Marcus Tandler | Mediadonis | Just another Online-Marketing Superhero
 

Google Analytics: Immer noch Rechtswidrig!

Dr. Marc Laukemann

Gast-Beitrag von Rechtsanwalt Dr. Marc Laukemann

Schon wieder: früher war alles besser!
Was war die anwaltliche Beratung im Datenschutzrecht früher einfach.
„Datenschutz ist wichtig, den nehmen wir ernst. Schauen Sie mal auf unsere Webseite, wir haben sogar Datenschutzhinweise.“ Mit diesem Satz und einer Standardformulierung zum Datenschutz kam man als Webseitenbetreiber früher gut über die Runden. Eine weitergehende Beratung konnte man als Anwalt mittelständischen Mandanten auch nicht verkaufen. Wieso soll ich denn diese komplizierten Regelungen einhalten, wenn es keiner meiner Konkurrenten macht?

Datenschutzskandale und Bürokartieaufbau
Dann kamen die Datenschutzskandale bei Telecom, Deutscher Bahn, Post und Schlecker. Mittlerweile gibt es eigene Webseiten die über die scheinbar täglich neuen Datenschutzverletzungen berichten. Der Gesetzgeber hat reagiert und gleich in mehreren Gesetzesnovellen den Datenschutz drastisch verschärft und auch Google immerhin seit dem 27.09.2010 seit 12 Jahren auf dem Markt, ist längt ins Visier der Datenschützer gekommen.

So stellten obersten Datenschützer entsetzt im November letzten Jahres fest:

„Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden.“

Frech wie Datenschützer zunehmend werden, begannen sie schnurstracks die ersten Webseitenbetreiber aufzufordern, den Einsatz des Dienstes Google-Analytics einzustellen, die dazugehörigen Analytics-Konten zu löschen und die Firma Google Inc. schriftlich aufzufordern, die erlangten Nutzungsdaten zu löschen.

Was ist da los: Was Webseitenbetreiber im Umgang mit Google Analytics zu beachten haben!
Webseitenbetreiber, die Nutzungsprofile erstellen, müssen nach Auffassung der Datenschützer entweder Pseudonyme verwenden – was bekanntlich wenig Spaß macht und noch weniger mit vielen Geschäftsmodellen im Onlinemarketingbereich zu vereinbaren ist.
Immerhin kann man sagen, wenn lediglich anonyme Daten zwecks Statistikauswertung erfasst und verarbeitet werden, so ist dies unproblematisch.

Das Problem ist aber, dass IP-Adressen von Behörden und Teilen der Gerichte als personbezogene Daten gewertet werden und IP-Adressen durch Google Analytics in nicht pseudonymer Form gespeichert werden. Da sich die Firma Google bestimmte Verknüpfungen mit anderen Daten und Weitergaben an Dritte, insbesondere auch an Server außerhalb der Europäischen Union vorbehält, müssen die Vorgaben des Telemediengesetzes beachtet werden. Danach muss der Diensteanbeiter, der Google Analytics verwendet, Webseitenbesucher zuvor auf ihr Widerspruchsrecht hinweisen (vgl. § 13 TMG). Die Software von Google Analytics sah diese Widerspruchsmöglichkeit jedoch nicht vor und war praktisch kaum umsetzbar.

Was ist neu: Googles IP-Masking und Deaktivierungs Add-on
Auch Google nähert sich vorsichtig dem Datenschutzzeitalter an und hat zwei Änderungen vorgenommen:

Zum einen das IP-Masking und zum anderen die Möglichkeit eines Opt-Outs für den Internetnutzer.

IP-Masking
Webmaster können nun festlegen, ob Google den letzten Teil der IP-Adresse löschen soll. Dadurch ist weiterhin möglich, den Nutzer zu orten, allerdings ist das Gebiet deutlich größer als mit der vollständigen IP-Adresse. Außerdem ist er so nicht mehr eindeutig zu identifizieren und der Webmaster braucht keine Einwilligung mehr. Durch das sog. IP-Masking besteht für Website-Betreiber die Möglichkeit, die Erfassung der vollständigen IP-Adressen zu unterbinden. Die letzten acht Bits einer IP-Adresse werden unkenntlich gemacht, so dass sich über die nun nur noch rudimentär gespeicherte IP-Adresse nicht mehr an dahinter stehende natürliche Personen herankommen lässt. Auch Access Provider und Strafverfolgungsbehörden können auf diese Weise den Link zwischen IP-Daten und Personennamen nicht herstellen. Das Konkurrenz-Tool etracker verfährt bereits seit längerem auf diese Weise.

Deaktivierungs-Tool
Während branchenüblich die Widerspruchsmöglichkeit mittels Cookies umgesetzt wird, bietet Google ein spezielles Deaktivierungs-Add-on für den Browser des Nutzers an. Das Add-on teilt dem JavaScript von Google Analytics mit, dass keine Informationen zum Website-Besuch an Google Analytics übermittelt werden sollen. Demzufolge kann kein Tracking stattfinden. Dieses Browser-Plugin funktioniert bisher nur für Chrome, Firefox und den Internet-Explorer, nicht jedoch für Opera und Safari. Nutzern von Opera und Safari bleibt hingegen nur die manuelle Deaktivierung.
Website-Betreiber, die Google Analytics einsetzen wollen, müssen also den Quellcode von Google Analytics lediglich um einen Befehl ergänzen.
Da auch bei der Speicherung pseudonymer Daten dem Betroffenen grundsätzlich ein Widerspruchsrecht einzuräumen ist, empfiehlt es sich, innerhalb der Datenschutzerklärung auf das Deaktivierungs-Add-on hinzuweisen.

