Das Problem: Datenschützer prüfen die Rechtmäßigkeit von Google Analytics.
Geschrieben von thomas werning am 11. Juli 2008 | Abgelegt unter Datenschutz, Google
Das Problem:
Datenschützer prüfen die Rechtmäßigkeit von Google Analytics. Hierbei ist Google Analytics derzeit exemplarisch für weitere Trackinganbieter zu sehen.
Die Frage ist, ob durch das Tracking von Bewegungsdaten personenbezogene Daten anfallen.
Bei den meisten Trackingtools werden keinerlei personenbezogene Daten erfasst. Auch die IP wird nicht gespeichert. Ein Personenbezug findet an keiner Stelle statt auch Eingaben aus Formularen (bspw. Bestellungen, Kontaktformular, etc.) werden in der Regel nicht erfasst.
Trackingtools die personenbezogene Daten erfassen sind natürlich aus Datenschutzsicht genauestens zu prüfen und in der Regel nicht verwendbar.
Für die Nutzung eines solchen Trackingtools ist die Einbindung eines Scriptes in die eigene Webseite notwendig. Bei Aufruf der Webseite wird nun auch eine Verbindung zum Anbieter des Trackingtools aufgebaut und diesem –notwendigerweise- auch die IP des Seitenbesuchers übermittelt.
Unabhängig davon ob die IP nun innerhalb des Trackingtools gespeichert wird kann diese IP in den (Server)Logdateien des Trackingtoolanbieters gespeichert werden.
Diese eventuell mögliche Speicherung der IP wird vielfach als Datenschutzverstoß gesehen und als Hauptargument aufgeführt warum ein solches Trackingtool gegen den Datenschutz verstoße.
Das Problem wäre dann also die Übertragung der IP bzw. das Anstoßen eines Verbindungsaufbaus zu einem anderen Server als nur zum Server der besuchten Webseite.
Diese Ausführung findet sich auch in verschiedenen Aussagen wieder.
Die Aussagen des ULD:
„Durch den Einsatz von Google Analytics wird für die Medienanbieter kostenlos eine Statistik über die Mediennutzung erstellt. Zugleich wird mit dem Einsatz dieses Werkzeuges eine Übermittlung der Nutzerdaten einschließlich der IP-Adresse, der Cookie- und weiterer Rechnerdaten an Google in den USA vorgenommen, was dem Unternehmen ermöglicht, diese Angaben mit Nutzungsdaten zu kombinieren, die über andere Google-Dienste erfasst werden. Bei diesen Daten handelt es sich oft bzw. in der Regel um personenbezogene Daten. Google kann offensichtlich eine Identifizierung zumindest einzelner Nutzenden vornehmen, z.B. wenn diese auch Sign-In-Services von Google mit Cookies nutzen.“
Quelle: http://www.datenschutzzentrum.de/tracking/20080702-anschreiben-google-analytics.pdf
Oder die allgemeineren Aussagen einzelner Aufsichtsbehörden:
Meine Frage:
„Durch die Einbindung eines beliebigen Fremdcodes eines Dritten in die eigene Internetseite wird die IP diesem immer bekanntgegeben.
Ob und wie dieser die IP nun weiter verarbeiten wird ist nicht mehr von dem eigentlichen Seitenbetreiber steuerbar.
Halten Sie die grundsätzliche Einbindung eines Fremdcodes für problematisch oder “nur” die Speicherung der IP Adresse durch einen Dritten?“
Die Antwort der Aufsichtsbehörde:
„Grundsätzlich halten wir Datenschützer den Einsatz jeglicher Fremdcodes auf Rechner Dritter für problematisch.“
Daraus ergibt sich genau die Aussage welche von vielen scheinbar einfach unbedacht übernommen wird:
„Die IP Adresse ist generell ein personenbezogenes Datum“
Diese Aussage ist meines Erachtens so pauschal nicht haltbar. Die Tendenz einiger Gerichte scheint zwar in diese Richtung zu gehen, ein höchstrichterliches Urteil steht derzeit aber noch aus.
Vielfach werden in dieser Diskussion Gerichtsurteile als Quelle angegeben welche sich auf die IP des Accessproviders beziehen. Der Accessprovider speichert die IP in Verbindung mit den Anschlussdaten und kann daher natürlich direkt einen Personenbezug herstellen. Dies kann der Webseitenbetreiber nicht. Dieser muss dazu weitere Daten direkt beim Nutzer erheben. Beispielsweise durch ein Kontaktformular oder eine Bestellung. Werden an dieser Stelle personenbezogene Daten erhoben so muss der Betroffene über die Datenerhebung aufgeklärt werden. Das gilt unabhängig davon ob die IP erfasst wird oder nicht.
Was wäre wenn die IP generell als personenbezogenes Datum gilt?
