Google Analytics datenschutzwidrig?

Dienstag, 8. Juli 2008 15:16 | Autor: Sascha | Diesen Artikel kommentieren
Dieser Beitrag wurde 1,487x gelesen




Bereits vor einigen Monaten geisterte die Meldung durch die deutschen Medien, dass der Einsatz von Google Analytics auf Webseiten gegen geltenden deutsches Datenschutzrecht verstößt. Damals wurde Bundesjustizministerin Brigitte Zypries öffentlich eine bis zu 6-monatige Haftstrafe, oder die Zahlung von bis zu 250.000 Euro angedroht, sofern die Seiten des Bundes weiterhin IP-Adressen von Webnutzern speichern. (Ausführlicher Bericht zum Thema).

Jetzt ist Google mit seinem Tool Analytics wieder im Visier der Datenschutzbehörden in Deutschland.
Mit Google Analytics lassen sich Besuche auf Internetseiten durch den Webseitenbetreiber untersuchen – unter anderem dahingehend Wer wann wo und wie lange auf entsprechenden Seiten unterwegs war.
Voraussetzung zur Nutzung von Google Analytics ist ein JavaScript Codeschnipsel, das in jede Seite der Internetpräsenz eingebunden wird.

Bis hierhin ist alles noch kein Problem. Doch: Google Analytics wird in Deutschland von vielen Webseitenbetreibern genutzt – und zwar ohne Wissen des Webseitenbesuchers!
Die meisten Analytics-Nutzer in Deutschland weisen weder im Impressum noch in den gesetzlich vorgeschriebenen Datenschutzbestimmungen auf den Einsatz des Besuchertracking-Systems hin. Damit verstoßen die Unternehmen gegen geltendes deutsches Datenschutzrecht.

In der Praxis zählen zu den Analytics Nutzern neben Unternehmen aus diversen Branchen auch öffentliche Stellen wie politische Parteien oder Hochschulen.

Der Landesdatenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, ging nun in die Offensive: Neben dem Analytics Anbieter Google schrieb Weichert 25 Webseitenbetreiber an, die Analytics rechtswidrig im Einsatz haben (Link zum Anschreiben).
Dem Anschreiben liegt ein Fragenkatalog bei, den sowohl Google als auch die betroffenen Betreiber bis Ende Juli zu beantworten haben.

Zusätzlich zur Beantwortung des Fragenkataloges bittet Herr Weichert auch um Vorlage der Bestellungsurkunde des betrieblichen Datenschutzbeauftragten nach § 4f BDSG. Dies könnte einigen – vorwiegend kleineren – Unternehmen ein weiteres Problem bescheren. Denn auch der verpflichtende Einsatz eines innerbetrieblichen Datenschutzbeauftragten hat sich noch nicht überall herumgesprochen.

Das der Verstoß gegen das Bundesdatenschutzgesetz (BDSG) durchaus drakonische Strafen nach sich ziehen kann, hat das oben genannte Beispiel an Bundesjustizministerin Zypries bereits gezeigt.

Deshalb gilt für alle Nutzer von Google Analytics und ähnlichen Besuchertracking-Systemen: Sobald beispielsweise durch den Einsatz eines Besucheranalyse-Systems personenbezogene Daten erhoben bzw. weiterverwendet werden müssen die Nutzer der Internetseite ausreichend darüber informiert werden.
Ein entsprechender Hinweis in den Datenschutzbestimmungen der jeweiligen Webseite ist -ebenso wie ein gesetzeskonformes Impressum – Pflicht!

Diese Informationspflicht entsteht auf der Grundlage von §13 Absatz 1 Telemediengesetz (TMG)

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Sollten Sie noch Fragen zum Datenschutz in Ihrem Unternehmen haben, freue ich mich über einen kurzen Kommentar, oder Ihre Kontaktaufnahme.
Auch hinsichtlich einer gesetzeskonformen (!) Alternative zu Google Analytics stehen wir Ihnen jederzeit gerne zur Verfügung.

Weitere interessante Artikel:

  1. Google Analytics für BlackBerry
  2. Google Mail Account am BlackBerry
  3. Google kann jetzt Flash-Inhalte lesen
  4. Google Sync für BlackBerry
  5. Google Browser Chrome ab heute verfügbar
  6. Blackberry 8800 und Google Maps
  7. Google Mobile für Blackberry – Vorteile ?
Tophandy Aktion Blogberry Full Banner

Tags » , , , «

17 Kommentare

  1. Oliver
    Mittwoch, 9. Juli 2008 13:34
    1

    Könnten Sie neben der Fettschrift auch eine Spezifikation von “solche Anwendungen” (Was tun diese Anwendungen) und den entsprechenden Paragraphen angeben, der den Hinweis über den Einsatz zur Pflicht macht? Danke!

