DruckversionWas ist erlaubt, was nicht?
Wann ist die Verwendung personenbezogener Daten erlaubt?
Viele Websiten-Betreiber, die Analysesoftware wie Google Analytics verwenden, fragen sich, welche Daten sie nun überhaupt noch erheben können. Klar ist, dass personenbezogene Daten grundsätzlich immer dann verwendet werden dürfen, wenn der Betroffene einwilligt.
Eine Einwilligung im juristischen Sinne liegt jedoch nur dann vor, wenn der Betroffene der Verwendung seiner Daten ausdrücklich vor der Erhebung und Verwendung seiner Daten zustimmt. Es ist somit logisch, dass zu dem Zeitpunkt, zu dem der Nutzer einer Website z.B. bei Aufruf der Seite dazu aufgefordert wird, der Verwendung seiner Daten zu Analysezwecken zuzustimmen, im Hintergrund noch keine personenbezogenen Daten gesammelt bzw. gespeichert werden dürfen.
Außerdem muss die Einwilligung ausdrücklich erfolgen. Allein ein Hinweis auf der Homepage (oder sogar nur in den AGB) dahingehend, dass der Nutzer mit der weiteren Nutzung der Website zeige, dass er der Erhebung und Verwendung seiner Daten zustimme, genügt somit nicht.
§ 15 TMG sieht jedoch Ausnahmen vor, in denen die Erhebung und Verwendung personenbezogener Daten auch ohne ausdrückliche Einwilligung erlaubt ist.
So darf nach § 15 III TMG der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Dabei hat der Diensteanbieter jedoch den Nutzer auf sein Widerrufsrecht im Rahmen der Unterrichtung nach § 13 I TMG hinzuweisen. Außerdem dürfen diese Nutzungsprofile nicht mit den Daten über den Träger des Pseudonyms zusammengeführt werden.
Nach § 15 IV TMG darf der Diensteanbieter Nutzungsdaten (also gerade auch personenbezogene Daten) über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.
Ist der generelle Einsatz von Programmen wie Google-Analytics nun problematisch?
Ja und Nein. Es kommt darauf an, welche Daten von diesen Programmen erfasst werden.
Wenn diese Software lediglich anonyme Daten zwecks Statistikauswertung erfasst und verarbeitet, so ist dies unproblematisch.
Die Schwierigkeiten fangen dann an, wenn personenbezogene Daten erhoben werden. Denn dabei müssen die strengen Datenschutzbestimmungen für die Verwendung personenbezogener Daten beachtet werden. Dies bedeutet insbesondere, dass die Daten nur verwendet werden dürfen, wenn der Betroffene darin - vorher - ausdrücklich einwilligt oder ausnahmsweise eine gesetzliche Sonderbefugnis greift, die die Verwendung der Daten auch ohne vorherige Einwilligung gestattet. Nun stuften die beiden Berliner Gerichte IP-Adressen als personenbezogene Daten ein, so dass die Einbeziehung von IP-Adressen durch Analysesoftware wie Google Analytics rechtlich äußerst problematisch ist.
Andere Länder, andere Sitten
Frage: Inwiefern kann man Anbieter wie Google dafür zur Verantwortung ziehen? Antwort: Gar nicht. Denn im Prinzip geht es nicht um Google, sondern um den jeweiligen Verwender der Software. Die gesetzlichen Bestimmungen oder zumindest die Rechtsauffassungen der Gerichte sind in anderen Ländern nicht so streng wie in Deutschland, weshalb die Verwendung von Software wie Google Analytics außerhalb Deutschlands für weniger Probleme sorgt.
Welcher Strafrahmen droht bei einer Verurteilung?
An erster Stelle geht es den Betroffenen - wie in den beiden Verfahren vor den Berliner Gerichten - um den Löschungs- und Unterlassungsanspruch. Die Kläger wollten verhindern, dass mit ihren Daten (weiter) gesetzeswidrig verfahren wird.
