In letzter Zeit wurde heiß über Google Analytics und die Datenschutzproblematiken diskutiert. Viele Webmaster stellten sich sicherlich die Frage, ob Sie den Google Analytics Code ausbauen sollen oder nicht.
Muss mit einer Abmahnung bei eingebautem Google Analytics Code gerechnet werden? Wo liegt eigentlich die Problematik? Sind IPs personenbezogene Daten? Reicht es aus, die Verwendung von Google Analytics mit in den Datenschutzbestimmungen aufzunehmen? Wo liegt der Unterschied zwischen den Logs eines Webservers und der Protokollierung durch Google Analytics? All diese Fragen hat uns freundlicherweise die Rechtsanwältin Carola Sieling in Form eines Interviews beantwortet.
Die Rechtsanwaltskanzlei Sieling (www.kanzlei-sieling.de) ist eine kleine, dafür aber hoch spezialisierte Kanzlei mit dem Schwerpunkt IT-Recht. Nach der Kanzleigründung im Jahre 2006 in Paderborn ist unsere Kanzlei nunmehr auch mit einem Standort in Hamburg seit Mitte 2008 vertreten. Die Kanzleigründerin, Carola Sieling, ist Rechtsanwältin und Fachanwältin für IT-Recht und seit Ende 2008 als Lehrbeauftragte für das Fach IT-Recht an der FH Flensburg tätig.
Google erhebt laut ihrer Bedingungen die IP- Adresse der Nutzer und speichert sie auf Servern in den USA. Der Webseiteninhaber erhält allerdings nicht die von dem Statistik Tool Google Analytics erhobenen IP- Adressen. Laut der Vorschriften des Telemediengesetzes ist die Erstellung von Nutzerprofilen nur zulässig, wenn der Nutzer vor der Erstellung zugestimmt hat und vor Beginn des Nutzungsvorgangs auf sein Widerspruchsrecht hingewiesen wurde. Diese Vorschrift wird von den Webseitenbetreibern so gut wie nicht eingehalten. Der Nutzer wird – auch nicht bei der Verwendung des Datenschutzhinweises, der sich aus den Nutzungsbedingungen von Google Analytics ergibt – auf sein Widerspruchsrecht hingewiesen. Weiterhin handelt es sich hier um den klassischen Fall der Auftragsdatenverarbeitung im Sinne von § 11 Bundesdatenschutzgesetz, welcher im Rahmen der letzten Novellierung zum 01.09.2009 weitere Verschärfungen erfahren hat. Aus datenschutzrechtlicher Sicht ist umstritten und auch problematisch, ob es sich bei der IP- Adresse um ein personenbezogenes Datum handelt.
Unter Datenschützern ist der Dienst aus den vorgenannten Gründen und der unterschiedlichen Beurteilung des Datenschutzes aus europäischer und amerikanischer Sicht problematisiert worden. Grundsätzlich ist es so, dass der Datenschutz von den Webseitenbetreibern eingehalten werden muss, Abmahnungen diesbezüglich sind mir jedoch nicht bekannt. Das die Datenschutzbestimmungen unwirksam sein können und rechtliche Folgen nach sich ziehen können, haben Verfahren bereits gezeigt, in denen Datenschutzbestimmungen einzelner Webseitenbetreiber bereits als unwirksam bzw. unlauter beurteilt worden sind. Explizit auf den Fall Google Analytics ist mir jedoch kein Fall bekannt.
Das kommt insbesondere darauf an, ob die IP- Adresse als personenbezogenes Datum qualifiziert wird. Dies ist wie gesagt umstritten. Das Amtsgericht München hat im Jahre 2008 entschieden, dass dynamische IP- Adressen für den Betreiber mangels Bestimmbarkeit der hinter dieser IP- Adresse stehenden Personen grundsätzlich keine personenbezogene Daten darstellen. Das Amtsgericht Berlin Mitte hatte zuvor jedoch die Ansicht vertreten, dass die IP Adresse aufgrund der bloßen Bestimmbarkeit des Anschlussinhabers wegen der theoretischen Möglichkeit also der Zusammenführung von geloggten Verbindungsdaten mit Adressdaten des Anschlussinhabers ein personenbezogenes Datum sei. Bei der Übermittlung von Daten wird insbesondere zwischen sogenannten Drittstaaten und anderen Staaten unterschieden. Bei Drittstaaten handelt es sich um solche, die nach der hiesigen Auffassung nicht den europäischen Datenschutzstandards angepasst haben und stellen aus datenschutzrechtlicher Sicht ein größeres Risiko dar.
Nachdem die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) nun in Kraft getreten ist, haben uns in Bezug auf das DSK-Positionspapier vom 26. April 2018 einige Geschäftspartner gefragt, ob der Einsatz von Google Analytics nun ausschließlich noch nach der Opt-In Methode (vorherige freiwillige Einwilligung) erlaubt sei. Diese Fragestellung wird in dem heutigen Beitrag unserer EU-DSGVO-Artikelreihe behandelt.
Weiterlesen
Neben den vielen kleineren Verbesserungen, die bereits in den letzten Wochen an unseren Online-Marketing-Tools auf Grund des regen Userfeedbacks durchgeführt wurden, möchten wir heute die soeben eingespielte Änderung beim Google Analytics Checker, der nunmehr auch den Google Tag Manager unterstützt, etwas näher beschreiben. Bisheriger Stand des Google Analytics Checker:
Weiterlesen
BGH Urteil: Einwilligung in die Speicherung von Cookies Die Internetbranche lebt von einer „gewissen Dynamik“, somit haben Unternehmen aktuell nicht nur dafür zu sorgen, dass die Warenwirtschafts- und/oder Shopsysteme ab kommenden Juli die richtigen Mehrwertsteuersätze berechnen, sondern mit dem BGH Cookie-Urteil I ZR 7/16 (Einwilligung in die Speicherung von Cookies) vom 28. Mai 2020, kommt […]
Weiterlesen