  2. admin
    Mittwoch, 9. Juli 2008 14:04
    2

    Hallo Oliver,

    ich habe den entsprechenden Absatz noch näher ausgearbeitet, und einen Verweis auf das dafür geltende Gesetz eingefügt.

  3. Oliver
    Mittwoch, 9. Juli 2008 14:11
    3

    Erhebt und verarbeitet Google denn personenbezogene Daten?

  4. admin
    Mittwoch, 9. Juli 2008 14:16
    4

    Natürlich!
    Erhoben werden die Daten mittels Google Analytics – initiiert durch den Webseitenbetreiber – deshalb steht dieser in der Pflicht den Nutzer darauf hinzuweisen.

    Somit steht der Punkt “Weiterverarbeitung” gar nicht zur Debatte, da bereits Punkt 1 “Erhebung” erfüllt ist.

    Schöne Grüße.

  5. Oliver
    Mittwoch, 9. Juli 2008 14:23
    5

    Welche personenbezogenen Daten werden denn erhoben? Heißt erheben oder verarbeiten schon übermitteln oder erst speichern? (Das waren meine eigentlichen Fragen).

    Es geht mir darum, dass hier viele vage Details aus Gesetzestexten gerne zur Behauptung einer massenhaft illegalen Handlung oder gar Vergleichen mit der Stasi herangezogen werden.

    Das ist Populismus und hat nichts mit Datenschutz auf Basis von Gesetzestexten zu tun. Wohl aber mit gefühltem Datenschutz, hierüber sollte diskutiert werden.
    Der Pranger bringt das Thema nicht weiter.

  6. admin
    Mittwoch, 9. Juli 2008 14:34
    6

    Hallo Oliver,

    die IP-Adresse wird in Google Analytics nicht anonymisiert gespeichert, von daher ist sie – nach dem BDSG – ein personenbezogenes Datum.
    Anfang des Jahres haben dies die EU-Datenschutzbeauftragten so festgelegt. Weitere Informationen dazu findet man u.a. hier:
    http://www.datenschutzbeauftragter-online.de/ist-die-ip-adresse-personenbezogen/

    Ob die Daten an ein System dauerhaft übermittelt und gespeichert werden ist unerheblich, da vorher bereits eine Erhebung stattgefunden hat die wie oben beschrieben §13 Abs. 1 TMG unterliegt.

    Auch wenn die Überschrift dieses Beitrages etwas polemisch wirken mag, faktisch ist es richtig dass beim Einsatz von Google Analytics personenbezogene Daten erhoben werden und über diese Erhebung der Nutzer ausreichend informiert werden muß. Das hat nichts mit Populismus oder Anprangerei zu tun.

    Nachtrag:
    Stellungnahme zur Überprüfung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)
    http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp150_de.pdf

  7. Oliver
    Mittwoch, 9. Juli 2008 15:21
    7

    Ja, jetzt kommen wir zum Kern der Sache. Es ist kein Gesetz vorhanden, dass die IP Adresse personenbezogen macht. Ich zitiere “setzt sich die Auffassug durch”, “haben auch die Datenschützer auf EU-Ebene gefordert”, “vertrete seit langem die Ansicht”.

    Das Dokument der Artikel-29 Kommission ist eine Stellungnahme zu einem “angenommenen Vorschlag” zu einer “Richtlinie”. Auch das hat mit geltendem Datenschutzrecht nichts zu tun.

    Und damit sind es auch nicht “faktisch” richtig, dass “personenbezogene Daten erhoben werden”.
    Das ist alles was ich sage. Daraus machen aber die meisten Medien deutlich populistischere Überschriften und Beiträge als hier.

    Danke für die interessante Diskussion!

  8. Jens Ferner
    Freitag, 11. Juli 2008 9:10
    8

    “Es ist kein Gesetz vorhanden, dass die IP Adresse personenbezogen macht.”

    Das wird es auch nicht geben, der Gesetzgeber überlässt dies ausdrücklich der Rechtsprechung. Wenn die IP aber nicht personenbezogen ist, wie rechtfertigt sich dann eine Vorratsdatenspeicherung?

    Abgesehen davon hat der BGH längst festgehalten, dass eine IP personenbezogen ist. Insofern ist es dünnes Eis auf dem man wandelt wenn man es ablehnt.

