Ist die Nutzung von Google Analytics und Co rechtswidrig?

Die regelmäßige Analyse des Besucherverhaltens auf einer Webseite gehört zu einer der elementaren Tätigkeiten eines jeden Webseitenbetreibers vom Shopbetreiber bis hin zum Blogger, der etwas mit seiner Seite erreichen will. Viele bedienen sich dafür verschiedener Tools wie Google Analytics, Statcounter etc. die eine Vielzahl an Möglichkeiten bieten, nicht nur Details über das Surfverhalten der User zu erfahren, sondern auch über den Nutzer selbst. Wie selbstverständlich wird von den meisten dieser Analysewerkzeuge auch die IP-Adresse der Nutzer protokolliert und damit gespeichert.

Vor kurzem hat nun aber das LG Berlin (Urteil vom 06.09.2007 – Aktenzeichen: 23 S 3/07) bestätigt, dass die Speicherung von IP-Adressen und sonstigen personenbezogenen Daten über das Ende des jeweiligen Nutzungsvorgangs hinaus als Verstoß gegen § 15 I Telemediengesetz (TMG) rechtswidrig ist. Dieses Urteil und das der Vorinstanz haben bei den Betroffenen nicht nur einige Unklarheit
hinterlassen, was unter Berücksichtigung des Datenschutzrechts denn nun noch zulässig sein soll, sondern auch bereits wieder entsprechende Abmahnwellen befürchten lassen.
Zumindest was letzteres betrifft, kann – wie noch ausgeführt werden wird – wohl Entwarnung gegeben werden.

Fraglich ist aber dennoch, ob diese Entscheidung des Landgerichtes Berlin, dass insoweit das ähnlich lautende Urteil des Amtsgerichtes Berlin (5 C 314/06) bestätigt hat, das Ende der Speicherung jeglicher IP-Adressen bedeutet. Nachdem die Speicherung von IP-Adressen regelmäßig nicht nur im Zusammenhang mit erstellten Logfiles, sondern auch bei den meisten Statcountern, sowie dem weitverbreiteten Analyseprogramm Google Analytics verwendet wird, soll nachfolgend untersucht werden, wie die Berliner Gerichte zu dieser Entscheidung kommen, welche Auswirkungen die Entscheidung für den weiteren Gebrauch solcher Tools hat und wie zukünftig mit dieser Problematik umgegangen werden sollte.

I. Sind IP-Adressen personenbezogene Daten im Sinne des §15 Telemediengesetzes ?

§ 15 Abs.1 Telemediengesetz (TMG) sieht vor, dass die Dienstanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Darüber hinaus ist die Speicherung von personenbezogenen Daten nur mit vorheriger Zustimmung des Nutzers als zulässig anzusehen.

Nach dem juristischen Verständnis sind personenbezogene Daten jegliche Informationen, die einer bestimmten oder bestimmbaren natürlichen Person (dies gilt also nicht für Firmen) zuzuordnen sind. Dies gilt also ohne weiteres für Name, Adresse, eMail-Adresse usw.. Anonyme Daten, das heißt solche, die nicht einer bestimmten natürlichen Personen zugeordnet werden können, unterfallen demnach grundsätzlich nicht den datenschutzrechtlichen Vorschriften. Der Umgang mit letzteren Daten ist also grundsätzlich nicht beschränkt.

Obwohl es in der juristischen Diskussion – nach wie vor – recht umstritten ist, ob auch IP-Adressen als personenbezogene Daten zu werten sind und insoweit datenschutzrechtlich relevant sind, hat sowohl das Amtsgericht als auch das Landgericht Berlin nun in den oben genannten Verfahren die IP-Adressen ohne weiteres als personenbezogene Daten interpretiert.

Entscheidend war insoweit, dass die Gerichte davon ausgegangen sind, dass über IP-Adressen eine natürliche Person – gegebenenfalls unter Zuhilfenahme Dritter – zumindest bestimmbar ist.

Im einzelnen hat das Amtsgericht Berlin hierzu ausgeführt:

Nach zutreffender Ansicht … ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund Ihrer IP-Adresse zu identifizieren.

An anderer Stelle heißt es:

Dynamische IP-Adressen stellen in Verbindung mit den weiteren von der Beklagten ursprünglich gespeicherten Daten personenbezogene Daten im Sinne des § 15 TMG dar, da es sich um Einzelangaben über bestimmbare natürliche Personen im Sinne des § 3 I Bundesdatenschutzgesetz handelt.

Das Amtsgericht Berlin begründet diese Annahmen damit, dass eine Verneinung des Personenbezugs von dynamischen Adressen dazu führen würde, dass insofern die datenschutzrechtlichen Vorschriften nicht eingreifen, woraus letztlich folgen würde, dass diese Daten ohne Restriktion an Dritte zum Beispiel den Access-Provider übermittelt werden könnten. Diese hätten dann ihrerseits die Möglichkeit, den Nutzer aufgrund der IP-Adressen zu identifizieren, was mit den Grundgedanken des Datenschutzrechtes nicht vereinbar sei. Nach Auffassung des Gerichtes kommt es darüber hinaus auch nicht darauf an, dass eine Bestimmbarkeit nur gegeben sein, wenn der Betroffene mit legalen Mitteln identifiziert werden könne, da das Datenschutzrecht gerade auch vor dem Missbrauch von Daten schützen soll, eine derartige Einschränkung des Begriffs der Bestimmbarkeit von Personen seitens des Gerichts als nicht gerechtfertigt erachtet worden.

