Trackingtools die personenbezogene Daten erfassen sind natürlich aus Datenschutzsicht genauestens zu prüfen und in der Regel nicht verwendbar.

Für die Nutzung eines solchen Trackingtools ist die Einbindung eines Scriptes in die eigene Webseite notwendig. Bei Aufruf der Webseite wird nun auch eine Verbindung zum Anbieter des Trackingtools aufgebaut und diesem –notwendigerweise- auch die IP des Seitenbesuchers übermittelt.
Unabhängig davon ob die IP nun innerhalb des Trackingtools gespeichert wird kann diese IP in den (Server)Logdateien des Trackingtoolanbieters gespeichert werden.

Diese eventuell mögliche Speicherung der IP wird vielfach als Datenschutzverstoß gesehen und als Hauptargument aufgeführt warum ein solches Trackingtool gegen den Datenschutz verstoße.
Das Problem wäre dann also die Übertragung der IP bzw. das Anstoßen eines Verbindungsaufbaus zu einem anderen Server als nur zum Server der besuchten Webseite.
Diese Ausführung findet sich auch in verschiedenen Aussagen wieder.

Die Aussagen des ULD:
„Durch den Einsatz von Google Analytics wird für die Medienanbieter kostenlos eine Statistik über die Mediennutzung erstellt. Zugleich wird mit dem Einsatz dieses Werkzeuges eine Übermittlung der Nutzerdaten einschließlich der IP-Adresse, der Cookie- und weiterer Rechnerdaten an Google in den USA vorgenommen, was dem Unternehmen ermöglicht, diese Angaben mit Nutzungsdaten zu kombinieren, die über andere Google-Dienste erfasst werden. Bei diesen Daten handelt es sich oft bzw. in der Regel um personenbezogene Daten. Google kann offensichtlich eine Identifizierung zumindest einzelner Nutzenden vornehmen, z.B. wenn diese auch Sign-In-Services von Google mit Cookies nutzen.“
Quelle: http://www.datenschutzzentrum.de/tracking/20080702-anschreiben-google-analytics.pdf

Oder die allgemeineren Aussagen einzelner Aufsichtsbehörden:
Meine Frage:
„Durch die Einbindung eines beliebigen Fremdcodes eines Dritten in die eigene Internetseite wird die IP diesem immer bekanntgegeben.
Ob und wie dieser die IP nun weiter verarbeiten wird ist nicht mehr von dem eigentlichen Seitenbetreiber steuerbar.
Halten Sie die grundsätzliche Einbindung eines Fremdcodes für problematisch oder “nur” die Speicherung der IP Adresse durch einen Dritten?“
Die Antwort der Aufsichtsbehörde:
„Grundsätzlich halten wir Datenschützer den Einsatz jeglicher Fremdcodes auf Rechner Dritter für problematisch.“

Daraus ergibt sich genau die Aussage welche von vielen scheinbar einfach unbedacht übernommen wird:
„Die IP Adresse ist generell ein personenbezogenes Datum“

Diese Aussage ist meines Erachtens so pauschal nicht haltbar. Die Tendenz einiger Gerichte scheint zwar in diese Richtung zu gehen, ein höchstrichterliches Urteil steht derzeit aber noch aus.
Vielfach werden in dieser Diskussion Gerichtsurteile als Quelle angegeben welche sich auf die IP des Accessproviders beziehen. Der Accessprovider speichert die IP in Verbindung mit den Anschlussdaten und kann daher natürlich direkt einen Personenbezug herstellen. Dies kann der Webseitenbetreiber nicht. Dieser muss dazu weitere Daten direkt beim Nutzer erheben. Beispielsweise durch ein Kontaktformular oder eine Bestellung. Werden an dieser Stelle personenbezogene Daten erhoben so muss der Betroffene über die Datenerhebung aufgeklärt werden. Das gilt unabhängig davon ob die IP erfasst wird oder nicht.

Was wäre wenn die IP generell als personenbezogenes Datum gilt?
Für das Tracking der Seitenbesucher würde dies bedeuten ein Tool zu nutzen welches auf dem eigenen Server installiert wird, keine IP überträgt und speichert.
Für den Seitenbetreiber bleibt es, bis auf den zusätzlichen Pflegeaufwand, was die Auswertungen angeht wie bisher.

