Webanalysedienste ermöglichen eine Auswertung des Surfverhaltens im Internet. Landesdatenschutzbehörden befürchten eine Zunahme der Sammlung und Vermarktung detaillierter Interessen- und Persönlichkeitsprofile bis hin zum "gläsernen Nutzer". Am Beispiel von Google Analytics skizziert Michael Marc Maisch die aktuelle Diskussion zum Webtracking.
Im Januar wurde die Webseite des Landesdatenschutzbeauftragten der Hansestadt Hamburg überraschend vom Netz genommen. Die Entdeckung des IVW-Webanalysedienstes auf seinen Seiten hatte für Schlagzeilen gesorgt, da gerade diese Aufsichtsbehörde derzeit scharfe Kritik an dem Webanalysedienst von Google übt.
Webanalysedienste dienen der Auswertung von Informationen über die ungefähre geographische Herkunft eines Nutzers, sein Surfverhalten sowie die durchschnittliche Häufigkeit und Dauer seiner Besuche auf einer Webseite. Anhand dieser Daten können Seitenbetreiber Inhalte, Services und Werbemaßnahmen zielgruppenspezifisch zuschneiden und damit insbesondere unentgeltliche Dienste durch Werbeeinnahmen refinanzieren.
Technisch setzen Webanalysedienste wie Google Analytics zumeist die Einbettung eines so genannten Zählpixels – oder eines Like-Buttons wie von Facebook - in die Webseiten und ein Konto beim Webanalyse-Anbieter voraus. Sobald eine Webseite aufgerufen wird, fordert der Browser unter Angabe der IP-Adresse des Nutzers alle vorgesehenen Inhalte an. Dabei wird auch der nicht sichtbare Zählpixel wie eine Bilddatei von dem Server angefordert, auf dem er gespeichert ist. Umgekehrt erhält der Server Informationen über den Nutzer.
Um das Surfverhalten des Nutzers nachzuvollziehen, werden Cookies herangezogen, die auf dem Computer des Nutzers gespeichert werden. Google Analytics erhält damit unmittelbar bei Aufruf der Webseite Kenntnis von der IP-Adresse und den Informationen, die der Analytics-Cookie über das Surfverhalten des Nutzers erzeugt hat.
Google Analytics erhebt vollständige IP-Adressen vom Nutzer
Ob Webanalysedienste in Deutschland zulässigerweise eingesetzt werden dürfen, hängt von der Vereinbarkeit mit dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG) ab. Der Anwendungsbereich des Datenschutzrechts ist eröffnet, wenn Google Analytics personenbezogene Daten erhebt und verarbeitet. Der Personenbezug von dynamischen IP-Adressen, die dem Nutzer für die Dauer seiner Internetnutzung vom Access-Provider zugeteilt werden, ist in Rechtsprechung und Wissenschaft umstritten (zum Beispiel Oberlandesgericht Hamburg, Beschl. v. 03.11.2010, Az. 5 W 126/10).
Sofern IP-Adressen als personenbezogene Daten bewertet werden, muss der Einsatz von Google Analytics datenschutzrechtlich erlaubt sein. Grundsätzlich dürfen IP-Adressen und Merkmale zur Identifikation des Nutzers wie Cookies erhoben und verarbeitet werden, wenn dies erforderlich ist, um die Benutzung einer Webseite zu ermöglichen (§§ 12, 15 Abs. 1 TMG). Die Erstellung von Nutzerprofilen ist gemäß § 15 Abs. 3 TMG möglich.
Der Server von Google Analytics erlangt beim Aufruf einer Webseite durch den Nutzer Kenntnis von seiner IP-Adresse und den Cookies, um den Pixel bzw. den Webanalysedienst bereitzustellen. Diese Erhebung ist gem. § 15 Abs. 1 TMG gestattet, da die Daten unmittelbar erhoben und - entgegen der Ansicht der Aufsichtsbehörden - nicht im Wege einer Übermittlung an Google Analytics weitergegeben werden. Diese Frage hat entscheidende Bedeutung, da eine Übermittlung gemäß § 3 Abs. 4 Nr. 3 BDSG als Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten einer informierten Einwilligung des Nutzers gem. § 12 Abs. 1 TMG, § 4a BDSG bedürfte.