Festzustellen ist demnach zunächst, dass IP-Adressen – zumindest nach Auffassung der oben benannten Gerichte – als personenbezogene Daten unter den Schutz den § 15 I Telemediengesetz fallen.

Eine Speicherung von IP-Adressen ist gemäß § 15 TMG dann grundsätzlich nur mit der ausdrücklichen Zustimmung des Betroffenen erlaubt. Fraglich ist allerdings, wer diese Zustimmung vor der Datenerhebung einholt….

II. AUSWEG: Rechtfertigung der Datenspeicherung

§ 15 TMG sieht allerdings in Einzelfällen eine Datenspeicherung auch von IP-Adressen als berechtigt an, wenn ein hinreichender sachlicher Grund (z.B. Abrechnungszwecke) vorliegt.

Das Amtsgericht Berlin führt hierzu aus:

Es bestand vorliegend auch keine Rechtfertigung für die Speicherung der Daten seitens der Beklagten. Nach § 15 I, IV TMG ist eine Speicherung zu Ermöglichung der Inanspruchnahme und zu Zwecken der Abrechnung zulässig. Gemäß Absatz 8 der Vorschrift auch dann, wenn Anhaltspunkte bestehen, das entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen.

Keine dieser Voraussetzung ist vorliegend gegeben. Eine Rechtfertigung für die Speicherung ergibt sich auch nicht aus § 9 BDSG.

Nachdem die Beklagte alternativ versucht hatte, die IP-Speicherung damit zu rechtfertigen, DoS-Attacken oder forum spammig abzuwehren, hat das Gericht entschieden, dass der insoweit einschlägige § 9 BDSG aus systematischen Gründen vorliegend nicht eingreife.

III. Die Bedeutung des Berufungsurteils des LG Berlin

Nachdem das Amtsgericht Berlin also entschieden hatte, dass Anbieter von Telemedien im Internet die Kennung (IP-Adressen) der Nutzer ihrer Dienste nicht systematisch protokollieren dürfen, wurde von Seiten der Beklagten zwar Berufung gegen das amtsgerichtliche Urteil eingelegt, aber nur insoweit, als vom Landgericht Berlin klargestellt werden sollte, das zumindest die nicht personenbeziehbare Protokollierung des Nutzerverhaltens (also ohne IP-Adressen) zulässig bleibt.

Nachdem der Kläger offensichtlich diesbezüglich keine Probleme hatte, hat er die Abänderung des darüber hinausgehenden erstinstanzlichen Urteils entsprechend anerkannt. Demgemäß bleibt die nicht personenbeziehbare Protokollierung insoweit zulässig.

IV. Zusammenfassung

Unabhängig von diesem prozessrechtlichen Geplänkel bleibt festzustellen, dass – zumindest nach dem Urteil dieser beiden Gerichte – IP-Adressen als personenbezogene Daten zu werten sind, die grundsätzlich nicht ohne vorherige Erlaubnis der betroffenen Person gespeichert werden dürfen.

Weitere auf der Hand liegende Argumente, die als Rechtfertigung der IP-Speicherung eigentlich herangezogen werden müssten, hat das Berliner Gericht leider aus systematischen Gründen abgelehnt. Insbesondere die Abwehr von sogenannten IT-Gefahren wie Spam, Viren und DDoS sollte eigentlich hinreichend Grund dafür sein, die IP-Adressen zumindest für einen gewissen Zeitraum speichern zu dürfen. Auch die Tatsache, dass man unter bestimmten Umständen für rechtsverletzende Inhalte Dritter (wie Kommentare) auf dem eigenen Blog in die rechtliche Verantwortung genommen werden kann, sollte zumindest eine kurzfristige Speicherung der IP des „Rechtsverletzers“ rechtfertigen. Diesbezüglich wird man beobachten müssen, wie andere Gerichte diese Fragen beurteilen.

Zwischenzeitlich hat es weitere Urteile gegeben, die die Zulässigkeit der Speicherung von IP-Adressen zum Gegenstand hatten. Das Landgericht Darmstadt (Az. 10 O 562/03) hat mit Urteil vom 06.06.2007 geurteilt, dass die Speicherung der IP-Adressen auch für Access Provider nur für den Zeitraum von 7 Tagen zulässig sein soll. In einem ähnlichen Fall hat das AG Bonn (Az. 9 C 177/07) entschieden, dass für einen Access-Provider das kurzzeitige Speichern nach § 100 Abs. 1 TKG gerechtfertigt sei, da die Daten zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen notwendig seien. Darüber hinaus hat das AG Bonn – im Gegensatz zur obigen Berliner Entscheidung – zum Ausdruck gebracht, dass auch die Abwehr von sogenannten IT-Gefahren wie Spam, Viren und DDoS dazu führen kann, dass die Speicherung von IP-Adressen als gerechtfertigt angesehen werden kann.

