Montag, 12. November 2007

Geschrieben von Rechtsanwalt Dr. Carsten Ulbricht in Aktuelle Rechtsprechung, Blogs & Recht, Datenschutz, Praxistipps

Kommentare (33)
Trackbacks (4)

Stimm ab für Artikel, die jünger als 30 Tage sind!

Derzeitiges Karma: 9, 10 Stimme(n) 35195 Klicks

Ist die Nutzung von Google Analytics und Co rechtswidrig?

Die regelmäßige Analyse des Besucherverhaltens auf einer Webseite gehört zu einer der elementaren Tätigkeiten eines jeden Webseitenbetreibers vom Shopbetreiber bis hin zum Blogger, der etwas mit seiner Seite erreichen will. Viele bedienen sich dafür verschiedener Tools wie Google Analytics, Statcounter etc. die eine Vielzahl an Möglichkeiten bieten, nicht nur Details über das Surfverhalten der User zu erfahren, sondern auch über den Nutzer selbst. Wie selbstverständlich wird von den meisten dieser Analysewerkzeuge auch die IP-Adresse der Nutzer protokolliert und damit gespeichert.

Vor kurzem hat nun aber das LG Berlin (Urteil vom 06.09.2007 – Aktenzeichen: 23 S 3/07) bestätigt, dass die Speicherung von IP-Adressen und sonstigen personenbezogenen Daten über das Ende des jeweiligen Nutzungsvorgangs hinaus als Verstoß gegen § 15 I Telemediengesetz (TMG) rechtswidrig ist. Dieses Urteil und das der Vorinstanz haben bei den Betroffenen nicht nur einige Unklarheit
hinterlassen, was unter Berücksichtigung des Datenschutzrechts denn nun noch zulässig sein soll, sondern auch bereits wieder entsprechende Abmahnwellen befürchten lassen.

Zumindest was letzteres betrifft, kann – wie noch ausgeführt werden wird - wohl Entwarnung gegeben werden.

Fraglich ist aber dennoch, ob diese Entscheidung des Landgerichtes Berlin, dass insoweit das ähnlich lautende Urteil des Amtsgerichtes Berlin (5 C 314/06) bestätigt hat, das Ende der Speicherung jeglicher IP-Adressen bedeutet. Nachdem die Speicherung von IP-Adressen regelmäßig nicht nur im Zusammenhang mit erstellten Logfiles, sondern auch bei den meisten Statcountern, sowie dem weitverbreiteten Analyseprogramm Google Analytics verwendet wird, soll nachfolgend untersucht werden, wie die Berliner Gerichte zu dieser Entscheidung kommen, welche Auswirkungen die Entscheidung für den weiteren Gebrauch solcher Tools hat und wie zukünftig mit dieser Problematik umgegangen werden sollte.

I. Sind IP-Adressen personenbezogene Daten im Sinne des §15 Telemediengesetzes ?

§ 15 Abs.1 Telemediengesetz (TMG) sieht vor, dass die Dienstanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Darüber hinaus ist die Speicherung von personenbezogenen Daten nur mit vorheriger Zustimmung des Nutzers als zulässig anzusehen.

Nach dem juristischen Verständnis sind personenbezogene Daten jegliche Informationen, die einer bestimmten oder bestimmbaren natürlichen Person (dies gilt also nicht für Firmen) zuzuordnen sind. Dies gilt also ohne weiteres für Name, Adresse, eMail-Adresse usw.. Anonyme Daten, das heißt solche, die nicht einer bestimmten natürlichen Personen zugeordnet werden können, unterfallen demnach grundsätzlich nicht den datenschutzrechtlichen Vorschriften. Der Umgang mit letzteren Daten ist also grundsätzlich nicht beschränkt.

Obwohl es in der juristischen Diskussion - nach wie vor – recht umstritten ist, ob auch IP-Adressen als personenbezogene Daten zu werten sind und insoweit datenschutzrechtlich relevant sind, hat sowohl das Amtsgericht als auch das Landgericht Berlin nun in den oben genannten Verfahren die IP-Adressen ohne weiteres als personenbezogene Daten interpretiert.

Entscheidend war insoweit, dass die Gerichte davon ausgegangen sind, dass über IP-Adressen eine natürliche Person – gegebenenfalls unter Zuhilfenahme Dritter - zumindest bestimmbar ist.

Im einzelnen hat das Amtsgericht Berlin hierzu ausgeführt:

Nach zutreffender Ansicht ... ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund Ihrer IP-Adresse zu identifizieren.

An anderer Stelle heißt es:

Dynamische IP-Adressen stellen in Verbindung mit den weiteren von der Beklagten ursprünglich gespeicherten Daten personenbezogene Daten im Sinne des § 15 TMG dar, da es sich um Einzelangaben über bestimmbare natürliche Personen im Sinne des § 3 I Bundesdatenschutzgesetz handelt.

