Zur Rechtslage bei der Nutzung von Google Analytics und anderen Webtracking-Modulen
Kommerzielle Internetseitenbetreiber analysieren mit Hilfe sog. Webtracking-Module zu Werbezwecken und aus Gründen der Marktforschung das Nutzerverhalten auf ihrem Internet-Angebot. In der Praxis geht es darum, herauszufinden, welche Seiteninhalte als beliebt gelten und deshalb besonders häufig angeklickt werden. Die Betreiber der Internetseiten möchten erfahren, woher die Besucher stammen (über Suchmaschinen, über per „Backlink“ verweisende Internetseiten oder durch Direkteingabe der URL im Fenster des Browsers). Zur Analyse dieses Nutzerverhaltens bieten diverse Anbieter Software oder Dienste an, die teils kostenlos und teils gegen Entgelt angeboten werden und unter dem Stichwort „Webtracking“ firmieren. Zu den Marktführern zählt gegenwärtig das von Google angebotene kostenlose Modul „Google Analytics“. Doch dieses und andere Webtracking-Module rufen seit geraumer Zeit die Datenschützer auf den Plan (vgl. Voigt, MMR 2009, 377-382; Steidle/ Pordesch, DuD 2008, 324; Gabriel/ Cornels, MMR 2008, XIV), die die Nutzung teils verhindern sehen möchten. Bei der Frage, welche Haftungsgefahren drohen, haben wir den Stand von Rechtsprechung und Literatur für Sie aufbereitet.
Übersicht
- Was bietet ein Webtracking-Tool?
- Welchen Vorteil bietet Google Analytics den Nutzern?
- Wie funktioniert dies technisch?
- Wie kann man das Aufzeichnen der Daten verhindern?
- Wie argumentieren die Kritiker?
- Wie ist die Rechtslage bei Google Analytics?
- Kann man das Einverständnis des Besuchers einholen?
- Worum dreht sich der Kern der juristischen Streitfrage?
- Wie könnte der Streit ausgehen?
- Inwiefern ist der Gesetzgeber gefordert?
- Welche Gefahren drohen: Ordnungsgelder?
Was bietet ein Webtracking-Tool?
Webtracking-Tools ermöglichen es dem Betreiber einer Internetseite, die Besucherbewegungen auf einer Internetseite zu protokollieren. Beispielsweise legt der Marktführer, Google Analytics, dem Seitenbetreiber ein statistisches Auswertungsergebnis vor, welches sich aus Daten zusammensetzt, die jeder Besucher einer Internetseite hinterlässt. Unter Berücksichtigung einer gewissen Fehlerquote lässt sich erfassen, welche Unterseiten die Besucher aufrufen, wie lange sie sich dort aufhalten, woher sie auf die Internetseite gestoßen sind und aus welchen Ländern und Regionen die Besucher stammen. Allerdings sind die Einzelheiten je nach der Art des eingesetzten Tools unterschiedlich.
Welchen Vorteil bietet Google Analytics den Nutzern?
Mit Hilfe von Google Analytics kann der Betreiber einer Internetseite zumindest tendenziell das Nutzerverhalten und bestimmte Gewohnheiten der Besucher von Internetseiten kennenlernen. Wenn Google Analytics beispielsweise analysiert, wie viele „Klicks“ auf eine bestimmte Unterseite einer Internetseite erfolgten, erfährt der Betreiber welche konkreten Unterseiten besonders beliebt sind. Auf diese Weise ist es dem Betreiber möglich, sich auf die Gewohnheiten des Publikums einzustellen. Der Betreiber wird dann versuchen, sein Angebot so gezielt wie möglich an der Nachfrage auszurichten. Dies muss auch aus Verbrauchersicht nicht per se schlecht sein. Soweit Google Analytics, abzüglich einer gewissen Fehlerquote, dem Internetseiten-Betreiber darlegt, aus welchen Ländern und Regionen die Besucher stammen, könnte ein global agierender Internetseiten-Betreiber sich beispielsweise mit Hilfe der auf seiner Internetseite angebotenen Sprachauswahl gezielt an das Publikum wenden, das eine Internetseite besonders häufig nachfragt.
Wie funktioniert dies technisch?
Google Analytics nutzt diejenigen Spuren, die ein Besucher einer Internetseite im Internet hinterlässt. Diese Spuren bestehen einerseits aus der sogenannten IP-Adresse und andererseits aus Cookies.
Wenn ein Nutzer des Internets beispielsweise die Suchmaschine von Google verwendet, zeichnet der Server von Google automatisch die Protokolldaten auf, das heißt diejenigen Daten, die ein Browser beim Besuch einer Webseite sendet. Diese Protokolldaten enthalten im Wesentlichen die sogenannte Webanfrage, die IP-Adresse, den Zeitpunkt und das Datum einer Anfrage, sowie ein oder mehrere Cookies, die einen bestimmten Browsertyp identifizieren können. In ähnlicher Weise agieren auch andere Suchmaschinen.