V. Bewertung der aktuellen Rechtsprechung

Auch wenn der Datenschutz – nicht zuletzt in Anbetracht der aktuellen Pläne des Bundestages zur Vorratsdatenspeicherung – in unmittelbarer Zukunft verstärkt in den Fokus geraten wird, sollte man sich von solchen Urteilen wie die der Berliner Gerichte zunächst einmal nicht in Panik versetzen lassen. Klar ist, dass Datenschutz ein wichtiges Thema ist und insofern auch in Zukunft mit der nötigen Sensibilität behandelt werden sollte. Ebenso klar ist aber, dass die Rechtsprechung zu diesem Thema noch sehr im Fluss ist und Details wie die „Rechtfertigungsgründe“ für eine IP-Speicherung wohl erst eine höchstrichterliche Entscheidung für entsprechende Klarheit sorgen wird.

Die teilweise prognostizierte Abmahnwelle für alle die entgegen der Berliner Entscheidung „unberechtigterweise“ IP-Daten ihrer Nutzer speichern scheint allerdings unwahrscheinlich und ist bisher auch ausgeblieben. Zunächst ist schon fraglich, ob eine IP-Speicherung überhaupt einen Wettbewerbsverstoß wie bei vergleichbaren Abmahnungen (wegen der Impressumspflicht oder wegen der PreisangabenVO) darstellt. Auch die nach wie vor unklare Rechtslage und die vergleichsweise niedrigen Streitwerte lassen eine Abmahnwelle eher unwahrscheinlich erscheinen.

Nichtsdestotrotz sollte man die genannten datenschutzrechtlichen Vorgaben angesichts der Sanktionsregelungen in § 16 TMG nicht gänzlich außer acht lassen. Im Falle der Erhebung, Verwendung oder Nicht-Löschung personenbezogener Daten kann, wenn insoweit gegen § 15 TMG verstoßen wird, nach § 16 Abs.3 TMG ein Bussgeld von bis zu 50.000 € verhängt werden.

VI. Hinweise für die Praxis

Bei Beachtung folgender Grundsätze sollte der Betreiber einer Webseite aber eigentlich auf der sicheren Seite sein:

• Prüfen, ob bzw inwieweit eine IP-Speicherung tatsächlich notwendig erscheint
• Wenn IP-Adressen gespeichert werden, Genehmigung des Nutzers – soweit ablauftechnisch möglich – über entsprechende Nutzungsbedingungen einholen
• IP-Adressen löschen, wenn diese nicht mehr benötigt werden
• Rechtsprechung weiter verfolgen

Und wer ganz sicher gehen will, muss eben leider Statistiktools einsetzen, die ohne die Speicherung von IP´s auskommen bzw die jeweilige Funktionalität ausschalten… jedenfalls so lange bis eine gefestigte Rechtsprechung existiert, die auch andere Gründe – wie die zitierten IT-Gefahren – als hinereichende Rechtfertigungsgründe ansieht.

Auch interessant zum Thema Datenschutz:

Datenschzurechtliche Beurteilung der Werbung auf den Profilseiten bei XING

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 23 84 953 oder via E-Mail cu@bartsch-rechtsanwaelte.de zur Verfügung.

Comments

  1. Heißt das jetzt, dass man, wenn man Google Analytics verwendet, Nutzer vor dem Besuch der Website zunächst zustimmen lassen muss, dass ihr Nutzungsverhalten zu statistischen Zwecken genutzt wird?

    • Nimmt man die Berliner Urteile ernst, so muss man für die Speicherung von IP-Adressen vorher die Zustimmung der Nutzer einholen.

      Dies würde dann wohl auch für Google Analytics gelten, da hier ja die IP-Adressen gespeichert werden.

      In diesem Zusammenhangg möchte ich allerdings noch einmal klarstellen, dass in diesem Bereich rechtlich nach wie vor einiges umstritten ist. Insofern darf man die Berliner Entscheidungen nicht unbedingt als fest stehend ansehen…

      Dennoch entwickelt sich die Rechtsprechung in Deutschland so langsam dahin, dass IP-Adressen – jedenfalls ungefragt – nicht unbegrenzt gespeichert werden dürfen.

      Das Nutzungsverhalten darf insoweit schon registriert werden, aber – wer sichergehen will – nach Möglichkeit ohne oder zumindest nur sehr kurzfristiger Speicherung der individuellen IP-Adresse.

      Ansonsten – und insoweit ist die oben stehende Annahme richtig – müsste man vor der Speicherung eigentlich die Zustimmung des Nutzers einholen. Leider ist dies oft vom Ablauf überhaupt nicht möglich, weshalb diese Regelung der vorherigen Zustimmung durch den Nutzer in der juristischen Literatur auch recht umstritten ist…

      Ich hoffe, dass hilft erst einmal weiter.

      Viele Grüsse

      Carsten Ulbricht

    • *@ L.O.* So wie ich es verstanden habe ist es durchaus so. Zum Glück bieten die meisten Anbieter mittlerweile eine Option um das Speichern der IPs zu verhindern. Das ist ohnehin für alle Beteiligten die beste Lösung imho

    • Ja, in der Praxis ist es in den meisten Fällen nicht möglich vom Nutzer die Genehmigung für die Speicherung der IP-Adresse einzuholen. Es macht sich immer mehr breit einen Hinweis im Impressum, in den Nutzungsbedingungen oder in der Datenschutzerklärung anzubringen.