Das Amtsgericht Berlin begründet diese Annahmen damit, dass eine Verneinung des Personenbezugs von dynamischen Adressen dazu führen würde, dass insofern die datenschutzrechtlichen Vorschriften nicht eingreifen, woraus letztlich folgen würde, dass diese Daten ohne Restriktion an Dritte zum Beispiel den Access-Provider übermittelt werden könnten. Diese hätten dann ihrerseits die Möglichkeit, den Nutzer aufgrund der IP-Adressen zu identifizieren, was mit den Grundgedanken des Datenschutzrechtes nicht vereinbar sei. Nach Auffassung des Gerichtes kommt es darüber hinaus auch nicht darauf an, dass eine Bestimmbarkeit nur gegeben sein, wenn der Betroffene mit legalen Mitteln identifiziert werden könne, da das Datenschutzrecht gerade auch vor dem Missbrauch von Daten schützen soll, eine derartige Einschränkung des Begriffs der Bestimmbarkeit von Personen seitens des Gerichts als nicht gerechtfertigt erachtet worden.

Festzustellen ist demnach zunächst, dass IP-Adressen - zumindest nach Auffassung der oben benannten Gerichte - als personenbezogene Daten unter den Schutz den § 15 I Telemediengesetz fallen.

Eine Speicherung von IP-Adressen ist gemäß § 15 TMG dann grundsätzlich nur mit der ausdrücklichen Zustimmung des Betroffenen erlaubt. Fraglich ist allerdings, wer diese Zustimmung vor der Datenerhebung einholt....

II. AUSWEG: Rechtfertigung der Datenspeicherung

§ 15 TMG sieht allerdings in Einzelfällen eine Datenspeicherung auch von IP-Adressen als berechtigt an, wenn ein hinreichender sachlicher Grund (z.B. Abrechnungszwecke) vorliegt.

Das Amtsgericht Berlin führt hierzu aus:

Es bestand vorliegend auch keine Rechtfertigung für die Speicherung der Daten seitens der Beklagten. Nach § 15 I, IV TMG ist eine Speicherung zu Ermöglichung der Inanspruchnahme und zu Zwecken der Abrechnung zulässig. Gemäß Absatz 8 der Vorschrift auch dann, wenn Anhaltspunkte bestehen, das entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen.

Keine dieser Voraussetzung ist vorliegend gegeben. Eine Rechtfertigung für die Speicherung ergibt sich auch nicht aus § 9 BDSG.

Nachdem die Beklagte alternativ versucht hatte, die IP-Speicherung damit zu rechtfertigen, DoS-Attacken oder forum spammig abzuwehren, hat das Gericht entschieden, dass der insoweit einschlägige § 9 BDSG aus systematischen Gründen vorliegend nicht eingreife.

III. Die Bedeutung des Berufungsurteils des LG Berlin

Nachdem das Amtsgericht Berlin also entschieden hatte, dass Anbieter von Telemedien im Internet die Kennung (IP-Adressen) der Nutzer ihrer Dienste nicht systematisch protokollieren dürfen, wurde von Seiten der Beklagten zwar Berufung gegen das amtsgerichtliche Urteil eingelegt, aber nur insoweit, als vom Landgericht Berlin klargestellt werden sollte, das zumindest die nicht personenbeziehbare Protokollierung des Nutzerverhaltens (also ohne IP-Adressen) zulässig bleibt.

Nachdem der Kläger offensichtlich diesbezüglich keine Probleme hatte, hat er die Abänderung des darüber hinausgehenden erstinstanzlichen Urteils entsprechend anerkannt. Demgemäß bleibt die nicht personenbeziehbare Protokollierung insoweit zulässig.

IV. Zusammenfassung

Unabhängig von diesem prozessrechtlichen Geplänkel bleibt festzustellen, dass - zumindest nach dem Urteil dieser beiden Gerichte – IP-Adressen als personenbezogene Daten zu werten sind, die grundsätzlich nicht ohne vorherige Erlaubnis der betroffenen Person gespeichert werden dürfen.

Weitere auf der Hand liegende Argumente, die als Rechtfertigung der IP-Speicherung eigentlich herangezogen werden müssten, hat das Berliner Gericht leider aus systematischen Gründen abgelehnt. Insbesondere die Abwehr von sogenannten IT-Gefahren wie Spam, Viren und DDoS sollte eigentlich hinreichend Grund dafür sein, die IP-Adressen zumindest für einen gewissen Zeitraum speichern zu dürfen. Auch die Tatsache, dass man unter bestimmten Umständen für rechtsverletzende Inhalte Dritter (wie Kommentare) auf dem eigenen Blog in die rechtliche Verantwortung genommen werden kann, sollte zumindest eine kurzfristige Speicherung der IP des „Rechtsverletzers“ rechtfertigen. Diesbezüglich wird man beobachten müssen, wie andere Gerichte diese Fragen beurteilen.

