öffentlich
Redaktion Druckversion

Rechtsrisiken beim Einsatz von Google Analytics & Co.

Achtung, Datenschutz!

3.666665
(12)
Beitrag bewerten
Kommentar schreiben
Stand: 25. August 2009 (aktualisiert)

Streitpunkt IP-Adresse

Statistiktools wie Google Analytics sind für Webseiten-Betreiber ein Segen, weil sie Rückschlüsse auf das Nutzerverhalten zulassen. Datenschutzrechtlich jedoch sind Google Analytics & Co. problematisch, da sie unter Umständen zum 'gläsernen User' beitragen. Zwar besteht derzeit keine konkrete Abmahngefahr. Da jedoch die Gerichtsbarkeit deutschen Webseiten-Betreibern bereits enge Grenzen in der Benutzung solcher Tools gesetzt hat, ist eine künftige Tendenz bereits erkennbar. Die IT-Recht Kanzlei erklärt die Rechtslage.

Was ist Google Analytics?

Google Analytics ist eine Analysesoftware, die für den Betreiber einer Website die Nutzerzugriffe analysiert. Neben Google Analytics gibt es viele andere Programme, die genauso oder ähnlich arbeiten. Auf diese treffen die folgenden Ausführungen ebenfalls zu.

Mit Hilfe der Analysesoftware lassen sich beispielsweise die Herkunft der Nutzer einer Website, die Verweildauer sowie deren Aktivitäten auf der Seite statistisch erfassen und auswerten. So lassen sich detaillierte Nutzerprofile erstellen. Dies ist für sich genommen rechtlich noch nicht problematisch. Die rechtlichen Probleme fangen erst da an, wo die so erhobenen und ausgewerteten Nutzerdaten mit den konkreten Nutzern verknüpft werden. Denn die Erhebung, Verwendung und Speicherung von sog. personenbezogenen Daten ist nur innerhalb der relativ engen datenschutzrechtlichen Grenzen zulässig.

Das Datenschutzrecht - die gesetzlichen Bestimmungen

Das Datenschutzrecht befasst sich insbesondere mit dem Schutz der sog. personenbezogenen Daten. Personenbezogene Daten sind Angaben über eine bestimmte oder bestimmbare Person. § 3 I BDSG (Bundesdatenschutzgesetz) spricht genauer von "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Darunter fallen insbesondere: Name, Adresse, E-Mail-Adresse usw.

Die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung ist in § 4 I BDSG geregelt. Dort heißt es: "Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat."

Somit muss jeder Betroffene in die Erhebung und Verwendung der eigenen personenbezogenen Daten einwilligen, wenn es nicht eine gesetzliche Regelung gibt, die die jeweils konkrete Verwendung auch ohne diese Einwilligung erlaubt.

Eine solche gesetzliche Befugnis ist beispielsweise § 15 TMG (Telemediengesetz). Dort heißt es: "Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)".

Nun stellt sich insgesamt die Frage, welche Daten überhaupt und zu welchen Zwecken erhoben und verwendet werden.

Streitpunkt IP-Adresse

Unproblematisch und rechtlich einwandfrei ist in jedem Falle die Speicherung und Auswertung von Daten, wie bspw. der Verweildauer eines Nutzers auf einer Internetseite und dessen Aktivitäten auf dieser Seite, wenn dazu keine personenbezogenen Daten erhoben werden - also keine Daten, die die Person, die hinter dem eigentlich anonymen Nutzer steht, identifiziert oder bestimmbar macht.

Fraglich ist dabei nun, wie es sich verhält, wenn neben diesen allgemeinen technischen Daten wie der Verweildauer auf der Seite zusätzlich auch die IP-Adresse des jeweiligen Nutzers gespeichert wird. Die IP-Adresse dient der eindeutigen Adressierung von Rechnern und anderen Geräten und entspricht funktional der Telefonnummer in einem Telefonnetz.

Stellen IP-Adressen personenbezogene Daten dar?

Zwei Berliner Gerichte bejahten diese Frage. Die Urteile des Amtsgerichts Berlin Mitte (Urteil vom 27.03.2007, Az. 5 C 314/06) und des Landgerichts Berlin (Urteil vom 06.09.2007, Az. 23 S 3/07) betreffen denselben Sachverhalt in zwei gerichtlichen Instanzen: Ein Internetnutzer, der die Internetseite des Bundesjustizministeriums mehrmals aufgesucht hatte, verklagte die Bundesrepublik als Rechtsträgerin des Bundesjustizministeriums.