      „Diese Website benutzt Google Analytics, oder einen anderen Webanalysedienst …“.
      Allerdings halte ich es für nicht notwendig, denn verbirgt sich hier nicht eine ganz bestimmte Absicherung für ein beabsichtigtes Interesse die IP´s zu speichern!? Ähnlich ist es mit der Thematik „Verweis auf externe Seiten“, sprich den Disclaimer. Hier handelt es sich meiner Meinung nach um ein verschleierte Alibi, denn darf ein Webseitenbetreiber willkürlich nach Anbringung des Disclaimer auf andere Webseiten verlinken?

      Kennt jemand eine Rechtsprechung, die bei einer Abmahnung das Vorhandensein eines Disclaimer berücksichtigt hat? Einige Webmaster haben solche Erklärungen wieder entfernt, um sich nicht der Gefahr auszusetzen vorsätzlich gehandelt zu haben.

      Mir scheint das ähnlich wie bei der Speicherung der IP-Adressen zu sein. Ich selbst verwende keine Google Analytics. Es gibt ähnlich gute Tools, die keine IP-Speicherung benötigen. So ist man auf der sicheren Seite.

  2. Dankeschön, das hilft schon einmal weiter!

  3. wenn ich das urteil richtig verstehe, so ist lediglich die speicherung von solchen ip-adressen unzulässig, die sich als personenbezogene daten interpretieren lassen – nicht jedoch von ip-adressen, die keinerlei bezug zu der person mehr erlauben, oder?!
    um diese seltsame frage nun etwas zu verdeutlichen: was ist, wenn ich statt der ip-adresse des echten nutzers einfach eine andere ip-adresse speichere?!
    dürfte ich google analytics (- von dem ich erst heute noch nicht mal was wusste! gleich wieder was dazugelernt! :-) -) benutzen, wenn die ip-adressen, die ich an google übertragen würde, “gefaked” wären?

    zwei szenarien könnt ich mir da vorstellen:

    (1) wenn ich mir selbst ein schema ausdenken würde, die ip-adresse eines besuchers “umzukodieren”, und google dieses schema nicht preisgebe…
    … dann würde ich doch nach wie vor die analysen benutzen können (also z.b. sehen, von welcher seite aus ein nutzer auf welche andere seite weitergesurft ist, oder wieviel “verschiedene” rechner auf meinen server zugegriffen haben), ohne dass ich selbst die ip-adressdaten speichere und ohne dass ein dritter daten bekommt, mit denen er einen personenbezug herstellen könnte…

    (2) mathematisch gesehen ist es ja so, dass es prinzipiell die möglichkeit gibt, aus einem datum X (“datum” als singular von “daten”!) ein datum Y zu generieren, aus dem sich nicht mit vertretbarem rechenaufwand das ursprüngliche datum X wieder bestimmen lässt.
    (nach diesem prinzip werden z.b. passwörter in unix-derivaten systemumbebungen gespeichert.)

    jetzt überlege ich mir folgende situation:
    falls der website-betreiber einen weg fände, die ip-adressen so zu kodieren, dass sie auch durch ihn selbst nicht mehr mit vertretbarem aufwand dekodiert werden könnten, dann sollte diese kodierten daten doch – meinem beschränkten rechtsverständnis nach – im prinzip schon speichern können/dürfen… oder nicht?!

    • Ivo, die IP-Adressen wirst Du bei Google-Analytics nicht ohne weiteres umkodieren können, weil die Datenverbindung per Javascript direkt vom Browser des Besuchers zum Google-Server, der die Zugriffe auswertet, aufgebaut wird.

      Einfacher ist es, sich einen Anbieter für Webanalytics/Webcontrolling in Deutschland zu suchen, der konform zur deutschen Rechtslage arbeitet und z.B. auch keine IP-Adressen speichert.

      Von Google-Analytics raten ja seit längerem auch einige (Länder-)Datenschutzbeauftragte ab …

  4. Was mich jetzt mal interessieren würde:

    es gibt ja mindestens einen deutschen Anbieter, der damit wirbt, von einem Datenschutzbeauftragten zertifiziert worden zu sein. Kann man dann davon ausgehen, dass die dort gespeichert Daten entsprechend Datenschutzkonform gespeichert und ausgewertet werden?

    Und was ist, wenn die IP-Adressen zwar serverseitig komplett gespeichert, aber nur verstückelt angezeigt werden? Also der User nicht die Möglichkeit hat, auf die IP-Adressen zuzugreifen?

    • Andreas, meinst Du jenen Anbieter, welcher mal Negativ aufgefallen war, weil der in “Flash-Webbugs” heimlich Daten gespeichert hatte, und wegen Linkspamming seiner Pixel in die Diskussion geraten war?

      Ich kenne zumindest noch einen Anderen, der tatsächlich keine IP-Adressen speichert :-)

      Aber zur Frage: Ich bin ja kein Rechtsanwalt, aber in der Vergangenheit ging es bei entsprechenden Überprüfungen immer darum, ob die Daten gespeichert werden, und nicht, ob sie einem Normaluser gezeigt werden. Der Admin kann ja trotzdem Zugriff auf die unzerstückelten haben. Aber man braucht die IP-Adresse ja auch nicht wirklich für Aussagekräftiges Webanalytics Auswertungen, also kann man darauf ja auch verzichten ohne viel zu verlieren.

