Der Einsatz von Reichweitenanalysediensten im Internet
Datenschutzrechtliche Hinweise am Beispiel von Google Analytics

– Stand: 13.12.2012 –

Viele Betreiber von Webseiten (auch als Internetauftritt oder Website bezeichnet) analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihrer Internetangebote das Surfverhalten der Nutzer. Dazu verwenden sie vielfach Software oder Dienste, die von Dritten angeboten werden, wie z.B. Google Analytics.

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben im November 2009 wesentliche datenschutzrechtliche Anforderungen benannt, die bei der Nutzung derartiger Analyseverfahren stets zu beachten sind [1].

Danach sind bei der Erstellung von Nutzungsprofilen durch Website-Betreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten. Dazu gehört, dass Nutzungsprofile nur bei der Verwendung von Pseudonymen erstellt werden dürfen (§ 15 Absatz 3 TMG). Dabei ist zu berücksichtigen, dass vollständige IP-Adressen keine Pseudonyme im Sinne des Telemediengesetzes darstellen, sondern personenbeziehbare Daten darstellen, die somit nicht für Nutzungsprofile verwendet werden dürfen..

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger es Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Quelle:  Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009

Im Einzelnen sind zudem folgende Vorgaben aus dem Telemediengesetz zu beachten:

 

 

Der Einsatz eines Reichweitenanalysedienstes ist nur dann datenschutzrechtlich zulässig, wenn diese Voraussetzungen vollständig erfüllt sind.

Beim Reichweitenanalysedienst Google Analytics kommt hinzu, dass bei dessen Nutzung ohne die weiter unten beschriebenen Anpassungen die zu analysierenden Internet-Nutzungs­­daten an die Google Inc. in die USA übertragen und dort gespeichert sowie ausgewertet werden. Dabei ist zu beachten, dass Google diese Daten technisch mit anderen Daten der Nutzer zusammenzuführen und somit (umfassende) Nutzungsprofile der Internetnutzer erstellen könnte. Die Möglichkeit, Nutzungsdaten einzelnen Personen zuzuordnen, erhöht sich noch weiter durch die bei der Nutzung von Google Analytics vorgesehene Verwendung von Cookies wie auch in den Fällen, in denen die Nutzer auch andere, zum Teil registrierungspflichtige Google-Dienste, wie z. B. Google Mail oder Google Calendar, verwenden. Cookies sind kleine Textdateien, die auf dem Computer des Nutzers gespeichert werden und die eine Analyse der Benutzung der Website ermöglichen.

Schon allein aufgrund der Personenbeziehbarkeit von IP-Adressen stellt Google Analytics einen Dienst dar, mit dem personenbezogene Daten verarbeitet werden können. Dabei bietet Google den Website-Betreibern, die diesen Dienst einsetzen wollen und die die Nutzungsbedingungen [2] akzeptieren, an, die entsprechenden Auswertungen der Nutzungsdaten mit dem von Google bereitgestellten Dienst selbst vorzunehmen. Darüber, ob von diesem Angebot Gebrauch gemacht wird, entscheidet jedoch nicht Google, sondern diejenige Stelle, die beim Betrieb einer Website von Google Analytics Gebrauch macht. Dadurch veranlasst der Website-Betreiber zugleich die im Rahmen der Nutzung von Google Analytics vorgenommene Datenverarbeitung.
Datenschutzrechtlich wird durch einen Website-Betreiber bei einer solchen Nutzung von Google Analytics eine sogenannte Datenverarbeitung im Auftrag begründet. Nach § 11 Bundesdatenschutzgesetz (BDSG) ist dabei der Auftraggeber, hier also der Betreiber des Internetangebotes, dafür verantwortlich, dass der eingeschaltete Auftragnehmer, hier die Google Inc., bei der zur Abwicklung des Auftrags vorgenommenen Verarbeitung personenbezogener Daten die Datenschutzvorschriften einhält. Dies bedeutet zugleich, dass nicht Google, sondern der Betreiber des Internetangebots datenschutzrechtlich für die Verarbeitung der IP-Adressen sowie anderer Daten der Nutzer seines Internetangebots durch die Google Inc. verantwortlich ist.

Der Betreiber einer Website muss daher die Nutzer dieses Angebots über den Einsatz des Analysedienstes unterrichten und ihnen nach § 15 Absatz 3 TMG ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils einräumen. Auch darüber sind die Nutzer zu informieren (§ 15 Absatz 3 Satz 2 in Verbindung mit § 13 Absatz 1 TMG). Eine fehlende Unterrichtung über dieses Widerspruchsrecht kann eine Ordnungswidrigkeit darstellen, die mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann (vgl. § 16 Absatz 3 TMG).

Seit Mitte 2011 stellt Google sowohl ein Javascript zur Anonymisierung der IP-Adresse als auch Browser-Add-Ons für die am Markt führenden Internet-Browser bereit, um das nach § 15 Absatz 3 TMG mögliche Widerspruchsrecht ausüben zu können. Zum einen sind die Website-Betreiber in der Pflicht. Sie müssen das Javascript [3] für die Anonymisierung in ihre Webseiten „einbauen“. Google sichert dabei zu, dass die Anonymisierung noch innerhalb Europas stattfindet und eine Weiterleitung der ungekürzten IP-Adresse in die USA ausgeschlossen ist. Weiterhin ist ein Auftragsdatenverarbeitungsvertrag [4] mit Google nach § 11 BDSG abzuschließen. Website-Betreiber beauftragen danach die Google Inc. mit der Verarbeitung der Daten, die Besucher ihrer Webseiten ihnen zur Verfügung stellen. Google bietet den Google Analytics-Dienst an und gibt die aufbereiteten anonymisierten Besuchsstatistiken an die Website-Betreiber zurück.

 

Auch sind die Webseitenbesucher über ihr Widerspruchsrecht gegen das „Tracking“ durch Google Analytics aufzuklären. Beim Tracking wird aufgezeichnet, welche Webseiten wann und wie lange besucht werden. Um diese Art der Protokollierung zu verhindern, kann ein passendes Browser-Add-On [5] heruntergeladen und installiert werden. Ein entsprechender Hinweis ist in die Datenschutzerklärung durch den Website-Betreiber aufzunehmen. Die Webseitenbesucher müssen also selbst dafür sorgen, dass das Browser-Add-On in ihrem Internet-Browser funktionsfähig installiert ist, wenn sie ihren Widerspruch gegenüber Google geltend machen wollen.

 

Grundsätzlich empfiehlt es sich, die Datenschutzbedingungen der Webseiten daraufhin durchzusehen, ob und wie ein Widerspruchsrecht ausgeübt werden kann. Wie das Beispiel Google Analytics zeigt, ist die praktische Mitwirkung des Betroffenen besonders gefragt.

 

 

[1] Der Beschluss des Düsseldorfer Kreises vom 27. November 2009 „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ ist hier abrufbar.
[2] abrufbar im Internet unter: http://www.google.com/intl/de/analytics/tos.html
[3] https://developers.google.com/analytics/devguides/collection/gajs/methods/gaJSApi_gat?hl=de-de
[4] http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.de/de/de/analytics/terms/de.pdf
[5] http://tools.google.com/dlpage/gaoptout?hl=de