Das Thema „Datenschutzrechtliche Zulässigkeit von Google Analytics“, welches von informierten Kreisen schon Mitte 2007 entsprechend diskutiert worden ist, kocht aufgrund eines aktuellen Artikels in der Zeit Online gerade wieder hoch.
Und tatsächlich haben sich die Datenschutzbehörden das Thema „Analyse-Werkzeuge“, welche zur Messung des Nutzungsverhaltens von Webseitenbesuchern dienen, aktuell stark auf die Fahnen geschrieben.
Die datenschutzrechtliche Beurteilung hängt maßgeblich von der Frage ab, ob IP-Adressen, die von entsprechenden Tools gespeichert bzw. teilweise auch an den jeweiligen Anbieter weitergeleitet werden, personenbezogene Daten im Sinne des Telemediengesetzes (TMG) sind oder nicht (siehe hierzu meinen Beitrag Ist die Nutzung von Google Analytics und Co rechtswidrig? ).
Nun hat der sogenannte „Düsseldorfer Kreis“, als informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen, sich zu dieser Frage eindeutig positioniert und eine Entscheidung getroffen, die aufgrund der weiten Verbreitung von Google Analytics und anderen betroffenen Analysewerkzeugen eine grosse Zahl von Webseitenbetreibern tangieren dürfte.
Unter dem sperrigen Titel “Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ hat dieser Düsseldorfer Kreis im Rahmen seiner Sitzung am 26. Und 27.November in Stralsund Folgendes beschlossen:
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
• Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
• Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
• Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
• Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von TOP 27 Sitzung des Düsseldorfer Kreises am 26./27. November 2009 in Stralsund Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.
Der Beschluss beschäftigt sich mit der Zulässigkeit von pseudonymen Nutzerprofilen (oben stehend grün eingefärbt) und unabhängig davon mit der Nutzung von Webanalysetools, die IP-Adressen verarbeiten (oben stehend blau eingefärbt). Nachfolgend soll kurz erläutert werden, was diese Interpretation des Düsseldorfer Kreises bedeutet und was von Social Communities und Webseitenbetreibern nun beachtet werden sollte.1. Inhalt des Beschlusses
a. Zulässigkeit von Webanalyse Werkzeugen unter Einsatz von IP-Adressen
Nach Auffassung des Düsseldorfer Kreises sind IP-Adressen personenbezogene Daten (oben stehend blau eingefärbt). Entscheidend ist aus Sicht der Datenschützer insoweit, dass über IP-Adressen eine natürliche Person – gegebenenfalls unter Zuhilfenahme Dritter – zumindest bestimmbar ist. Diese Interpretation ist unter Juristen durchaus umstritten und wurde auch von Gerichten schon unterschiedlich beurteilt, wobei die Tendenz langsam aber sicher in ebendiese Richtung zu gehen scheint.
Legt man also diese Interpretation zugrunde, ergeben sich die restlichen Annahmen des oben stehenden Beschlusses ohne weiteres aus dem Gesetz. Die Speicherung oder Weitergabe von IP-Adressen ist danach nur zulässig, wenn § 15 TMG dies ausdrücklich erlaubt (z.B. zu Abrechnungszwecken) oder der betroffene Nutzer vor der Datenverarbeitung zugestimmt hat (§ 12 Abs.1 TMG). Folglich ist die Nutzung von Analyse-Werkzeugen, die IP-Adressen speichern (so wie z.B. Google Analytics) ohne ausdrückliche Zustimmung des betroffenen Nutzers (im Sinne eines aktiven Opt-In) und unter Beachtung der detaillierten Voraussetzungen des § 13 TMG aufgrund eines Verstosses gegen deutsches Datenschutzrecht unzulässig.
b. Zulässigkeit von pseudonomysierten Nutzerprofilen
Völlig unabhängig von diesen Fragen beschäftigt sich der Beschluss auch noch mit der Erstellung von Nutzungsprofilen (oben stehend grün eingefärbt). Soweit hierbei IP-Adressen gespeichert oder verarbeitet werden gilt oben Gesagtes.
Nur wenn bei der Erstellung von Nutzerprofilen IP-Adressen keine Rolle spielen gilt: Die Erstellung von Nutzerprofilen unter entsprechenden Pseudonymen ist zulässig, wenn dem betroffenen Nutzer die Möglichkeit gegeben wird, dieser Datenverarbeitung zu widersprechen (d.h. also ein Opt-Out).
