Google Analytics und der Datenschutz – Interview mit einer Rechtsanwältin

In letzter Zeit wurde heiß über Google Analytics und die Datenschutzproblematiken diskutiert. Viele Webmaster stellten sich sicherlich die Frage, ob Sie den Google Analytics Code ausbauen sollen oder nicht.

Muss mit einer Abmahnung bei eingebautem Google Analytics Code gerechnet werden? Wo liegt eigentlich die Problematik? Sind IPs personenbezogene Daten? Reicht es aus die Verwendung von Google Analytics mit in den Datenschutzbestimmungen aufzunehmen? Wo liegt der Unterschied zwischen den Logs eines Webservers und der Protokollierung durch Google Analytics? All diese Fragen hat mir freundlicherweise die Rechtsanwältin Carola Sieling in Form eines Interviews beantwortet.

Vorstellung der Kanzlei

Die Rechtsanwaltskanzlei Sieling (www.kanzlei-sieling.de) ist eine kleine, dafür aber hoch spezialisierte Kanzlei mit dem Schwerpunkt IT-Recht. Nach der Kanzleigründung im Jahre 2006 in Paderborn ist unsere Kanzlei nunmehr auch mit einem Standort in Hamburg seit Mitte 2008 vertreten. Die Kanzleigründerin, Carola Sieling, ist Rechtsanwältin und Fachanwältin für IT-Recht und seit Ende 2008 als Lehrbeauftragte für das Fach IT-Recht an der FH Flensburg tätig.

Worin liegt die Problematik in Bezug auf datenschutzrechtliche Vorschriften bei Google Analytics?

Google erhebt laut ihrer Bedingungen die IP- Adresse der Nutzer und speichert sie auf Servern in den USA. Der Webseiteninhaber erhält allerdings nicht die von dem Statistik Tool Google Analytics erhobenen IP- Adressen. Laut der Vorschriften des Telemediengesetzes ist die Erstellung von Nutzerprofilen nur zulässig, wenn der Nutzer vor der Erstellung zugestimmt hat und vor Beginn des Nutzungsvorgangs auf sein Widerspruchsrecht hingewiesen wurde. Diese Vorschrift wird von den Webseitenbetreibern so gut wie nicht eingehalten. Der Nutzer wird – auch nicht bei der Verwendung des Datenschutzhinweises, der sich aus den Nutzungsbedingungen von Google Analytics ergibt – auf sein Widerspruchsrecht hingewiesen. Weiterhin handelt es sich hier um den klassischen Fall der Auftragsdatenverarbeitung im Sinne von § 11 Bundesdatenschutzgesetz, welcher im Rahmen der letzten Novellierung zum 01.09.2009 weitere Verschärfungen erfahren hat. Aus datenschutzrechtlicher Sicht ist umstritten und auch problematisch, ob es sich bei der IP- Adresse um ein personenbezogenes Datum handelt.

Gibt es zu diesem Zeitpunkt bereits abgeschlossene Urteile, welche bestätigen, dass der Einsatz von Google Analytics ohne vorherige Genehmigung durch den Nutzer illegal ist oder reicht es momentan noch aus, in den Datenschutzbestimmungen auf die Verwendung von Google Analytics und deren Datenbehandlung hinzuweisen?

Unter Datenschützern ist der Dienst aus den vorgenannten Gründen und der unterschiedlichen Beurteilung des Datenschutzes aus europäischer und amerikanischer Sicht problematisiert worden. Grundsätzlich ist es so, dass der Datenschutz von den Webseitenbetreibern eingehalten werden muss, Abmahnungen diesbezüglich sind mir jedoch nicht bekannt. Das die Datenschutzbestimmungen unwirksam sein können und rechtliche Folgen nach sich ziehen können, haben Verfahren bereits gezeigt, in denen Datenschutzbestimmungen einzelner Webseitenbetreiber bereits als unwirksam bzw. unlauter beurteilt worden sind. Explizit auf den Fall Google Analytics ist mir jedoch kein Fall bekannt.