Cookies werden von Google und anderen Suchmaschinen auf den Computer des Internetnutzers versandt, sobald die Suchmaschine aufgerufen wird. Ein Cookie ist eine kleine Datei, die eine bestimmte Zeichenfolge enthält und den Browser des Nutzers identifiziert.
Wie kann man das Aufzeichnen der Daten verhindern?
Der einfachste Weg, die Aufzeichnung der besagten Daten zu verhindern, ist die Nichtnutzung von Google oder derjenigen Suchmaschinen, die mit Cookies arbeiten und die IP-Adresse protokollieren.
Wer auf die Nutzung jedoch nicht verzichten möchte, verhindert die Aufzeichnung seiner Daten mit Hilfe eines sogenannten Anonymisierungsdienstes beim Surfen im Internet. Diese Anonymisierungsdienste werden verwendet, um die IP-Adresse beim Surfen zu verschleiern. Die häufigste und einfachste Variante sind beispielsweise anonymisierende Proxyserver. Nutzt man einen solchen Proxyserver, kennt der Proxybetreiber zwar immer noch die IP-Adresse des Nutzers und könnte diese auf Anfrage herausgeben. Um dies jedoch zu vermeiden, nutzen Anonymisierungsdienste der neueren Generation inzwischen ganze Ketten von Proxys, zwischen denen der Datenverkehr verschlüsselt wird. Der Nachteil ist allerdings, dass diese Anonymisierungsdienste teilweise noch recht langsam arbeiten.
Daneben existieren noch eine ganze Reihe weiterer technischer Varianten der Anonymisierung (z.B. anonyme Peer-to-Peer-Netzwerke), die aufzuzählen hier den Rahmen sprengen würden.
Wie argumentieren die Kritiker?
Die Kritiker der Webtracking-Tools weisen besonders auf die Gefahren hin, die entstehen, wenn verschiedene Daten (zu denen unter anderem die IP-Adresse zählt) mit anderen Daten zusammengeführt und anschließend missbräuchlich eingesetzt werden. Dabei sei insbesondere daran zu denken, dass große Suchmaschinen-Betreiber (zu denen Google zweifelsohne zählt) inzwischen eine derartige Datensammlung besitzen und die Missbrauchsmöglichkeiten bei der Zusammenführung mit anderen Datenbanken letztendlich nicht ausgeschlossen werden können; zumal es sich um ein privates Unternehmen handelt.
Wie ist die Rechtslage bei Google Analytics?
Die Rechtslage bei der Nutzung von Google Analytics ist gegenwärtig nicht eindeutig. Rechtlicher Anstoß für die Kritik ist die Tatsache, dass beispielsweise der Marktführer, Google Analytics, u. a. die IP-Adresse des Besuchers einer Internetseite speichert. Das Bundesdatenschutzgesetz lässt die Erhebung und die Speicherung von personenbezogenen Daten jedoch nur dann zu, wenn dies von einer gesetzlichen Vorschrift explizit erlaubt wird oder eine Einwilligung des Nutzers vorliegt. Relevant ist dabei die Regelung in § 15 Telemediengesetz (TMG). Demnach dürfen personenbezogene Daten von Besuchern einer Internetseite ohne die Einwilligung des Nutzers nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von geschäftsmäßigen Angeboten im Internet zu ermöglichen und abzurechnen. Die Verwendung dieser Daten über das Ende des Nutzungsvorgangs ist nur erlaubt, soweit die Daten „für Zwecke der Abrechnung mit dem Nutzer erforderlich sind”.
Kann man das Einverständnis des Besuchers einholen?
Mit einem bloßen „Datenschutzhinweis“, der irgendwo in der Datenschutzerklärung auf der Internetseite versteckt wird, wird kein Einverständnis des Besuchers einer Internetseite eingeholt, sondern es wird informiert. Technisch wäre es zwar möglich, vom Besucher einer Internetseite das erforderliche Einverständnis zur Verwendung eines Webtracking-Tools einzuholen, bevor sich die komplette Internetseite öffnet. Dieser Weg ist allerdings kaum praktikabel und besitzt deshalb keine praktische Relevanz. Vor dem Öffnen einer Internetseite müssten dem Besucher erst diverse Erklärungen vorgehalten werden, die dieser im Regelfall gar nicht lesen will und die er erst umständlich bestätigen müsste. Dies schreckt einerseits den Besucher ab und lässt den Betreiber einer solchen Internetseite kaum noch wettbewerbsfähig erscheinen. Vor diesem Hintergrund geht es im Kern des juristischen Streits allein darum, ob die datenschutzrechtlichen Vorschriften im vorliegenden Fall überhaupt anwendbar sind?
Worum dreht sich der Kern der juristischen Streitfrage?