  9. Dirk
    Freitag, 1. August 2008 12:11
    9

    Das Thema wird aus meiner Sicht heißer diskutiert, als es eigentlich ist. Die IP sagt auch nicht mehr aus als mein Nummernschild am Auto. Solange die Daten nur für die Auswertung einer Besucherstatistik benutzt werden, ist doch alles im grünen Bereich.
    Wenn die Hüter des heiligen Datenschutz-Grals eine brauchbare Alternative zu den bisherigen Auswertungsverfahren von Besucherströmen nennen würden, könnte man auch über diese Alternative diskutieren und sie reif für den Einsatz machen. Derzeit wird man eigentlich nur vor die Wahl gestellt: Seitenzugriffe analysieren oder nicht. Wer kein javascriptbasiertes Tool wie Analytics einsetzt, steigt dann wahrscheinlich auf ein serverbasiertes Tool für Besuchertracking zurück. Dann jubeln alle Datenschützer, aber das Problem ist nach wie vor vorhanden, nur “unsichtbar”.
    Also was kann man machen? Reicht es die IPs mit irgendeinem unumkehrbaren Verfahren zu verschlüsseln (z.B. MD5), die Besucher im Impressum oder dergleichen zu informieren und über die genauere Verwendung der Daten aufzuklären?
    Im übrigen zeigt diese Panikmache bei mir nur wieder, wie unattraktiv de-Domains manchmal sind. Da die Daten des Inhabers öffentlich einsehbar sind, wird man als harmloser Webseitenbetreiber wegen jeder juristischen Frage gleich zur Zielscheibe.

  10. Jens Ferner
    Samstag, 2. August 2008 6:03
    10

    “Die IP sagt auch nicht mehr aus als mein Nummernschild am Auto.”
    Eben, und das Nummernschild ordne ich innerhalb kürzester Zeit kinderleicht einer Person zu. Informiere dich mal wie leicht das ist.

    “Solange die Daten nur für die Auswertung einer Besucherstatistik benutzt werden, ”

    Und wer garantiert es? Der Webmaster kann es ja schlecht, da er die Daten nicht alleine in der Hand hat – und von Google ist mir so eine Garantie unbekannt. WÄre auch nicht möglich nach dem VIacom-Urteil:
    http://www.datenschutzbeauftragter-online.de/google-speichert-ips-na-und/

    Gerade vor dem Hintergrund des Viacom-Urteils ist es mir schleierhaft, wie man noch vertreten kann, das Thema wird “zu heiß” diskutier.

  11. Tim
    Donnerstag, 7. August 2008 19:42
    11

    Guten Abend,

    ich setze auf meiner Website auch Analytics ein und hätte im Grunde kein Problem damit auf der Seite darauf hinzuweisen, dass hier Analytics eingesetzt wird. Ist es als “kleiner Webseitenbetreiber” nun besser … wie hier http://www.wiesbadener-kurier.de/wirtschaft/flughafen/objekt.php3?artikel_id=3363786 auf Analytics hinzuweisen oder soll man warten bis mal was genaueres heraus kommt ?!?

    Gruß Tim

  12. admin
    Donnerstag, 7. August 2008 20:43
    12

    Ich persönlich finde einen Hinweis darauf dass Daten erfasst werden quasi unumgänglich.
    Der eine nennt es ob der teils unklaren Situation eventuell Paranoia, doch lieber befindet man sich auf der sicheren Seite – und ein entsprechender Hinweis in der Datenschutzerklärung tut nicht weh.

    Sascha

  13. Tim
    Freitag, 8. August 2008 8:50
    13

    “Ein Hinweis tut nicht weh” Das sehe ich auch so ! Lieber was schreiben … als am Ende in die Röhre gucken. Gibt es irgendwo einen Standardvorgabe … den man nutzen könnte ???

    Tim

  14. admin
    Freitag, 8. August 2008 9:42
    14

    Hallo Tim.

    Wir selbst nutzen auf blogberry.de kein Google Analytics.

    Hier findest du einige weiterführende Links mit deren Informationen du eine für dich passende Datenschutzerklärung ausarbeiten kannst:

    http://www.law-blog.de/203/datenschutzerklaerung-webseite/

    http://www.pop64.de/blog/datenschutzerklaerung/

    Schöne Grüße,
    Sascha

  15. Oliver
    Dienstag, 9. September 2008 15:44
    15

    @Jens
    “Abgesehen davon hat der BGH längst festgehalten, dass eine IP personenbezogen ist”
    Könntest Du mir das kurz erklären “Der Gesetzgeber der Rechtsprechung überlassen” – und eine Quelle des BGH nennen, auf dessen Urteil Du Dich beziehst?

    Für mich ist das derzeit immer noch eine Meinung und kein geltendes Recht, ich würde mich aber gerne vom Gegenteil überzeugen lassen

    Die besten Grüsse, Oliver

  16. my young-venture» web analytics » Erste Links zu Googleâ„¢ Analytics
    Donnerstag, 29. Januar 2009 12:13
    16

    [...] http://www.blogberry.de/google/google-analytics-datenschutzwidrig/ [...]

  17. Latent unter Beobachtung ODER Ich weiß, was du letzten Sommer getan hast bei FrischGezwitschert
    Donnerstag, 21. Januar 2010 15:51
    17

    [...] Google Analytics datenschutzwidrig? 0 Kommentare [...]

Kommentar abgeben