« Besuchererkennung mit Cookies - Sicherheitsüberlegungen | Start | Wie wähl ich das richtige Web Analytics System aus? »

04. April 08

Web Analytics und Datenschutz - Ist Google Analytics verboten?

Wann immer es um die Speicherung von Nutzerinformationen geht, ist Datenschutz ein Thema. Denn für die Speicherung von personenbezogenen Daten gibt es in vielen Staaten einschränkende Gesetzte, welche beachtet werden müssen. Erschwerend dabei ist, dass die Vorgaben von Staat zu Staat sehr unterschiedlich sein können. Währenddem sich die Gesetzgebung in den USA wenig einschränkend bezüglich dem Schutz von persönlichen Informationen gibt, ist dies in Europa wesentlich restriktiver gehandhabt.

Der grösste gemeinsame Nenner länderübergreifend ist jedoch das Bestreben, dass jede Person darauf Einfluss haben kann, welche Daten über sie gespeichert werden. Dies prägt sich meist in einer expliziten Erlaubnis durch den Betroffenen zur Datenspeicherung und einer Einsichtmöglichkeit über z.B. bei einer Unternehmung gespeicherten personenbezogenen Daten aus. Gleichzeitig soll mit entsprechenden gesetzlichen Vorschriften einer Person die Mittel gegeben werden, auf Verlangen die Löschung seiner Daten zu bewirken.

Im Endeffekt bedeutet dies, dass sobald man personenbezogene Daten speichert, man in den Wirkungsbereich solcher Datenschutz-Gesetzte gelangen kann. Entscheidend bei den Betrachtungen ist das Wort »personenbezogen«. Das heisst dass erst Daten, welche einer natürlichen Person zugeordnet werden können, unter die Betrachtungen fallen. Unpersönliche oder anonymisierte Daten irgendwelcher Natur damit grundsätzlich nicht betroffen.

Für Web Analytics Systeme heisst dies Folgendes: Nutzungsdaten, welche im Rahmen von Web Analytics Betrachtungen gespeichert werden, können nun in gewissem Masse und in bestimmten Staaten von diesen Bestimmungen tangiert werden. Mit den handelsüblichen Web Analytics Sytemen werden zwar grundsätzlich keine personenbezogenen Daten gespeichert – zumal ist in entsprechenden Auswertungen keinen Ruckschluss auf das Surfverhalten von Herr Müller oder Frau Meier möglich. Vielmehr interessiert in den Auswertungen ja auch gesamtheitliche Betrachtungen wie z.B. die Anzahl (anonymer) Besucher einer Website. Speichert man nun aber zu einem Website-Besucher noch persönliche Informationen – beispielsweise wenn dieser ein Kontakt-Formular ausfüllt und darin seine Personalien angibt – gelangt man in den Wirkungsbereich der Datenschutzgesetzte. Auch wenn sich Website-Besucher in einen personalisierten Bereich einloggen können, ist eine solche Zuordnung von anaonymen Daten zu Personalien möglich.

Soweit lassen sich personenbezogenen Datenspeicherung und die Speicherung von Website Nutzungsdaten noch gut voneinander trennen. In der Umsetzung muss man so einfach beachten, dass sobald ein Besucher persönliche Daten preisgibt – zum Beispiel bei der Anmeldung für einen Service oder der Kontaktaufnahme über ein Formular – seine Einwilligung zur Abspeicherung der Daten gibt. Mit einer einfachen Check-Box, welche der Benutzer bestätigen muss und dadurch seine Einwilligung gibt, lässt sich so etwas realisieren. Wichtig dabei ist allerdings noch, dass dies nach dem sogenannten »Opt-in-Verfahren« passiert, d.h. der Benutzer muss die Checkbox selbständig auswählen. Eine vorausgewählte Checkbox, welche der Benutzer deaktivieren müsste, um seine Einwilligung zu unterbinden (»Opt-out-Verfahren«) ist nicht ausreichend um seinen Willen Kund zu tun.