Für das Tracking der Seitenbesucher würde dies bedeuten ein Tool zu nutzen welches auf dem eigenen Server installiert wird, keine IP überträgt und speichert.
Für den Seitenbetreiber bleibt es, bis auf den zusätzlichen Pflegeaufwand, was die Auswertungen angeht wie bisher.
Was bedeutet es aber generell für die Webseitenbetreiber?
Ist die IP generell ein personenbezogenes Datum so darf diese ohne Zustimmung weder erhoben, gespeichert oder übertragen werden.
Wenn als „Übertragung“ schon das Einbinden eines Codes von einem weiteren Server gilt (so die Ausführungen in den Diskussionen um Google Analytics) so betrifft das alle Services welche einen zentralen Code zur Einbindung zur Verfügung stellen.
Beispielsweise Seiten mit Flash, Videos, Nachrichtenticker, Routenplaner, Bannersysteme, Bezahlsysteme, Adsenseprogramme, Adwords- und Affilateprogramme, etc.
Das dies vielen noch nicht klar ist stellt man spätestens beim Besuch der Webseiten fest welche von einigen Diskutierenden betrieben werden, welche sehr stark gegen Trackingtools, insbesondere Google Analytics, schreiben aber eben genau solche Scripte eingebunden haben.
Mein Fazit:
Die teilweise drastisch falsche Darstellung was über Google (Analytics) möglich ist sowie die teilweise unreflektierte Übernahme von Meinungen und Argumenten sorgt für eine Stimmung welche eine sehr kontraproduktive Entwicklung verursacht.
Dies sowohl für den Datenschutz als auch für die allgemeine Internetbranche in Deutschland.
Es gibt Entwicklungen, gerade im Bereich Onlinemarketing, die eben nicht mit „alten“ Maßstäben zu messen sind. Natürlich ist es wichtig auf diese Entwicklung ein sehr wachsames (Datenschutz)auge zu haben. Ebenso wichtig ist es aber hier steuernd und sachlich einzugreifen und die User aufzuklären.
Sinnvoll ist es also dafür zu sorgen eine datenschutzgerechte Lösung zu finden und nicht pauschal zu versuchen die Lösungen zu verhindern.
Weitere Links zum Thema:
Schreiben und Pressemeldungen des ULD
Meldung zum Datenschutz bei Google Analytics von Google
11 Kommentare »
am 24. Juli 2008 um 1:42 pm 1.DS schrieb …
Hallo,
aus meiner Sicht richtig, allerdings habe ich die Erfahrung gemacht, dass wie erwähnt, die meisten Datenschützer sich das Recht der Bevormundung der angeblich “dummen Menschen” auf die Fahne geschrieben haben, allerdings ohne ein Mandat dafür zu haben.
am 24. Juli 2008 um 1:43 pm 2.Wolfgang schrieb …
Ich fürchte, dass es sich der gute Mann etwas zu einfach macht. So lange der einzelne für sich entscheidet, so lange mag das alles ja noch angehen. Aber was bitte passiert, wenn die Kinder die Krankendaten des Vaters bei Google-Health eingeben und öffentlich freischalten?
am 24. Juli 2008 um 1:43 pm 3.thomas schrieb …
naja, das gleiche wie wenn die Kinder die Krankenakten als Zeitungsanzeige veröffentlichen.
Das ist Mißbrauch und die Frage wäre wie die Kinder an die Krankenakten des Vaters kommen.
am 13. August 2008 um 8:26 am 4.Blog » Warum Google nicht einfach glauben? schrieb …
[...] Das Problem: Datenschützer prüfen die Rechtmäßigkeit von Google Analytics. [...]
am 2. Oktober 2008 um 7:43 pm 5.Blog » und wieder die IP und Google Analytics schrieb …
[...] das sich der Bundesverband Digitale Wirtschaft (BVDW) um Aufklärung hinsichtlich der von mir schon erwähnten Google Analytics Problematik bemüht. Der Artikel: [...]
am 13. November 2008 um 10:40 am 6.Werning.com/Blog » Google Analytics und der Datenschutz schrieb …
[...] das Thema ist nun auch in der Schweiz angekommen. [...]
am 11. Januar 2009 um 12:44 pm 7.Datenschutz-Artikel hier zu Google-Analytics | Datenschutz-Blog schrieb …
[...] Eine andere Sichtweise des Themas findet man bei Thomas Werning im Blog (ebenfalls Datenschutzbeauftragter) – zu lesen hier. [...]
am 1. Februar 2009 um 1:20 pm 8.Werning.com/Blog » Update: Google Analytics und der Datenschutz schrieb …
[...] die Diskussion um die Rechtmäßigkeit von Google Analytics gibt es nun eine Stellungnahme des ULD: [...]
am 15. April 2009 um 3:20 pm 9.Marc schrieb …
Ich habe hier noch Aspekte, die ich zu bedenken gebe:
- Google speichert die Daten in den USA. Das ist ein sogenanntes Drittland, welches nach Ansicht der EU-Kommission kein vergleichbares Datenschutzniveau wie Europa hat. Beispiele dafür gibt es ja auch genug (vgl. Swift-Affaire). Daher sind generell Datenverarbeitungen in den USA nur mit sehr hohen Auflagen möglich.