Das Bundesjustizministerium hatte für 14 Tage u.a. die IP-Adressen der Besucher der Internetseite des Ministeriums gespeichert. Der Kläger war der Auffassung, dass IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen und verlangte die Unterlassung der Speicherung dieser Daten für die Zukunft sowie Löschung aller bisher gesammelten Daten. Die Gerichte gaben dem Kläger recht, sodass das Ministerium keine IP-Adressen mehr speichern durfte, ohne die für personenbezogene Daten geltenden gesetzlichen Bestimmungen zu beachten.

Sie waren der Auffassung, dass durch eine IP-Adresse eine natürliche Person - gegebenenfalls unter Zuhilfenahme Dritter - bestimmbar ist. Die Einordnung der IP-Adressen als personenbezogene Daten ist jedoch juristisch umstritten und auch von den Gerichten noch nicht endgültig geklärt.

So ist etwa nach einer jüngeren Entscheidung des Amtsgericht München (Urteil vom 30.9.2008, Az. 133 C 5677/08) eine IP-Adresse kein personenbezogenes Datum. Danach fehlt es an der Bestimmbarkeit. Denn einem Websitebetreiber ist es regelmäßig mit den ihm zur Verfügung stehenden Informationen nicht möglich, ohne einen unverhältnismäßigen Aufwand die natürliche Person zu ermitteln, die sich hinter der IP-Adresse verbirgt.

Beitrag bewerten

Ihre Wertung:

 

Hallöchen,

Ob nun die IP Adresse einer Person zugeordnet werden können oder nicht sei einmal dahingestellt.
Interessant wäre doch was Google in Amerika wirklich an Daten aufbereitet bzw. aufbreiten kann: Ich spreche jetzt nicht von Aussagen Googles oder anderer die zwar viel reden aber es nicht zu 100 % wissen bzw wissen wollen was mit den Daten geschieht.

Die andere Frage ist, ob ich Google Analytics verwende und den Webseitenbesucher nicht darüber informiere oder ihn aber ausdrücklich darüber informiere und der Besucher dann selbst entscheiden kann ob er auf der Webseite bleiben möchte oder nicht.

Klar gesetzlich geregelt ist, das ich im Impressum und/oder der Datenschutzerklärung meiner Webseite den Kunden darüber informieren muss ob ich Google Analytics verwende oder nicht.

Also ist doch im Grunde schon alles wesentliche gesetzlich geregelt, wenn ......... ja wenn ich mich als Webseitenbetreiber daran halte.

Zum anderen stelle ich mir die Frage, wieso fast jeder eigentlich so horny auf Google Analytics und der damit verbundenen Problematik ist wenn es doch schon seit geraumer Zeit mit dem Programm "Piwik" die gleichen Resultate erzielt werden können ohne das eine dritte Partei die Daten abgreift und verwerten kann.

Piwik einsetzen und das Problem hat sich erledigt.

Wenn mein Telefon sich die Nummer von einem Anrufer in der Anrufliste merkt, wo ist dann der Unterschied zur IP? Die Telefonnummer ist genauso viel oder wenog personenbezogen wie die IP, sie bezieht sich auf den Anschlussinhaber, genau wie die IP. Im gegensatz zur IP kann ich die Telefonnummer aber mit der Rückwärtssuche unter Umständen ganz leicht rausfinden, während ich den Anschluss zur IP nur dann herausfinden kann, wenn mir der Provider darüber auskunft geben würde, was er aber nicht darf. Der Anschlussinhaber zur IP kann nur eine Strafverfolgungsbehörde über den Provider herausfinden.

Was ist jetzt mit meinem Telefon, mache ich mich da Strafbar, oder gilt hier das Nichtunterdrücken der Rufnummer als Einwilligung?

Würde dann das Nichtverwenden eines Proxis auch als Einwilligung gelten?

Fragen über Fragen.

Ich weiß gar nicht, wieso ihr euch oben über Deutschland so aufregt. Seid froh, dass wir solche Gesetze haben und seht nicht immer alles mit dieser typisch deutschen "Deutschland ist sch)*#&"-Ansicht!

Einen wundervollen guten Morgen;o)

nun ist ja das Ergebnis - am 26./27. November 2009 in Stralsund - als Beschluss gefasst worden. Auch hier wurde ungeachtet der vielen verschiedenen Auslegungsmöglichkeiten keine Aussagen getroffen die eine dynamische IP als personenbezogene Daten zu sehen sind oder nicht.
Ich muß wirklich sagen, dass diese Art der "Übervorsichtigkeit" nur in Deutschland möglich ist. Was passiert denn mit den Daten die auf den eigenen Servern gesammelt werden ? Dort gibt es auch Geoauswertungen - Zeitraummessungen - Querverweise - Surfverhalten !?!