"Formell" enthält das Bundesdatenschutzgesetz (BDSG) Bußgeldvorschriften, die bei bestimmten Verstößen Bußgelder in einer Höhe von bis zu 250.000 Euro vorsehen. Zudem greift bei besonders krassen Verstößen - und wenn sich der Täter an den Verstößen finanziell bereichert - eine Strafvorschrift, die eine Gefängnisstrafe von bis zu zwei Jahren oder eine Geldstrafe vorsieht. Auch das Telemediengesetz droht bei Ordnungswidrigkeiten Geldbußen bis zu 50.000 Euro an.
Soweit die Theorie. In der Praxis darf bezweifelt werden, ob derartige Bußgelder gegenüber (kleinen) Webseitenbetreibern verhängt werden. Bis dato gibt es unseres Wissens nach keine derartigen Verurteilungen.
Wie geht es weiter?
Es bleibt abzuwarten, wie sich weitere Gerichte zu dieser Thematik äußern werden.
Einer endgültigen Klärung bedarf insbesondere die Frage, ob IP-Adressen personenbezogene Daten sind. Nach derzeitigem Stand muss davon ausgegangen werden, dass dies so ist. Dies hat zur Folge, dass diese Daten tatsächlich nur innerhalb der engen Grenzen der Datenschutzgesetze, insbesondere des Bundesdatenschutzgesetzes und des § 15 Telemediengesetz, erhoben und verarbeitet werden dürfen.
Darüber hinaus wird diskutiert, ob es für die Erhebung und Speicherung von IP-Adressen und weiteren personenbezogenen Daten möglicherweise zusätzliche, vom Gesetzgeber (noch) nicht bedachte Gründe, wie z. B. die Abwehr von elektronischen Angriffen auf die Internetseite (Hackerangriffe) oder Spam gibt, die die Speicherung dieser Daten rechtfertigen würden.
Fazit
Für die beiden Berliner Gerichte stellen IP-Adressen personenbezogene Daten dar, die in aller Regel - nämlich dann, wenn keine gesetzliche Ausnahme nach § 15 TMG vorliegt - nur mit Einwilligung der Betroffenen erhoben werden dürfen. Dies hat zur Folge, dass Analysesoftware wie Google Analytics u.a. nicht zur Analyse des Nutzungsverhaltens verwendet werden darf, wenn dabei auch die IP-Adresse verarbeitet wird. Um auf der sicheren Seite zu sein, sollten die Webseitenbetreiber darauf achten, dass die von ihnen verwendete Analysesoftware ohne die Verwendung der IP-Adresse auskommt.
Allerdings haben die beiden Urteile der Berliner Gerichte keine allgemeine Gültigkeit. Denn wie das Urteil des AG München, wonach IP-Adressen keine personenbezogenen Daten sind, zeigt, ist die Rechtsprechung längst nicht einheitlich. Hier fehlt letztlich noch eine höchstrichterliche Entscheidung, um endgültig Klarheit zu schaffen.
Bis dahin gilt: Wer personenbezogene Daten wie IP-Adressen weiterhin im Rahmen von Nutzungs-Analysesoftware auswertet, bewegt sich auf dünnem Eis. Eine konkrete Abmahngefahr besteht derzeit nicht - was aber nicht heißt, dass sich das nicht künftig ändern könnte.
Dieser Beitrag ist öffentlich.
Zugriff auf alle Inhalte haben Sie als Mitglied
Werden Sie Probemitglied - kostenlos.
Ohne finanzielles Risiko haben Sie Zugriff auf alle Inhalte auf akademie.de, außer Downloads. Die Anmeldung dauert drei Minuten. Sie können während der ersten 14 Tage ohne Angabe von Gründen stornieren. Eine E-Mail genügt.
Weitere Informationen finden Sie auf unserer Infoseite zur Mitgliedschaft und in unseren AGB.
Ich bin bereits Mitglied
Man kommt bei GoogleAnalytics doch gar nicht an die IP-Adressen dran, oder täusche ich mich? Sie werden aufgeschlüsselt und lokalisiert für die Karte, aber das war es doch schon. Falls das strafbar werden sollte, so denke ich würde Google mit ner Light-Version für den aberwitzig verschrobenen Internet-Rechtsstaat Deutschland reagieren.