Zwischenzeitlich hat es weitere Urteile gegeben, die die Zulässigkeit der Speicherung von IP-Adressen zum Gegenstand hatten. Das Landgericht Darmstadt (Az. 10 O 562/03) hat mit Urteil vom 06.06.2007 geurteilt, dass die Speicherung der IP-Adressen auch für Access Provider nur für den Zeitraum von 7 Tagen zulässig sein soll. In einem ähnlichen Fall hat das AG Bonn (Az. 9 C 177/07) entschieden, dass für einen Access-Provider das kurzzeitige Speichern nach § 100 Abs. 1 TKG gerechtfertigt sei, da die Daten zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen notwendig seien. Darüber hinaus hat das AG Bonn – im Gegensatz zur obigen Berliner Entscheidung - zum Ausdruck gebracht, dass auch die Abwehr von sogenannten IT-Gefahren wie Spam, Viren und DDoS dazu führen kann, dass die Speicherung von IP-Adressen als gerechtfertigt angesehen werden kann.

V. Bewertung der aktuellen Rechtsprechung

Auch wenn der Datenschutz - nicht zuletzt in Anbetracht der aktuellen Pläne des Bundestages zur Vorratsdatenspeicherung – in unmittelbarer Zukunft verstärkt in den Fokus geraten wird, sollte man sich von solchen Urteilen wie die der Berliner Gerichte zunächst einmal nicht in Panik versetzen lassen. Klar ist, dass Datenschutz ein wichtiges Thema ist und insofern auch in Zukunft mit der nötigen Sensibilität behandelt werden sollte. Ebenso klar ist aber, dass die Rechtsprechung zu diesem Thema noch sehr im Fluss ist und Details wie die „Rechtfertigungsgründe“ für eine IP-Speicherung wohl erst eine höchstrichterliche Entscheidung für entsprechende Klarheit sorgen wird.

Die teilweise prognostizierte Abmahnwelle für alle die entgegen der Berliner Entscheidung „unberechtigterweise“ IP-Daten ihrer Nutzer speichern scheint allerdings unwahrscheinlich und ist bisher auch ausgeblieben. Zunächst ist schon fraglich, ob eine IP-Speicherung überhaupt einen Wettbewerbsverstoß wie bei vergleichbaren Abmahnungen (wegen der Impressumspflicht oder wegen der PreisangabenVO) darstellt. Auch die nach wie vor unklare Rechtslage und die vergleichsweise niedrigen Streitwerte lassen eine Abmahnwelle eher unwahrscheinlich erscheinen.

Nichtsdestotrotz sollte man die genannten datenschutzrechtlichen Vorgaben angesichts der Sanktionsregelungen in § 16 TMG nicht gänzlich außer acht lassen. Im Falle der Erhebung, Verwendung oder Nicht-Löschung personenbezogener Daten kann, wenn insoweit gegen § 15 TMG verstoßen wird, nach § 16 Abs.3 TMG ein Bussgeld von bis zu 50.000 € verhängt werden.

VI. Hinweise für die Praxis

Bei Beachtung folgender Grundsätze sollte der Betreiber einer Webseite aber eigentlich auf der sicheren Seite sein:

• Prüfen, ob bzw inwieweit eine IP-Speicherung tatsächlich notwendig erscheint
• Wenn IP-Adressen gespeichert werden, Genehmigung des Nutzers – soweit ablauftechnisch möglich - über entsprechende Nutzungsbedingungen einholen
• IP-Adressen löschen, wenn diese nicht mehr benötigt werden
• Rechtsprechung weiter verfolgen

Und wer ganz sicher gehen will, muss eben leider Statistiktools einsetzen, die ohne die Speicherung von IP´s auskommen bzw die jeweilige Funktionalität ausschalten… jedenfalls so lange bis eine gefestigte Rechtsprechung existiert, die auch andere Gründe – wie die zitierten IT-Gefahren – als hinereichende Rechtfertigungsgründe ansieht.

