Google Analytics: vorerst abschalten
Achtung: Dieser Beitrag ist mittlerweile veraltet!
Aktuellere Informationen zum Thema finden Sie hier:
"Google und Datenschutz: Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden"
Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in seiner derzeitigen Form in den meisten Fällen abzuraten.
Hintergrund: Entscheidung der Datenschutz-Aufsichtsbehörden
Die Aufsicht über die Einhaltung des Datenschutzes im so genannten nicht-öffentlichen Bereich (sprich: Unternehmen) obliegt den Datenschutz-Aufsichtsbehörden der Länder. Um in bundesweit relevanten Rechtsfragen eine einheitliche Praxis der Aufsichtsbehörden sicherzustellen, haben sich diese informell zum so genannten „Düsseldorfer Kreis“ zusammengeschlossen, der in Stellungnahmen gemeinsame Standpunkte formuliert.
In einem aktuellen Beschluss vom 26.11.2009 ist Folgendes festgehalten worden:
“Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
(…)
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. (…)“
Anwendung auf Google Analytics und vergleichbare Tracking-Tools
Damit ist die Verwendung von Google Analytics und ähnlichen Tracking-Tools, die für ihre Analyse auf die vollständige IP-Adresse zurückgreifen, nach Auffassung der Datenschutz-Aufsichtsbehörden unzulässig, wenn keine vorherige Einwilligung des Betroffenen eingeholt wurde. Die von Google vorgesehene Erläuterung in der Datenschutzerklärung ist nicht ausreichend, um den Einsatz von Google Analytics zu rechtfertigen.
Einwilligung einholen in den meisten Fällen unpraktikabel
Möglich wäre, von jedem Webseitennutzer vor Speicherung seiner IP-Adresse im Wege des Opt-In Verfahrens eine Einwilligungserklärung zu verlangen – eine in den meisten Fällen wahrscheinlich höchst unpraktikable Lösung (mit wenigen Ausnahmen im Finanzbereich, wo bereits jetzt der Nutzer vor Besuch der Webseite eine Nutzungserklärung zu akzeptieren hat, bevor die Webseite angezeigt wird).
Drohen Bußgelder der Aufsichtsbehörden?
Theoretisch ja – allerdings haben die ersten Aufsichtsbehörden angekündigt, Shopbetreiber vor der Verhängung von Bußgeldern erst anzuschreiben und die Abschaltung von Google Analytics und ähnlichen Tools zu fordern. Auch stellt sich derzeit noch die Frage, wie die Datenschutzbehörden angesichts der Vielzahl betroffener Webseiten dies rein organisatorisch bewältigen können.
Abschalten – und was dann?
Wir empfehlen Ihnen angesichts der klaren Worte der Aufsichtsbehörde, Google Analytics vorerst abzuschalten, also insbesondere den Tracking-Code von Google aus Ihrer Webseite zu entfernen. Unserer Ansicht nach ist damit zu rechnen, dass Google in Kürze reagieren und eine datenschutzrechtlich zulässige Variante von Google Analytics anbieten wird. Auch ist denkbar, dass der Gesetzgeber eingreifen und legislativ die Frage behandeln wird, ob es sich bei IP-Adressen tatsächlich um personenbezogene Daten handelt.
Fazit
Der Einsatz von Google Analytics (und ähnlicher auf der vollständigen IP-Adresse aufbauenden Tracking-Tools) in der derzeitigen Form ist nach Ansicht der zuständigen Datenschutz-Aufsichtsbehörden unzulässig. Webseitenbetreibern ist daher zu raten, derartige Tools abzuschalten und den entsprechenden Tracking-Code aus der Webseite zu entfernen. Es ist unserer Ansicht nach damit zu rechnen, dass eine datenschutzrechtlich zulässige Variante von Google Analytics entwickelt werden wird. Bis dahin sollten Sie auf alternative Tracking-Tools zurückgreifen.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
16 Kommentare
Der Vorteil für Google ist es, dass sie durch die Masse der Unwissenden getrost die kleine Gruppe der Gegner ignorieren können. Leider ist die Masse sich nicht bewußt, was es bedeutet Google die Monopol-Stellung zu geben.
