|
< Fachaufsatz "Social Media Guidelines für Unternehmen - Regeln für das digitale Miteinander" | Aktuelle Entscheidung des BGH zu Widerrufs- und Rückgabeklauseln >
Montag, 30. November 2009
Geschrieben von Rechtsanwalt Dr. Carsten Ulbricht
in Aktuelle Entscheidungen im Überblick, Datenschutz, Forenbetreiber, Praxistipps
Kommentare (17) Trackback (1)  
Entscheidung der Datenschutzbehörden: Nutzung von Google Analytics ohne Zustimmung der Besucher unzulässig
Das Thema „Datenschutzrechtliche Zulässigkeit von Google Analytics“, welches von informierten Kreisen schon Mitte 2007 entsprechend diskutiert worden ist, kocht aufgrund eines aktuellen Artikels in der Zeit Online gerade wieder hoch.
Und tatsächlich haben sich die Datenschutzbehörden das Thema „Analyse-Werkzeuge“, welche zur Messung des Nutzungsverhaltens von Webseitenbesuchern dienen, aktuell stark auf die Fahnen geschrieben. Die datenschutzrechtliche Beurteilung hängt maßgeblich von der Frage ab, ob IP-Adressen, die von entsprechenden Tools gespeichert bzw. teilweise auch an den jeweiligen Anbieter weitergeleitet werden, personenbezogene Daten im Sinne des Telemediengesetzes (TMG) sind oder nicht (siehe hierzu meinen Beitrag Ist die Nutzung von Google Analytics und Co rechtswidrig? ). Nun hat der sogenannte "Düsseldorfer Kreis", als informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen, sich zu dieser Frage eindeutig positioniert und eine Entscheidung getroffen, die aufgrund der weiten Verbreitung von Google Analytics und anderen betroffenen Analysewerkzeugen eine grosse Zahl von Webseitenbetreibern tangieren dürfte. Unter dem sperrigen Titel “Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ hat dieser Düsseldorfer Kreis im Rahmen seiner Sitzung am 26. Und 27.November in Stralsund Folgendes beschlossen: Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten: Zitat: Beschluss der obersten Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am 26./27. September 2009 in Stralsund Der Beschluss beschäftigt sich mit der Zulässigkeit von pseudonymen Nutzerprofilen (oben stehend grün eingefärbt) und unabhängig davon mit der Nutzung von Webanalysetools, die IP-Adressen verarbeiten (oben stehend blau eingefärbt). Nachfolgend soll kurz erläutert werden, was diese Interpretation des Düsseldorfer Kreises bedeutet und was von Social Communities und Webseitenbetreibern nun beachtet werden sollte. 1. Inhalt des Beschlusses
a. Zulässigkeit von Webanalyse Werkzeugen unter Einsatz von IP-Adressen Nach Auffassung des Düsseldorfer Kreises sind IP-Adressen personenbezogene Daten (oben stehend blau eingefärbt). Entscheidend ist aus Sicht der Datenschützer insoweit, dass über IP-Adressen eine natürliche Person – gegebenenfalls unter Zuhilfenahme Dritter - zumindest bestimmbar ist. Diese Interpretation ist unter Juristen durchaus umstritten und wurde auch von Gerichten schon unterschiedlich beurteilt, wobei die Tendenz langsam aber sicher in ebendiese Richtung zu gehen scheint. Legt man also diese Interpretation zugrunde, ergeben sich die restlichen Annahmen des oben stehenden Beschlusses ohne weiteres aus dem Gesetz. Die Speicherung oder Weitergabe von IP-Adressen ist danach nur zulässig, wenn § 15 TMG dies ausdrücklich erlaubt (z.B. zu Abrechnungszwecken) oder der betroffene Nutzer vor der Datenverarbeitung zugestimmt hat (§ 12 Abs.1 TMG). Folglich ist die Nutzung von Analyse-Werkzeugen, die IP-Adressen speichern (so wie z.B. Google Analytics) ohne ausdrückliche Zustimmung des betroffenen Nutzers (im Sinne eines aktiven Opt-In) und unter Beachtung der detaillierten Voraussetzungen des § 13 TMG aufgrund eines Verstosses gegen deutsches Datenschutzrecht unzulässig. b. Zulässigkeit von pseudonomysierten Nutzerprofilen Völlig unabhängig von diesen Fragen beschäftigt sich der Beschluss auch noch mit der Erstellung von Nutzungsprofilen (oben stehend grün eingefärbt). Soweit hierbei IP-Adressen gespeichert oder verarbeitet werden gilt oben Gesagtes. Nur wenn bei der Erstellung von Nutzerprofilen IP-Adressen keine