Das Problem: Datenschützer prüfen die Rechtmäßigkeit von Google Analytics.

Geschrieben von am 11. Juli 2008 | Abgelegt unter Datenschutz, Google

Das Problem:
Datenschützer prüfen die Rechtmäßigkeit von Google Analytics. Hierbei ist Google Analytics derzeit exemplarisch für weitere Trackinganbieter zu sehen.
Die Frage ist, ob durch das Tracking von Bewegungsdaten personenbezogene Daten anfallen.
Bei den meisten Trackingtools werden keinerlei personenbezogene Daten erfasst. Auch die IP wird nicht gespeichert. Ein Personenbezug findet an keiner Stelle statt auch Eingaben aus Formularen (bspw. Bestellungen, Kontaktformular, etc.) werden in der Regel nicht erfasst.

Trackingtools die personenbezogene Daten erfassen sind natürlich aus Datenschutzsicht genauestens zu prüfen und in der Regel nicht verwendbar.

Für die Nutzung eines solchen Trackingtools ist die Einbindung eines Scriptes in die eigene Webseite notwendig. Bei Aufruf der Webseite wird nun auch eine Verbindung zum Anbieter des Trackingtools aufgebaut und diesem –notwendigerweise- auch die IP des Seitenbesuchers übermittelt.
Unabhängig davon ob die IP nun innerhalb des Trackingtools gespeichert wird kann diese IP in den (Server)Logdateien des Trackingtoolanbieters gespeichert werden.

Diese eventuell mögliche Speicherung der IP wird vielfach als Datenschutzverstoß gesehen und als Hauptargument aufgeführt warum ein solches Trackingtool gegen den Datenschutz verstoße.
Das Problem wäre dann also die Übertragung der IP bzw. das Anstoßen eines Verbindungsaufbaus zu einem anderen Server als nur zum Server der besuchten Webseite.
Diese Ausführung findet sich auch in verschiedenen Aussagen wieder.

Die Aussagen des ULD:
„Durch den Einsatz von Google Analytics wird für die Medienanbieter kostenlos eine Statistik über die Mediennutzung erstellt. Zugleich wird mit dem Einsatz dieses Werkzeuges eine Übermittlung der Nutzerdaten einschließlich der IP-Adresse, der Cookie- und weiterer Rechnerdaten an Google in den USA vorgenommen, was dem Unternehmen ermöglicht, diese Angaben mit Nutzungsdaten zu kombinieren, die über andere Google-Dienste erfasst werden. Bei diesen Daten handelt es sich oft bzw. in der Regel um personenbezogene Daten. Google kann offensichtlich eine Identifizierung zumindest einzelner Nutzenden vornehmen, z.B. wenn diese auch Sign-In-Services von Google mit Cookies nutzen.“
Quelle: http://www.datenschutzzentrum.de/tracking/20080702-anschreiben-google-analytics.pdf

Oder die allgemeineren Aussagen einzelner Aufsichtsbehörden:
Meine Frage:
„Durch die Einbindung eines beliebigen Fremdcodes eines Dritten in die eigene Internetseite wird die IP diesem immer bekanntgegeben.
Ob und wie dieser die IP nun weiter verarbeiten wird ist nicht mehr von dem eigentlichen Seitenbetreiber steuerbar.
Halten Sie die grundsätzliche Einbindung eines Fremdcodes für problematisch oder “nur” die Speicherung der IP Adresse durch einen Dritten?“

Die Antwort der Aufsichtsbehörde:
„Grundsätzlich halten wir Datenschützer den Einsatz jeglicher Fremdcodes auf Rechner Dritter für problematisch.“

Daraus ergibt sich genau die Aussage welche von vielen scheinbar einfach unbedacht übernommen wird:
„Die IP Adresse ist generell ein personenbezogenes Datum“

Diese Aussage ist meines Erachtens so pauschal nicht haltbar. Die Tendenz einiger Gerichte scheint zwar in diese Richtung zu gehen, ein höchstrichterliches Urteil steht derzeit aber noch aus.
Vielfach werden in dieser Diskussion Gerichtsurteile als Quelle angegeben welche sich auf die IP des Accessproviders beziehen. Der Accessprovider speichert die IP in Verbindung mit den Anschlussdaten und kann daher natürlich direkt einen Personenbezug herstellen. Dies kann der Webseitenbetreiber nicht. Dieser muss dazu weitere Daten direkt beim Nutzer erheben. Beispielsweise durch ein Kontaktformular oder eine Bestellung. Werden an dieser Stelle personenbezogene Daten erhoben so muss der Betroffene über die Datenerhebung aufgeklärt werden. Das gilt unabhängig davon ob die IP erfasst wird oder nicht.

Was wäre wenn die IP generell als personenbezogenes Datum gilt?
Für das Tracking der Seitenbesucher würde dies bedeuten ein Tool zu nutzen welches auf dem eigenen Server installiert wird, keine IP überträgt und speichert.
Für den Seitenbetreiber bleibt es, bis auf den zusätzlichen Pflegeaufwand, was die Auswertungen angeht wie bisher.

Was bedeutet es aber generell für die Webseitenbetreiber?
Ist die IP generell ein personenbezogenes Datum so darf diese ohne Zustimmung weder erhoben, gespeichert oder übertragen werden.
Wenn als „Übertragung“ schon das Einbinden eines Codes von einem weiteren Server gilt (so die Ausführungen in den Diskussionen um Google Analytics) so betrifft das alle Services welche einen zentralen Code zur Einbindung zur Verfügung stellen.
Beispielsweise Seiten mit Flash, Videos, Nachrichtenticker, Routenplaner, Bannersysteme, Bezahlsysteme, Adsenseprogramme, Adwords- und Affilateprogramme, etc.
Das dies vielen noch nicht klar ist stellt man spätestens beim Besuch der Webseiten fest welche von einigen Diskutierenden betrieben werden, welche sehr stark gegen Trackingtools, insbesondere Google Analytics, schreiben aber eben genau solche Scripte eingebunden haben.

Mein Fazit:
Die teilweise drastisch falsche Darstellung was über Google (Analytics) möglich ist sowie die teilweise unreflektierte Übernahme von Meinungen und Argumenten sorgt für eine Stimmung welche eine sehr kontraproduktive Entwicklung verursacht.
Dies sowohl für den Datenschutz als auch für die allgemeine Internetbranche in Deutschland.
Es gibt Entwicklungen, gerade im Bereich Onlinemarketing, die eben nicht mit „alten“ Maßstäben zu messen sind. Natürlich ist es wichtig auf diese Entwicklung ein sehr wachsames (Datenschutz)auge zu haben. Ebenso wichtig ist es aber hier steuernd und sachlich einzugreifen und die User aufzuklären.
Sinnvoll ist es also dafür zu sorgen eine datenschutzgerechte Lösung zu finden und nicht pauschal zu versuchen die Lösungen zu verhindern.

Weitere Links zum Thema:
Schreiben und Pressemeldungen des ULD
Meldung zum Datenschutz bei Google Analytics von Google

Update:
http://www.werning.com/blog/2009/07/relative-oder-absolute-bestimmbarkeit-datenschutz-ip-adressen-google-analytics

Trackback URI | Kommentare als RSS

Einen Kommentar schreiben

Besuch mit Google Analytics aufzeichnen.