Aktuelle Webserver, wie beispielsweise der Apache-Webserver, speichern standardmäßig in Logfiles unter anderem auch die IP- Adresse des Besuchers. Wäre dies ebenfalls bedenklich, wenn der Webserver vielleicht sogar zudem noch im Ausland steht?

Das kommt insbesondere darauf an, ob die IP- Adresse als personenbezogenes Datum qualifiziert wird. Dies ist wie gesagt umstritten. Das Amtsgericht München hat im Jahre 2008 entschieden, dass dynamische IP- Adressen für den Betreiber mangels Bestimmbarkeit der hinter dieser IP- Adresse stehenden Personen grundsätzlich keine personenbezogene Daten darstellen. Das Amtsgericht Berlin Mitte hatte zuvor jedoch die Ansicht vertreten, dass die IP Adresse aufgrund der bloßen Bestimmbarkeit des Anschlussinhabers wegen der theoretischen Möglichkeit also der Zusammenführung von geloggten Verbindungsdaten mit Adressdaten des Anschlussinhabers ein personenbezogenes Datum sei. Bei der Übermittlung von Daten wird insbesondere zwischen sogenannten Drittstaaten und anderen Staaten unterschieden. Bei Drittstaaten handelt es sich um solche, die nach der hiesigen Auffassung nicht den europäischen Datenschutzstandards angepasst haben und stellen aus datenschutzrechtlicher Sicht ein größeres Risiko dar.

Realistische & rentable Online-Marketing Konzepte »Über 9 Jahre Online-Marketing & E-Commerce Erfahrung. Offizieller Google Partner, staatlich geprüfter Fachinformatiker. Faire, transparente und individuelle Arbeitsweise. Erfahrungen aus mehreren Millionen Euro gesteuertem Marketingbudget (SEO, SEA/PLA/RM/GDN, CRO & SMM) u.a. für international agierende Marken. Ehemalige Online-Marketing Projekt-/Teamleitung & Entwickler der ELEXPRESS.de Online-Marketing Tools.

ELEXPRESS.de Tipp: Kostenlose Online Marketing Tools wie z.B. ein Google Adwords Keyword Generator, ein SEO Webseiten Quick-Test inkl. Besucher Prognose, Social Signals Check oder auch Mod_Rewrite Generator z.B. für 301 Redirects und Keyword Density & Text Analyse Werkzeug.

11 Kommentare
  1. Thomas, paderSolutions.de

    8. Februar 2010

    Als Betreiber einer Internetseite steht man so oder so mit einem Bein im Knast. Egal ob mit oder ohne Google Analytics.
    Derzeit stelle ich mir allerdings auch die Frage, ob wir Google Analytics weiter einsetzen sollen. Unser Webserver bietet mit AWStats brauchbare Statistiken, die uns alles zeigen was wir brauchen – auch wenn Google sie schöner animiert. Zudem beschleicht mich bei Analytics das Gefühl, dass Besucher teilweise gar nicht, bzw. falsch gezählt werden.

  2. Dominik

    9. Februar 2010

    Also ich kann nur schlecht auf Analytics verzichten. Ich nutze aber gerade bei meinen Affiliate Projekten schon erweiterte Conversionoptimierungsfunktionen.

    In wie fern meinst du denn das „Besucher falsch“ zählen bzw. wie ist dir das aufgefallen? Generell ist es ja nie möglich genau die Besucher zu zählen. Hinter einer IP eines Unternehmens können z.B. auch hunderte Mitarbeiter stehen…

  3. Finde das schon lustig, dass hier ein kritischer Artikel zu Google Analytics veröffentlicht wird und gleichzeitig hier eingesetzt wird (zeigt mir mein Firefox-Addon GA?).

    Google Analytics hat gegenüber chCounter nicht nur den Nachteil, dass es ein externer Dienst ist, den ich nicht auf dem eigenen Webspace/Server installieren kann, sondern setzt zum Zählen der Besucher JavaScript ein, so dass alle Besucher ohne bzw. mit deaktivierten JavaScript nicht erkannt werden. chCounter kann dagegen auch als reines PHP-Skript verwendet werden.