Rolle spielen gilt: Die Erstellung von Nutzerprofilen unter entsprechenden Pseudonymen ist zulässig, wenn dem betroffenen Nutzer die Möglichkeit gegeben wird, dieser Datenverarbeitung zu widersprechen (d.h. also ein Opt-Out). Diese Ausführungen sind insbesondere für Social Communities oder Drittanbieter interessant, die über verschiedene Spielarten des Targeting auf Grundlage des Nutzungsverhaltens zielgruppengenaue Werbung ausliefern wollen. c. Zusammenfassung Zur Klarstellung: Die Feststellungen der Datenschutzbehörden richten sich nicht spezifisch gegen Google Ananlytics, dass aber natürlich auch davon betroffen ist, sondern gegen alle Analysewerkzeuge die IP-Adressen ohne Zustimmung des jeweiligen betroffenen Besuchers speichern und verarbeiten. Ebensowenig bedeutet dieser Beschluss ein grundsätzliches Verbot von Analysewerkzeugen, sondern eben nur von denen die eindeutige IP-Adressen verarbeiten. Einzelne Datenschutzbehörden haben angekündigt, betroffene Webseiten zunächst anzuschreiben und auf die Rechtswidrigkeit des jeweiligen Analysetools hinzuweisen. Erst wenn das jeweilige Werkzeug nicht abgeschaltet wird, kämen auch Bussgelder oder im Extremfall sogar die Abschaltung der Seite in Frage. Auch wenn sich vielerorts Widerstand gegen diese Entscheidung regt (siehe Diskussion), ist die Qualifikation von IP-Adressen als personenbezogene Daten nicht ganz abwegig. Gerade im Rahmen der Vielzahl von Filesharing-Verfahren der Musikindustrie werden IP-Adressen als maßgebliches Kriterium zur Identifikation des Anschlussinhabers herangezogen. Diese Tendenz der Ermittlung über die IP-Adresse wird meiner Einschätzung nach eher zu- als abnehmen. Insoweit erscheint es aus Sicht der Datenschützer zumindest nachvollziehbar den Wortlaut des Gesetzes in diese Richtung zu interpretieren, auch wenn die Folgen aufgrund der Tatsache, dass IP-Adressen in einer Vielzahl von Zusammenhängen gespeichert werden, tatsächlich sehr weitreichend sind. Da das Telemediengesetz die personenbeziehbare Protokollierung des Nutzungsverhaltens verbietet, ergeben sich die sonstigen Schlussfolgerungen unmittelbar aus dem Gesetz. Da die Umsetzung der aktuellen Datenschutzforderungen gerade Seiten- und Dienstebetreiber vor technische und finanzielle Herausforderungen stellt, sollte sich insofern vielleicht auch der Gesetzgeber aufgerufen fühlen, diese Fragen neu und eindeutig zu regeln. 2. Praxistipps Da das Einholen einer Einwilligung vor der Speicherung der IP-Adresse wenig praktikabel erscheint, bieten sich folgende Alternativen an. Entweder der Seitenbetreiber setzt Analysetools ein, die eben keine IP-Adressen benötigen oder diese nur in pseudonomisierter Form speichern und weitergeben, was auf Grundlage des Beschlusses auch zulässig sein sollte. Webseiten die die ausdrückliche Zustimmung zu einer Datenschutzerklärung einholen, können nach entsprechender Erläuterung dieser Art der Datenverarbeitung gegenüber den entsprechenden Nutzern auch IP-Adressen speichern. Ein einfacher Verweis auf den Einsatz von Google Analytics (im Sinne eines Datenschutzhinweises) genügt – auch auf Grundlage der aktuellen Entscheidung der Datenschutzbehörden - hingegen für Datenschutzkonformität nicht. Die Datenschutzbehörden nennen in ihrem Beschluss im Zusammenhang mit der (Un-)Zulässigkeit der Speicherung von IP-Adressen insbesondere auch die Geo-Lokalisierung. Hier zeigt sich schon, dass auch Anbieter, die im Bereich des neuen Trends "location-based" Services Angebote planen, sich mit dem Thema Datenschutz werden auseinandersetzen müssen. Auch die sonstigen Ausführungen des Beschlusses sollten beachtet werden. Wenn und soweit (auch unabhängig von der Verarbeitung von IP-Adressen) Nutzerprofile erstellt werden, sollte den betroffenen Nutzern auf jeden Fall ein Widerspruchsmöglichkeit eingeräumt und über diese aufgeklärt werden. Anbietern oder Nutzern von Targeting-Lösungen (d.h. Social Networks, Shops etc.) ist daher zu raten, in den jeweiligen Datenschutzbestimmungen entsprechende Hinweise aufzunehmen. 