Was bedeutet es aber generell für die Webseitenbetreiber?
Ist die IP generell ein personenbezogenes Datum so darf diese ohne Zustimmung weder erhoben, gespeichert oder übertragen werden.
Wenn als „Übertragung“ schon das Einbinden eines Codes von einem weiteren Server gilt (so die Ausführungen in den Diskussionen um Google Analytics) so betrifft das alle Services welche einen zentralen Code zur Einbindung zur Verfügung stellen.
Beispielsweise Seiten mit Flash, Videos, Nachrichtenticker, Routenplaner, Bannersysteme, Bezahlsysteme, Adsenseprogramme, Adwords- und Affilateprogramme, etc.
Das dies vielen noch nicht klar ist stellt man spätestens beim Besuch der Webseiten fest welche von einigen Diskutierenden betrieben werden, welche sehr stark gegen Trackingtools, insbesondere Google Analytics, schreiben aber eben genau solche Scripte eingebunden haben.

Mein Fazit:
Die teilweise drastisch falsche Darstellung was über Google (Analytics) möglich ist sowie die teilweise unreflektierte Übernahme von Meinungen und Argumenten sorgt für eine Stimmung welche eine sehr kontraproduktive Entwicklung verursacht.
Dies sowohl für den Datenschutz als auch für die allgemeine Internetbranche in Deutschland.
Es gibt Entwicklungen, gerade im Bereich Onlinemarketing, die eben nicht mit „alten“ Maßstäben zu messen sind. Natürlich ist es wichtig auf diese Entwicklung ein sehr wachsames (Datenschutz)auge zu haben. Ebenso wichtig ist es aber hier steuernd und sachlich einzugreifen und die User aufzuklären.
Sinnvoll ist es also dafür zu sorgen eine datenschutzgerechte Lösung zu finden und nicht pauschal zu versuchen die Lösungen zu verhindern.

Weitere Links zum Thema:
Schreiben und Pressemeldungen des ULD
Meldung zum Datenschutz bei Google Analytics von Google

Update:
http://www.werning.com/blog/2009/07/relative-oder-absolute-bestimmbarkeit-datenschutz-ip-adressen-google-analytics

erfolgt nun auf Grundlage der Meldungen zum “Spitzel-Skandal bei der Deutschen Telekom” wieder einmal der Ruf nach stärkeren/neuen Gesetzen.

Wie wäre es wenn einfach mal die bestehenden Gesetze beachtet und Verstöße dagegen sanktioniert werden?
War das Vorgehen der Telekom (wenn es denn eines gab) legal und muss daher durch neue Gesetze zukünftig unterbunden werden oder war das Vorgehen illegal – warum dann neue Gesetze?

Das Recht auf informationelle Selbstbestimmung leitet sich aus Artikel 2 des Grundgesetzes, „(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“ ab.
Auch das Bundesdatenschutzgesetz greift in §1 „Zweck und Anwendungsbereich des Gesetzes“ diesen Ansatz auf: „(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Beides garantiert also eine freie Entfaltung ohne Beeinträchtigung.

Das Bundesdatenschutzgesetz schränkt dies im Prinzip erst mal dadurch ein, da es die Verarbeitung personenbezogener Daten an bestimmte Vorgaben knüpft. §4 (1) „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“
Hier bekommt der Betroffene nun das Recht, wie schon im Artikel 2 des GG bzw. auch in §1 BDSG, frei zu entscheiden. Der Betroffene muss sich allerdings, im Falle der freiwilligen Einwilligung, aktiv für die Erhebung, Verarbeitung und Nutzung entscheiden.

In vielen Diskussionen zum Thema Datenschutz stelle ich – gerade bei einigen Datenschützern – immer wieder fest, dass dort die Meinung herrscht, die Datenverarbeitung müsste auf jeden Fall eingeschränkt werden. Gerade bei „web2.0“ Services , Suchmaschinen, Onlinewerbung, Blogs, Communities etc., wird immer wieder der Punkt der Unbedarftheit des Betroffenen angeführt.

