Google-Analytics und der Datenschutz
Der Hamburger Datenschutzbeauftragte Johannes Caspar vertritt weiterhin die Ansicht, dass das Statistik-Tool Google Analytics nicht den Anforderungen des deutschen Datenschutzrechts genügt. Casper gibt an, er habe deshalb die Gespräche mit Google abgebrochen und wolle Bußgelder gegen Unternehmen verhängen, die Analytics weiterhin einsetzen und erwäge auch einen Musterprozess.
Google verweist demgegenüber darauf, dass man speziell nach den jüngsten Änderungen, also der Einführung des sog. IP-Masking und von Browser-Erweiterungen, die die Übermittlung von IP-Adressen an Google unterbinden sollen, den Forderungen des Düsseldorfer Kreises nachgekommen sei und man im übrigen auch die Rückmeldung von europäischen Datenschutzstellen hätte, dass Google Analytics den Vorgaben des EU-Datenschutzrechts entsprechen würde.
Dass der Hamburger Datenschutzbeauftragte die Ansicht aller deutschen Landesdatenschutzbehörden wiedergibt, darf bezweifelt werden. Mir liegt ein Schreiben des Bayerischen Landesamts für Datenschutzaufsicht aus dem Dezember 2010 vor, in dem bestätigt wird, dass mit dem Einsatz des IP-Masking eine der wesentlichen Forderungen der Datenschutzafsicht erfüllt wird und, dass man in diesem Fall gegen den Einsatz von Google Analytics keine Einwände mehr habe, sofern auf den Einsatz hingewiesen wird (§ 13 Abs. 1 TMG), dem Nutzer ein Widerspruchsrecht gegen die Erstellung von pseudonymen Nutzerprofilen eingeräumt wird (§ 15 Abs. 3 TMG) und hierauf ebenfalls hingewiesen wird.
Ich halte diese Einschätzung der bayerischen Aufsichtsbehörde auch noch für teilweise unzutreffend, weil beim Einsatz des IP-Masking keine pseudonymisierten Nutzerprofile erstellt werden, weshalb es bereits an den sachlichen Voraussetzungen für eine Anwendung von § 15 Abs. 3 TMG fehlt. Das Schreiben des Bayerischen Landesamts belegt aber andererseits, dass man dort – anders als im Hamburg – davon ausgeht, dass mithilfe der zusätzlichen Einbindung des Codes für das IP-Masking eine datenschutzkonforme Nutzung von Analytics möglich ist.
Es muss im übrigen darauf hingewiesen werden, dass weder der hanseatische Datenschutzbeauftragte noch der sog. Düsseldorfer Kreis über eine Deutungshoheit zum Datenschutz verfügt. Dort werden auch nur Rechtsansichten vertreten, die man nicht teilen muss. Letztlich ist es Sache der Gerichte, die Streitfragen zu klären.
Die Diskussion zeigt allerdings, dass das Datenschutzrecht dringend eine konkrete Regelung für Tracking-Technologien benötigt, damit sowohl die zahlreichen Nutzer derartiger Programme als auch deren Anbieter Rechtssicherheit erlangen. Google ist außerdem nicht der einzige Anbieter von Tracking-Technologie, stellt aber derzeit im Bereich des Datenschutzes bekanntlich so eine Art Prügelknabel dar.
Der Hamburger hat die deutsche Facebook-Dependance in seinem Zuständigkeitsbereich, insofern ist Caspar da schon ein wenig am Zug. Ansonsten sind die Aufsichtsbehörden der Länder (das sind nicht immer die Datenschutzbeauftragten der Länder, siehe Bayern) für die Nutzer von GA zuständig.
So ein Musterprozess durch die Instanzen wäre imho hilfreich, um eben gerade die Rechtssicherheit herbeizuführen, die in diesem Bereich derzeit fehlt.