      • Hi Andreas,

        ich weiß jetzt nicht, welchen Anbieter Du meinst – um aber keine Werbung zu machen, lassen wir den oder die Namen einfach mal weg ;-)

        Zum Thema: die IP-Adressen an sich brauche ich tatsächlich nicht, um anständiges und gutes Webcontrolling durchzuführen. Andererseits müssen ja irgendwie auch Historien generiert werden können – und das geht doch entweder über die IP oder über ein Cookie – oder täische ich mich da?

        • Um in der Historie “wiederkehrende Besucher” zu erkennen, ist die IP-Nummer eher ungeeignet, weil diese bei bei den meisten privaten Internetnutzern sowieso dynamisch vergeben wird, und daher nicht von Besuch zu Besuch gleich bleibt.

          Während einer Session ist ein temporärer Cookie zur Speicherung einer Session-ID zur Zuordnung einer Besucherbewegung (statt der IP-Nummer) genauer, weil damit auch unterschiedliche Besucher, die z.B. von der gleichen Firma (Firewall, Proxy) von der gleichen IP-Nummer kommen, unterschieden werden können.

          Spannend wird es, wenn solch ein anonymer Besucher ein Kontaktformular absendet, oder einen Shop-Einkauf tätigt. Weil dann die bisher Anonyme Session-ID mit einer Person/Adresse/Email verknüpft werden kann – und man damit auf das Verhalten einer konkreten Person Rückschlüsse (auch im Nachhinein) ziehen kann.

          • Heißt im Umkehrschluss also, dass Cookies auch ab einem bestimmten Zeitpunkt “personenbezogene Daten” sind, richtig?

          • Ich denke ja, und zwar jeweils ab dem Moment, in dem ein User sich z.B. einloggt, oder sonstwie seine persönlichen Daten bei einer Website eingibt.

  5. Alles grundsätzlich schon sehr richtige Überlegungen, meine Herren ;-)

    Zunächst einmal ist festzustellen, dass derjenige der Daten zur Verarbeitung an Dritte (wie z.B. Google Analytics) weitergibt, “Datenverarbeitung im Auftrag” veranlasst und damit nach § 11 BDSG für die ordnungsgemäße Datenverarbeitung verantwortlich bleibt.

    Soweit bei einer IP-Adressen – auch nach entsprechender selbst veranlasster Umcodierung – die Identifizierung einer konkreten Person noch möglich bleibt, so ist die IP-Adresse wohl als personenbezogenes Datum zu werten und insofern entsprechendem Schutz unterworfen.

    Wenn man also die IP-Adressen nicht wirklich braucht, so sollte man doch (und insoweit schließe ich mich dem letzten Kommentar an) einfach darauf verzichten.

    Soweit also bei Google Analytics die Speicherung bon IP-Adressen nicht vermieden oder umgangen werden kann, bleibt für denjenigen, der sicher gehen will, nur die vorherige Zustimmung der Nutzer oder eben der Abschied von Google Analytics.

    Vielleicht sollte man Google mal einen entsprechenden Hinweis geben, eine auch in Deutschland rechtskonforme Analytics-Version anzubieten, damit nicht zu viele zur Konkurrenz wechseln ;-)

    • @Carsten:
      Das kann man so nicht stehen lassen. Es ist zwar umstritten, ob bei Datenübermittlung in Drittstaaten (also Staaten außerhalb der EU oder des EWR) eine Auftragsdatenverarbeitung möglich ist. Die wohl h.M. geht jedoch davon aus, dass bei Datenübermittlung in Drittstaaten § 11 BDSG wohl keine Anwendung finden kann. Dies ergibt sich aus § 3 Abs. 8 BDSG, denn dort wird festgestellt, dass eine (privilegierte) Datenverarbeitung im Auftrag (i.S.d. § 11 BDSG) immer nur dann vorliegen kann, wenn der Auftragnehmer seinen Sitz in der EU oder im EWR hat.

      Diese Detailwertung ändert aber nichts an dem grundlegenden Problem und an denen insoweit richtigen Äußerungen zu diesem Problem.

    • Hinweise an Google gab es schon einige.

      Gerne kommt die Antwort, dass man als globaler Konzern halt nicht für jedes Land irgendwelche Sonderregeln machen könne, dass man die Daten brauche, um einen noch besseren Service anzubieten, und dass man keine Angst haben soll, weil Google doch “die Guten” sind, und nichts Böses mit den Daten anstellt.

  6. Vielen Dank für den ausführlichen Bericht. Vor allem in Hinblick der wachsenden Popularität von Webanalyse und Tracking ist das ein spannendes Thema. Meiner Meinung nach geht es niemanden (nicht mal den Webseitenbetreiber selbst) an, was ich auf einer Seite mache… Aber da ich Cookies akzeptiere bin ich irgendwo selbst schuld. Ich denke aber dass in Zukunft sensibler mit dem Thema “Datenschutz” & “Privatsphäre” umgegangen werden muss

  7. Also ich bin immer noch der Meinung, dass wenn man nichts zu verbergen hat, man keine Angst haben muss. Jedoch führt die Speicherung sämtlicher persönlicher Daten dazu, dass die Werbebranche mittlerweile genau weiss, welche Produkte man kauft, wann und wo und wieviel Geld man dafür im Monat ausgibt.

    Irgendwann ist Schluß mit Lustig und man sollte diese Art von Speicherungen verbieten….wobei das ja noch die “harmlosen” Daten sind.