Wenn diese IPs in Zukunft wirklich nicht mehr gesammelt werden dürfen , wie mache ich dann eine Anzeige gegen kinderpornografische Einträge - in den Gästebüchern von Spielzeugseiten ? Wenn diese IP-Adressen ( von uns sowieso nicht einzelnen Personen zuzuordnen ) - nur noch zerhackt und zerstückelt gespeichert werden dürfen wie wehre ich mich gegen Hackerangriffe?

Sind wir doch mal ehrlich - auch mit einem solchen Gesetz werden die krimminellen Elemente auch zukünftig auf unsere persönlichen Daten zugreifen können - Das Einzige was wir erschweren ist die Möglichkeit diese Kreise rechtlich zu belangen.

Diese Zusatzgesetze braucht kein Mensch - ausser einige RA-Kanzleien die den Leuten ungerechtfertigt das Geld aus der Tasche ziehen wollen.

Grüße

Detlef J.

Guten Tag Frau Mahr,

akademie.de nutzt IP-Adressen für statistische Zwecke: Wir möchten gern wissen, wie lange ein Besucher bei uns bleibt, welche Seiten Einstiegs- und Ausstiegsseiten sind, wo ein Besucher regional verortet ist und ob er von einer Suchmaschine kommt oder per "Direktanwahl" (soweit sich die Daten jeweils überhaupt ermitteln lassen).

Die IP-Adressen werden in den LogFiles gespeichert.

Weitere Daten, die erhoben werden: Browsertyp, Verbindungsgeschwindigkeit, Betriebssystem etc. Diese Daten werden allein deswegen ausgewertet, damit wir wissen, was wir unseren Leserinnen und Lesern an Datenmengen "zumuten" dürfen/können - oder auch nicht. Also ob es bspw. sinnvoll ist, hochauflösende Videos oder Grafiken bereit zu stellen - oder ob man doch besser alles so klein wie möglich komprimiert, weil die Mehrzahl unserer Leserinnen und Leser womöglich nicht die erforderliche Internet-Verbindungsgeschwindigkeit besitzt, um hochauflösende Videos oder Grafiken auch entsprechend nutzen zu können ...

Detaillierte "Besucherwege" werten wir NICHT aus. Es werden auch KEINE personenbezogenen Nutzerprofile erstellt.

Bei Kommentaren und Postings mit strafbaren Inhalten (Volksverhetzung, Beleidigung etc.) behalten wir uns vor, die jeweilige IP zu sperren.

Sämtliche Daten werden sehr sensibel und gemäß der Datenschutzrichtlinien gehandhabt. Der Personenkreis, der diese Daten überhaupt einsehen kann, beschränkt sich auf sehr wenige Mitarbeiter.

Weitere Fragen hierzu beantworten wir gern.

Besten Gruß,
Redaktion akademie.de

Interessanter Artikel. Ich habe gleich mal das Firefox-Plugin heruntergeladen und installiert, und jetzt stellt sich mir doch die Frage:

Werten die Admins von akademie.de, die ganz offensichtlich Google Analytics einsetzen, nun die IP-Adresse ihrer User aus oder nicht?

Gruß
S. Mahr

An den User vom 05.06.2008 14:04:54 "Typisch Deutsch..."

"....Kunden-Webseiten, oder bei meiner eigenen Seite Blödsinn macht und mir Schaden zufügen will, wie soll ich dann Denjenigen zur Verantwortung ziehen? "

Meine Antwort: So ein Blödsinn ! Die IP ist immer über den FTP-log des jeweiligen Provider gespeichert. Das sollte dann sowieso reichen.
Es gibt Tracking-Cookies die Online Firmen benutzen um das Surfverhalten bei Usern zu beobachten,
und um den User durch´s Netz folgen zu können. Der User surft, aber was er nicht bemerkt hat,
ist der er soeben einen Tracking-Cookie auf seinen Rechner hinterlassen wurde.
Dieser bleibt solange auf dem Rechner bis er von User selbst gelöscht wird.
Diese nette Kerlchen wird von einem anderen Cookie gefragt:" Wo surft den der User X hin ?"
Dieser gibt Ihm die Antwort und die Firma kann ein Benutzerprofil erstellen das Ihn nach erneutem Surfen wieder Identifizieren kann.
Er weiß wohin der User Surft, wie Seine Surfvorlieben sind ect. Datenschutz im Netz wird beim Surfen nicht ernst genug
genommen. Jeder schließt seine Haustür beim verlassen zu, aber beim Surfen steht alles offen wie ein Scheunentor.
Und Dein Argument zählt hier nicht. Solche Seiten werden bei mir a.) geblockt und b.) nicht bestellt ( sofern es sich um einen Shop handelt )
Die Lösung : https://addons.mozilla.org/de/firefox/addon/5414 ( Counterpixel )zeigt an und mit Adblock wird die Schundseite geblockt.