Comment by Markus Hansen — 11.01, 2011 @ 16:52
Diese ganze Story wird durch die juristische Diskussion, getrieben von Datenschützern, völlig verschoben dargestellt:
1. Das ganze Problem gilt nicht für Nutzer mit dynamischer IP, und – leider habe ich keine Zahlen gefunden – das dürften mindestens 90% der Nutzer sein.
2. Dies bedeutet, dass die Nicht-Verfügbarkeit des Plug-Ins für Browser mit einem Marktanteil von insgesamt 10% (wie Opera) weniger als 1% der Nutzer betrifft.
3. Was die Speicherung von IP-Adressen angeht, mag Caspar recht haben, dass diese zunächst übermittelt werden. Durch den Parameter aip:1 hat man aber Analytics zuvor mitgeteilt, dass das letzte IP-Oktett entfällt. Die Speicherung geschieht also nur zum Zwecke des Anonymisierens. Ich finde es sehr förmlich, wie Caspar hier argumentiert.
4. Man kann schon lange JEDE Analytics-Installation für JEDEN Browser anonymisieren, zB über einen Proxy und auch über ein Javascript-Code-Snippet. Eine konstruktive Lösung wäre, alle Anwender darauf hinzuweisen. Warum machen Datenschützer dies nicht? Wissen sie es nicht besser?
5. Es ist nach wie vor fraglich, ob eine IP überhaupt „personenbezogenes Datum“ ist. Ich habe daran Zweifel, trotz der überwiegend anderslautenden Rechtsprechung. Konstruktiv wäre, einen solchen Fall einmal bis „oben“ durchzuprüfen. Die Rechtsunsicherheit besteht seit mehreren Jahren. Warum geschieht das nicht?
(In der Sache ist aber auch diese Diskussion ein Verschwendung öffentlicher Ressourcen: wir werden so viele IPs bekommen, dass die ganze Diskussion anders geführt werden muss. Das sollte man diskutieren, und nicht die Anwendung 40 Jahre alter Datenschutznormen.)
6. Zur medialen Wahrnehmung: Warum äussert sich Caspar via FAZ statt über eine Pressemitteilung? Warum stellt der Autor Tomik die Relevanz so falsch dar, weiss er es nicht besser?
7. Seitens der Wirtschaft bzw. Analytics-Anwender sollte man sich die Frage stellen, ob die IP wirklich gebraucht wird. Nach meinem Verständnis – vielleicht liege ich da falsch – dient die statische IP nur der genaueren Geolocationserkennung. Eine vollständige IP ist für alle mir bekannten Webanalyse-Fälle nicht nötig. Wir wollen die Performance/KPIs der Site/von Seiten messen; dafür reicht ein Nutzersample mit Cookies. Warum wird hier nicht mal pragmatisch diskutiert und stattdessen eine Prinzipiendiskussion geführt?
Comment by Christoph Kappes — 11.01, 2011 @ 17:50
Wer im Glashaus sitzt…
Auf dem Webauftritt des hanseatischen DSB wird auch kräftig getrackt (14 cookies, 4 davon mit laner Laufzeit und ID): http://www.datenschutz-hamburg.de
Comment by Hmmm — 11.01, 2011 @ 18:52
Diese Datenschutzdiskussionen sind mir zuviel Politik und vor allem zu wenig fundiert. Aber man weiß ja, unter den Blinden ist der Einäugige König. Oh mein Gott – die IP wird übermittelt? Natürlich wird sie das. Das ist die Rücksendeadresse. Die zielgruppenorientierte Werbung wird ohnehin durch eine Kombination vieler Maßnahmen generiert. Aber das ist den Datenschützern in Deutschland wohl zu kompliziert.
Und wer Google Analytics ausschalten will, braucht keinen Firefox und keine Plugins. Ein Eintrag in die Hosts-Datei reicht.
127.0.0.1 http://www.google-analytics.com
127.0.0.1 google-analytics.com
Fertig.
gruß, Frank
Comment by Frank Schenk — 12.01, 2011 @ 11:51