Auch interessant zum Thema Datenschutz:

Datenschzurechtliche Beurteilung der Werbung auf den Profilseiten bei XING

Tags für diesen Artikel: aktuelle rechtsprechung, blogs & recht, datenschutz, praxistipps

Trackbacks

Trackback für spezifische URI dieses Eintrags

Web Analytics und Datenschutz - Ist Google Analytics verboten?
Wann immer es um die Speicherung von Nutzerinformationen geht, ist Datenschutz ein Thema. Denn für die Speicherung von personenbezogenen Daten gibt es in vielen Staaten einschränkende Gesetzte, welche beachtet werden müssen. Erschwerend dabei ist, dass die Vorgaben von Staat zu

Weblog: Web Analytics - Online Business Optimierung
Aufgenommen: Apr 27, 10:40

Landesdatenschutzzentrum: Google Analytics verletzt Datenschutzrecht der Webseitenbesucher
Bereits im November letzten Jahres hatte ich mir unter Zugrundelegung eines Berliner Urteils in dem Beitrag „Ist die Nutzung von Google Analytics rechtswidrig ?“ Gedanken über die Rechtmässigkeit von Google Analytics gemacht. Zwischenzeitlich wird mein

Weblog: Web 2.0 & Recht
Aufgenommen: Jul 09, 12:50

PingBack

Weblog: www.roman-zenner.de
Aufgenommen: Apr 25, 11:44

Das Internet - rechtsfreier Raum?
Auf den ersten Blick ist das Internet ein Tummelplatz für Rechtsverdreher, die mit Abmahnungen viel Geld verdienen. Das Thema Internet + Recht = Online-Recht ist ein Thema für sich, das vielfach für Verwirrungen sorgt. Jedoch ist eher das G

Weblog: Die WEB-Architektin bloggt...
Aufgenommen: Sep 03, 13:58

PingBack

Weblog: www.webwriting-magazin.de
Aufgenommen: Nov 24, 18:56

Datenschützer wollen Einsatz von Analytics verhindern....
Google Analytics

Weblog: Porto di Mare
Aufgenommen: Nov 25, 10:03

PingBack

Weblog: www.basicthinking.de
Aufgenommen: Nov 25, 13:39

PingBack

Weblog: www.privacyfoundation.de
Aufgenommen: Nov 25, 19:18

PingBack

Weblog: www.gongmeditation.de
Aufgenommen: Nov 30, 11:08

PingBack

Weblog: www.coreconsulting.de
Aufgenommen: Dez 02, 23:18

PingBack

Weblog: www.literaturcafe.de
Aufgenommen: Mai 19, 16:53

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Heißt das jetzt, dass man, wenn man Google Analytics verwendet, Nutzer vor dem Besuch der Website zunächst zustimmen lassen muss, dass ihr Nutzungsverhalten zu statistischen Zwecken genutzt wird?

#1 L.O. (Homepage) am 16.11.2007 14:48 (Antwort)

Nimmt man die Berliner Urteile ernst, so muss man für die Speicherung von IP-Adressen vorher die Zustimmung der Nutzer einholen.

Dies würde dann wohl auch für Google Analytics gelten, da hier ja die IP-Adressen gespeichert werden.

In diesem Zusammenhangg möchte ich allerdings noch einmal klarstellen, dass in diesem Bereich rechtlich nach wie vor einiges umstritten ist. Insofern darf man die Berliner Entscheidungen nicht unbedingt als fest stehend ansehen...

Dennoch entwickelt sich die Rechtsprechung in Deutschland so langsam dahin, dass IP-Adressen - jedenfalls ungefragt - nicht unbegrenzt gespeichert werden dürfen.

Das Nutzungsverhalten darf insoweit schon registriert werden, aber - wer sichergehen will - nach Möglichkeit ohne oder zumindest nur sehr kurzfristiger Speicherung der individuellen IP-Adresse.

Ansonsten - und insoweit ist die oben stehende Annahme richtig - müsste man vor der Speicherung eigentlich die Zustimmung des Nutzers einholen. Leider ist dies oft vom Ablauf überhaupt nicht möglich, weshalb diese Regelung der vorherigen Zustimmung durch den Nutzer in der juristischen Literatur auch recht umstritten ist...

Ich hoffe, dass hilft erst einmal weiter.

Viele Grüsse

Carsten Ulbricht

#1.1 Carsten Ulbricht (Homepage) am 16.11.2007 15:10 (Antwort)

Dankeschön, das hilft schon einmal weiter!

#2 L.O. (Homepage) am 16.11.2007 15:49 (Antwort)

wenn ich das urteil richtig verstehe, so ist lediglich die speicherung von solchen ip-adressen unzulässig, die sich als personenbezogene daten interpretieren lassen - nicht jedoch von ip-adressen, die keinerlei bezug zu der person mehr erlauben, oder?!
um diese seltsame frage nun etwas zu verdeutlichen: was ist, wenn ich statt der ip-adresse des echten nutzers einfach eine andere ip-adresse speichere?!
dürfte ich google analytics (- von dem ich erst heute noch nicht mal was wusste! gleich wieder was dazugelernt!