Mit besten Grüßen

Mario.

P.S. an : Hast Du bei der Geburt keinen Namen bekommen ?

Aus dem Newsletter des Datenschutzzentrums:
Eine Zusammenführung mit Nutzungsdaten mit denen anderer Google-Dienste
ist möglich und wird generell von Google bestätigt. Dadurch hat das
Unternehmen die Möglichkeit, über Surfer im Internet detaillierte
Nutzungs- und Interessenprofile zu erstellen und diese vor allem für
Werbezwecke zu verwenden. All dies erfolgt regelmäßig ohne das Wissen
der Betroffenen. Nur in wenigen Fällen wird von den Webseitenbetreibern
überhaupt darauf hingewiesen, dass dieses Werkzeug im Einsatz ist und
eine Übermittlung der Daten zu Google in den USA oder anderswo erfolgt.
Damit wird von den Webseitenbetreibern regelmäßig gegen Datenschutzrecht
verstoßen. Den Nutzenden ist nicht bewusst, geschweige denn, dass sie
hierin eingewilligt hätten, dass ihre personenbeziehbaren Daten zur
Erstellung von Nutzungsprofilen an den internationalen Konzern
übermittelt werden. Selbst den deutschen Datenschutzbehörden ist nicht
bekannt, was Google dann mit diesen Daten anstellt.

Dies hat den Berliner Beauftragten für Datenschutz und
Informationsfreiheit sowie das Unabhängige Landeszentrum für Datenschutz
Schleswig-Holstein (ULD) veranlasst, hierzu eine Prüfaktion
durchzuführen. Gemäß einem Bericht von futurezone@ORF.at haben über 80%
aller gut besuchten Webseiten in Österreich und in Deutschland Google
Analytics eingebaut. Google wurde von den beiden
Landesdatenschutzbehörden aufgefordert, mitzuteilen, welche Unternehmen
des jeweiligen Bundeslandes das Analysewerkzeug einsetzen. In einer
ersten Stichprobe wurden Betreiber ausfindig gemacht und um
Stellungnahme gebeten bzw. aufgefordert, dieses Werkzeug nicht mehr
weiter zu nutzen.

Dr. Thilo Weichert, Leiter des ULD: "Wir waren verblüfft und schockiert,
wie weit Google Analytics auch in Schleswig-Holstein verbreitet ist.
Renommierte Medien- und Internetunternehmen gehören zu deren Nutzern
ebenso wie viele Anbieter aus der Tourismus- und der
Dienstleistungsbranche; ja politische Parteien, öffentliche Stellen des
Landes und Hochschulen setzen den kostenlosen, aber datenschutzwidrigen
Service ein. Den meisten Betreibern dürfte nicht vollständig bewusst
sein, dass sie mit dem Einsatz von Google Analytics einen Service in
Anspruch nehmen, bei dem Daten in die USA übermittelt werden, die dort
umfassend ausgewertet und genutzt werden, und dass dies die
Datenschutzrechte der Webseitenbesucher verletzt." Weichert geht davon
aus, dass die meisten Webseitenbetreiber des Landes, wenn sie jetzt auf
die Rechtslage hingewiesen werden, die Datenübermittlung ohne
ausreichende Information der Nutzer umgehend einstellen werden.

Ob ein Webseitenanbieter Google Analytics verwendet, kann ein
Internet-Nutzer selbst feststellen. Was er hierzu tun muss bzw. wie er
verhindern kann, dass über ihn von Google personenbeziehbare
Nutzungsprofile erstellt werden, erläutert das ULD in einer
ausführlichen Hilfestellung. Dies sowie die Schreiben, mit denen sich
das ULD an die Webseitenbetreiber und an Google gewandt hat, sind zu
finden unter

Herzlichen Dank für diese ausführliche, gut recherchierte und begründete Information. Weiter so!