Die Speicherung der IP-Adressen und Cookies kann zur Erstellung von Nutzungsprofilen zum Zweck der Werbung, Marktforschung und Seitenoptimierung gemäß § 15 Abs. 3 TMG erfolgen. Voraussetzung ist, dass die Nutzungsprofile von Google Analytics pseudonymisiert, also etwa anhand nicht-personenbezogener Cookies ohne Referenz zu Namen und anderen Identifikationsmerkmalen des Nutzers geführt werden.
Eine Zusammenführung der Pseudonyme mit den Bestandsdaten, zum Beispiel mit dem Namen von Google-Konto-Inhabern, ist gem. § 15 Abs. 3 S. 3 TMG untersagt und gem. § 16 Abs. 2 Nr. 5 TMG mit bis zu 50.000 Euro bußgeldbewehrt. Hintergrund ist der Schutz des allgemeinen Persönlichkeitsrechts des Nutzers. Im Ergebnis dürfen Nutzungsprofile gemäß § 15 Abs. 3 S. 2 TMG erstellt werden. Dies gilt jedoch nur, wenn der Nutzer nicht widerspricht und entsprechend darüber unterrichtet wurde.
Einsatz eines Webanalysedienstes zulässig bei ordnungsgemäßer Unterrichtung des Nutzers
Den Aufsichtsbehörden zufolge wird in Datenschutzerklärungen seitens der Webseitenbetreiber häufig nicht oder nur mangelhaft auf Webtracking hingewiesen. Dieser Hinweis auch auf den Einsatz von Google Analytics muss ausführlich sein, da ansonsten nicht nur die Begehung von Ordnungswidrigkeiten (§ 16 Abs. 2 Nr. 2 TMG) und wettbewerbsrechtliche Abmahnungen drohen.
Vielmehr ist der Betreiber durch den Nutzungsvertrag mit Google und dem Nutzer gegenüber gemäß § 13 Abs. 1 TMG dazu auch verpflichtet. Er muss den Nutzer zu Beginn des Nutzungsvorgangs unter anderem über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten. Gegenüber Google kann der Nutzer auch widersprechen, dass seine IP-Adresse zur Erstellung von Nutzungsprofilen verwendet wird. Ob und in welcher Form die Einräumung dieser Widerspruchsmöglichkeit von Google noch verbessert werden muss, ist derzeit umstritten.
Seit vergangenem Jahr kann Google Analytics mit einem Skriptschnipsel modifiziert werden, sodass Analytics für die Erstellung von Nutzungsprofilen nur noch verkürzte IP-Adressen verwendet. Der Webseitenbetreiber sollte von dieser Option Gebrauch machen und darauf hinweisen. Ferner sollte er in der Datenschutzerklärung auf technische Schutzmöglichkeiten gegen Webanalysedienste hinweisen, etwa den Google Browser-Add-on , andere Browsererweiterungen (zum Beispiel Firefox- "Do not track") oder die Unterbindung von Cookie-Sammlungen im Browser.
Trotz anderslautender Ansichten und divergierender Rechtsprechung stehen Google Analytics nach Ansicht des Autors keine durchgreifenden Bedenken entgegen, sofern der Nutzer ordnungsgemäß unterrichtet wird.
Michael Marc Maisch ist wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau und am Deutsche Telekom Institute for Connected Cities (TICC) der Zeppelin University, Friedrichshafen und Verfasser zahlreicher Publikationen zum Datenschutz- und Internetrecht.
Mehr auf LTO.de
Digitales Dilemma: Das Recht des Schwächeren im Internet
Google Street View: Im Kreuzfeuer der Datenschützer
Geänderte Markenrichtlinie: Google erleichtert Werbung mit fremden Namen
Marc Maisch, Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern . In: Legal Tribune Online, 11.02.2011 , https://www.lto.de/persistent/a_id/2520/ (abgerufen am: 18.04.2024 )
Infos zum Zitiervorschlag