-) benutzen, wenn die ip-adressen, die ich an google übertragen würde, "gefaked" wären?

zwei szenarien könnt ich mir da vorstellen:

(1) wenn ich mir selbst ein schema ausdenken würde, die ip-adresse eines besuchers "umzukodieren", und google dieses schema nicht preisgebe...
... dann würde ich doch nach wie vor die analysen benutzen können (also z.b. sehen, von welcher seite aus ein nutzer auf welche andere seite weitergesurft ist, oder wieviel "verschiedene" rechner auf meinen server zugegriffen haben), ohne dass ich selbst die ip-adressdaten speichere und ohne dass ein dritter daten bekommt, mit denen er einen personenbezug herstellen könnte...

(2) mathematisch gesehen ist es ja so, dass es prinzipiell die möglichkeit gibt, aus einem datum X ("datum" als singular von "daten"!) ein datum Y zu generieren, aus dem sich nicht mit vertretbarem rechenaufwand das ursprüngliche datum X wieder bestimmen lässt.
(nach diesem prinzip werden z.b. passwörter in unix-derivaten systemumbebungen gespeichert.)

jetzt überlege ich mir folgende situation:
falls der website-betreiber einen weg fände, die ip-adressen so zu kodieren, dass sie auch durch ihn selbst nicht mehr mit vertretbarem aufwand dekodiert werden könnten, dann sollte diese kodierten daten doch - meinem beschränkten rechtsverständnis nach - im prinzip schon speichern können/dürfen... oder nicht?!

#3 Ivo am 16.11.2007 19:27 (Antwort)

Ivo, die IP-Adressen wirst Du bei Google-Analytics nicht ohne weiteres umkodieren können, weil die Datenverbindung per Javascript direkt vom Browser des Besuchers zum Google-Server, der die Zugriffe auswertet, aufgebaut wird.

Einfacher ist es, sich einen Anbieter für Webanalytics/Webcontrolling in Deutschland zu suchen, der konform zur deutschen Rechtslage arbeitet und z.B. auch keine IP-Adressen speichert.

Von Google-Analytics raten ja seit längerem auch einige (Länder-)Datenschutzbeauftragte ab ...

#3.1 Andreas F. (Homepage) am 19.11.2007 18:07 (Antwort)

Was mich jetzt mal interessieren würde:

es gibt ja mindestens einen deutschen Anbieter, der damit wirbt, von einem Datenschutzbeauftragten zertifiziert worden zu sein. Kann man dann davon ausgehen, dass die dort gespeichert Daten entsprechend Datenschutzkonform gespeichert und ausgewertet werden?

Und was ist, wenn die IP-Adressen zwar serverseitig komplett gespeichert, aber nur verstückelt angezeigt werden? Also der User nicht die Möglichkeit hat, auf die IP-Adressen zuzugreifen?

#4 Andreas (Homepage) am 19.11.2007 17:55 (Antwort)

Andreas, meinst Du jenen Anbieter, welcher mal Negativ aufgefallen war, weil der in "Flash-Webbugs" heimlich Daten gespeichert hatte, und wegen Linkspamming seiner Pixel in die Diskussion geraten war?

Ich kenne zumindest noch einen Anderen, der tatsächlich keine IP-Adressen speichert

Aber zur Frage: Ich bin ja kein Rechtsanwalt, aber in der Vergangenheit ging es bei entsprechenden Überprüfungen immer darum, ob die Daten gespeichert werden, und nicht, ob sie einem Normaluser gezeigt werden. Der Admin kann ja trotzdem Zugriff auf die unzerstückelten haben. Aber man braucht die IP-Adresse ja auch nicht wirklich für Aussagekräftiges Webanalytics Auswertungen, also kann man darauf ja auch verzichten ohne viel zu verlieren.

#4.1 Andreas F. (Homepage) am 19.11.2007 18:18 (Antwort)

Hi Andreas,

ich weiß jetzt nicht, welchen Anbieter Du meinst - um aber keine Werbung zu machen, lassen wir den oder die Namen einfach mal weg

Zum Thema: die IP-Adressen an sich brauche ich tatsächlich nicht, um anständiges und gutes Webcontrolling durchzuführen. Andererseits müssen ja irgendwie auch Historien generiert werden können - und das geht doch entweder über die IP oder über ein Cookie - oder täische ich mich da?

#4.1.1 Andreas (Homepage) am 20.11.2007 09:07 (Antwort)

Um in der Historie "wiederkehrende Besucher" zu erkennen, ist die IP-Nummer eher ungeeignet, weil diese bei bei den meisten privaten Internetnutzern sowieso dynamisch vergeben wird, und daher nicht von Besuch zu Besuch gleich bleibt.

Während einer Session ist ein temporärer Cookie zur Speicherung einer Session-ID zur Zuordnung einer Besucherbewegung (statt der IP-Nummer) genauer, weil damit auch unterschiedliche Besucher, die z.B. von der gleichen Firma (Firewall, Proxy) von der gleichen IP-Nummer kommen, unterschieden werden können.