Diese Ausführungen sind insbesondere für Social Communities oder Drittanbieter interessant, die über verschiedene Spielarten des Targeting auf Grundlage des Nutzungsverhaltens zielgruppengenaue Werbung ausliefern wollen.
c. Zusammenfassung
Zur Klarstellung: Die Feststellungen der Datenschutzbehörden richten sich nicht spezifisch gegen Google Ananlytics, dass aber natürlich auch davon betroffen ist, sondern gegen alle Analysewerkzeuge die IP-Adressen ohne Zustimmung des jeweiligen betroffenen Besuchers speichern und verarbeiten. Ebensowenig bedeutet dieser Beschluss ein grundsätzliches Verbot von Analysewerkzeugen, sondern eben nur von denen die eindeutige IP-Adressen verarbeiten.
Einzelne Datenschutzbehörden haben angekündigt, betroffene Webseiten zunächst anzuschreiben und auf die Rechtswidrigkeit des jeweiligen Analysetools hinzuweisen. Erst wenn das jeweilige Werkzeug nicht abgeschaltet wird, kämen auch Bussgelder oder im Extremfall sogar die Abschaltung der Seite in Frage.
Auch wenn sich vielerorts Widerstand gegen diese Entscheidung regt (siehe Diskussion), ist die Qualifikation von IP-Adressen als personenbezogene Daten nicht ganz abwegig. Gerade im Rahmen der Vielzahl von Filesharing-Verfahren der Musikindustrie werden IP-Adressen als maßgebliches Kriterium zur Identifikation des Anschlussinhabers herangezogen. Diese Tendenz der Ermittlung über die IP-Adresse wird meiner Einschätzung nach eher zu- als abnehmen.
Insoweit erscheint es aus Sicht der Datenschützer zumindest nachvollziehbar den Wortlaut des Gesetzes in diese Richtung zu interpretieren, auch wenn die Folgen aufgrund der Tatsache, dass IP-Adressen in einer Vielzahl von Zusammenhängen gespeichert werden, tatsächlich sehr weitreichend sind. Da das Telemediengesetz die personenbeziehbare Protokollierung des Nutzungsverhaltens verbietet, ergeben sich die sonstigen Schlussfolgerungen unmittelbar aus dem Gesetz. Da die Umsetzung der aktuellen Datenschutzforderungen gerade Seiten- und Dienstebetreiber vor technische und finanzielle Herausforderungen stellt, sollte sich insofern vielleicht auch der Gesetzgeber aufgerufen fühlen, diese Fragen neu und eindeutig zu regeln.
2. Praxistipps
Da das Einholen einer Einwilligung vor der Speicherung der IP-Adresse wenig praktikabel erscheint, bieten sich folgende Alternativen an. Entweder der Seitenbetreiber setzt Analysetools ein, die eben keine IP-Adressen benötigen oder diese nur in pseudonomisierter Form speichern und weitergeben, was auf Grundlage des Beschlusses auch zulässig sein sollte.
Webseiten die die ausdrückliche Zustimmung zu einer Datenschutzerklärung einholen, können nach entsprechender Erläuterung dieser Art der Datenverarbeitung gegenüber den entsprechenden Nutzern auch IP-Adressen speichern. Ein einfacher Verweis auf den Einsatz von Google Analytics (im Sinne eines Datenschutzhinweises) genügt – auch auf Grundlage der aktuellen Entscheidung der Datenschutzbehörden – hingegen für Datenschutzkonformität nicht.
Die Datenschutzbehörden nennen in ihrem Beschluss im Zusammenhang mit der (Un-)Zulässigkeit der Speicherung von IP-Adressen insbesondere auch die Geo-Lokalisierung. Hier zeigt sich schon, dass auch Anbieter, die im Bereich des neuen Trends „location-based“ Services Angebote planen, sich mit dem Thema Datenschutz werden auseinandersetzen müssen.
Auch die sonstigen Ausführungen des Beschlusses sollten beachtet werden. Wenn und soweit (auch unabhängig von der Verarbeitung von IP-Adressen) Nutzerprofile erstellt werden, sollte den betroffenen Nutzern auf jeden Fall ein Widerspruchsmöglichkeit eingeräumt und über diese aufgeklärt werden. Anbietern oder Nutzern von Targeting-Lösungen (d.h. Social Networks, Shops etc.) ist daher zu raten, in den jeweiligen Datenschutzbestimmungen entsprechende Hinweise aufzunehmen.
FOLGEN SIE MIR AUF TWITTER 
Danke für den guten Beitrag!
Wenn ich pedantisch sein möchte, müsste die Einwilligung zur Speicherung der IP ja stattfinden, *bevor* die IP gespeichert wird. Nur ist das, nach meinem Verständnis, technisch nicht möglich. Denn wenn ich auf die entsprechende Seite komme und mein Einverständnis geben sollte, ist meine IP ja schon erfasst.
Hallo Frank,
absolut richtig.
Denkbar (aber wie geschrieben wenig praktikabel) wäre der eigenen Webseite eine Datenschutzerklärung vorzuschalten, der die Besucher ausdrücklich zustimmen müssen.