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Danke für den guten Beitrag!
Wenn ich pedantisch sein möchte, müsste die Einwilligung zur Speicherung der IP ja stattfinden, bevor die IP gespeichert wird. Nur ist das, nach meinem Verständnis, technisch nicht möglich. Denn wenn ich auf die entsprechende Seite komme und mein Einverständnis geben sollte, ist meine IP ja schon erfasst.
Hallo Frank,
absolut richtig. Denkbar (aber wie geschrieben wenig praktikabel) wäre der eigenen Webseite eine Datenschutzerklärung vorzuschalten, der die Besucher ausdrücklich zustimmen müssen. Unabhängig davon denke ich, dass es zeitnah einige Anbieter (vielleicht auch eine "deutsche" Version von Google Analytics) geben wird, die datenschutzkonforme Analysetools (also ohne Speicherung von vollständigen IP-Adressen) anbieten.
Das ist durchaus möglich.
Für lokale Logfiles geht das zB. anhand einer Webserver-Konfiguration ala - kein Cookie -> Redirect auf Einwilligungsseite, kein Eintrag im Logfile (oder anonymer Eintrag über die Definition eines Logformates für diesen Fall) - gibt der Benutzer seine Einwilligung, wird ein entsprechendes Cookie gesetzt und der Besucher kann die Website ganz normal bedienen Dies würde sogar erlauben anhand des Cookies alle Zugriffe mit oder ohne IP-Adresse zu loggen, abhängig davon ob der Benutzer kein Cookie, ein "ja" oder ein "nein" Cookie hat. Für Dienste ala GA kann man derartiges durchaus in Javascript implementieren (kein Javascript -> keine Speicherung bei GA, da das komplett JS basiert ist, ansonsten Übermittlung Cookie-abhängig). Nach der Verabschiedung der neuen Bestimmungen für Cookies in der EU, werden wir derartige Konstrukte in Zukunft en masse sehen. Das wirklich traurige an der Sache ist, dass es bereits einen Standard gibt, der sich P3P nennt http://de.wikipedia.org/wiki/Platform_for_Privacy_Preferences die Unterstützung in den Browsern aber so gut wie nicht (mehr) vorhanden ist. Firefox Benutzer sollten sich "Ghostery" installieren, das löst schon mal jede Menge der Tracking-Probleme.
Ich freue mich schon auf das neue, deutsche Weltnetz. Bevor ich eine Webseite aufrufe klicke ich erst durch 27 verschiedene Datenschutzerklärungen und Einverständniserklärungen bevor ich dann zu den gewünschten Informationen gelange.
Ich höre auch schon in den einschlägig bekannten Anwaltskanzleien die Sektkorken knallen. Da lässt sich richtig Geld mit verdienen. Erfreulich, dass deutsche Behörden und Ausschüsse sich mit solch wichtigen Sachen beschäftigen, ich aber seit Wochen von einer Frankfurter Umfragefirma terrorisiert werde und sich niemand zuständig fühlt. ICH LIEBE DIESES LAND
Interessanter Vortrag!
Wie sieht es denn damit aus: der Webserver selbst (z.B. Apache) speichert die IP-Adressen von jedem Zugriff in einer LOG-Datei. Der Betreiber weiß oft nichts davon.
"Ein einfacher Verweis auf den Einsatz von Google Analytics (im Sinne eines Datenschutzhinweises) genügt (...) nicht"
aber selbst dieser hinweis wird von den meisten google analytics anwendern nicht angebracht. da sollten die datenschützer doch zuerst angreifen. wer tracking tools nutzt muss diese auch angeben!
Auf http://www.wirspeichernnicht.de/ gibt es einige Anleitungen, wie man als Administrator diversen Webtools (Apache, Wordpress, Mediawiki etc.) das Speichern und Mitloggen der IP-Adressen abgewöhnen kann.
Sicherlich und hoffentlich werden bald von findigen deutschen Programmierern Tools angeboten, mit denen IP-Adressen beispielsweise in nicht zurückvervolgbare Hash-Werte umgerechnet werden, die dann gespeichert und zu Statistik-Zwecken ausgewertet werden dürfen und können.
Was das technisch genau bedeutet steht ja noch aus, allerdings wollen die Datenschützer nach eigener Aussage einen Dialog eintreten.
