„Google Analytics ist ein Webanalyse-Tool, mit dessen Hilfe Website-Inhaber die Interaktion der Besucher mit ihren Websites analysieren können.“
(Quelle: Google Inc., http://www.google.com/intl/de/analytics/privacyoverview.html, Stand: 28.10.2013)
So ähnlich könnten Sie sich als Betreiber einer Website das Nutzungsverhalten Ihrer Besucher aufzeichnen lassen. Zugriffsmuster, Klickverhalten, Auffinden Ihrer Website auf Suchmaschinen, geografische Herkunft Ihrer Besucher, Verweildauer – ein gesamtes Nutzerprofil eines Besuchers kann durch Google Analytics ausgewertet werden – für Sie als Website-Betreiber ein optimales Mittel, um die Bedürfnisse der Website-Besucher zu filtern und Ihre Website an diese anzupassen.
Dass man damit Google Analytics einen Zugang zu personenbezogenen Informationen der Besucher ermöglicht, liegt auf der Hand. Aber die Gefahr, dabei allgemeine Persönlichkeitsrechte zu verletzen und gegen Datenschutzbestimmungen zu verstoßen, ist groß und die juristischen Konsequenzen können sehr kostspielig sein. Ein Website-Betreiber muss mit Abmahnungen von Besuchern seiner Website oder sogar von Wettbewerbern rechnen. Abmahngebühren zwischen 500 und 1500 Euro sind hierbei nicht selten. Ebenso drohen Bußgelder durch die Datenschutzbehörden.
Die gute Nachricht: die Nutzung von Google Analytics lässt sich mittlerweile rechtssicher gestalten. Datenschützer und Google haben sich auf ein Vorgehen bei der Nutzung von Google Analytics geeinigt. Wenn Sie als Website-Betreiber dieses Vorgehen einhalten, können Sie Google Analytics sicher nutzen.
Dennoch – die Vorgaben der Datenschützer bringen einen großen juristischen Aufwand mit sich. Vom Abschluss eines sogenannten Vertrags zur Auftragsdatenverarbeitung bis zu penibel ausgearbeiteten Datenschutzbestimmungen auf Ihrer Website sind es noch einige Schritte bis zur rechtssicheren Nutzung von Google Analytics. Lesen Sie hier, welche Vorgaben erfüllt werden müssen.
Haben Sie diese Vorgaben nicht eingehalten und bereits eine Abmahnung bekommen oder droht Ihnen eine Abmahnung? Auch dann sind Sie nicht machtlos – in vielen Fällen werden Abmahnungen zu Unrecht ausgesprochen.
Abmahnungen von Besuchern Ihrer Website stützen sich darauf, dass der Einsatz von Google Analytics sogenannte personenbezogene Daten verwendet und damit das allgemeine Persönlichkeitsrecht des Besuchers verletzt; nämlich dadurch, dass gegen Bestimmungen aus dem Bundesdatenschutzgesetz und aus dem Telemediengesetz verstoßen wird. Eine Abmahnung eines Wettbewerbers wird sich darauf stützen, dass Sie sich durch die Missachtung von Datenschutzbestimmungen einen Wettbewerbsvorteil verschaffen wollen.
Streitpunkt Nr. 1 – die IP-Adresse:
In beiden Situationen stellt sich die große Frage, ob tatsächlich Datenschutzbestimmungen verletzt werden. Der Streitpunkt betrifft in erster Linie die IP-Adresse. Die IP-Adresse wird einem bestimmten Gerät zugewiesen und ist für die Internetnutzung unumgänglich. Sie stellt sicher, dass die vom Nutzer abgerufenen Daten diesen auch tatsächlich erreichen, ähnlich wie eine Telefonnummer sicherstellt, dass der richtige Gesprächspartner erreicht wird. Durch die IP-Adresse kann der Ort des Internetzugangs und somit der Besucher lokalisiert werden. Bei Aufruf Ihrer Website erfährt Google Analytics die IP–Adresse des Besuchers, wird über den Ort des Internetzugangs des Besuchers in Kenntnis gesetzt und kann diese Information für die Auswertungen und Statistiken speichern und nutzen.
