Der Hamburger Datenschutzbeauftragte Johannes Caspar vertritt weiterhin die Ansicht, dass das Statistik-Tool Google Analytics nicht den Anforderungen des deutschen Datenschutzrechts genügt. Casper gibt an, er habe deshalb die Gespräche mit Google abgebrochen und wolle Bußgelder gegen Unternehmen verhängen, die Analytics weiterhin einsetzen und erwäge auch einen Musterprozess.
Google verweist demgegenüber darauf, dass man speziell nach den jüngsten Änderungen, also der Einführung des sog. IP-Masking und von Browser-Erweiterungen, die die Übermittlung von IP-Adressen an Google unterbinden sollen, den Forderungen des Düsseldorfer Kreises nachgekommen sei und man im übrigen auch die Rückmeldung von europäischen Datenschutzstellen hätte, dass Google Analytics den Vorgaben des EU-Datenschutzrechts entsprechen würde.
Dass der Hamburger Datenschutzbeauftragte die Ansicht aller deutschen Landesdatenschutzbehörden wiedergibt, darf bezweifelt werden. Mir liegt ein Schreiben des Bayerischen Landesamts für Datenschutzaufsicht aus dem Dezember 2010 vor, in dem bestätigt wird, dass mit dem Einsatz des IP-Masking eine der wesentlichen Forderungen der Datenschutzafsicht erfüllt wird und, dass man in diesem Fall gegen den Einsatz von Google Analytics keine Einwände mehr habe, sofern auf den Einsatz hingewiesen wird (§ 13 Abs. 1 TMG), dem Nutzer ein Widerspruchsrecht gegen die Erstellung von pseudonymen Nutzerprofilen eingeräumt wird (§ 15 Abs. 3 TMG) und hierauf ebenfalls hingewiesen wird.
Ich halte diese Einschätzung der bayerischen Aufsichtsbehörde auch noch für teilweise unzutreffend, weil beim Einsatz des IP-Masking keine pseudonymisierten Nutzerprofile erstellt werden, weshalb es bereits an den sachlichen Voraussetzungen für eine Anwendung von § 15 Abs. 3 TMG fehlt. Das Schreiben des Bayerischen Landesamts belegt aber andererseits, dass man dort – anders als im Hamburg – davon ausgeht, dass mithilfe der zusätzlichen Einbindung des Codes für das IP-Masking eine datenschutzkonforme Nutzung von Analytics möglich ist.
Es muss im übrigen darauf hingewiesen werden, dass weder der hanseatische Datenschutzbeauftragte noch der sog. Düsseldorfer Kreis über eine Deutungshoheit zum Datenschutz verfügt. Dort werden auch nur Rechtsansichten vertreten, die man nicht teilen muss. Letztlich ist es Sache der Gerichte, die Streitfragen zu klären.
Die Diskussion zeigt allerdings, dass das Datenschutzrecht dringend eine konkrete Regelung für Tracking-Technologien benötigt, damit sowohl die zahlreichen Nutzer derartiger Programme als auch deren Anbieter Rechtssicherheit erlangen. Google ist außerdem nicht der einzige Anbieter von Tracking-Technologie, stellt aber derzeit im Bereich des Datenschutzes bekanntlich so eine Art Prügelknabel dar.