    • Naja, ob und wann Du was zu verbergen hast, entscheidest nicht Du. Deine gespeicherten, personenbezogenen Daten stehen ja vielleicht einem (hypothetisch) totalitären deutschen Staat in zehn Jahren zur Verfügung, der dann weiß, welche (jetzt noch legale und unbedenkliche) Anarcho-Literatur Du heute bei Amazon gekauft hast ;-) In diesem Szenario hättest Du jetzt was zu verbergen.

  8. Das wird ja immer komplizierter. Am Ende darf nur noch der Staat speichern ;) Und zwar mehr, als nur ne IP Adresse.

  9. unwissender meint:

    Hm,

    wahrscheinlich stehe ich auf dem Schlauch.

    (*WO*) in Google Analytics finde ich die IP Adressen?

    Danke und Grüße

  10. Ich hab ehrlich gesagt in Google-Analytics auch noch nicht nach den IP´s gesucht.

    Hab grade das gefunden: http://www.google.com/support/googleanalytics/bin/answer.py?hl=de&answer=72299

    • @jensen

      Naja, bin kein Techniker….

      Meinem Kenntnisstand nach kann ein Feature wie das Kartenoverlay bei den Besuchern nur erzeugt werden, wenn man die IP-Adressen berücksichtigt.

      Oder woher kann man außerdem herleiten, wo die Besucher genau herkommen ?

      Dann nämlich wäre die verlinkte Info bei Google Analytics ja wohl falsch…

      • Syntax meint:

        Also Kartenoverlay nach Land bekommt man über die Domainendungen hin .de usw.

        Übrigens sind folgende aktuelle Heise Meldung und folgender Artikel noch interessant:

        http://www.heise.de/newsticker/Datenschutzbeauftragte-kritisieren-Google-Analytics–/meldung/110603

        http://www.eggert-rechtsanwaelte.de/Aktuell.6.0.html

      • Die Lokalisierung der Benutzer läuft mit Sicherheit über die IP-Adresse, aber eine Speicherung ist dazu ja nicht nötig. Google bekommt zwangsläufig die IP-Adresse übermittelt und speichert die ermittelte Position (da sich die IP-Bereiche, die die Position angeben auch ständig ändern ist das auch sinnvoll).

        Ich bin in letzter Zeit auch dazu übergegangen auf jeder Seite, auf der ich Analytics einsetze diese per Opt-Out in den Datenschutzbedingungen abschaltbar zu machen. Für User-generated Content (Kommentare, Foren, usw.) habe ich eine Funktion, die alle IPs auf 0.0.0.0 setzt einen Monat, nachdem der Eintrag gemacht wurde. Außerdem informiere ich im Datenschutzbereich ausführlich über diese Vorgehensweise.

  11. Ich lese hier gerade mit viel Interesse und Neugierde und habe da noch einige Fragen.
    Wie kann ich im Impressum sicherstellen, die Websitebesucher über die Verwendung von Google Analytics mit den daraus resultierenden Datenspeicherungen ausreichend zu informieren?
    Bestände die Möglichkeit, eine Art Mustertext, hier zu posten?
    Können Sie ein Analysetool das dem deutschen Recht nach konform arbeitet empfehlen?

  12. Ich finde das Ganze seltsam.
    Was nützt es mir denn, wenn ich als Webseitenbetreiber eine dynamische IP speichere? Nichts.
    Die gleiche IP hat morgen irgendein anderer User, der sich über den gleichen Provider einwählt, und übermorgen wieder ein anderer.

    Was soll ich mit den Daten auf lange Sicht machen? Vor mir aus kann ich jedem meine IP posten…what shells!

    Mfg

  13. Muss dann nicht schon auch auf der Startseite stehen, daß Google Analytics verwendet wird? Wer schaut sich von den Besuchern schon zuerst die Datenschutzerklärung im Disclaimer an? Ich schätze mal 99,999% nicht.

  14. … Sie wissen nicht was Sie tun !

    Ich hab jedenfalls erst einmal Google Analytics aus meinen Seiten entfernt.
    Aber glücklich bin ich damit nicht und ich hoffe, dass da bald mal ein paar Richter entscheiden, die wissen wovon Sie reden.

    Am besten ist es, diese Richter versuchen selbst mal anhand der IP-Adresse den Menschen dahinter zu ermitteln und zwar mit normalen Methoden.

  15. Also ich habe Google Analytics inzwischen auch von meiner Seite entfernt. Benötige die Daten momentan ohnehin nicht und da warte ich dann lieber bis ein paar weitere Urteile für Klarheit sorgen.

    Dennoch bedanke ich mich für diesen ausführlichen Artikel über die Problematik!

  16. auch ich nutze analytics, den einsatz werde ich grundlegend überdenken. habe mir darüber bisher kaum gedanken gemacht!

  17. Ich für meinen Teil werde weiterhin an Analytics festhalten punkt!

  18. Sehr guter Artikel zum Thema. Aber ich glaube inzwischen ist es klar, dass GA nicht rechtswidrig ist, da auch (deutsche) Authority Seiten das Tool verwenden.

  19. Inzwischen hat Google bei Analytics eine Möglichkeit geschaffen, zumindest das letzte Octet bei der IP zu verschleiern.

