Google Analytics und das Datenschutzrecht

Google Analytics ist bei Website-Betreibern ausgesprochen beliebt. Schließlich ermöglicht es schnell und vor allem kostenlos die Auswertung des Surfverhaltens der Website-Besucher. Die Daten können zur Optimierung des Auftritts genutzt werden. Aber dürfen sie das auch? Rechtsanwalt Thomas Feil erklärt, warum die Nutzung des Tools einige Risiken für Unternehmer birgt.

Mit dem kostenlosen Tool "Google Analytics" können Betreiber von Websites das Surf-Verhalten ihrer Besucher anhand von hinterlassenen Datenspuren analysieren. Google Analytics erfasst die IP-Adressen der Besucher einer Website, speichert diese und ermöglicht später eine umfassende Auswertung, die zur Optimierung und Erfolgskontrolle genutzt werden kann. Google Analytics sieht sich allerdings datenschutzrechtlichen Bedenken ausgesetzt. Und der Hamburger Datenschutzbeauftragte Johannes Caspar hat nun angekündigt, gegen Betreiber, die Google Analytics einsetzen, juristisch vorzugehen.

Thomas Feil ist seit 1994 als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für IT-Recht und Arbeitsrecht. Zu seinen Tätigkeitsschwerpunkten gehört auch das Vergaberecht.

Problematisch ist insbesondere die Erfassung von IP-Adressen. Darüber kann theoretisch ein umfassendes personenbezogenes Nutzungsprofil erstellt werden. Allerdings ist noch nicht geklärt, ob Google Analytics überhaupt den strengen Regeln des Datenschutzrechts unterfällt. Dies hängt davon ab, ob man in IP-Adressen personenbezogene Daten gemäß § 3 Abs. 1 BDSG sieht, wonach personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" sind.

Ob IP-Adressen die Person des Nutzers bestimmbar machen, ist unter Juristen umstritten. Teilweise wird vertreten, dass es erforderlich ist, wenn der Betroffene für die speichernde Stelle identifizierbar ist. Am Beispiel von IP-Adressen bedeutet dies, dass ein normaler Website-Betreiber im Normalfall nicht weiß, wer sich hinter einer bestimmten IP-Adresse verbirgt. Ausnahmen sind lediglich im Falle einer personalisierten Login-Funktion zu machen. Die Zuordnung kann insofern nur mit Hilfe des Internet-Providers, beispielsweise der Telekom, getätigt werden. Da die Telekom dem Betreiber die Person hinter einer IP-Adresse nicht mitteilen darf, ist dem Betreiber eine Identifizierung nicht möglich, mit der Folge, dass das Datenschutzrecht hier nicht anwendbar ist und dagegen auch nicht verstoßen werden kann.

Demgegenüber vertreten andere, dass es nur auf eine abstrakte Identifizierbarkeit, ohne Rücksicht auf die Möglichkeiten der speichernden Stelle, ankommt. Am obigen Beispiel bedeutet dies, dass zwar der konkrete Website-Betreiber die Identifizierung nicht vornehmen kann. Da aber der Internet-Provider des Nutzers die Möglichkeit zur Identifizierung hätte, wird eine Anwendbarkeit des Datenschutzrechts angenommen.

Nun entspricht Google Analytics nicht dem deutschen Datenschutzrecht. Zwar existiert mittlerweile ein Script namens "_anonymizeIp()", das es einem Website-Betreiber ermöglicht, nur verfremdete IP-Adressen zu speichern und damit jedenfalls theoretisch der Bildung von personenbezogenen Nutzerprofilen vorbeugt. Ob dieses Script seinerseits datenschutzkonform ist, konnte bisher nicht zweifelsfrei nachgewiesen werden.

Website-Betreiber sollten sich daher darüber im Klaren sein, dass Google Analytics datenschutzrechtlich keinesfalls unbedenklich ist. Selbst beim Einsatz des _anonymizeIp()-Scripts bleibt ein Restrisiko bestehen. Sollte von den Datenschutzbehörden ein Verstoß festgestellt werden, drohen Geldbußen von bis zu 50.000 Euro gemäß § 16 Telemediengesetz. Wer auf Sicherheit setzt, sollte Analysetools nutzen, welche ohne die Speicherung von IP-Adressen auskommen. (Marzena Sicking) / (map)
(masi)