Wie kann der Betreiber denn belegen, dass die IP-Adresse nicht gespeichert sondern nur zur Beantwortung der Anfrage verwendet wird? Reicht die eigene Aussage? Google hat für sich wohl schon eine Lösung parat, auch wenn der neue Paramter dazu noch nicht freigegeben ist: http://ow.ly/GffY
Ich möchte dem grundsätzlichen Anliegen zum Datenschutz betreffs der Nutzung von Tools wie Google Analytics nicht prinzipiell widersprechen.
Pikant ist aber, dass viel Abgeordnete des Bundestages, Staatssekretäre und auch die neue Ministerin Kristina Köhler auf ihren Internetseiten GA verwenden, wenn man dort einfach mal in den Seitenquelltext schaut. Wahrscheinlich wird es aber zuerst wieder dir kleinen nichtkommerziellen Nutzer erwischen... Olli
Welche beschlusskonformen Analysetools können denn empfohlen werden? Leider gilt Google Analytics im WWW als state of the art Messmethode. Wenn mir jmd. andere Tools - mit ähnlicher "Genauigkeit" bzw. nur gering von GA abweichenden Besucher-/Zugriffswerten - empfehlen kann, würde ich sofort umsteigen.
Wenn die Datenschutzbehörden alle Webseiten angehen wollen, die IP Adressen ohne Einwilligung speichern, dann können sie gleich das Internet Dicht machen. Apache-Webserver loggen standardmäßig IP Adressen mit, ich behaupte, dass das gängige Praxis von 90 % der Webseiten ist, ohne dass es die meisten Betreiber der Sites überhaupt wissen.
Die Datenschutzbehörden haben sich auf Google eingeschossen, irgendjemand muss herhalten. Ich bin gespannt, ob die Gleichung "IP Adresse = personenbezogenes Datum" konsequent durchgezogen wird und auch alle anderen Speicherer von IP Adressen im Netz angeschossen werden.
Interessanter wäre die Diskussiion, wenn jemand einen Tipp zu einer Alternative hätte.
Es geht darum das die IP nicht gespeichert werden darf. noch kurz zu Kommentar #3. Es gibt logfiles bei den Providern wo der Webserver läuft. Diese werden aber dem Publisher nur mit HASH Werte in der IP zur Verfügung gestellt, so zumindest bei Strato. Für Strato gelten die Bestimmungen der Telekomunternehmen und Provider (Stichwort Vorratsdatenspeicherung) Es geht hier um ALLE Counter und Analyse Tools die IP nutzen und speichern ! nicht allein um GA.
Geht es nicht eigentlich noch viel weiter?
Sind denn nicht nur Analyse-Tools sondern auch z.B. "plugins", als Javascript Code von anderen Sites (zB. feedburner rank, google friendconnect) oder auch externe Medien (Bilder) betroffen? Damit gibt er Sitebetreiber ja auch Daten über seine Besucher an externe Anbieter preis (IP Adresse, besuchte Webseite im Referrer, Datum/Uhrzeit). Das ist IMHO auch eine Weitergabe von Daten an Dritte, denen ich nicht zugestimmt habe. Die Analysetools funktionieren ja nach einem ähnlichen Prinzip und klarer Zielsetzung Tracking, die anderen könnten das auch wenn sie wollen.
Mal ein paar grundlegende Fragen: Was entscheidet bzgl. solcher (nicht vorsätzlicher) Datenschutzverletzungen über den Gerichtsstand? Der Sitz des Seitenbetreibers oder der Standort von Server/Hoster?
Gibt es für das Greifen dieser neuen Regelungen einen Stichtermin oder gilt das ab sofort?
es gibt ja inzwischen viele Lösungen um GA zu anonymisieren oder andere Analyse Tools, aber wie macht man das mit dem Server der ja auch die IP Aderessen speichert? Hat vieleicht jemand eine Lösung?
Mögliche Lösung zum Anonymisieren
http://ow.ly/KS7O Die IP-Adresse muss nicht zwangsläufig auf dem Server gespeichert werden. Man kann das in der Serverconfig deaktivieren oder einfach überhaupt keine Logfiles schreiben. Der Datenschutzbeauftrage von Sachsen bietet eine Lösung mit Webservermodul an http://www.saechsdsb.de/ipmask Damit kann man lediglich einen Teil der IP anonymisieren. Problem bei allen Lösungen ist, dass man Zugriff auf die Webserverconfig braucht. Das geht meistens nur bei eigenen Servern.
