz-Hinweis auf der Webseite angebracht werden dass die Daten des Besuchers auch von Google ausgewertet werden und nicht nur vom Besitzer der Webseite! Ganz verzichten möchte man auf aussagekräftige Statistiken jedoch nicht sind sie doch wichtig um Inhalte zu optimieren Fehler zu erkennen und beispielsweise Kaufabbrüche bei Webshops zu analysieren.

    Antworten
  4. Florian Wetzl
    Florian Wetzl sagte:

    Ihren Artikel finde ich sehr interessant und informativ.

    Aktuell spricht sich leider insbesondere der Hamburger Datenschützer Johannes Caspar sehr deutlich gegen Google Analytics aus und stellt Bußgelder in den Raum.

    Mich würde interessieren, ob Sie in diesem Zusammenhang den Einsatz von GA neu bewerten?

    Antworten
    • Michael Plankemann
      Michael Plankemann sagte:

      Vielen Dank für die Rückmeldung.
      Herr Prof. Caspar bemängelt, dass Google Analytics standardmäßig weiterhin vollständige IP-Adressen erfasst und auswertet, wenn nicht der Webseitenbetreiber oder der Internetsurfer dies verhindern.

      Zwei Dinge sind hierzu anzumerken:
      1. Es kann nicht auf den geschützten Betroffenen abgewälzt werden, sich gegen die verbotene Nutzung seiner Daten zu schützen, oder – andersherum gesehen – den Verstoß gegen das Datenschutzrecht damit zu rechtfertigen, dass sich der Betroffene nicht ausreichend geschützt hätte. In dieser Hinsicht irritiert, dass die Möglichkeit der Nutzung von addons etc. überhaupt Teil der Diskussion ist. Opt-out Lösungen sieht das Deutsche Recht hier gar nicht vor. Platt gesagt, wird doch ein Einbruch auch nicht dadurch legal, weil der Bestohlene die Fenster seiner Wohnung nicht vergittert hat.

      2. Wer Google Analytics auf seiner Seite einsetzt, erhebt selbst Daten und ist damit verantwortlich für den Datenschutz. Nachdem es aber nur sehr schwer möglich ist, eine wirksame Einwilligung aller Besucher einzuholen, bleibt als einzig praktikable Möglichkeit, den Personenbezug der erfassten Daten aufzuheben (dies geschieht, indem die IP-Adressen um die letzten Stellen gekürzt werden) und sie dadurch aus dem Datenschutz herauszunehmen. Ausreichend gekürzte IP-Adressen sind keine personenbezogenen Daten mehr.

      Die Drohung mit Bußgeldern kann sich unserer Ansicht nach nur an Webseitenbetreiber richten, die Google Analytics ohne Anonymisierung einsetzen. Wer so vorgeht, wie wir das hier beschrieben haben, sollte sicher sein. An unserer Einschätzung ändert sich folglich nichts.

      Antworten
  5. Johannes Nehlsen
    Johannes Nehlsen sagte:

    Erstmal finde ich es toll, dass sich so ein Artikel nicht in irgendeiner Fachzeitschrift versteckt. Vielen Dank.

    Nur schafft es der Artikel leider nicht, meine datenschutzrechtlichen Bedenken zu lösen.

    Punkt 1:
    Die Verkürzung der IP-Adresse kann oftmals keine Anonymisierung gemäß § 3 VI BDSG erfüllen.
    Vgl. Stellungnahme der Artikel 29 Datenschutzgruppe e 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen WP 148 S. 23.

    Punkt 2:
    Wenn anonymisierte Daten als trotzdem personenbezogene Daten aufgefasst werden, ist mir eine Nutzung, magels Einwilligung, dieser Daten jenseits von § 15 V S. 3 TMG nicht vorstellbar.

    Antworten
    • Michael Plankemann
      Michael Plankemann sagte:

      Lieber Herr Nehlsen, vielen Dank für das aufmerksame Studium unserer Webseite und die Anmerkung!

      Zu Punkt 1: Die Bedenken der Gruppe 29 sind sicher berechtigt. Allerdings bestehen sie wohl nur im Zusammenhang mit der Möglichkeit, neben der IP-Adresse zusätzliche Informationen zur Identifizierung eines Nutzers heranzuziehen. In diesen Fällen ist für sich betrachtet die Kürzung der IP-Adresse tatsächlich möglicherweise nicht ausreichend. Entscheidend ist aber, dass diese Zusatzinformationen der Suchmaschinenanbieter selbst erhebt – nicht der Webseitenbetreiber. Die hierbei teilweise undurchsichtigen Methoden, die es Tool-Anbietern auch über Grenzen einzelner Webseiten hinweg erlauben, einzelne Benutzer zu verfolgen, dürften auch die kürzliche Entscheidung des Hamburgischen Datenschutzbeauftragten mit beeinflusst haben, die Verhandlungen mit Google abzubrechen.
      Werden IP-Adressen gekürzt, so erhebt der Webseitenbetreiber damit selbst keine personenbezogenen Daten mehr; vorausgesetzt er kombiniert nicht auch mehrere Verfahren zur Identifizierung seiner Besucher. Dem entsprechend empfehlen z.B. sowohl der Düsseldorfer Kreis als auch etwa der Sächsische Datenschutzbeauftragte die Kürzung bzw. „Maskierung“ der IP-Adressen. Die Kürzung um lediglich ein Oktet stellt hierbei einen Kompromiss zwischen Datenschutz und aussagekräftiger Analyse dar.

      Zu Punkt 2: Die Kürzung der IP-Adresse um mindestens das letzte Oktet beseitigt die Personenbeziehbarkeit der Adresse. Sie darf daher ohne Einwilligung oder sonstige Rechtsgrundlage erfasst werden. Nochmals zu betonen ist, dass dies für den jeweilig Verantwortlichen nur gilt, solange er nicht auch andere Daten oder Verfahren zur Identifkation eines Nutzers einsetzt und diese wohlmöglich auch noch miteinander kombiniert.

      Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.