Spannend wird es, wenn solch ein anonymer Besucher ein Kontaktformular absendet, oder einen Shop-Einkauf tätigt. Weil dann die bisher Anonyme Session-ID mit einer Person/Adresse/Email verknüpft werden kann - und man damit auf das Verhalten einer konkreten Person Rückschlüsse (auch im Nachhinein) ziehen kann.

#4.1.1.1 Andreas F. (Homepage) am 20.11.2007 13:14 (Antwort)

Heißt im Umkehrschluss also, dass Cookies auch ab einem bestimmten Zeitpunkt "personenbezogene Daten" sind, richtig?

#4.1.1.1.1 Andreas (Homepage) am 20.11.2007 13:38 (Antwort)

Ich denke ja, und zwar jeweils ab dem Moment, in dem ein User sich z.B. einloggt, oder sonstwie seine persönlichen Daten bei einer Website eingibt.

#4.1.1.1.1.1 Andreas F. (Homepage) am 20.11.2007 16:59 (Antwort)

Alles grundsätzlich schon sehr richtige Überlegungen, meine Herren

Zunächst einmal ist festzustellen, dass derjenige der Daten zur Verarbeitung an Dritte (wie z.B. Google Analytics) weitergibt, "Datenverarbeitung im Auftrag" veranlasst und damit nach § 11 BDSG für die ordnungsgemäße Datenverarbeitung verantwortlich bleibt.

Soweit bei einer IP-Adressen - auch nach entsprechender selbst veranlasster Umcodierung - die Identifizierung einer konkreten Person noch möglich bleibt, so ist die IP-Adresse wohl als personenbezogenes Datum zu werten und insofern entsprechendem Schutz unterworfen.

Wenn man also die IP-Adressen nicht wirklich braucht, so sollte man doch (und insoweit schließe ich mich dem letzten Kommentar an) einfach darauf verzichten.

Soweit also bei Google Analytics die Speicherung bon IP-Adressen nicht vermieden oder umgangen werden kann, bleibt für denjenigen, der sicher gehen will, nur die vorherige Zustimmung der Nutzer oder eben der Abschied von Google Analytics.

Vielleicht sollte man Google mal einen entsprechenden Hinweis geben, eine auch in Deutschland rechtskonforme Analytics-Version anzubieten, damit nicht zu viele zur Konkurrenz wechseln

#5 Carsten Ulbricht (Homepage) am 19.11.2007 21:24 (Antwort)

@Carsten:
Das kann man so nicht stehen lassen. Es ist zwar umstritten, ob bei Datenübermittlung in Drittstaaten (also Staaten außerhalb der EU oder des EWR) eine Auftragsdatenverarbeitung möglich ist. Die wohl h.M. geht jedoch davon aus, dass bei Datenübermittlung in Drittstaaten § 11 BDSG wohl keine Anwendung finden kann. Dies ergibt sich aus § 3 Abs. 8 BDSG, denn dort wird festgestellt, dass eine (privilegierte) Datenverarbeitung im Auftrag (i.S.d. § 11 BDSG) immer nur dann vorliegen kann, wenn der Auftragnehmer seinen Sitz in der EU oder im EWR hat.

Diese Detailwertung ändert aber nichts an dem grundlegenden Problem und an denen insoweit richtigen Äußerungen zu diesem Problem.

#5.1 Stephan Hansen-Oest (Homepage) am 20.11.2007 00:09 (Antwort)

Hinweise an Google gab es schon einige.

Gerne kommt die Antwort, dass man als globaler Konzern halt nicht für jedes Land irgendwelche Sonderregeln machen könne, dass man die Daten brauche, um einen noch besseren Service anzubieten, und dass man keine Angst haben soll, weil Google doch "die Guten" sind, und nichts Böses mit den Daten anstellt.

#5.2 Andreas F. (Homepage) am 20.11.2007 17:09 (Antwort)

Vielen Dank für den ausführlichen Bericht. Vor allem in Hinblick der wachsenden Popularität von Webanalyse und Tracking ist das ein spannendes Thema. Meiner Meinung nach geht es niemanden (nicht mal den Webseitenbetreiber selbst) an, was ich auf einer Seite mache... Aber da ich Cookies akzeptiere bin ich irgendwo selbst schuld. Ich denke aber dass in Zukunft sensibler mit dem Thema "Datenschutz" & "Privatsphäre" umgegangen werden muss

#6 Web 2.0 Blog (Homepage) am 19.12.2007 15:29 (Antwort)

Also ich bin immer noch der Meinung, dass wenn man nichts zu verbergen hat, man keine Angst haben muss. Jedoch führt die Speicherung sämtlicher persönlicher Daten dazu, dass die Werbebranche mittlerweile genau weiss, welche Produkte man kauft, wann und wo und wieviel Geld man dafür im Monat ausgibt.