Nun hat aber darüber hinaus die Rechtsprechung einiger Staaten – und dazu zählt beispeilsweise auch Deutschland – eine etwas unterschiedliche Auslegen dessen, was als personenbezogenes Datum gilt und was nicht. Konkret ist beispielsweise die IP-Adresse ein solcher Graubereich zwischen personenbezug und anonym. Im Prinzip ist dabei eine IP-Adresse unpersönlich, d.h. sie kann von einem Website-Betreiber nicht mit verhältnismässigem Aufwand einer Person zugeordnet werden. In gewissen Ausnahmefällen ist dies aber möglich. Beispielsweise dann, wenn ein privater Benutzer über eine DSL-Leitung verbunden ist,  dabei explizit eine fixe (statt dynamisch zugeordnete) IP-Adresse bezieht und dahinter eine eigene Website betreibt, deren URL er wiederum unter seinem Namen bei einer Domain-Registrierungsstelle angemeldet hat. Unter diesen Umständen ist es mit vertretbarem Aufwand und mit verhältnismässig hoher Treffgenauigkeit möglich, eine IP-Adresse einer natürlichen Person zuzuordnen.
Würde man nun aufgrund dieser oder ähnlicher Ausnahmefälle die IP-Adresse als personenbezogenes Datum auslegen, dürfte man IP-Adressen nicht ohne explizite Einwilligung des Nutzers speichern. Da Web Analytics Systeme jedoch genau dies im Normalfall tun – und je nach Verfahren ja sogar die IP-Adresse zwingend benötigen, um verscheidene Besucher voneinander unterscheiden zu können – ist ein gewisses Konfliktpotenzial vorhanden.

In Deutschland ist  genau diese Diskussion zur IP-Adresse im Zusammenhang mit dem Telemediengesetz (TMG) entfacht worden. Konkret geht es darum, dass das Landesgericht Berlin die Speicherung der IP-Adresse als nicht gesetzteskonform erklärt hat. Unbedingt lesenswert zu diesem Thema ist folgender Post vom Rechtsanwalt Carsten Ulbricht, der im Endeffekt aussagt, dass Google Analytics heute in Deutschland nicht gesetzteskonform eingesetzt werden kann. Klingt nach einem schlechten Witz - scheint aber mit der derzeitigen Rechtsprechung tatsächlich so zu sein. Dann würd ich doch mal die Herren Richter dazu auffordern, sich mit Materie und Hintergründen nochmals auseinanderzusetzen!

TrackBack

TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/services/trackback/6a00e550582223883300e551bab63e8834

Listed below are links to weblogs that reference Web Analytics und Datenschutz - Ist Google Analytics verboten?:

Kommentare

Feed You can follow this conversation by subscribing to the comment feed for this post.

Laut dem Link von Timo Aden ist es nicht gesetzteswidrig bzw. illegal Google Analytics ein zu setzen.

Timo verweist da nur auf die Aussage des Bundesverbands Digitale Wirtschaft (BVDW) und nicht auf einen Gerichtsentscheid. Ob die IP-Adresse als personenbezogen gilt oder nicht (Gretchenfrage bei der Beantwortung ob Google Analytics legal oder illegal ist), dafür gibt es zwei gegenteilige Amtsgerichtsentscheide (Berlin Mitte und München), d.h. es wird zuerst ein übergeordnetes Gericht entscheiden müssen, was jetzt genau gilt. Eine sehr gute Beschreibung der aktuellen Situation durch einen Juristen findet sich überigens hier: http://www.shopbetreiber-blog.de/2009/07/16/reibt-sich-google-analytics-am-datenschutzrecht/

Hmm soll ich jetzt alles wieder löschen....

Post a comment.

If you have a TypeKey or TypePad account, please anmelden.


Über das Blog | Impressum | Nutzungsbedingungen | Ihren Besuch aufzeichnen [?]


Web Analyticson


Das Buch zum Blog:

  • Buch
    Details zum Buch Buch bei Amazon.de bestellen

Die App zum Blog:

  • iPhone App
    Download

Über den Autor

  • Marco Hassler ist Business Unit Manager und Partner beim IT- und Web-Dienstleister Namics.

    marco.hassler (at) gmail.com

Ethik Code

  • Web Analytics Association Code of Ethics

Twitter Updates

    Web Analytics Fotos

    Web Analytics Association

    • Web Analytics Association