Eine Einwilligung ist jedoch nur dann vom Besucher einer Internetseite einzuholen, wenn tatsächlich personenbezogene Daten erhoben werden. Die einschränkenden Regelungen des Bundesdatenschutzgesetzes und des Telemediengesetzes sind nämlich nur dann anwendbar, wenn es sich bei den beim Webtracking gespeicherten Daten überhaupt um „personenbezogene“ Daten handelt. Deshalb dreht sich der Kern allen juristischen Streits darum, ob es sich etwa bei der IP-Adresse um personenbezogene Daten handelt oder nicht. Bejaht man diese Frage, ist das Webtracking datenschutzrechtlich unzulässig, verneint man diese Frage, sind keine datenschutzrechtlichen Einwendungen erkennbar.
Ob Cookies und IP-Adressen jedoch personenbezogene Daten darstellen, ist gegenwärtig zumindest umstritten. Würde man eine IP-Adresse und Cookies als personenbezogene Daten im Sinne des Datenschutzrechtes einordnen, so müsste den Betroffenen nach deutschem Datenschutzrecht im Vorfeld die Möglichkeit zum Widerspruch gegen die Speicherung der Daten eingeräumt werden. Entsprechend müssten auch die Datenschutzerklärung auf der Internetseiten der Betreiber geändert werden und gegebenenfalls eine Einwilligung des Betroffenen eingeholt werden. Dies findet in der Praxis allerdings nicht statt.
Allerdings gibt es zu diesen Rechtsfragen derzeit nur wenige erstinstanzliche Gerichtsentscheidungen. Das Amtsgericht Berlin-Mitte hat die personenbezogenheit von IP-Adressen bejaht und damit dem Datenschutz Recht gegeben (Urt. v. 27.03.2007 – 5 C 314/06, DuD 2007, 856-858, teilweise bestätigt durch Landgericht Berlin, Urt. v. 06.09.2007 – 23 S 3/07, MMR 2007, 799-800). Dem schloss sich das Verwaltungsgericht Wiesbaden an (Beschl. v. 27.02.2009 – 6 K 1045/08, MMR 2009, 428-432). Die gegenteilige Auffassung vertrat das Amtsgericht München, welches die Zuordnung einer dynamischen IP-Adresse als personenbezogene Daten mangels Bestimmbarkeit zu einer bestimmten Person ablehnte (Urt. v. 30.09.2008 – 133 C 5677/08, MMR 2008, 860).
Wie könnte der Streit ausgehen?
Eine endgültige Klärung wird voraussichtlich erst eine obergerichtliche Entscheidung bringen. Im vorliegenden Fall ist eine Klärung durch den Europäischen Gerichtshof (EuGH) nicht unwahrscheinlich, da eine ganze Reihe der nationalen Vorschriften erst aufgrund der EU-Datenschutz-Richtlinie ergangen sind.
Inwiefern ist der Gesetzgeber gefordert?
Man kann vortrefflich darüber streiten, ob IP-Adressen personenbezogene Daten sind oder nicht. Für jede Lösung gibt es gute juristische Argumente. Deshalb ist es wünschenswert, wenn die obergerichtliche Rechtsprechung hier Rechtsklarheit schafft, die es gegenwärtig für die betroffenen Unternehmen nicht gibt. Zwar ist es leicht nach einem Verbot des Webtracking zu rufen. Bei dem Versuch einer objektiven Bewertung, kann man sicherlich nicht völlig ausblenden, dass sowohl das Bundesdatenschutzgesetz, als auch § 15 des Telemediengesetzes zu einer Zeit Gesetzeskraft erlangt haben, als es das Webtracking in seiner heutigen Form noch gar nicht gab. Im Streitfall muss in diesen Fällen die obergerichtliche Rechtsprechung einen Sachverhalt unter das Gesetz subsumieren, dessen Hintergründe der Gesetzgeber gar nicht bedenken konnte. Nicht bloß die Rechtsprechung muss sich aber permanent mit neuartigen Sachverhalten auseinandersetzen. In bestimmten, komplexen Fällen, ist es durchaus gerechtfertigt, vom Gesetzgeber schlichtweg eine Klarstellung zu erwarten.
Welche Gefahren drohen: Ordnungsgelder?
Obwohl die Rechtsfragen zur Zulässigkeit oder Unzulässigkeit von Webtracking-Modulen derzeit hochgradig umstritten sind, könnten datenschutzrechtliche Aufsichtsbehörden sich darüber hinwegsetzen und im Wege der Aufsicht Ordnungsgelder verhängen. Bereits am 26./27. November 2009 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) einige Grundsätze für den Umgang mit Google Anlaytics und anderen Webtracking-Verfahren beschlossen. Die Aufsichtsbehörden schlagen sich hier bei der umstrittenen Frage, ob die gespeicherten Informationen personenbezogene Daten darstellen auf die Seite, die diese Frage bejaht und von einer Anwendbarkeit der Bestimmungen des Telemediengesetzes ausgeht. Demnach hätten die Internetseiten-Betreiber darauf zu achten, Betroffenen oder Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen, worauf in deutlicher Form im Rahmen der Datenschutzerklärung auf der Internetseite hinzuweisen sei. Eine Nutzung der personenbezogenen Daten, die mehr bezweckt, als die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen, sei ohne Einwilligung der Betroffenen unzulässig.