Irgendwann ist Schluß mit Lustig und man sollte diese Art von Speicherungen verbieten....wobei das ja noch die "harmlosen" Daten sind.

#7 restaurant (Homepage) am 28.01.2008 23:36 (Antwort)

Naja, ob und wann Du was zu verbergen hast, entscheidest nicht Du. Deine gespeicherten, personenbezogenen Daten stehen ja vielleicht einem (hypothetisch) totalitären deutschen Staat in zehn Jahren zur Verfügung, der dann weiß, welche (jetzt noch legale und unbedenkliche) Anarcho-Literatur Du heute bei Amazon gekauft hast

In diesem Szenario hättest Du jetzt was zu verbergen.

#7.1 Michael (Homepage) am 05.02.2008 07:58 (Antwort)

Das wird ja immer komplizierter. Am Ende darf nur noch der Staat speichern

Und zwar mehr, als nur ne IP Adresse.

#8 Spieleforschung.de (Homepage) am 07.02.2008 00:49 (Antwort)

Hm,

wahrscheinlich stehe ich auf dem Schlauch.

(*WO*) in Google Analytics finde ich die IP Adressen?

Danke und Grüße

#9 unwissender am 29.02.2008 09:39 (Antwort)

Ich hab ehrlich gesagt in Google-Analytics auch noch nicht nach den IP´s gesucht.

Hab grade das gefunden: http://www.google.com/support/googleanalytics/bin/answer.py?hl=de&answer=72299

#10 jensen (Homepage) am 24.06.2008 10:58 (Antwort)

@jensen

Naja, bin kein Techniker....

Meinem Kenntnisstand nach kann ein Feature wie das Kartenoverlay bei den Besuchern nur erzeugt werden, wenn man die IP-Adressen berücksichtigt.

Oder woher kann man außerdem herleiten, wo die Besucher genau herkommen ?

Dann nämlich wäre die verlinkte Info bei Google Analytics ja wohl falsch...

#10.1 Carsten Ulbricht (Homepage) am 24.06.2008 11:07 (Antwort)

Also Kartenoverlay nach Land bekommt man über die Domainendungen hin .de usw.

Übrigens sind folgende aktuelle Heise Meldung und folgender Artikel noch interessant:

http://www.heise.de/newsticker/Datenschutzbeauftragte-kritisieren-Google-Analytics--/meldung/110603

http://www.eggert-rechtsanwaelte.de/Aktuell.6.0.html

#10.1.1 Syntax am 09.07.2008 12:08 (Antwort)

Die Lokalisierung der Benutzer läuft mit Sicherheit über die IP-Adresse, aber eine Speicherung ist dazu ja nicht nötig. Google bekommt zwangsläufig die IP-Adresse übermittelt und speichert die ermittelte Position (da sich die IP-Bereiche, die die Position angeben auch ständig ändern ist das auch sinnvoll).

Ich bin in letzter Zeit auch dazu übergegangen auf jeder Seite, auf der ich Analytics einsetze diese per Opt-Out in den Datenschutzbedingungen abschaltbar zu machen. Für User-generated Content (Kommentare, Foren, usw.) habe ich eine Funktion, die alle IPs auf 0.0.0.0 setzt einen Monat, nachdem der Eintrag gemacht wurde. Außerdem informiere ich im Datenschutzbereich ausführlich über diese Vorgehensweise.

#10.1.2 Nico am 30.11.2009 13:06 (Antwort)

Ich lese hier gerade mit viel Interesse und Neugierde und habe da noch einige Fragen.
Wie kann ich im Impressum sicherstellen, die Websitebesucher über die Verwendung von Google Analytics mit den daraus resultierenden Datenspeicherungen ausreichend zu informieren?
Bestände die Möglichkeit, eine Art Mustertext, hier zu posten?
Können Sie ein Analysetool das dem deutschen Recht nach konform arbeitet empfehlen?

#11 www.ostsee-fewo-nienhagen.de (Homepage) am 20.10.2008 10:12 (Antwort)

Ich finde das Ganze seltsam.
Was nützt es mir denn, wenn ich als Webseitenbetreiber eine dynamische IP speichere? Nichts.
Die gleiche IP hat morgen irgendein anderer User, der sich über den gleichen Provider einwählt, und übermorgen wieder ein anderer.

Was soll ich mit den Daten auf lange Sicht machen? Vor mir aus kann ich jedem meine IP posten...what shells!

Mfg

#12 Kostenloser Webkatalog (Homepage) am 09.08.2009 22:33 (Antwort)

Muss dann nicht schon auch auf der Startseite stehen, daß Google Analytics verwendet wird? Wer schaut sich von den Besuchern schon zuerst die Datenschutzerklärung im Disclaimer an? Ich schätze mal 99,999% nicht.