Ich favorisiere Webanalyse-Tools, die auch etwas leisten. Google bietet nur einen Teil davon an seine Website professionell auszuwerten. Goggle ist auch scheinbar nicht interessiert uns ein vollständiges Tool zu liefern. Wie wir auswerten scheint schon fast egal zu sein, lediglich der eingefügte Code liefert Google alles an Daten was sie benötigen.
Klar sind andere Anbieter in der Lage die Daten auch zu speichern. Aber sie können wenig damit anfangen, da Ihnen immer die Masse und somit die Quantität dieser Daten fehlt, um daraus echtes Kapital zu schlagen. Im Gegenteil kleinere Unternehmen müssen dann sogar darum bangen das Kunden abspringen. Google würde die gleiche Anzahl von Absprüngen wahrscheinlich nicht einmal bemerken.
Darum sind Sie vorsichtig mit dem Umgang von Google Produkten! Als nächstes ist der Ad Planner von Google am Start und die Hochrechnungen zeigen jetzt schon das Alle von aussen sehen können, wieviel Traffic sie auf Ihren Websites haben. Ein Test von mir: Google lag mit 80% recht nah an den wirklichen Zahlen. Nu sind wir leider nicht in der Lage den Kunden zu erklären, dass wir 20% mehr Traffik haben als Google da behauptet. Hier glaubt der Kunde Google mehr als unseren Zahlen. Frage wohin führt das noch?
In Handys sind sie auch schon und speichern und speichern und speichern ... eTracker, Omniture und CO können da nicht mithalten und konzentrieren sich aufs Produkt und aufs Wesentliche dafür!
Und wer garantiert, das Ihre favorisierte Trackingfirma nicht doch was mit den gesammelten IP-Adressen macht? Gibt genug deutsche Firmen, die es mit dem Datenschutz nicht so genau halten.
Frage 1: Da es mir als Nutzer unmöglich ist, faktisch diese (vermeintlich) gespeicherten Adressen zu nutzen, stellt sich mir die Frage ob alleine die theoretische Möglichkeit, dass Google diese speichern könnte, ohne mir dazu Zugang zu gewähren, ausreicht, um mich strafbar im Sinne der BDSG-Interpretation von Ihnen zu machen.
Frage 2: Wissen sie exakt und belegbar, dass GA IP-Adressen speichert, oder ist das led. ein bergündeter Verdacht?
Frage 3: Haben sie sich eigentlich mal durch Inaugenscheinnahme eines Web-Analytics-Tools wie Google Analytics sachkundig gemacht, bevor sie diesen Artikel geschrieben haben?
Danke,
Axel Amthor
Danke,
Axel Amthor
Wordpress bspw. speichert automatisch die IP des Nutzers mit ab?
Siehe: http://blog.zeidlos.de/ueber-den-unsinn-der-google-analytics-diskussion
Ich finde es klingt nach Panikmache den Leuten jetzt schon zu raten Analytics usw vorsorglich abzuschalten. Klar muss man aufpassen und dann reagieren wenn die zeit gekommen ist. Aber wer weiß schon wie die Sache sich letztendlich entwickelt?
Noch viel interessanter finde ich eigentlich die Frage wie es mit AdSense und sonstigen Werbungnetzwerken aussieht. Auch hier werden bestimmt Daten gespeichert die den Datenschützern misfallen dürften.
"Als Alternative bieten sich Analyse-Tools an, die auf die Speicherung von IP-Adressen entweder ganz verzichten oder diese verkürzt verwenden oder in anderer Weise unkenntlich machen. Beispielhaft sei hier etwa das Tool des Anbieters "eTracker" genannt, das IP-Adressen bei entsprechender Einstellung datenschutzkonform verkürzt verwendet, oder das Tool "Econda Monitor", bei dem die IP-Adressen nach eigenen Angaben unkenntlich gemacht werden."
...und überhaupt ist mir noch nicht klar in wie weit eine IP Adresse personenbeziehbar ist. Wer hat privat schon eine feste IP Adresse? ...und in der Firma lassen sich die IP auch nicht auf Personen beziehen, also in welchem Fall geht das überhaupt?