Ne andere Frage ist, was ist mit den ganz normalen Log-Dateien auf dem Web-Server, die dort seit jeher "eingelagert" werden.
Und: ergibt das im "worst case", einem Verbot der Speicherung dieser Daten generell nicht ein Desaster für das deutsche Online-Marketing (hält somit den IT Standort weiter zurück in der Entwicklung) und zudem eine "wunderschöne neue Welt" für Hacker?
Guter Überblicksartikel, der etwas Licht ins Dunkel bringt.
Einzig der Vergleich IP-Adresse = Telefonnummer hinkt ein wenig. Denn die Telefonnummer bleibt immer gleich, bei der IP-Adresse hingegen ist das nur ein einem von drei Fällen so.
Fall 1: Dynamische IP-Adressenvergabe. Das trifft wohl, bis auf wenige Ausnahmen, die meisten DSL-Nutzer. Sie werden schlicht einmal am Tag zwangsgetrennt und bekommen dann in der Regel eine andere IP-Adresse zugewiesen. Damit ist eine eindeutige Zuordnung über den Tageswechsel nicht mehr gegeben.
Fall 2: Viele Firmenrechner gehen über einen zentralen Proxy ins Internet. In den Log-Files von Google-Analytics & Co. erscheint dann sehr häufig, je nach dessen Konfiguration, die IP-Adresse dieses Proxies. Damit ist auch keine direkte Zuordnung mehr gegeben.
Fall 3: Der Besucher kommt mit einer ihm zugewiesenen statischen IP-Adresse auf die Seite. Diese ist dann tatsächlich immer gleich und kann mit einer Telefonnummer verglichen werden. Dto. bei einer "falschen" Proxy-Konfiguration.
Typisch deutsch!
Durch solche Urteile stehen wir uns nur selber im Weg.
Es gibt weitaus wichtigere Dinge als solche Urteile und Diskussionen!
Ich benutze weiterhin Google-Analytics und lasse diesen Service auch weiterhin drin. Schon allein aus Protest.
Abgesehen davon: Wenn jemand auf Kunden-Webseiten, oder bei meiner eigenen Seite Blödsinn macht und mir Schaden zufügen will, wie soll ich dann Denjenigen zur Verantwortung ziehen?
Wenn man sich zusätzlich noch über das Wort "personenbezogen" Gedanken macht, so sollte auch in Betracht gezogen werden, dass erst auf eine Person Rückschlüsse gezogen werden kann, wenn mehr als eine Information zur Verfügung steht. Das wäre dann nur durch das Aufzeichnen einer IP-Adresse nicht gegeben.
Die anderen Daten, die von Google-Analytics festgehalten werden, wären er computerbezogen... (Browser, Betriebssystem usw.)
Anders wäre es, wenn beispielsweise ein Kontaktformular nicht nur Name und Anschrift verlangt, sondern auch ohne Wissen des Benutzers seine IP-Adresse zusammen mit den eingegeben Daten an den Betreiber übermittelt.
Ich stimme meinem Vorredner zu: Analytics zeigt dem User zu keinem Zeitpunkt die IP-Adresse an. Und als Nutzer der Software habe ich auch keinen Einfluss darauf, welche Daten die Software nutzt und welche nicht. Der Rat des Autors ist also in dem Punkt nutzlos. Ein Journalist hätte an dieser Stelle recherchiert und berichtet, was Google wirklich sammelt und was nicht. Und: Was ist mit anderen Programmen, wie zum Beispiel Etracker? Dort werden den Site-Betreibern Teile der IP-Adresse angezeigt.
Herzlichen Dank für diese ausführliche, gut recherchierte und begründete Information. Weiter so!