Für die Datenschützer ist diese Übermittlung der IP-Adresse an Google Analytics und die Speicherung ein Verstoß gegen §§ 3, 4 Bundesdatenschutzgesetz (BDSG) und §§ 12, 15 Telemediengesetz (TMG). Denn sogenannte „personenbezogene Daten“ werden ohne Einwilligung des Betroffenen erhoben und verwendet. „Personenbezogene Daten“ sind gemäß § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
Diese dürfen nach § 4 Abs. 1 BDSG und § 12 Abs. 1 TMG nicht ohne die Einwilligung des Betroffenen erhoben werden, es sei denn, eine Rechtsvorschrift erlaubt die Erhebung ausdrücklich. Eine derartige Ausnahme steht in § 15 TMG. Nach § 15 Abs. 3 TMG „dürfen Nutzungsprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien bei Verwendung von Pseudonymen erstellt werden, sofern der Nutzer dem nicht widerspricht und der Nutzer auf sein Widerspruchsrecht hingewiesen wird“.
Nach § 15 Abs. 4 TMG „darf der Diensteanbieter Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten)“. Problematisch wird es dann, wenn diese Voraussetzungen nicht vorliegen und es auch an der Einwilligung des Nutzers fehlt – wovon auszugehen ist, da der Einsatz von Google Analytics für den Nutzer in der Regel nicht ohne Weiteres sichtbar ist.
Doch gehört die IP-Adresse überhaupt zu den „personenbezogenen Daten“?
Hier ist sich die Rechtsprechung uneinig. Einige Gerichte stellen sich auf den Standpunkt, dass die IP-Adresse nicht ausreiche, um den Nutzer zu identifizieren. Zwar könne der Anschlussinhaber ermittelt werden – der muss aber nicht zwangsläufig mit dem Nutzer identisch sein; insofern stelle die IP-Adresse keinen Personenbezug zum Nutzer her. Die gegenteilige Auffassung vertritt das AG Berlin, wonach dieser Personenbezug zwischen IP-Adresse und Nutzer dann vorliege, wenn mit Hilfe Dritter und ohne großen Aufwand in den der Internetnutzer aufgrund seiner IP-Adressen identifiziert werden kann (Quelle: AG Berlin, Urteil vom 27.3.2007 – 5 C 314/06).
Die Auffassung vom Amtsgericht Berlin ist allerdings durch das Landgericht Berlin revidiert worden. Das Landgericht differenziert danach, ob es sich um eine dynamische IP-Adresse handelt. Dynamische IP-Adressen werden vom Access-Provider bei jeder Einwahl in das Internet neu vergeben. So tritt auch der Nutzer bei jeder erneuten Interneteinwahl unter einer anderen Adresse auf.
Werden die dynamischen IP-Adressen dann ohne den zugehörigen Zeitpunkts des Zugriff gespeichert, handelt es sich nach Ansicht des Landgerichts eben nicht um ein personenbezogenes Datum im Sinne von §§ 3 BDSG und § 12 TMG. Selbst, wenn der zugehörige Zeitpunkt des Zugriffs gespeichert wird, ist die IP-Adresse nur dann personenbezogen, wenn dem Anbieter die Bestimmung der Person des Nutzers technisch und rechtlich möglich ist, z.B. weil der Nutzer in einem Formular auf der Webseite Klarnamen oder E-Mail-Adresse angegeben hat (Quelle: LG Berlin, Urteil vom 31.1.2013 – 57 S 87/08).
Der Streitpunkt IP-Adresse ist höchstrichterlich in der Form noch nicht entschieden worden. Insofern gibt es nach wie vor Rechtsunsicherheiten. Die Tendenz geht dahin, IP-Adressen als personenbezogene Daten anzusehen, wobei die Differenzierung zwischen dynamischen und statischen IP-Adressen zunehmend wohl auch eine größere Rolle spielen wird.
Streitpunkt Nr. 2 – Wettbewerbsvorteil wegen Datenschutzverstoß?
Darf ein Wettbewerber Sie wegen der unsachgemäßen Verwendung von Google Analytics und damit einer Verletzung von Datenschutzbestimmungen abmahnen?
