Google Analytics: Datenschutzrechtlich problematisch?
Im vergangenen Jahr hat ein Urteil des Amtsgerichts Berlin-Mitte dazu beigetragen, dass die Verwendung von Internet-Statistik-Tools wie Google Analytics als datenschutzrechtlich problematisch angesehen wird (Urteil vom 27.03.2007, Az.:5 C 314/06). Das LG Berlin hat das Urteil im Wesentlichen bestätigt (Urteil vom 06.09.2007, Az.: 23 S 3/07). Die IT-Recht Kanzlei fasst zusammen, wo die rechtlichen Probleme liegen und wie ihnen begegnet werden kann.
Was ist Google Analytics?
Google Analytics ist eine bekannte Analysesoftware, die für den Betreiber einer Website die Nutzerzugriffe auf diese Seite analysiert. Neben Google Analytics gibt es viele andere Programme, die genauso oder ähnlich arbeiten. Auf diese treffen die folgenden Ausführungen ebenfalls zu.
Mit Hilfe der Analysesoftware lassen sich beispielsweise die Herkunft der Nutzer einer Website, die Verweildauer sowie deren Aktivitäten auf der Seite statistisch erfassen und auswerten. So lassen sich detaillierte Nutzerprofile erstellen. Dies ist für sich genommen rechtlich noch nicht problematisch. Die rechtlichen Probleme fangen erst da an, wo die so erhobenen und ausgewerteten Nutzerdaten mit den konkreten Nutzern verknüpft werden. Denn die Erhebung, Verwendung und Speicherung von sog. personenbezogenen Daten ist nur innerhalb der relativ engen datenschutzrechtlichen Grenzen zulässig.
I. Das Datenschutzrecht – die gesetzlichen Bestimmungen
Das deutsche Datenschutzrecht befasst sich insbesondere mit dem Schutz der sog. personenbezogenen Daten. Personenbezogene Daten sind Angaben über eine bestimmte oder bestimmbare Person. § 3 I BDSG (Bundesdatenschutzgesetz) spricht genauer von „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”. Darunter fallen insbesondere: Name, Adresse, E-Mail-Adresse usw.
Die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung ist in § 4 I BDSG geregelt. Dort heißt es: „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.”
Somit muss jeder Betroffene in die Erhebung und Verwendung der eigenen personenbezogenen Daten einwilligen, wenn es nicht eine gesetzliche Regelung gibt, die die jeweils konkrete Verwendung auch ohne diese Einwilligung erlaubt.
Eine solche gesetzliche Befugnis ist beispielsweise § 15 TMG (Telemediengesetz). Dort heißt es: „Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)”.
Nun stellt sich die Frage, welche Daten nun überhaupt und zu welchen Zwecken erhoben und verwendet werden.
II. Streitpunkt IP-Adresse
Unproblematisch und rechtlich einwandfrei ist zunächst einmal die Speicherung und Auswertung von Daten wie der Verweildauer eines Nutzers auf einer Internetseite und dessen Aktivitäten auf dieser Seite, wenn dazu keine personenbezogenen Daten erhoben werden, also keine Daten, die die Person, die hinter dem eigentlich anonymen Nutzer steht, identifiziert oder bestimmbar macht.
Fraglich ist dabei nun, wie es sich verhält, wenn neben diesen allgemeinen technischen Daten wie der Verweildauer auf der Seite zusätzlich auch die IP-Adresse des jeweiligen Nutzers gespeichert wird. Die IP-Adresse (Internet-Protocol-Adresse) dient der eindeutigen Adressierung von Rechnern und anderen Geräten in einem IP-Netzwerk und entspricht funktional somit der Telefonnummer in einem Telefonnetz.
Stellen IP-Adressen personenbezogene Daten dar?
Die eingangs erwähnten Berliner Gerichte bejahten diese Frage. Sie waren der Auffassung, dass durch eine IP-Adresse eine natürliche Person – gegebenenfalls unter Zuhilfenahme Dritter – bestimmbar ist. Die Einordnung der IP-Adressen als personenbezogene Daten ist jedoch juristisch umstritten und auch von den Gerichten noch nicht endgültig geklärt. Die momentane Tendenz in der Rechtsprechung weist jedoch dahin, dass IP-Adressen tatsächlich personenbezogene Daten darstellen.
III. Wann ist die Verwendung personenbezogener Daten erlaubt?
Nun stellt sich natürlich jeder Betreiber einer Website, der Analysesoftware wie Google Analytics verwendet, die Frage, welche Daten er nun von den Nutzern erheben darf.
Vorneweg sei gesagt, dass personenbezogene Daten – wie bereits ausgeführt worden ist – grundsätzlich immer dann verwendet werden dürfen, wenn der Betroffene einwilligt.
