Home
DeutschEnglish Imprint

Can Google Analytics still be used in Germany? 

Translation in progress...

What is Google Analytics, why is data protection law involved?

Google Analytics analysiert für den Betreiber einer Website die Nutzerzugriffe und erfasst weitere für diesen interessante Daten. So lassen sich u.a. die Herkunft der Nutzer einer Webseite, die Verweildauer sowie deren Aktivitäten erfassen und auswerten. Dies ist zunächst jedenfalls grundsätzlich nicht problematisch.

Die rechtlichen Probleme beginnen allerdings dann, wenn erhobene und ausgewertete Daten mit konkreten, einen bestimmten Nutzer identifizierenden Informationen verknüpft werden. Hier eröffnet sich der Anwendungsbereich des Bundesdatenschutzgesetzes und der weiteren datenschutzrechtlichen Regelungen in Spezialgesetzen wie dem Telemediengesetz. Die Erhebung, Verwendung und Speicherung von personenbezogenen Daten ist nämlich nur innerhalb enger datenschutzrechtlicher Grenzen zulässig.

The bone of contention...

Für IP-Adressen wird mittlerweile diskutiert, ob diese personenbezogene Daten im Sinne des Datenschutzrechts (§ 3 Abs. 1 BDSG) darstellen. Bei Bejahung eines solchen Personenbezugs von IP-Adressen ergibt sich in der Folge auch ein Personenbezug der weiteren aufgezeichneten Daten über Art und Umfang der Webseiten-Nutzung.

Hier hat im letzten Jahr das Amtsgericht Berlin-Mitte (= unterste Instanz, Az. 5 C 314/06) in einem Urteil dynamische IP-Adressen als personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG eingeordnet. Ein Internetnutzer ging hier interessanterweise gegen die Bundesrepublik Deutschland als Rechtsträgerin des Bundesjustizministeriums vor. Im Kern ging es dabei um die Zulässigkeit der Speicherung von Logfiles inkl. IP-Adresse im Rahmen der Nutzung von Webservern. Besagter Nutzer verlangte nun die Unterlassung der Speicherung dieser Daten für die Zukunft sowie Löschung aller bisher gesammelten Daten. Das AG Berlin-Mitte gab dem Nutzer Recht.

Sofern man der Argumentation des Amtsgerichts Berlin-Mitte folgt, beurteilt sich die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung dann nach § 4 I BDSG. Dort heißt es: "Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat."

Somit muss jeder Betroffene, also jeder Webseiten-Besucher, in die Erhebung und Verwendung der eigenen personenbezogenen Daten vorab (!) einwilligen. Es sei denn, es gibt eine gesetzliche Regelung, die die jeweils konkrete Verwendung auch ohne Einwilligung des Webseiten-Besuchers erlaubt. In Betracht kommt hier § 15 Telemediengesetz (TMG), siehe hierzu weiter unten befindlichen Ausführungen.

Digression: Welche Verbindlichkeit hat dieses Urteil?

Zunächst entfaltet die Entscheidung nur zwischen den Parteien des Verfahrens unmittelbare Rechtswirkung. Welche Präzedenzwirkung dieses Urteil für andere Gerichte und deren Entscheidungen haben wird, bleibt abzuwarten. Leider hat der Antragsgegner in dem besagten Verfahren auch keine vollumfängliche Berufung eingelegt, so dass das Landgericht Berlin (= zweite Instanz, mehr Präzedenzwirkung) zu der Frage keine Stellung mehr genommen hat. D.h. bisher hat den Personenbezug von IP-Adressen nur das Amtsgericht Berlin-Mitte bejaht, eine Bestätigung durch eine höhere Instanz ist bisher nicht erfolgt! Das Urteil des AG Berlin-Mitte ist in der juristischen Literatur kritisiert worden und stellt im Übrigen keine ständige Rechtsprechung dar! Ob die Rechtsprechung des Amtsgericht Berlin-Mitte von anderen Gerichten fortgesetzt wird, bleibt abzuwarten.

What has it to do with Google Analytics?

Dreh- und Angelpunkt ist zunächst die Frage, ob Google Analytics überhaupt IP-Adressen der einzelnen Nutzer für die vorgenommenen Auswertungen benutzt. Nur dann stellt sich nämlich überhaupt oben skizziertes Problem.

In vielen Beiträgen zum Thema wird dies erst einmal per se unterstellt. Ein Blick in die Google Analytics Hilfedokumentation lässt daran jedoch zweifeln! Hier heißt es:

„Es gibt zwei Hauptmethoden zum Erfassen von Aktivität: Cookie-basiert und IP + User-Agent.