- Google wurde mehrfach aufgefordert, Stellung zu nehmen, was mit den (in Deutschland erhobenen) IP-Adressen geschieht. Dies wurde stets verweigert, so dass man davon ausgehen muß, dass die Verarbeitung dort nicht europäischen Standards entspricht. Deshalb ist der Einsatz von Google Analytics in Europa unzulässig.
- Die Art. 29 Datenschutzgruppe der EU sieht in IP-Adressen ein personenbezogenes Datum. Darüber kann man streiten, aber es gibt gute Gründe, die dafür sprechen, spätestens seit der Einführung der Vorratsdatenspeicherung.
)http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_de.pdf)
- Das Argument, dass die Datenschützer das Internet “kaputtmachen”, kann eigentlich nur von Pessimisten kommen, die keine Ahnung von Datenschutzrecht haben. Es gibt doch 2 einfache Wege: meist wird die IP-Adresse überhaupt nicht benötigt. Dann brauch ich sie doch auch nicht speichern. Und wenn ich unbedingt (z.B. für Werbung) eine eindeutige Nummer brauche, dann verändere ich die IP-Adresse vor der Verarbeitung so, dass es irgendeine Nummer, aber keine IP-Adresse ist. Das es möglich ist, beweisen zum Beispiel der Google-Analytics-Wettbewerber etracker und die Suchmaschine Ixquick.
am 2. Juni 2009 um 8:46 am 10.Werning.com/Blog » Ist Google (Analytics) böser als andere? schrieb …
[...] Dazu auch hier: http://www.werning.com/blog/2008/07/das-problem-datenschutzer-prufen-die-rechtmasigkeit-von-google-a... [...]
am 26. Juli 2009 um 1:28 pm 11.thomas werning schrieb …
@9.Marc
Leider hatte ich den Kommentar erst jetzt im SPAM-Filter gefunden.
Ich möchte aber trotzdem noch antworten:
9.Marc schrieb …
- Google speichert die Daten in den USA. Das ist ein sogenanntes Drittland, welches nach Ansicht der EU-Kommission kein vergleichbares Datenschutzniveau wie Europa hat. Beispiele dafür gibt es ja auch genug (vgl. Swift-Affaire). Daher sind generell Datenverarbeitungen in den USA nur mit sehr hohen Auflagen möglich.
Ja, zum Beispiel in dem das Unternehmen dem Safe-Harbour Abkommen beitritt (Google hat dies getan). Dann ist ein vergleichbares Datenschutzniveau gegeben und die Datenverarbeitung zulässig. Wobei dazu natürlich erstmal personenbezogene Daten anfallen müssen.
- Google wurde mehrfach aufgefordert, Stellung zu nehmen, was mit den (in Deutschland erhobenen) IP-Adressen geschieht. Dies wurde stets verweigert, so dass man davon ausgehen muß, dass die Verarbeitung dort nicht europäischen Standards entspricht. Deshalb ist der Einsatz von Google Analytics in Europa unzulässig.
Steht doch in den Bedingungen: Google wird die IP niemals mit anderen Diensten in Verbindung bringen.
- Die Art. 29 Datenschutzgruppe der EU sieht in IP-Adressen ein personenbezogenes Datum. Darüber kann man streiten,
Das ist der Punkt.
- Das Argument, dass die Datenschützer das Internet “kaputtmachen”, kann eigentlich nur von Pessimisten kommen, die keine Ahnung von Datenschutzrecht haben.
Oder eben Ahnung vom Datenschutzrecht UND der Tecjmik haben !
Es gibt doch 2 einfache Wege: meist wird die IP-Adresse überhaupt nicht benötigt. Dann brauch ich sie doch auch nicht speichern.
genau, Google Analytics speichert diese auch nicht. Allerdings muss die IP schon übertragen werden. Sonst funktioniert das Internet rein technisch nicht!
Und wenn ich unbedingt (z.B. für Werbung) eine eindeutige Nummer brauche, dann verändere ich die IP-Adresse vor der Verarbeitung so, dass es irgendeine Nummer, aber keine IP-Adresse ist. Das es möglich ist, beweisen zum Beispiel der Google-Analytics-Wettbewerber etracker und die Suchmaschine Ixquick.
Ähm, … Alles schon ausprobiert?
Ich nutze Google Analytics und auch etracker und weiß daher wovon ich schreibe. Das was Du schreibst stimmt so nicht!
Grüße
Thomas Werning