Ein Wettbewerber darf grundsätzlich nur wegen unlauterer geschäftlicher Handlungen abmahnen, die den Wettbewerb verfälschen. Nun könnte man sich – wie einige Gerichte dies tun – auf den Standpunkt stellen, das Datenschutzrecht schütze die Bürger und nicht den Wettbewerb(er). Andere Gerichte sehen den Verstoß gegen das Bundesdatenschutzgesetz zumindest dann als eine unlautere Handlung gemäß § 4 Nr. 11 UWG an, wenn personenbezogenen Daten für die Zwecke der Verkaufsförderung, insbesondere der Werbung, erhoben, verarbeitet und genutzt werden (z.B. OLG Karlsruhe, Urteil vom 9.5.2012 – Az. 6 U 38/11).
Eine Abmahnung wegen Datenschutzverstößen, die begangen worden sind, um sich einen Wettbewerbsvorteil zu verschaffen, wird man daher wohl als rechtmäßig ansehen müssen. Aber ist das auch beim Einsatz von Google Analytics der Fall? Das hieße womöglich, dass der Verwender von Google Analytics bewusst die Datenschutzbestimmungen missachtet hat, um den Besucher auf seine Website zu locken und nicht auf die des Wettbewerbers, um mehr über seine Besucher zu erfahren? Das erscheint doch eher abwegig. Eine richtungsweisende höchstrichterliche Entscheidung gibt es hierzu (noch) nicht. Es lohnt sich daher, eine Abmahnung eines Wettbewerbers anwaltlich prüfen zu lassen – es spricht einiges für ihre Unrechtmäßigkeit.
Streitpunkt Nr. 3 – Wie hoch dürfen die Abmahngebühren eigentlich sein?
Die Abmahngebühren – eigentlich die Rechtsanwaltskosten der gegnerischen Partei für ihr Tätigwerden – richten sich nach dem Streitwert. Doch was ist eine Verletzung der Datenschutzbestimmungen durch den Einsatz von Google Analytics überhaupt wert? Und was darf sich der gegnerische Rechtsanwalt an Aufwand berechnen – hat er sich doch möglicherweise lediglich den Sachverhalt vom Betroffenen angehört und das Abmahnschreiben verfasst. Hier gilt es, die konkrete Abmahnung genau zu prüfen, um überhöhte Forderungen abzuwenden.
Schritt für Schritt zu einer rechtssicheren Anwendung von Google Analytics:
2011 wurde ein Verfahren zwischen den Datenschützern und Google abgestimmt, welches einen den deutschen Datenschutzbestimmungen entsprechenden Einsatz von Google Analytics gewährleistet. Nicht nur Google, sondern auch Sie als Website-Betreiber sind aufgefordert, diese Vorgaben einzuhalten. Bevor Sie Google Analytics verwenden wollen, müssen daher Schritt für Schritt folgende Verfahrensschritte vorgenommen werden: (Quelle: Verfahrensschritte sind angelehnt an die „Hinweise für Website-Betreiber“ durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Stand: März 2013)
- Vor dem Einsatz von Google Analytics schließen Sie mit Google einen Vertrag zur Auftragsdatenverarbeitung ab. Durch die Verwendung von Google Analytics beauftragen Sie nämlich Google, die gewünschten Analysen Ihrer Website durch diesen Service vorzunehmen. Sie sind also Auftraggeber und als solcher haben Sie nach § 11 BDSG die Pflicht, den Auftrag schriftlich in Form eines Vertrags mit Ihrem Auftragnehmer – hier Google Inc. – abzuschließen. Einen vorbereiteten Text dieses Vertrags finden Sie hier. Der Text ist mit den Datenschutzaufsichtsbehörden abgestimmt und sollte daher unverändert verwendet werden.
- Die Datenschutzerklärung Ihrer Website muss angepasst werden. Sie müssen den Besuchern erklären, dass Sie Google Analytics verwenden und wie es funktioniert. Insbesondere aber müssen Sie Ihre Besucher darauf hinweisen, dass Google Analytics personenbezogene Daten verarbeitet und dass den Besuchern ein Widerspruchsrecht gegen die Erfassung durch Google Analytics zusteht. Dafür bietet Google ein Deaktivierungs-Add-on für die gängigen Browser. Gemeinsam mit dem Widerspruchsrecht sollte auch auf das Deaktivierungs-Add-on hingewiesen und idealerweise mit der entsprechenden Seite von Google Analytics verlinkt werden.
(Quelle: Verfahrensschritte sind angelehnt an die „Hinweise für Website-Betreiber“ durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Stand: März 2013)