Links:

www.google.com/support/googleanalytics/bin/answer.py

www.google.com/support/googleanalytics/bin/answer.py

www.google.com/support/googleanalytics/bin/answer.py

Google Analytics ist demnach ein cookie-basiertes Analyse-Programm und nutzt für die Analyse anscheinend keine IP-Adressen. Zu klären bleibt natürlich, ob nicht von Google trotzdem IP-Adressen übertragen werden. Der Verfasser hat Google kontaktiert und um eine Stellungnahme gebeten.

Mittlerweile ist von Google folgende Stellungnahme verfügbar:

adwords-de.blogspot.com/2008/07/datenschutz-bei-google-analytics.html

What if an analysis tool still uses IP-addresses?

Wenn IP-Adressen übertragen werden, dann stellt sich nämlich tatsächlich das oben beschriebene Problem des Personenbezugs von IP-Adressen.

Allerdings sprechen eine ganze Reihe von Argumenten gegen einen Personenbezug von IP-Adressen und damit gegen die Argumentation des Amtsgerichts Berlin-Mitte.

  1. In erster Linie ist eine IP-Adresse ein computerbezogenes und nicht ein personenbezogenes Merkmal. Gerade im Fall von Internet-Cafés ist dies offensichtlich und ein Personenbezug nicht herzustellen. Ferner verbinden sich Internetnutzer insbesondere in Unternehmen über einen sogenannten Proxy mit dem Internet. Dadurch bleibt die wahre IP-Adresse eines Nutzers dem Zielsystem gegenüber grundsätzlich verborgen, da das Zielsystem nur die IP-Adresse des Proxy übermittelt bekommt (andere Proxy Konfigurationen sind möglich). D.h. viele hundert Nutzer, die den gleichen Proxy nutzen, haben nach außen die gleiche IP-Adresse, nämlich die des Proxy. Ähnlich verhält es sich, sobald von den Internetnutzern die von fast allen Internet-Access-Providern zur Verfügung gestellten kombinierten DSL-Modem - Router (NAT) – Kombinationen verwendet werden. Hier wird grundsätzlich auch nur die IP-Adresse des Routers im Internet bekannt. Im Fall von dynamischen IP-Adressen kommt noch hinzu, das ein und dieselbe IP-Adresse über einen bestimmten Zeithorizont verschiedenen Computern zugeordnet wird und wer dann schließlich tatsächlich vor einem Computer sitzt, ist selbst im familiären Rahmen oft nicht eindeutig identifizierbar. Aus all diesen Gründen ist eine eindeutige Bestimmbarkeit der zu einer IP-Adresse zugehörigen Person äußerst fraglich.

