Web Analytics nutzen

Wann immer es um die Speicherung von Nutzerinformationen geht, ist Datenschutz ein Thema. Denn für die Speicherung von personenbezogenen Daten gibt es in vielen Staaten einschränkende Gesetzte, welche beachtet werden müssen. Erschwerend dabei ist, dass die Vorgaben von Staat zu Staat sehr unterschiedlich sein können. Währenddem sich die Gesetzgebung in den USA wenig einschränkend bezüglich dem Schutz von persönlichen Informationen gibt, ist dies in Europa wesentlich restriktiver gehandhabt.

Der grösste gemeinsame Nenner länderübergreifend ist jedoch das Bestreben, dass jede Person darauf Einfluss haben kann, welche Daten über sie gespeichert werden. Dies prägt sich meist in einer expliziten Erlaubnis durch den Betroffenen zur Datenspeicherung und einer Einsichtmöglichkeit über z.B. bei einer Unternehmung gespeicherten personenbezogenen Daten aus. Gleichzeitig soll mit entsprechenden gesetzlichen Vorschriften einer Person die Mittel gegeben werden, auf Verlangen die Löschung seiner Daten zu bewirken.

Im Endeffekt bedeutet dies, dass sobald man personenbezogene Daten speichert, man in den Wirkungsbereich solcher Datenschutz-Gesetzte gelangen kann. Entscheidend bei den Betrachtungen ist das Wort »personenbezogen«. Das heisst dass erst Daten, welche einer natürlichen Person zugeordnet werden können, unter die Betrachtungen fallen. Unpersönliche oder anonymisierte Daten irgendwelcher Natur damit grundsätzlich nicht betroffen.

Für Web Analytics Systeme heisst dies Folgendes: Nutzungsdaten, welche im Rahmen von Web Analytics Betrachtungen gespeichert werden, können nun in gewissem Masse und in bestimmten Staaten von diesen Bestimmungen tangiert werden. Mit den handelsüblichen Web Analytics Sytemen werden zwar grundsätzlich keine personenbezogenen Daten gespeichert – zumal ist in entsprechenden Auswertungen keinen Ruckschluss auf das Surfverhalten von Herr Müller oder Frau Meier möglich. Vielmehr interessiert in den Auswertungen ja auch gesamtheitliche Betrachtungen wie z.B. die Anzahl (anonymer) Besucher einer Website. Speichert man nun aber zu einem Website-Besucher noch persönliche Informationen – beispielsweise wenn dieser ein Kontakt-Formular ausfüllt und darin seine Personalien angibt – gelangt man in den Wirkungsbereich der Datenschutzgesetzte. Auch wenn sich Website-Besucher in einen personalisierten Bereich einloggen können, ist eine solche Zuordnung von anaonymen Daten zu Personalien möglich.

Soweit lassen sich personenbezogenen Datenspeicherung und die Speicherung von Website Nutzungsdaten noch gut voneinander trennen. In der Umsetzung muss man so einfach beachten, dass sobald ein Besucher persönliche Daten preisgibt – zum Beispiel bei der Anmeldung für einen Service oder der Kontaktaufnahme über ein Formular – seine Einwilligung zur Abspeicherung der Daten gibt. Mit einer einfachen Check-Box, welche der Benutzer bestätigen muss und dadurch seine Einwilligung gibt, lässt sich so etwas realisieren. Wichtig dabei ist allerdings noch, dass dies nach dem sogenannten »Opt-in-Verfahren« passiert, d.h. der Benutzer muss die Checkbox selbständig auswählen. Eine vorausgewählte Checkbox, welche der Benutzer deaktivieren müsste, um seine Einwilligung zu unterbinden (»Opt-out-Verfahren«) ist nicht ausreichend um seinen Willen Kund zu tun.

Nun hat aber darüber hinaus die Rechtsprechung einiger Staaten – und dazu zählt beispeilsweise auch Deutschland – eine etwas unterschiedliche Auslegen dessen, was als personenbezogenes Datum gilt und was nicht. Konkret ist beispielsweise die IP-Adresse ein solcher Graubereich zwischen personenbezug und anonym. Im Prinzip ist dabei eine IP-Adresse unpersönlich, d.h. sie kann von einem Website-Betreiber nicht mit verhältnismässigem Aufwand einer Person zugeordnet werden. In gewissen Ausnahmefällen ist dies aber möglich. Beispielsweise dann, wenn ein privater Benutzer über eine DSL-Leitung verbunden ist,  dabei explizit eine fixe (statt dynamisch zugeordnete) IP-Adresse bezieht und dahinter eine eigene Website betreibt, deren URL er wiederum unter seinem Namen bei einer Domain-Registrierungsstelle angemeldet hat. Unter diesen Umständen ist es mit vertretbarem Aufwand und mit verhältnismässig hoher Treffgenauigkeit möglich, eine IP-Adresse einer natürlichen Person zuzuordnen.
Würde man nun aufgrund dieser oder ähnlicher Ausnahmefälle die IP-Adresse als personenbezogenes Datum auslegen, dürfte man IP-Adressen nicht ohne explizite Einwilligung des Nutzers speichern. Da Web Analytics Systeme jedoch genau dies im Normalfall tun – und je nach Verfahren ja sogar die IP-Adresse zwingend benötigen, um verscheidene Besucher voneinander unterscheiden zu können – ist ein gewisses Konfliktpotenzial vorhanden.

In Deutschland ist  genau diese Diskussion zur IP-Adresse im Zusammenhang mit dem Telemediengesetz (TMG) entfacht worden. Konkret geht es darum, dass das Landesgericht Berlin die Speicherung der IP-Adresse als nicht gesetzteskonform erklärt hat. Unbedingt lesenswert zu diesem Thema ist folgender Post vom Rechtsanwalt Carsten Ulbricht, der im Endeffekt aussagt, dass Google Analytics heute in Deutschland nicht gesetzteskonform eingesetzt werden kann. Klingt nach einem schlechten Witz - scheint aber mit der derzeitigen Rechtsprechung tatsächlich so zu sein. Dann würd ich doch mal die Herren Richter dazu auffordern, sich mit Materie und Hintergründen nochmals auseinanderzusetzen!