Aus dem Newsletter des Datenschutzzentrums:
Eine Zusammenführung mit Nutzungsdaten mit denen anderer Google-Dienste
ist möglich und wird generell von Google bestätigt. Dadurch hat das
Unternehmen die Möglichkeit, über Surfer im Internet detaillierte
Nutzungs- und Interessenprofile zu erstellen und diese vor allem für
Werbezwecke zu verwenden. All dies erfolgt regelmäßig ohne das Wissen
der Betroffenen. Nur in wenigen Fällen wird von den Webseitenbetreibern
überhaupt darauf hingewiesen, dass dieses Werkzeug im Einsatz ist und
eine Übermittlung der Daten zu Google in den USA oder anderswo erfolgt.
Damit wird von den Webseitenbetreibern regelmäßig gegen Datenschutzrecht
verstoßen. Den Nutzenden ist nicht bewusst, geschweige denn, dass sie
hierin eingewilligt hätten, dass ihre personenbeziehbaren Daten zur
Erstellung von Nutzungsprofilen an den internationalen Konzern
übermittelt werden. Selbst den deutschen Datenschutzbehörden ist nicht
bekannt, was Google dann mit diesen Daten anstellt.
Dies hat den Berliner Beauftragten für Datenschutz und
Informationsfreiheit sowie das Unabhängige Landeszentrum für Datenschutz
Schleswig-Holstein (ULD) veranlasst, hierzu eine Prüfaktion
durchzuführen. Gemäß einem Bericht von futurezone@ORF.at haben über 80%
aller gut besuchten Webseiten in Österreich und in Deutschland Google
Analytics eingebaut. Google wurde von den beiden
Landesdatenschutzbehörden aufgefordert, mitzuteilen, welche Unternehmen
des jeweiligen Bundeslandes das Analysewerkzeug einsetzen. In einer
ersten Stichprobe wurden Betreiber ausfindig gemacht und um
Stellungnahme gebeten bzw. aufgefordert, dieses Werkzeug nicht mehr
weiter zu nutzen.
Dr. Thilo Weichert, Leiter des ULD: "Wir waren verblüfft und schockiert,
wie weit Google Analytics auch in Schleswig-Holstein verbreitet ist.
Renommierte Medien- und Internetunternehmen gehören zu deren Nutzern
ebenso wie viele Anbieter aus der Tourismus- und der
Dienstleistungsbranche; ja politische Parteien, öffentliche Stellen des
Landes und Hochschulen setzen den kostenlosen, aber datenschutzwidrigen
Service ein. Den meisten Betreibern dürfte nicht vollständig bewusst
sein, dass sie mit dem Einsatz von Google Analytics einen Service in
Anspruch nehmen, bei dem Daten in die USA übermittelt werden, die dort
umfassend ausgewertet und genutzt werden, und dass dies die
Datenschutzrechte der Webseitenbesucher verletzt." Weichert geht davon
aus, dass die meisten Webseitenbetreiber des Landes, wenn sie jetzt auf
die Rechtslage hingewiesen werden, die Datenübermittlung ohne
ausreichende Information der Nutzer umgehend einstellen werden.
Ob ein Webseitenanbieter Google Analytics verwendet, kann ein
Internet-Nutzer selbst feststellen. Was er hierzu tun muss bzw. wie er
verhindern kann, dass über ihn von Google personenbeziehbare
Nutzungsprofile erstellt werden, erläutert das ULD in einer
ausführlichen Hilfestellung. Dies sowie die Schreiben, mit denen sich
das ULD an die Webseitenbetreiber und an Google gewandt hat, sind zu
finden unter
An den User vom 05.06.2008 14:04:54 "Typisch Deutsch..."
"....Kunden-Webseiten, oder bei meiner eigenen Seite Blödsinn macht und mir Schaden zufügen will, wie soll ich dann Denjenigen zur Verantwortung ziehen? "
Meine Antwort: So ein Blödsinn ! Die IP ist immer über den FTP-log des jeweiligen Provider gespeichert. Das sollte dann sowieso reichen.