  2. Personenbezogene Daten sind gemäß § 3 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Die Bestimmtheit einer natürlichen Person ist gegeben, wenn die Daten mit dem Namen des Betroffenen verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt (Gola/Schomerus, BDSG, 9. Auflage 2007, § 3 Rn. 10). Nach dem oben ausgeführten kann es sich bei einer IP-Adresse also nicht um eine Einzelangabe zu einer „bestimmten“ Person handeln. Eine eindeutige, unmittelbare Zuordnung von einer IP-Adresse zu einer Person gibt es demnach gerade nicht! Somit kommt es für die Frage des Personenbezugs von IP-Adressen auf die „Bestimmbarkeit“ an. Hier kommt es nun auf die Kenntnisse, Mittel und Möglichkeiten der jeweils datenspeichernden Stelle an. Die datenspeichernden Stelle muss den Bezug mit den ihr normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand durchführen können (Gola/Schomerus, BDSG, 9. Auflage 2007, § 3 Rn. 10). Hier ist zu trennen zwischen Access-Providern, die den technischen Zugang zum Internet bereitstellen, auf der einen und Content-Providern, also den Inhalte-Anbietern, auf der anderen Seite. Nur der Access-Provider verfügt zusammen mit den von ihm gespeicherten Bestandsdaten über die notwendigen Informationen, einen Nutzer anhand einer IP-Adresse und der Zeit ihrer Zuteilung zu personalisieren. Für einen Access-Provider sind daher IP-Adressen personenbezogene Daten. Für den vom Access-Provider rechtlich unabhängigen Content-Provider gilt dies aber gerade nicht. Über eigene oder öffentlich zugängliche Informationsquellen kann dieser nämlich gerade nicht einen hinter einer IP-Adresse stehenden Kunden ermitteln. Zur Identifizierung eines Nutzers wäre ein Content-Provider also auf die Hilfe des jeweiligen Access-Providers eines Nutzers angewiesen. Mangels einer Rechtsgrundlage und da die zugeteilten IP-Adressen für Access-Provider personenbezogene Daten sind, hat ein Content-Provider keinen Zugriff auf die für die Bestimmbarkeit notwendigen Daten. Insofern kann die IP-Adresse für den Content-Provider jedenfalls nicht als einen den Personenbezug begründendes Merkmal im Sinne des BDSG angesehen werden. Es ist im Datenschutzrecht auch anerkannt, dass der Begriff des Personenbezugs relativ ist, d.h. dieselben Daten können für den Einen anonym und für den Anderen der betroffenen Person zuordbar sein (Gola/Schomerus, BDSG, 9. Auflage 2007, § 3 Rn. 10). Das AG Berlin-Mitte hat jedoch die Bestimmbarkeit über den Access-Provider als ausreichend für die Qualifizierung als personenbezogenes Merkmal erachtet. Im Kern argumentiert das AG hier mit der Eröffnung eines Missbrauchstatbestands bezüglich der beim Content-Provider gesammelten Daten. Sofern diese Daten nämlich an Dritte, wie z.B. dem Access-Provider, unproblematisch übermittelt werden könnten, da ja datenschutzrechtlich nicht  geschützt,  hätten diese dann ihrerseits die Möglichkeit zur Bestimmung des Nutzers. Hier verkennt das AG jedoch, dass es sich um personenbezogene Daten für denjenigen handelt, bei dem die Bestimmbarkeit gegeben ist. Werden für die übermittelnde Stelle anonyme Daten an eine Stelle übermittelt, die zur Herstellung des Personenbezugs in der Lage ist, ist der Übermittlungstatbestand des BDSG erfüllt (Gola/Schomerus, BDSG, 9. Auflage 2007, § 3 Rn. 10 und 44a). D.h. für diesen gelten die Beschränkungen des Datenschutzrechts, insbesondere des BDSG, ein Lücke im Datenschutz kann hier also nicht entstehen (ebenso Jan K. Köcher, Anmerkungen in MMR 2007 Heft 12, 799-801, 801). Allein der mögliche Verstoß des Dritten gegen datenschutzrechtliche Vorgaben ist nicht nur ein schwaches, sondern auch ein äußerst zweifelhaftes Argument.

§ 15 Abs. 3 TMG

Sofern man IP-Adressen mit dem AG Berlin-Mitte als personenbezogen einordnet,  gibt es für IP-basierter Analysetools noch die Möglichkeit des § 15 Abs. 3 TMG. Dieser erlaubt, Nutzerprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien zu erstellen.

Voraussetzung ist jedoch die Pseudonymisierung der IP-Adresse und ein nicht erfolgter Widerspruch des Nutzers, wobei der Nutzer i.R.d. nach § 13 Abs. 1 TMG erforderlichen Datenschutzerklärung auf sein Widerrufsrecht hingewiesen werden muss, d.h. die Belehrung hierüber müsste in die Datenschutzerklärung der Webseite übernommen werden.

Conclusion:

Sobald Analyse-Tools die IP-Adresse des Webseiten-Nutzers verwenden, ist die Rechtslage momentan unklar! Zwar kann man mit guten Gründen vertreten, dass die Anwendung von IP-basierten Analysetools rechtlich ohne vorherige Einwilligung zulässig ist. Wer auf Nummer sicher gehen will muss jedoch die Voraussetzungen des § 15 Abs. 3 TMG erfüllen oder eben tatsächlich kein IP-basiertes Webtracking durchführen.

Hierfür könnte auf Open-Source bzw. lizenzfreie Analysetools zurückgegriffen werden, wie:

firestats.cc
www.analog.cx
www.mrunix.net/webalizer/
awstats.sourceforge.net

Hier hat man zumindest die Kontrolle über die ausgewerteten Daten. Ggf. können diese Tools so konfiguriert werden bzw. auf die Entwickler eher als bei Google Analytics Einfluss genommen werden, dass IP-Adressen nicht gespeichert/ nicht genutzt bzw. anonymisiert werden.

Im Übrigen sollte nicht vergessen werden, dass im Rahmen des Hostings von Webseiten an vielen Stellen IP-Adressen mitgeloggt werden. Insbesondere die jeweiligen Webserver (z.B. Apache) zeichnen IP-Adressen auf und sind daher von der hier dargestellten Problematik betroffen bzw. waren sogar eigentlicher Streitgegenstand des besagten Urteils.

                                                            -

Dieser Artikel darf verbreitet, kopiert, zitiert und öffentlich zugänglich gemacht werden, sofern dies unter Verweis auf das Urheberrecht von Eggert & Partner Rechtsanwälte und unter Verweis auf die Domain www.eggert-rechtsanwaelte.de erfolgt.