    Quelle
    http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp

  20. Ich verwende GA schon seit über einem Jahr nicht mehr und habe seitdem Piwik im Einsatz. Das kann zwar von den Funktionen her mit GA nicht ganz mithalten, aber dafür liegen die Daten auf meinem Server und nicht in den USA.

  21. Danke für die nützliche Information. Ich selber nutze für eines meiner Projekte GA – bin aber auch nicht wirklich sicher, wie ich darüber denken soll. Zuviele Infos werden bis dato schon über jeden einzelnen User bei G gespeichert. Auf anderen Seiten habe ich mich aus diesem Grund für eine anderweitige Lösung der Besucherzählung entschieden.

  22. Ich selber benutze aber auch analytics und muss mir wirklich gedanken machen ob ich es weiter nutzen will

  23. Interessanter Beitrag, aber momentan beschäftige ich mehr mit der rechtlichen Sachlage bezüglich der Facebook-Button bzw. Boxen (Like-Box,…).

  24. Ich werde die Google Analytics absofort abschalten, ich hab einfach keinen bock mehr darauf.

  25. Wenn wir solche Daten nicht aufbewahren dürfen, dann müssten auch die Internet Provider dazu verpflichten die Speicherung auch abzustellen

    • Zum Schluss hätten wir nur noch einen Datenspeicher bei Google in den USA und das ohne staatliche Aufsicht. Das halte ich für sehr bedenklich. Deshalb nutze ich Googletools nur noch sehr selten. Ich habe kein Vertrauen mehr in Google.

    • Wenn wir solche Daten nicht aufbewahren dürfen, dann müssten auch die Internet Provider dazu verpflichten die Speicherung auch abzuschalten

  26. Natürlich darf man bei der Speicherung von Ip-Adressen nicht zu weit gehen und sollte auf den sicheren Umgang mit Ihnen achten. Allerdings darf man nicht vergessen, dass solche Tools wie Analytics, wenn man sie korrekt anwendet, einen erheblichen Positiven Einfluss auf die qualität der Website haben kann.
    Wie sollte man Beispielsweise seine Seite auf die Bedürfnisse seiner User einstellen, wenn man nichts von deren Verhaltensweisen kennt? Ich denke dass die Ip-Adressen etc. nicht zu viel über eine Person aussagen, und man sie benutzen kann, solange es um statistische Werte geht.

  27. Ich denke dieses Thema wird immer ein leidiges bleiben. Ich bin der Meinung, das IP-Adressen noch lange nicht einen “Gläsernen Kunden” ausmachen. Wie soll ein verhältnissmäßig “kleiner” Geschäfte treibender seine Statistiken für den Verkauf aufrechterhalten, wenn kostenlose Analysen nicht mehr möglich sind? Komischerweise interessiert sich niemand für Systeme die nicht kostenlos erhältlich sind, aber den gleichen Zweck erfüllen. Wieso das denn bitte ? Lg aus Schliersee OS

  28. Wenn wir solche Daten nicht aufbewahren dürfen, dann müssten auch die Internet

  29. Wieso sollte das Verboten sein?

    Man kann damit seine seite den Usern gegenüber leichter gestalten

  30. Alternativ zu Google Analytics gibt es auch Piwik. Eine OpenSource-Lösung die anscheinend rechtlich in Ordnung sein soll (siehe Meldung von Heise):
    http://www.heise.de/newsticker/meldung/Datenschuetzer-empfehlen-Piwik-zur-Webanalyse-1208686.html
    Hat hier schon jemand Erfahrung damit sammeln können?

    • Nico meint:

      Piwik ist okay. Die Daten liegen dort auf deinem Server, sind also mehr oder weniger (je nach Server) in deiner Hand. Nachteile gibt’s jedoch trotzdem: Google Analytics kann immer noch mehr als Piwik. Dort gibt es zwar ein sehr gutes Plugin-System, mit dem vieles nachgerüstet werden kann, aber so gut aufbereitet wie unter Google Analytics sind die Daten meiner Meinung nach nicht. Außerdem ist Piwik ein zusätzlicher Request beim Seitenaufruf, der den Seitenaufbau verzögern kann (bei Google Analytics kann man eigentlich davon ausgehen, dass die Datei vom Browser im Cache gehalten wird).

    • Also ich finde Piwik nicht so gut. Google Analytics hat meiner Meinung nach keine Alternative die kostenlos ist und das ist Analytics ja eigentlich auch nicht. Nur das google kein Geld bekommt sondern informationen. Aus dem Gesichtspunkt sollte man das ganze mal sehen

  31. Inzwischen gibt es wohl ein Codeschnipsel um die IP-Adresse (zumindest teilweise!?) zu anonymisieren, damit sei dieses Problem aus der Welt geschafft. Allerdings kann ich mir nicht vorstellen, dass auch nur ein Bruchteil der Webseiten so etwas verwenden, die meisten Webseitenbetreiber kennen diese Problematik ja nicht einmal.
    Auf anderen Seiten sehe ich in der Datenschutzklausel, die sich in der Regel im Impressum befindet, dass auf die Speicherung der IP Adresse durch Google Analytics hingewiesen wird. Aber das kann ja irgendwie auch nicht ausreichen… insgesamt finde ich diese Problematik generell ziemlich übertrieben, denn selbst wenn Google die IP nicht speichern würde, über die Logfiles auf dem Server wäre sie in jedem Fall einsehbar. Wer im Internet surft, ist nun mal nicht anonym und so ist es auch gut so.