Unabhängig davon denke ich, dass es zeitnah einige Anbieter (vielleicht auch eine „deutsche“ Version von Google Analytics) geben wird, die datenschutzkonforme Analysetools (also ohne Speicherung von vollständigen IP-Adressen) anbieten.
Das ist durchaus möglich.
Für lokale Logfiles geht das zB. anhand einer Webserver-Konfiguration ala
– kein Cookie -> Redirect auf Einwilligungsseite, kein Eintrag im Logfile (oder anonymer Eintrag über die Definition eines Logformates für diesen Fall)
– gibt der Benutzer seine Einwilligung, wird ein entsprechendes Cookie gesetzt und der Besucher kann die Website ganz normal bedienen
Dies würde sogar erlauben anhand des Cookies *alle* Zugriffe mit oder ohne IP-Adresse zu loggen, abhängig davon ob der Benutzer kein Cookie, ein „ja“ oder ein „nein“ Cookie hat.
Für Dienste ala GA kann man derartiges durchaus in Javascript implementieren (kein Javascript -> keine Speicherung bei GA, da das komplett JS basiert ist, ansonsten Übermittlung Cookie-abhängig).
Nach der Verabschiedung der neuen Bestimmungen für Cookies in der EU, werden wir derartige Konstrukte in Zukunft en masse sehen.
Das wirklich traurige an der Sache ist, dass es bereits einen Standard gibt, der sich P3P nennt
http://de.wikipedia.org/wiki/Platform_for_Privacy_Preferences
die Unterstützung in den Browsern aber so gut wie nicht (mehr) vorhanden ist.
Firefox Benutzer sollten sich „Ghostery“ installieren, das löst schon mal jede Menge der Tracking-Probleme.
Ich freue mich schon auf das neue, deutsche Weltnetz. Bevor ich eine Webseite aufrufe klicke ich erst durch 27 verschiedene Datenschutzerklärungen und Einverständniserklärungen bevor ich dann zu den gewünschten Informationen gelange.
Ich höre auch schon in den einschlägig bekannten Anwaltskanzleien die Sektkorken knallen. Da lässt sich richtig Geld mit verdienen.
Erfreulich, dass deutsche Behörden und Ausschüsse sich mit solch wichtigen Sachen beschäftigen, ich aber seit Wochen von einer Frankfurter Umfragefirma terrorisiert werde und sich niemand zuständig fühlt.
ICH LIEBE DIESES LAND
Interessanter Vortrag!
Wie sieht es denn damit aus: der Webserver selbst (z.B. Apache) speichert die IP-Adressen von jedem Zugriff in einer LOG-Datei. Der Betreiber weiß oft nichts davon.
„Ein einfacher Verweis auf den Einsatz von Google Analytics (im Sinne eines Datenschutzhinweises) genügt (…) nicht“
aber selbst dieser hinweis wird von den meisten google analytics anwendern nicht angebracht. da sollten die datenschützer doch zuerst angreifen. wer tracking tools nutzt muss diese auch angeben!
Auf http://www.wirspeichernnicht.de/ gibt es einige Anleitungen, wie man als Administrator diversen Webtools (Apache, WordPress, Mediawiki etc.) das Speichern und Mitloggen der IP-Adressen abgewöhnen kann.
Sicherlich und hoffentlich werden bald von findigen deutschen Programmierern Tools angeboten, mit denen IP-Adressen beispielsweise in nicht zurückvervolgbare Hash-Werte umgerechnet werden, die dann gespeichert und zu Statistik-Zwecken ausgewertet werden dürfen und können.
Was das technisch genau bedeutet steht ja noch aus, allerdings wollen die Datenschützer nach eigener Aussage einen Dialog eintreten.
Wie kann der Betreiber denn belegen, dass die IP-Adresse nicht gespeichert sondern nur zur Beantwortung der Anfrage verwendet wird? Reicht die eigene Aussage?
Google hat für sich wohl schon eine Lösung parat, auch wenn der neue Paramter dazu noch nicht freigegeben ist: http://ow.ly/GffY
Ich möchte dem grundsätzlichen Anliegen zum Datenschutz betreffs der Nutzung von Tools wie *Google* *Analytics* nicht prinzipiell widersprechen.
Pikant ist aber, dass viel Abgeordnete des Bundestages, Staatssekretäre und auch die neue Ministerin _Kristina_ _Köhler_ auf ihren Internetseiten GA verwenden, wenn man dort einfach mal in den Seitenquelltext schaut. Wahrscheinlich wird es aber zuerst wieder dir kleinen nichtkommerziellen Nutzer erwischen…
Olli
Welche beschlusskonformen Analysetools können denn empfohlen werden? Leider gilt Google Analytics im WWW als state of the art Messmethode. Wenn mir jmd. andere Tools – mit ähnlicher „Genauigkeit“ bzw. nur gering von GA abweichenden Besucher-/Zugriffswerten – empfehlen kann, würde ich sofort umsteigen.