Ich stimme meinem Vorredner zu: Analytics zeigt dem User zu keinem Zeitpunkt die IP-Adresse an. Und als Nutzer der Software habe ich auch keinen Einfluss darauf, welche Daten die Software nutzt und welche nicht. Der Rat des Autors ist also in dem Punkt nutzlos. Ein Journalist hätte an dieser Stelle recherchiert und berichtet, was Google wirklich sammelt und was nicht. Und: Was ist mit anderen Programmen, wie zum Beispiel Etracker? Dort werden den Site-Betreibern Teile der IP-Adresse angezeigt.

Typisch deutsch!

Durch solche Urteile stehen wir uns nur selber im Weg.
Es gibt weitaus wichtigere Dinge als solche Urteile und Diskussionen!

Ich benutze weiterhin Google-Analytics und lasse diesen Service auch weiterhin drin. Schon allein aus Protest.

Abgesehen davon: Wenn jemand auf Kunden-Webseiten, oder bei meiner eigenen Seite Blödsinn macht und mir Schaden zufügen will, wie soll ich dann Denjenigen zur Verantwortung ziehen?

Wenn man sich zusätzlich noch über das Wort "personenbezogen" Gedanken macht, so sollte auch in Betracht gezogen werden, dass erst auf eine Person Rückschlüsse gezogen werden kann, wenn mehr als eine Information zur Verfügung steht. Das wäre dann nur durch das Aufzeichnen einer IP-Adresse nicht gegeben.

Die anderen Daten, die von Google-Analytics festgehalten werden, wären er computerbezogen... (Browser, Betriebssystem usw.)

Anders wäre es, wenn beispielsweise ein Kontaktformular nicht nur Name und Anschrift verlangt, sondern auch ohne Wissen des Benutzers seine IP-Adresse zusammen mit den eingegeben Daten an den Betreiber übermittelt.

Guter Überblicksartikel, der etwas Licht ins Dunkel bringt.

Einzig der Vergleich IP-Adresse = Telefonnummer hinkt ein wenig. Denn die Telefonnummer bleibt immer gleich, bei der IP-Adresse hingegen ist das nur ein einem von drei Fällen so.

Fall 1: Dynamische IP-Adressenvergabe. Das trifft wohl, bis auf wenige Ausnahmen, die meisten DSL-Nutzer. Sie werden schlicht einmal am Tag zwangsgetrennt und bekommen dann in der Regel eine andere IP-Adresse zugewiesen. Damit ist eine eindeutige Zuordnung über den Tageswechsel nicht mehr gegeben.

Fall 2: Viele Firmenrechner gehen über einen zentralen Proxy ins Internet. In den Log-Files von Google-Analytics & Co. erscheint dann sehr häufig, je nach dessen Konfiguration, die IP-Adresse dieses Proxies. Damit ist auch keine direkte Zuordnung mehr gegeben.

Fall 3: Der Besucher kommt mit einer ihm zugewiesenen statischen IP-Adresse auf die Seite. Diese ist dann tatsächlich immer gleich und kann mit einer Telefonnummer verglichen werden. Dto. bei einer "falschen" Proxy-Konfiguration.

Man kommt bei GoogleAnalytics doch gar nicht an die IP-Adressen dran, oder täusche ich mich? Sie werden aufgeschlüsselt und lokalisiert für die Karte, aber das war es doch schon. Falls das strafbar werden sollte, so denke ich würde Google mit ner Light-Version für den aberwitzig verschrobenen Internet-Rechtsstaat Deutschland reagieren.

Ne andere Frage ist, was ist mit den ganz normalen Log-Dateien auf dem Web-Server, die dort seit jeher "eingelagert" werden.

Und: ergibt das im "worst case", einem Verbot der Speicherung dieser Daten generell nicht ein Desaster für das deutsche Online-Marketing (hält somit den IT Standort weiter zurück in der Entwicklung) und zudem eine "wunderschöne neue Welt" für Hacker?

Mitglied werden, Vorteile nutzen!

  • Sie können alles lesen und herunterladen: Beiträge, PDF-Dateien und Zusatzdateien (Checklisten, Vorlagen, Musterbriefe, Excel-Rechner u.v.a.m.)
  • Unsere Autoren beantworten Ihre Fragen
  • Sie bekommen erhebliche Rabatte auf unsere von Experten geleitete Online-Workshops

Downloads zu diesem Beitrag

Newsletter abonnieren