Es gibt Tracking-Cookies die Online Firmen benutzen um das Surfverhalten bei Usern zu beobachten,
und um den User durch´s Netz folgen zu können. Der User surft, aber was er nicht bemerkt hat,
ist der er soeben einen Tracking-Cookie auf seinen Rechner hinterlassen wurde.
Dieser bleibt solange auf dem Rechner bis er von User selbst gelöscht wird.
Diese nette Kerlchen wird von einem anderen Cookie gefragt:" Wo surft den der User X hin ?"
Dieser gibt Ihm die Antwort und die Firma kann ein Benutzerprofil erstellen das Ihn nach erneutem Surfen wieder Identifizieren kann.
Er weiß wohin der User Surft, wie Seine Surfvorlieben sind ect. Datenschutz im Netz wird beim Surfen nicht ernst genug
genommen. Jeder schließt seine Haustür beim verlassen zu, aber beim Surfen steht alles offen wie ein Scheunentor.
Und Dein Argument zählt hier nicht. Solche Seiten werden bei mir a.) geblockt und b.) nicht bestellt ( sofern es sich um einen Shop handelt )
Die Lösung : https://addons.mozilla.org/de/firefox/addon/5414 ( Counterpixel )zeigt an und mit Adblock wird die Schundseite geblockt.
Mit besten Grüßen
Mario.
P.S. an: Hast Du bei der Geburt keinen Namen bekommen ?
Interessanter Artikel. Ich habe gleich mal das Firefox-Plugin heruntergeladen und installiert, und jetzt stellt sich mir doch die Frage:
Werten die Admins von akademie.de, die ganz offensichtlich Google Analytics einsetzen, nun die IP-Adresse ihrer User aus oder nicht?
Gruß
S. Mahr
Guten Tag Frau Mahr,
akademie.de nutzt IP-Adressen für statistische Zwecke: Wir möchten gern wissen, wie lange ein Besucher bei uns bleibt, welche Seiten Einstiegs- und Ausstiegsseiten sind, wo ein Besucher regional verortet ist und ob er von einer Suchmaschine kommt oder per "Direktanwahl" (soweit sich die Daten jeweils überhaupt ermitteln lassen).
Die IP-Adressen werden in den LogFiles gespeichert.
Weitere Daten, die erhoben werden: Browsertyp, Verbindungsgeschwindigkeit, Betriebssystem etc. Diese Daten werden allein deswegen ausgewertet, damit wir wissen, was wir unseren Leserinnen und Lesern an Datenmengen "zumuten" dürfen/können - oder auch nicht. Also ob es bspw. sinnvoll ist, hochauflösende Videos oder Grafiken bereit zu stellen - oder ob man doch besser alles so klein wie möglich komprimiert, weil die Mehrzahl unserer Leserinnen und Leser womöglich nicht die erforderliche Internet-Verbindungsgeschwindigkeit besitzt, um hochauflösende Videos oder Grafiken auch entsprechend nutzen zu können ...
Detaillierte "Besucherwege" werten wir NICHT aus. Es werden auch KEINE personenbezogenen Nutzerprofile erstellt.
Bei Kommentaren und Postings mit strafbaren Inhalten (Volksverhetzung, Beleidigung etc.) behalten wir uns vor, die jeweilige IP zu sperren.
Sämtliche Daten werden sehr sensibel und gemäß der Datenschutzrichtlinien gehandhabt. Der Personenkreis, der diese Daten überhaupt einsehen kann, beschränkt sich auf sehr wenige Mitarbeiter.
Weitere Fragen hierzu beantworten wir gern.
Besten Gruß,
Redaktion akademie.de
Einen wundervollen guten Morgen;o)
nun ist ja das Ergebnis - am 26./27. November 2009 in Stralsund - als Beschluss gefasst worden. Auch hier wurde ungeachtet der vielen verschiedenen Auslegungsmöglichkeiten keine Aussagen getroffen die eine dynamische IP als personenbezogene Daten zu sehen sind oder nicht.