  4. Dominik

    14. Februar 2010

    @ Dieter
    Ich will mit diesem Artikel etwas Klarheit in die aktuellen Diskussionen bringen. Wie du lesen kannst, gibt es bislang noch keine abgeschlossenen Urteile und bis dahin setze ich auch Google Analytics ein, da ich anhand der Daten sehr viele Optimierungspotentiale erkenne und verbessern kann.

    Leider habe ich beim chCounter keine Demostatistikseite gesehen. Für den Webmaster der einfach nur die Besucherzahlen sehen möchte mag es zwar reichen. Um genaue Optimierungspotentiale zu erkennen benötigt man aber sehr viele mehr Auswertungen, wie man Sie in Google Analytics vorfindet.

    Bei der JavaScript Problematik kann ich dir zustimmen und sicherlich werden auch einige die Google Analytics JS Dateien direkt blockieren. Doch letztendlich zählt der Durchschnittswert und der wird sich durch die wenigen % (vl. < 1%) nicht getrackter User wohl kaum großartig ändern.

  5. @Dominik
    Hier mal der Link zur Demo:
    Nur die Ansicht der einzelnen Besucher ist da mit einem Passwort geschützt. Im Zweifel hilft ja auch eine Testinstallation.

    Im Übrigen ist die Tendenz absehbar, dass Google Analytics in seiner derzeitigen Ausgestaltung nicht dem deutschen Datenschutzrecht gerecht wird. Ich bewege mich da lieber auf der sicheren Seite und verzichte dann darauf, zumal ich schon allein zur Minimierung der Ladezeit meiner Webseiten möglichst auf externe Dienste verzichte.

    Da ich nicht generell JavaScript deaktivieren will, werde ich mal schauen, ob ich eine Möglichkeit finde nur Google Analytics zu blockieren. Google muss nicht alles wissen. 😉

  6. @Dominik
    Noch ein kleiner Nachtrag:
    Deine Mailbenachrichtigung für Kommentare funktioniert ohne “Double Opt-in”-Verfahren. Deswegen gab es schon eine Abmahnung (siehe http://upload-magazin.de/blog/1220-wordpress-plugin-subscribe-to-comments-als-abmahnproblem/ ).

    Ich verwende Gurken Subscribe to Comments, bei dem dieses Problem nicht besteht.

  7. Dominik

    16. Februar 2010

    @Dieter Danke für den Hinweis. Ist schon bekannt und steht auf der Todo. Der Kommentarloop muss auch noch aktualisiert werden. Ich hab teilweise Artikel mit über 140 Kommentaren – das kommt nicht gut ;).

    „Ich verwende Gurken Subscribe to Comments“
    Muss eine E-Mail Adresse hier einmal bestätigt werden und dann ist gut oder wiederholt sich das nach jedem Kommentar?

    Danke

  8. @Dominik
    Mit der Mailadresse, die einmal bestätigt wurde, bedarf es dann keiner weiteren Bestätigungsmails mehr.

    Egal ob für denselben Beitrag oder nicht (Einzelheiten siehe http://www.infogurke.de/2008/10/subscribe-to-comments-und-die-einzige-wirkliche-alternative/ ). Ich bin mit Gurken Subscribe to Comments sehr zufrieden. Gleichwohl muss man beim Testen mehrerer Forks von Subscribe to Comments aufpassen (siehe auch http://www.webseiten-infos.de/mail-abos-fuer-kommentare-sind-weg/ ).

  9. die Problematik keimt echt immer wieder auf! Die Datenschützer sollte sich erstmal Big Brother vornehmen, bevor Sie Big G an den Kragen gehen ..

  10. Dominik

    24. Februar 2010

    @Dieter
    Danke für die Links. Ich habe nun „Gurken Subscribe to Comments“ installiert.

  11. @Dominik
    Gerne geschehen. Freut mich, dass die Installation geklappt hat.

Die Kommentare sind geschlossen.