Wenn die Datenschutzbehörden alle Webseiten angehen wollen, die IP Adressen ohne Einwilligung speichern, dann können sie gleich das Internet Dicht machen. Apache-Webserver loggen standardmäßig IP Adressen mit, ich behaupte, dass das gängige Praxis von 90 % der Webseiten ist, ohne dass es die meisten Betreiber der Sites überhaupt wissen.
Die Datenschutzbehörden haben sich auf Google eingeschossen, irgendjemand muss herhalten. Ich bin gespannt, ob die Gleichung „IP Adresse = personenbezogenes Datum“ konsequent durchgezogen wird und auch alle anderen Speicherer von IP Adressen im Netz angeschossen werden.
Interessanter wäre die Diskussiion, wenn jemand einen Tipp zu einer Alternative hätte.
Es geht darum das die IP nicht gespeichert werden darf.
noch kurz zu Kommentar #3. Es gibt logfiles bei den Providern wo der Webserver läuft.
Diese werden aber dem Publisher nur mit HASH Werte in der IP zur Verfügung gestellt, so zumindest bei Strato.
Für Strato gelten die Bestimmungen der Telekomunternehmen und Provider (Stichwort Vorratsdatenspeicherung)
Es geht hier um ALLE Counter und Analyse Tools die IP nutzen und speichern ! nicht allein um GA.
Geht es nicht eigentlich noch viel weiter?
Sind denn nicht nur Analyse-Tools sondern auch z.B. „plugins“, als Javascript Code von anderen Sites (zB. feedburner rank, google friendconnect) oder auch externe Medien (Bilder) betroffen?
Damit gibt er Sitebetreiber ja auch Daten über seine Besucher an externe Anbieter preis (IP Adresse, besuchte Webseite im Referrer, Datum/Uhrzeit). Das ist IMHO auch eine Weitergabe von Daten an Dritte, denen ich nicht zugestimmt habe.
Die Analysetools funktionieren ja nach einem ähnlichen Prinzip und klarer Zielsetzung Tracking, die anderen könnten das auch wenn sie wollen.
Mal ein paar grundlegende Fragen: Was entscheidet bzgl. solcher (nicht vorsätzlicher) Datenschutzverletzungen über den Gerichtsstand? Der Sitz des Seitenbetreibers oder der Standort von Server/Hoster?
Gibt es für das Greifen dieser neuen Regelungen einen Stichtermin oder gilt das ab sofort?
es gibt ja inzwischen viele Lösungen um GA zu anonymisieren oder andere Analyse Tools, aber wie macht man das mit dem Server der ja auch die IP Aderessen speichert? Hat vieleicht jemand eine Lösung?
Mögliche Lösung zum Anonymisieren
http://ow.ly/KS7O
Die IP-Adresse muss nicht zwangsläufig auf dem Server gespeichert werden. Man kann das in der Serverconfig deaktivieren oder einfach überhaupt keine Logfiles schreiben.
Der Datenschutzbeauftrage von Sachsen bietet eine Lösung mit Webservermodul an
http://www.saechsdsb.de/ipmask
Damit kann man lediglich einen Teil der IP anonymisieren.
Problem bei allen Lösungen ist, dass man Zugriff auf die Webserverconfig braucht. Das geht meistens nur bei eigenen Servern.
Hallo Markus, vielen Dank nochmal.
das mit google analytics http://ow.ly/KS7O wusste ich schon, aber die Lösung vom Sächsischen Datenschutzbeauftragen war sehr hilfreich.
Laut Wikipedia:
Der Landesbeauftragte für Datenschutz in Schleswig-Holstein äußert sich in seinem 31. Tätigkeitsbericht vom 31. März 2009 zu Google Analytics:
„Derzeit ist die Nutzung des kostenlosen Google Analytics Services durch Webseitenanbieter unzulässig. Google muss dessen Konfiguration so ändern, dass die Betroffenen ihr Recht auf Widerspruch, Information und Auskunft sowie Löschung der Daten wirksam wahrnehmen können. Für den rechtswidrigen Einsatz des Dienstes haften die Webseitenbetreiber.“
Bisher hat Google die gesammelten Informationen (und das sind mehr als die meisten sich vorstellen können) aus seinen zahlreichen Projekten (Search, gmail, Google+, Reader etc.) nicht missbraucht und wird es meines Erachtens nach auch nie tun, denn Google lebt vom Vertrauen! Auf einen Datenschutz-Skandal wird Bing oder andere Suchmaschinen-Anbieter nur warten, denn nur dann hat man eine Chance Google etwas vom Markt streitig zu machen.