Eine Einwilligung im juristischen Sinne liegt jedoch nur dann vor, wenn der Betroffene der Verwendung seiner Daten ausdrücklich vor der Erhebung und Verwendung seiner Daten zustimmt. Es ist somit logisch, dass zu dem Zeitpunkt, zu dem der Nutzer einer Website z.B. bei Aufruf der Seite dazu aufgefordert wird, der Verwendung seiner Daten zu Analysezwecken zuzustimmen, im Hintergrund noch keine personenbezogenen Daten gesammelt bzw. gespeichert werden dürfen.
Außerdem muss die Einwilligung ausdrücklich erfolgen. Allein ein Hinweis auf der Homepage (oder sogar nur in AGB) dahingehend, dass der Nutzer mit der weiteren Nutzung der Website zeige, dass er der Erhebung und Verwendung seiner Daten zustimme, genügt somit nicht.
§ 15 TMG sieht jedoch Ausnahmen vor, in denen die Erhebung und Verwendung personenbezogener Daten auch ohne ausdrückliche Einwilligung erlaubt ist.
So darf nach § 15 III TMG der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Dabei hat der Diensteanbieter jedoch den Nutzer auf sein Widerrufsrecht im Rahmen der Unterrichtung nach § 13 I TMG hinzuweisen. Außerdem dürfen diese Nutzungsprofile nicht mit den Daten über den Träger des Pseudonyms zusammengeführt werden.
Nach § 15 IV TMG darf der Diensteanbieter Nutzungsdaten (also gerade auch personenbezogene Daten) über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.
IV. Die weitere Entwicklung der Rechtsprechung
Es bleibt abzuwarten, wie sich weitere Gerichte zu dieser Thematik äußern.
Einer endgültigen Klärung bedarf insbesondere die Frage, ob IP-Adressen personenbezogene Daten sind. Nach derzeitigem Stand muss davon ausgegangen werden, dass dies so ist. Dies hat zur Folge, dass diese Daten tatsächlich nur innerhalb der engen Grenzen der Datenschutzgesetze, insbesondere des Bundesdatenschutzgesetzes und des hier vorgestellten § 15 Telemediengesetz erhoben und verarbeitet werden dürfen.
Darüber hinaus wird diskutiert, ob es für die Erhebung und Speicherung von IP-Adressen und weiteren personenbezogenen Daten möglicherweise zusätzliche, vom Gesetzgeber (noch) nicht bedachte Rechtfertigungsgründe gibt, die insbesondere die Speicherung von solchen Daten für besondere Zwecke, etwa für die Abwehr von elektronischen Angriffen auf die Internetseite (Hackerangriffe) oder Spam, gestattet.
V. Fazit
Für die beiden Berliner Gerichte stellen IP-Adressen personenbezogene Daten dar, die in aller Regel – nämlich dann, wenn keine gesetzliche Ausnahme nach § 15 TMG einschlägig ist – nur mit Einwilligung der Betroffenen erhoben werden dürfen. Dies hat zur Folge, dass Analysesoftware wie Google Analytics u.a. nicht zur Analyse des Nutzungsverhaltens verwendet werden darf, wenn dabei auch die IP-Adresse verarbeitet wird. Um weitestgehend rechtssicher zu handeln, sollten die Betreiber einer Internetseite darauf achten, dass die von ihnen verwendete Analysesoftware ohne die Verwendung der IP-Adresse auskommt.
Allerdings sei an dieser Stelle angemerkt, dass die beiden Urteile der Berliner Gerichte keine allgemeine Gültigkeit haben, sondern nur zwischen den an den jeweiligen Verfahren beteiligten Parteien Wirkung entfalten. Die Urteile haben aber eine Indizwirkung dahingehend, dass weitere Gericht in zukünftigen Verfahren ähnlich urteilen könnten.
Es stellt somit ein rechtliches Risiko dar, personenbezogene Daten wie IP-Adressen weiterhin im Rahmen von Nutzungs-Analysesoftware auszuwerten.
Den Betreibern von Internetseiten ist zu empfehlen, auf aktuelle Urteile zu achten, um so die technische Gestaltung der Internetseiten stets auf dem aktuellen rechtlichen Stand halten zu können.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
IT-Recht Kanzlei
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar
Die Frage, die sich mir aber immer noch stellt ist: Was muss ich, als Websitebetreiber konkret machen?
Die Forderung, dass der Besucher der Nutzung seiner Daten explizit zustimmen muss, und dass ein Hinweis in den AGB oder im Impressum nicht genügt, bedeutet doch, dass bevor der User irgendetwas auf der Website macht, erst einmal bestätigen muss, dass er einverstanden ist.
Das würde bedeuten, dass als Startseite eine Abfrage mit dem Hinweis auf die Datenerhebung geschaltet werden muss.
Ist diese Forderung nicht reichlich unrealistisch?
Was würden Sie konkret empfehlen?
Vielen Dank und mit den besten Grüßen,
Rainer Kormann.