Hallo Markus, vielen Dank nochmal.
das mit google analytics http://ow.ly/KS7O wusste ich schon, aber die Lösung vom Sächsischen Datenschutzbeauftragen war sehr hilfreich. |
Über den Autor Dr. Carsten Ulbricht ist Rechtsanwalt bei der Kanzlei Diem&Partner in Stuttgart. Er berät rechtlich zu allen Themen des Internet, insbesondere Social Media, ECommerce und Enterprise 2.0. Die Schwerpunkte liegen dabei auf Internetrecht, Urheberrecht, Markenrecht, Wettbewerbsrecht und Datenschutzrecht, aber auch der Erstellung entsprechender AGB bzw. Nutzungsbedingungen und der Prüfung der rechtlichen Zulässigkeit des Geschäftsmodells bzw. der jeweiligen Plattform.  Kontaktdaten: Tel: +49 (0) 711 228 54 50 Fax: +49 (0) 711 226 55 70 Mail: culbricht(at)diempartner.de Nächste Termine: 31.08. - 01. 09.2010 Vortrag zum Thema "Social Media Marketing & Recht – Rechtssicheres Werben im Social Web" sowie Moderation des 1. Jahreskongresses "Social Media im Unternehmen" der conference group in Wiesbaden 10.08. - 12. 09.2010 3. Barcamp Stuttgart Anmeldung unter bcstuttgart3.mixxt.de 14.09.2010 Vortrag zum Thema "Rechtliche Aspekte beim Einsatz von Twitter, Flickr, Facebook & Co. in Unternehmen" gemeinsam mit Bernhard Jodeleit bei der Veranstaltung "Erste Schritte mit Social Media" der Medien und Filmgesellschaft Baden-Württemberg (MFG) in Stuttgart 20.09.2010 Vortrag zum Thema "Rechtliche Aspekte beim kommunalen Einsatz von Social Media" bei der Veranstaltung "Einsatz von Sozialen Medien in Kommunen" der Medien und Filmgesellschaft Baden-Württemberg (MFG) in Ulm 29.10.2010 ab 16.15 Uhr Abschlussvortrag zum Thema "Recht 2.0 - Chancen und Risiken im Social Web" auf dem Onlinekommunikation - Interne und Externe Corporate Communications im Web 2.0 in der Hochschule Berlin Auf Anfrage biete ich entsprechende Vorträge aus meinem Themenportfolio auch für Veranstaltungen oder als Inhouse-Schulungen an. Wenden Sie sich jederzeit gerne an mich. Feed abonnieren: Beliebteste BeiträgeRisiken für YouTube, MyVideo & Co und deren Nutzer – Haftung bei Videoplattformen
(54776) Haftung für Video Embedding bei youtube, myvideo & Co(36246) Ist die Nutzung von Google Analytics und Co rechtswidrig?(35194) Facebook ändert seine Terms of Service – Zulässigkeit der nachträglichen Änderung von Allgemeinen Geschäftsbedingungen (AGB)(31434) Rechtliche Probleme beim Verkauf eines Blogs (Weblogs & Recht)(31417) SucheKategorienLinklisteBlog abonnierenImpressumDiese Seite wird herausgegeben und betrieben von RA Dr. Carsten Ulbricht Hölderlinplatz 5 70193 Stuttgart Tel: +49 (0) 711 228 54 50 Fax: +49 (0) 711 226 55 70 Mail: culbricht(at)diempartner.de Alle Inhalte dieser Website dienen ausschließlich der allgemeinen Information. Es handelt sich hierbei um keine Rechtsberatung. Weder durch das Lesen noch den Download noch durch sonstige Nutzungsformen der hier gegebenen Informationen kommt ein Mandatsverhältnis zustande. Dies gilt ebenso für die Übersendung einer eMail. RA Dr. Ulbricht ist Mitglied der Rechtsanwaltskammer für den OLG-Bezirk Stuttgart (www.rak-stuttgart.de) Es gelten folgende Gebühren- und Berufsordnungen: BRAO - Bundesrechtsanwaltsordnung BORA - Berufsordnung für Rechtsanwälte Fachanwaltsordnung RVG - Rechtsanwaltsvergütungsgesetz 
Verwaltung des BlogsGetaggte Artikel |
Aufgenommen: Nov 30, 11:09
Aufgenommen: Dez 01, 13:34
Aufgenommen: Dez 02, 15:19
Aufgenommen: Dez 04, 14:20
Aufgenommen: Feb 03, 18:37
Aufgenommen: Feb 05, 01:06
Aufgenommen: Jun 09, 10:01
Flattr ist ein Webservice, den viele schon schmerzlich vermisst haben. Er bietet ein Sozial Micropayment. Autoren von Blogs, Podcasts, kleineren Open Source Projekten oder Arbeiten unter Creativ Commons kann man seine Anerkennung mit einer kleinen Grat...
Aufgenommen: Jun 09, 10:01
Aufgenommen: Aug 24, 10:05