Vielen Dank für Ihre Anfrage!
Poste den ersten Kommentar

In letzter Zeit wurde heiß über Google Analytics und die Datenschutzproblematiken diskutiert. Viele Webmaster stellten sich sicherlich die Frage, ob Sie den Google Analytics Code ausbauen sollen oder nicht.

Muss mit einer Abmahnung bei eingebautem Google Analytics Code gerechnet werden? Wo liegt eigentlich die Problematik? Sind IPs personenbezogene Daten? Reicht es aus, die Verwendung von Google Analytics mit in den Datenschutzbestimmungen aufzunehmen? Wo liegt der Unterschied zwischen den Logs eines Webservers und der Protokollierung durch Google Analytics? All diese Fragen hat uns freundlicherweise die Rechtsanwältin Carola Sieling in Form eines Interviews beantwortet.

Vorstellung der Kanzlei

Die Rechtsanwaltskanzlei Sieling (www.kanzlei-sieling.de) ist eine kleine, dafür aber hoch spezialisierte Kanzlei mit dem Schwerpunkt IT-Recht. Nach der Kanzleigründung im Jahre 2006 in Paderborn ist unsere Kanzlei nunmehr auch mit einem Standort in Hamburg seit Mitte 2008 vertreten. Die Kanzleigründerin, Carola Sieling, ist Rechtsanwältin und Fachanwältin für IT-Recht und seit Ende 2008 als Lehrbeauftragte für das Fach IT-Recht an der FH Flensburg tätig.

Worin liegt die Problematik in Bezug auf datenschutzrechtliche Vorschriften bei Google Analytics?

Google erhebt laut ihrer Bedingungen die IP- Adresse der Nutzer und speichert sie auf Servern in den USA. Der Webseiteninhaber erhält allerdings nicht die von dem Statistik Tool Google Analytics erhobenen IP- Adressen. Laut der Vorschriften des Telemediengesetzes ist die Erstellung von Nutzerprofilen nur zulässig, wenn der Nutzer vor der Erstellung zugestimmt hat und vor Beginn des Nutzungsvorgangs auf sein Widerspruchsrecht hingewiesen wurde. Diese Vorschrift wird von den Webseitenbetreibern so gut wie nicht eingehalten. Der Nutzer wird – auch nicht bei der Verwendung des Datenschutzhinweises, der sich aus den Nutzungsbedingungen von Google Analytics ergibt – auf sein Widerspruchsrecht hingewiesen. Weiterhin handelt es sich hier um den klassischen Fall der Auftragsdatenverarbeitung im Sinne von § 11 Bundesdatenschutzgesetz, welcher im Rahmen der letzten Novellierung zum 01.09.2009 weitere Verschärfungen erfahren hat. Aus datenschutzrechtlicher Sicht ist umstritten und auch problematisch, ob es sich bei der IP- Adresse um ein personenbezogenes Datum handelt.

Gibt es zu diesem Zeitpunkt bereits abgeschlossene Urteile, welche bestätigen, dass der Einsatz von Google Analytics ohne vorherige Genehmigung durch den Nutzer illegal ist oder reicht es momentan noch aus, in den Datenschutzbestimmungen auf die Verwendung von Google Analytics und deren Datenbehandlung hinzuweisen?

Unter Datenschützern ist der Dienst aus den vorgenannten Gründen und der unterschiedlichen Beurteilung des Datenschutzes aus europäischer und amerikanischer Sicht problematisiert worden. Grundsätzlich ist es so, dass der Datenschutz von den Webseitenbetreibern eingehalten werden muss, Abmahnungen diesbezüglich sind mir jedoch nicht bekannt. Das die Datenschutzbestimmungen unwirksam sein können und rechtliche Folgen nach sich ziehen können, haben Verfahren bereits gezeigt, in denen Datenschutzbestimmungen einzelner Webseitenbetreiber bereits als unwirksam bzw. unlauter beurteilt worden sind. Explizit auf den Fall Google Analytics ist mir jedoch kein Fall bekannt.

Aktuelle Webserver, wie beispielsweise der Apache-Webserver, speichern standardmäßig in Logfiles unter anderem auch die IP- Adresse des Besuchers. Wäre dies ebenfalls bedenklich, wenn der Webserver vielleicht sogar zudem noch im Ausland steht?

Das kommt insbesondere darauf an, ob die IP- Adresse als personenbezogenes Datum qualifiziert wird. Dies ist wie gesagt umstritten. Das Amtsgericht München hat im Jahre 2008 entschieden, dass dynamische IP- Adressen für den Betreiber mangels Bestimmbarkeit der hinter dieser IP- Adresse stehenden Personen grundsätzlich keine personenbezogene Daten darstellen. Das Amtsgericht Berlin Mitte hatte zuvor jedoch die Ansicht vertreten, dass die IP Adresse aufgrund der bloßen Bestimmbarkeit des Anschlussinhabers wegen der theoretischen Möglichkeit also der Zusammenführung von geloggten Verbindungsdaten mit Adressdaten des Anschlussinhabers ein personenbezogenes Datum sei. Bei der Übermittlung von Daten wird insbesondere zwischen sogenannten Drittstaaten und anderen Staaten unterschieden. Bei Drittstaaten handelt es sich um solche, die nach der hiesigen Auffassung nicht den europäischen Datenschutzstandards angepasst haben und stellen aus datenschutzrechtlicher Sicht ein größeres Risiko dar.

Können wir Ihnen helfen?Wir beantworten gerne Ihre Fragen!

* bei diesen Eingaben handelt es sich um Pflichtfelder

Steigt die Vorfreude auf's Wochenende?Zukünftig kostenlose Newsletter unserer Experten erhalten!

  • Wir teilen unser Know-how mit Ihnen
  • Kostenlose Inhalte
  • Tipps & Tricks zu Marketing, Design & E-Commerce

Meinungen zum Artikel

Hinterlassen Sie einen Kommentar

Unsere Kunden-Referenzen Mehr als 15 Jahre Expertise in unterschiedlichen Branchen

BIHome Logo
Stadt Paderborn Logo
DieboldNixdorf Logo
H&M Logo
Naturstein Risse Logo
KRENZ Autohaus und Werkstatt Logo
Schaefers Fussboden Logo
Casada healthcare Logo
StadtwerkeBielefeld Logo
testsiegertarife Logo
Uni-Paderborn Logo
Zecher Logo