  32. Man kann in Analytics die Speicherung der IP-Adressen doch aschalten? Zumindest habe ich etwas in der Richtung mal gehört.

  33. interessant man kann das auch einstellen

  34. Kiya Pack meint:

    Ist mal wieder typisch – kleine Handeltreibende müssen einen “Salto rückwärts aus dem Stand” vollbringen um die Datenschutzrichtlinien zu erfüllen. Auch wenn ihnen dazu kaum geeignete Werkzeuge zur Verfügung stehen, werden Sie trotzdem dafür in die Haftung genommen.

    Viel bedenklicher als die SPEICHERUNG der IP-Adressen finde ich die derzeit stattfindende UMSTRUKTURIERUNG der IP-Codes. Bisher konnte durch die IP-Adresse zwar der Server-Standort ermittelt werden, ohne eine Zusammenführung mit Kundendaten des Providers der einzelne Kunde jedoch nicht aus einer IP-Adresse ermittelt werden.

    Die neuen IP-Adressen machen es jedoch möglich, nicht nur den betreffenden Haushalt zu identifizieren, sondern sogar noch einzelne COMPUTER. Der Verfassungsschutz weiß damit also sogar, welchen Computer sie beschlagnahmen müssen um die entsprechenden Logfiles und Dateien zu finden. Aber dagegen sagt niemand was.

    Auch nicht gegen Flash-Cookies, die “nicht mal so eben” wieder entfernt werden können. Sie bleiben u.U. ein Leben lang auf unseren Computern und registrieren jede Handlung.

    Mit einem so benutzerfreundlichen und ausgefeilten Tracking-System wie Google Analytics könnte man viel Geld verdienen. Wie kommt es dann, dass Google dies allen Nutzern KOSTENLOS zur Verfügung stellt?

    Ganz klar, es geht darum, Daten zu sammeln. Unter anderem um Usern z.B. “personalisierte” Suchergebnisse präsentieren zu können. Anhand der Suchstatistik (oder eben den durch Google Analytics erfassten vom User besuchten Webseiten) kann Google ein “Nutzer-Profil” erstellen, und seine Werbung oder die jeweiligen Suchergebnisse zielgenau auf jeden einzelnen von uns abstimmen. Das muss Google auch, denn es gibt eine RIESEN-Konkurrenz auf diesem Werbemarkt, der seine Werbung sogar NOCH VIEL FEINER auf die einzelnen User zuschneidern kann – Facebook!

    Hierbei geht es um Milliarden-Einnahmen. Und Google hat ein Interesse daran, dass wir unsere “Zielgruppe” möglichst genau verraten. Wenn schon nicht mit Mitglieds-Profilen, in den wir bereitwilling unser Alter, unser Geschlecht, unsere Ausbildung, unsere Hobbies, unsere Freunde usw. mitteilen, dann eben durch Tracking-Technologie. Entweder durch unsere IP-Adresse oder eben durch Cookies. So ziehen wir denn mit unseren Cookies oder unserer IP-Adresse von Website zu Website und auf allen Webseiten, die Google Analytics installiert haben, wird ein “hit” registriert.

    Google’s Ziel ist also eine möglichst flächendeckende Verbreitung von Google Analytics, so dass alle Webseiten “überwacht” werden können. Und da werden sie sich wohl kaum “die Butter vom Brot” nehmen lassen und die persönliche Identifizierung der User unterbinden.

  35. also ich würde auch wenn auf piwik ausweichen, nur wie meine vorredner schon sagten die funktionen von google analytics sind schon umfangreicher…

  36. Ohne geht auch, also einfach abschalten und wieter im Text!

  37. Danke für den aufschlußreichen Artikel. Nun bin ich, bzgl. Google Analytics, etwas schlauer!

    Vielen Dank!

  38. Hallo,

    Google bietet sicher mit Analystic eine sehr gute Möglichkeiten die Entwicklung einer Webseite zu kontollieren. Aber eine gesunde skepsis ist immer bei solchen Kontollen der Daten notwendig. Ich denke es gibt sehr schöne Tools, wo ich das gleiche erreichen kann, ohne das meine Daten auf der ganzen Welt gespeichert werden.

Trackbacks/ Pingbacks

  1. Wann immer es um die Speicherung von Nutzerinformationen geht, ist Datenschutz ein Thema. Denn für die Speicherung von personenbezogenen Daten gibt es in vielen Staaten einschränkende Gesetzte, welche beachtet werden müssen. Erschwerend dabei ist, dass die Vorgaben von Staat zu

  2. Bereits im November letzten Jahres hatte ich mir unter Zugrundelegung eines Berliner Urteils in dem Beitrag „Ist die Nutzung von Google Analytics rechtswidrig ?“ Gedanken über die Rechtmässigkeit von Google Analytics gemacht.

    Zwischenzeitlich wird mein

  3. Auf den ersten Blick ist das Internet ein Tummelplatz für Rechtsverdreher, die mit Abmahnungen viel Geld verdienen. Das Thema Internet + Recht = Online-Recht ist ein Thema für sich, das vielfach für Verwirrungen sorgt. Jedoch ist eher das G

Speak Your Mind

*


+ fünf = 12