Ich muß wirklich sagen, dass diese Art der "Übervorsichtigkeit" nur in Deutschland möglich ist. Was passiert denn mit den Daten die auf den eigenen Servern gesammelt werden ? Dort gibt es auch Geoauswertungen - Zeitraummessungen - Querverweise - Surfverhalten !?!
Wenn diese IPs in Zukunft wirklich nicht mehr gesammelt werden dürfen , wie mache ich dann eine Anzeige gegen kinderpornografische Einträge - in den Gästebüchern von Spielzeugseiten ? Wenn diese IP-Adressen ( von uns sowieso nicht einzelnen Personen zuzuordnen ) - nur noch zerhackt und zerstückelt gespeichert werden dürfen wie wehre ich mich gegen Hackerangriffe?
Sind wir doch mal ehrlich - auch mit einem solchen Gesetz werden die krimminellen Elemente auch zukünftig auf unsere persönlichen Daten zugreifen können - Das Einzige was wir erschweren ist die Möglichkeit diese Kreise rechtlich zu belangen.
Diese Zusatzgesetze braucht kein Mensch - ausser einige RA-Kanzleien die den Leuten ungerechtfertigt das Geld aus der Tasche ziehen wollen.
Grüße
Detlef J.
Ich weiß gar nicht, wieso ihr euch oben über Deutschland so aufregt. Seid froh, dass wir solche Gesetze haben und seht nicht immer alles mit dieser typisch deutschen "Deutschland ist sch)*#&"-Ansicht!
Wenn mein Telefon sich die Nummer von einem Anrufer in der Anrufliste merkt, wo ist dann der Unterschied zur IP? Die Telefonnummer ist genauso viel oder wenog personenbezogen wie die IP, sie bezieht sich auf den Anschlussinhaber, genau wie die IP. Im gegensatz zur IP kann ich die Telefonnummer aber mit der Rückwärtssuche unter Umständen ganz leicht rausfinden, während ich den Anschluss zur IP nur dann herausfinden kann, wenn mir der Provider darüber auskunft geben würde, was er aber nicht darf. Der Anschlussinhaber zur IP kann nur eine Strafverfolgungsbehörde über den Provider herausfinden.
Was ist jetzt mit meinem Telefon, mache ich mich da Strafbar, oder gilt hier das Nichtunterdrücken der Rufnummer als Einwilligung?
Würde dann das Nichtverwenden eines Proxis auch als Einwilligung gelten?
Fragen über Fragen.
Wie sieht es mit etracker aus?
http://www.etracker.com/de/datenschutz-signet.html
http://www.etracker.com/de/etracker-unternehmen-web-controlling-und-anal...
kann ich das dann problemlos nutzen?
Hallöchen,
Ob nun die IP Adresse einer Person zugeordnet werden können oder nicht sei einmal dahingestellt.
Interessant wäre doch was Google in Amerika wirklich an Daten aufbereitet bzw. aufbreiten kann: Ich spreche jetzt nicht von Aussagen Googles oder anderer die zwar viel reden aber es nicht zu 100 % wissen bzw wissen wollen was mit den Daten geschieht.
Die andere Frage ist, ob ich Google Analytics verwende und den Webseitenbesucher nicht darüber informiere oder ihn aber ausdrücklich darüber informiere und der Besucher dann selbst entscheiden kann ob er auf der Webseite bleiben möchte oder nicht.
Klar gesetzlich geregelt ist, das ich im Impressum und/oder der Datenschutzerklärung meiner Webseite den Kunden darüber informieren muss ob ich Google Analytics verwende oder nicht.
Also ist doch im Grunde schon alles wesentliche gesetzlich geregelt, wenn ......... ja wenn ich mich als Webseitenbetreiber daran halte.
Zum anderen stelle ich mir die Frage, wieso fast jeder eigentlich so horny auf Google Analytics und der damit verbundenen Problematik ist wenn es doch schon seit geraumer Zeit mit dem Programm "Piwik" die gleichen Resultate erzielt werden können ohne das eine dritte Partei die Daten abgreift und verwerten kann.
Piwik einsetzen und das Problem hat sich erledigt.