Nach einem neuesten Beschluss der obersten Datenschutz-Aufsichtsbehörden stellt die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen ohne Zustimmung der Website-Nutzer einen Verstoß gegen das Telemediengesetz (TMG) dar und ist von daher unzulässig. Damit ist von der Verwendung von Google Analytics in seiner derzeitigen Form (und ähnlicher Tracking-Tools) vorerst abzuraten.
Nach einem aktuellen Bericht der Online-Ausgabe der ZEIT setzen derzeit Angaben der Düsseldorfer Xamit Bewertungsgesellschaft zufolge über 13 Prozent der deutschen Websites Google Analytics ein. Weitere vier Prozent verwenden andere Tracking-Tools. Die deutschen Datenschutz-Behörden halten den Einsatz solche Tools jedoch für rechtlich unzulässig – zumindest in der bislang praktizierten Form.
Die Aufsicht über die Einhaltung des Datenschutzes im so genannten nicht-öffentlichen Bereich (sprich: Unternehmen) obliegt den Datenschutz-Aufsichtsbehörden der Länder. Um in bundesweit relevanten Rechtsfragen eine einheitliche Praxis der Aufsichtsbehörden sicherzustellen, haben sich diese informell zum so genannten „Düsseldorfer Kreis“ zusammengeschlossen, der in Stellungnahmen gemeinsame Standpunkte formuliert. In einem aktuellen Beschluss über die „
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vom 26.11.2009 ist Folgendes festgehalten worden:
“Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
(…)
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. (…)“Einsatz von Google Analytics & Co. wird problematischNach Auffassung der Datenschutz-Aufsichtsbehörden ist die Verwendung von Google Analytics und ähnlichen Tracking-Tools, die für ihre Analyse auf die vollständige IP-Adresse zurückgreifen, unzulässig, wenn keine vorherige Einwilligung des Betroffenen eingeholt wurde. Die von Google vorgesehene Erläuterung in der Datenschutzerklärung allein ist nicht ausreichend, um den Einsatz von Google Analytics zu rechtfertigen.
Möglich wäre, von jedem Webseitennutzer vor Speicherung seiner IP-Adresse im Wege des Opt-In Verfahrens eine Einwilligungserklärung zu verlangen – eine in den meisten Fällen wahrscheinlich höchst unpraktikable Lösung (mit wenigen Ausnahmen im Finanzbereich, wo bereits jetzt der Nutzer vor Besuch der Webseite eine Nutzungserklärung zu akzeptieren hat, bevor die Webseite angezeigt wird).
Drohen Bußgelder der Aufsichtsbehörden?Theoretisch ja – allerdings haben die ersten Aufsichtsbehörden angekündigt, Shopbetreiber vor der Verhängung von Bußgeldern erst anzuschreiben und die Abschaltung von Google Analytics und ähnlichen Tools zu fordern. Auch stellt sich derzeit noch die Frage, wie die Datenschutzbehörden angesichts der Vielzahl betroffener Webseiten dies rein organisatorisch bewältigen können.
Abschalten – und was dann?Angesichts der klaren Worte der Aufsichtsbehörde ist zu empfehlen, Google Analytics vorerst abzuschalten, also insbesondere den Tracking-Code von Google aus Ihrer Webseite zu entfernen. Unserer Ansicht nach ist damit zu rechnen, dass Google in Kürze reagieren und eine datenschutzrechtlich zulässige Variante von Google Analytics anbieten wird. Auch ist denkbar, dass der Gesetzgeber eingreifen und legislativ die Frage behandeln wird, ob es sich bei IP-Adressen tatsächlich um personenbezogene Daten handelt.
FazitDer Einsatz von Google Analytics (und ähnlicher auf der vollständigen IP-Adresse aufbauenden Tracking-Tools) in der derzeitigen Form ist nach Ansicht der zuständigen Datenschutz-Aufsichtsbehörden unzulässig. Website-Betreibern ist daher zu raten, derartige Tools abzuschalten und den entsprechenden Tracking-Code aus der Webseite zu entfernen. Jedoch ist damit zu rechnen, dass eine datenschutzrechtlich zulässige Variante von Google Analytics entwickelt werden wird. Bis dahin sollte sie auf alternative Tracking-Tools zurückgreifen.