#13 Matthias (Homepage) am 03.01.2010 11:07 (Antwort)

... Sie wissen nicht was Sie tun !

Ich hab jedenfalls erst einmal Google Analytics aus meinen Seiten entfernt.
Aber glücklich bin ich damit nicht und ich hoffe, dass da bald mal ein paar Richter entscheiden, die wissen wovon Sie reden.

Am besten ist es, diese Richter versuchen selbst mal anhand der IP-Adresse den Menschen dahinter zu ermitteln und zwar mit normalen Methoden.

#14 nordmarketing ag |online-Marketing, SEO & SEM (Homepage) am 14.01.2010 15:45 (Antwort)

Also ich habe Google Analytics inzwischen auch von meiner Seite entfernt. Benötige die Daten momentan ohnehin nicht und da warte ich dann lieber bis ein paar weitere Urteile für Klarheit sorgen.

Dennoch bedanke ich mich für diesen ausführlichen Artikel über die Problematik!

#15 Christian (Homepage) am 24.01.2010 17:20 (Antwort)

auch ich nutze analytics, den einsatz werde ich grundlegend überdenken. habe mir darüber bisher kaum gedanken gemacht!

#16 Novuss (Homepage) am 08.05.2010 00:02 (Antwort)

Ich für meinen Teil werde weiterhin an Analytics festhalten punkt!

#17 jessi (Homepage) am 14.05.2010 23:47 (Antwort)

Sehr guter Artikel zum Thema. Aber ich glaube inzwischen ist es klar, dass GA nicht rechtswidrig ist, da auch (deutsche) Authority Seiten das Tool verwenden.

#18 Kay Fritsch (Homepage) am 18.06.2010 17:00 (Antwort)

Inzwischen hat Google bei Analytics eine Möglichkeit geschaffen, zumindest das letzte Octet bei der IP zu verschleiern.

Quelle
http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp

#19 Melanie (Homepage) am 26.06.2010 21:49 (Antwort)

Ich verwende GA schon seit über einem Jahr nicht mehr und habe seitdem Piwik im Einsatz. Das kann zwar von den Funktionen her mit GA nicht ganz mithalten, aber dafür liegen die Daten auf meinem Server und nicht in den USA.

#20 Cujo (Homepage) am 26.08.2010 16:51 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Smilies
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen
Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!

Startseite - Ursprung

Über den Autor

Dr. Carsten Ulbricht ist Rechtsanwalt bei der Kanzlei Diem&Partner in Stuttgart.

Er berät rechtlich zu allen Themen des Internet, insbesondere Social Media, ECommerce und Enterprise 2.0. Die Schwerpunkte liegen dabei auf Internetrecht, Urheberrecht, Markenrecht, Wettbewerbsrecht und Datenschutzrecht, aber auch der Erstellung entsprechender AGB bzw. Nutzungsbedingungen und der Prüfung der rechtlichen Zulässigkeit des Geschäftsmodells bzw. der jeweiligen Plattform.

Kontaktdaten:

Tel: +49 (0) 711 228 54 50
Fax: +49 (0) 711 226 55 70
Mail: culbricht(at)diempartner.de

Nächste Termine:

31.08. - 01. 09.2010
Vortrag zum Thema "Social Media Marketing & Recht – Rechtssicheres Werben im Social Web" sowie Moderation des 1. Jahreskongresses "Social Media im Unternehmen" der conference group in Wiesbaden

10.08. - 12. 09.2010
3. Barcamp Stuttgart Anmeldung unter
bcstuttgart3.mixxt.de

14.09.2010
Vortrag zum Thema "Rechtliche Aspekte beim Einsatz von Twitter, Flickr, Facebook & Co. in Unternehmen" gemeinsam mit Bernhard Jodeleit bei der Veranstaltung "Erste Schritte mit Social Media" der Medien und Filmgesellschaft Baden-Württemberg (MFG) in Stuttgart

20.09.2010
Vortrag zum Thema "Rechtliche Aspekte beim kommunalen Einsatz von Social Media" bei der Veranstaltung "Einsatz von Sozialen Medien in Kommunen" der Medien und Filmgesellschaft Baden-Württemberg (MFG) in Ulm

29.10.2010 ab 16.15 Uhr
Abschlussvortrag zum Thema "Recht 2.0 - Chancen und Risiken im Social Web" auf dem Onlinekommunikation - Interne und Externe Corporate Communications im Web 2.0 in der Hochschule Berlin

Auf Anfrage biete ich entsprechende Vorträge aus meinem Themenportfolio
auch für Veranstaltungen oder als Inhouse-Schulungen an. Wenden Sie sich jederzeit gerne an mich.

Feed abonnieren:

Subscribe in a reader

Beliebteste Beiträge