Ist der Datenschützer hier als „Privilegierter“ zu sehen welcher andere Personen vor sich selbst schützen muss? Ergibt sich hier nicht ein Verstoß gegen Artikel 2 GG „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit….“?
Natürlich, gerade bei vielen Communities und sogenannten „Sozialen Plattformen“ kam es in der Vergangenheit zu gravierenden Verstößen gegen den Datenschutz. Falsche oder versteckte Datenschutzerklärungen und unzureichende Absicherungsmaßnahmen (§9 BDSG) wurden zu Recht von Datenschützern bemängelt und veröffentlicht.
Hier steckt die wesentliche Aufgabe der Datenschützer. Die Datenverarbeitung zu kontrollieren, Fehler aufzuzeigen und die (potentiell) Betroffenen zu sensibilisieren. Für den betrieblichen Datenschutzbeauftragten, die nicht erfolgte Bestellung eines Datenschutzbeauftragten stellt übrigens auch für viele Unternehmen einen Verstoß dar, ist diese Aufgabe sogar gesetzlich festgeschrieben: §4g BDSG (1) „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.“ Das bedeutet auch, der Datenschutzbeauftragte soll den Datenverarbeitenden unterstützen, seiner (sich selbst gestellten) Aufgabe (Geschäftszweck) nachzukommen und sich dabei an die gesetzlichen (und eventuell selbst auferlegten) Anforderungen zu halten.

Verstößt die Datenverarbeitung also gegen die gesetzlichen Anforderungen, so ist diese verboten. Das bedeutet aber auch, wenn die Datenverarbeitung den gesetzlichen Anforderungen entspricht und der Betroffene eine gesetzeskonforme Einwilligungserklärung gibt, dass die Datenverarbeitung erlaubt ist. Der Betroffene kann sein Grundrecht auf die freie Entfaltung seiner Persönlichkeit wahrnehmen. Dies mag auf so manchen erschreckend oder gar moralisch bedenklich wirken- aber haben moralische Grundsätze hier einen Stellenwert? Wenn ja, wessen moralischen Grundsätze zählen?

Aufgabe des Datenschützers ist es also meiner Ansicht nach, für eine gesetzeskonforme Datenverarbeitung zu sorgen, die Einhaltung zu überwachen und die Betroffenen zu sensibilisieren (Aufklärung im weitesten Sinne). Die Aufgabe des Datenschützers sollte aber nicht die grundsätzliche Verhinderung der Datenverarbeitung sein.

Dieses Image ist es, welches zu einem großen Teil Vorbehalte bei Unternehmen auslöst, sich näher mit dem Datenschutz zu beschäftigen. Datenschutz muss gelebt werden, damit er funktioniert. Reine Gesetze und medial wirksame Diskussionen helfen nicht, den Datenschutz zu verbessern. Dies geht nur in einem vertrauensvollen Miteinander um gemeinsam (Datenschützer und Datenverarbeiter) eine für den Betroffenen annehmbare Lösung zu schaffen, die im Idealfall über die gesetzlichen Anforderungen hinausgeht.

Wie viele Daten der Betroffene freiwillig preisgeben möchte, muss dieser selbst entscheiden. Würde dies der Datenschützer pauschal übernehmen, wäre dies Bevormundung, würde der Datenschützer die Möglichkeit im Vorhinein ausschließen, wäre es Zensur.

Statt die (legale) Datenverarbeitung zu verhindern sollten wir Datenschützer aufklären damit die Betroffenen sensibler mit Ihren eigenen Daten umgehen und von Ihrem Grundrecht der „freien Entfaltung“ überlegt Gebrauch machen.
Diese Aufklärung sollte Gefahren aufzeigen, Lösungen und Möglichkeiten der Anonymisierung darstellen und die Betroffenen über Ihre Rechte informieren. Panikmache und Verschwörungstheorien sind sicherlich wenig förderlich. Das Argument „KÖNNTE“ sollte hierbei aus dem Wortschatz gestrichen werden. In den bisherigen Diskussionen kam das Wort „könnte“ häufig als „Totschlagargument“ für ein nicht stattfindendes, und vom Ansatz her schon illegales, Beispiel der Datennutzung. Ein solches „könnte“ Beispiel lässt ich für fast jede Datenverarbeitung erstellen um diese in Richtung eines Datenschutzverstoßes zu rücken. Viel wichtiger ist es daran zu arbeiten, dass solche „könnte“ Beispiele nicht durch den Gesetzesgeber zu einer „kann“ Variante werden welche der Datenschützer dann mit zu vertreten hat. Eine Möglichkeit ist es sicherlich an den derzeit vielfältigen Möglichkeiten der legalen (und meiner Ansicht nach völlig ausreichenden) Datenverarbeitung mitzuwirken und für eine mindestens gesetzeskonforme Umsetzung zu sorgen.

Ich freue mich auf Anregungen und Kommentare.