Wie komme ich aus diesem Alptraum raus? Handlungsempfehlungen!
Eine gute Handlungsempfehlung zum Datenschutz findet sich bei etracker hier (werde von denen leider nicht bezahlt).

Google-Nachrüstung reicht noch nicht aus
Die Aufsichtsbehörden halten den Einsatz von Google Analytics nach einem Zeitungsbereicht der FAZ vom 02.10.2010, Seite 4 (noch nicht Online auffindbar!) trotz der erfolgten Änderungen für nichtausreichend und kündigen an, Google, eine letzte Frist von acht Wochen zu geben, um nachzubessern. Kritisiert wird, dass das Programm, den Webseitenbetreibern nach wie vor die Möglichkeit bietet, detaillierte Statistiken über die Nutzung ihrer Seiten zu erstellen und Aktionen der Internetsurfer zu analysieren.

Fazit: Webseitenbesitzer sind gut beraten, wenn Sie datenschutzrechtlich aufrüsten. Dazu gehört

  • Wer Google Analytics verwendet, muss das IP-Masking einsetzen. Auch das Deaktivierungstool sollte dann verwendet werden.
  • Die rechtzeitige und wahre Information des Webseitenbesuchers über den Umgang mit Datenschutz, d.h.
    • eine leicht verständliche
    • leicht zugängliche,
    • zutreffende (!) Erläuterung zum Datenschutz (Datenschutzpolice)
  • der sensible Umgang mit personenbezogenen Daten, insbesondere soweit diese gespeichert, verarbeitet oder übertragen werden, d.h.
    • entsprechende Erläuterungen und Vereinbarungen (freie) Mitarbeiter
    • ein klares IT-Sicherheitskonzept, vgl. die 12 Gebote zur IT-Sicherheit
    • schriftliche Vereinbarungen und Kontrollrechte mit Dritten.
  • die echte Einräumung eines Widerspruchsrechts

Wer absolut keine datenschutzrechtlichen Risiken eingehen will (wer will das schon…), sollte die nach wie vor gültigen Hinweise des Landeszentrums für den Datenschutz Schleswig-Holstein aus dem Jahr 2009 beachten, die beim Thema Datenschutz das sind, was Gorleben für Atomkraftgegner ist: eine echte Hürde.

Danksagung
In Namen meiner Anwaltskollegen möchte ich mich an dieser Stelle bei den vielen Datenschutzbehörden, dem deutschen und europäischen Gesetzgeber, bei Google wie auch den vielen Webseitenbetreibern, die leichtsinnigerweise vor Onlineschaltung auf ein Studium der Rechte verzichtet haben und jetzt anwaltlichen Rat benötigen, bedanken. Ohne Euch wäre unser Leben weniger Lebenswert.

Der Autor ist Rechtsanwalt, u.a. Fachanwalt für gewerblichen Rechtsschutz und ärgert sich schon seit Jahren über das Datenschutzrecht in Deutschland (www.wir-beraten-unternehmer.de)

6 Comments on "Google Analytics: Immer noch Rechtswidrig!"

  1. Robert sagt:

    Kaum eine Anwendung eines Gesetzes auf die Online-Welt kriminalisiert die Webseitenbetreiber so wie der Datenschutz, zumal es einem Normalsterblichen ja auch gar nicht so einfach möglich ist, daraus wirklich den Personenbezug konkret herzustellen. Wo alle nur auf Analytics einhacken, welcher Hoster hat noch Server-Logfiles mit IP? Jeder. Ergo…

  2. Radicke sagt:

    Sollte in der Überschrift nicht eigentlich ein Fragezeichen stehen, statt eines Ausrufezeichen?
    Nur weil in der FAZ steht, dass irgendwelche (welche?) Aufsichtsbehörden Google angeblich eine Frist gesetzt hätten, ist GA doch m.E. nicht “immer noch rechtswidrig”….
    Wenn jemand nur die Überschrift liest, dann heisst es sofort wieder “GA ist illegal”…

  3. Das Fragezeichen ist in der Tat berechtigt. Google stellt sich ja auf den Standpunkt, dass solange keine höchstrichterliche Entscheidung vorliegt – die dürfte mindestens noch drei Jahre dauern – man davon ausgeht, dass der Einsatz von GA zulässig ist. Auf diesen Standpunkt kann man sich als Shopbetreiber natürlich solange zurückziehen, bis a) die Datenschutzbehörden vor der Tür steht oder b) Anwälte beginnen, derartige Verstöße im großen Stil abzumahnen, was meines Wissens im Moment noch nicht der Fall ist.
    Größere Probleme hat derjenige, der mit diesen Daten handeln will, und in Verträgen bestätigen soll, dass er die Daten aus rechtmäßigen Quellen bzw. mit Zustimmung der betroffenen erhoben und verarbeitet worden sind. Aber wer auf dieses Feld tätig ist, der ist bereits in der Vergangenheit hohe Risiken eingegangen….

  4. Peter sagt:

    @Robert

    Doch z.B. Hetzner.

  5. Thomas sagt:

    Wie soll eine Homepage noch konkurrenzfähig bleiben, wenn die genaue Datenauswertung nicht möglich ist. Das Thema um Google ist aufgebauscht. Was wissen den die Großen wie Telekom, Banken und so weiter über uns?

    An Google wird sich immer aufgestoßen.

  6. Viele Betreiber von Webseiten sind sich weiterhin unsicher, ob bzw. wie sie Google Analytics einsetzen dürfen.

    Hier gibt es eine kurze Anleitung, inklusive Erläuterungen und Beispielen, zur datenschutzgerechten Nutzung von Google Analytics:

    http://www.datenschutzbeauftragter-info.de/google-analytics-datenschutzkonform-einsetzen/

Got something to say? Go for it!