Ist Google Analytics illegal? Kaum eine Frage verunsichert die Internet-Gemeinde derzeit mehr. Da Google Analytics auf der Mehrheit der Seiten im Web zum Einsatz kommt, ist auch die Mehrheit direkt betroffen. Wie ist die aktuelle Rechtslage? Was kommt da gerade auf uns zu? Und warum soll Google Analytics überhaupt verboten werden? All dies soll im Folgenden ausführlich, möglichst verständlich und sachlich aufgearbeitet werden mit dem Ziel, der derzeit vielfach herrschenden Panik und Polemik etwas den Wind aus den Segeln zu nehmen.
Was macht Google Analytics aus Datenschutz-Sicht so “gefährlich”?
Ein wichtiger Hinweis vorab: Dieser Artikel versteht sich als Information auf Basis langjähriger Erfahrung in diesem Bereich. Ich bin kein Anwalt und auch nur Anwälte dürfen rechtsberatend tätig sein.
Bei Google Analytics handelt es sich um eine Web Controlling bzw. Web Analytics Software. Mit dieser Software kann man vereinfacht gesagt messen, welche Besucher wann was auf der eigenen Webseite gemacht haben, woher sie kommen und wohin sie gehen; negativ formuliert eine Big Brother Software. Da technisch dafür u.a. die IP Adresse (quasi die Telefonnummer des Rechners im Internet) notwendig ist, wird jede einzelne IP Adresse entsprechend erfasst, verarbeitet und gespeichert. Hätten der Webseitenbetreiber oder Google Analytics nun Zugriff auf die Datenbanken der Telefonanbieter, könnte man diesen IP-Adressen die jeweiligen Anschluss-Inhaber zuweisen.
Und hierin liegt das Problem: Für die Webseitenbetreiber oder Google Analytics wäre es in diesem Fall nicht mehr die anonyme IP-Adresse 123.456.789.12, die sich erst Seite 1, dann Seite 2 angesehen und schließlich Link 3 angeklickt hat, sondern Hans Müller aus der Petersbergerstr. 11 in 22085 Hamburg. Hätte Hans Müller dieser Erfassung nicht vorab ausdrücklich zugestimmt, wäre dies nach geltendem Recht illegal. Aber zur Rechtslage später mehr.
Warum ist gerade Google Analytics in der Branche so unbeliebt?
Bevor wir einen näheren Blick auf das Thema Datenschutz und die aktuelle Rechtslage werfen, ist es zum Verständnis des aktuellen medialen Hypes sinnvoll zu wissen, warum gerade Google Analytics so im Kreuzfeuer steht.
Stellen Sie sich einmal vor, in Ihrer Branche würde ein Mitbewerber seine qualitativ akzeptablen Produkte ab morgen auf Dauer verschenken. Zudem würde er sie stetig weiterentwickeln und somit für die Kunden attraktiv halten. Sie hätten wahrscheinlich ein Problem damit. Sie würden mit nennenswerten Umsatz- und Ertragseinbrüchen zu kämpfen haben. Ihre Produkt- und Vermarktungsstrategien müssten Sie grundlegend überarbeiten. Aber vor allem müssten Sie sich ständig von Ihren Kunden fragen lassen, warum sie denn bei Ihnen “noch” für Ihr Produkt bezahlen sollen, wo es das doch beim Mitbewerber gratis gebe.
Unrealistisch? Nicht unbedingt, denn Google hat genau dies in der Branche Web Controlling im Jahr 2006 mit seiner Software Google Analytics getan.
Nur ein Strohfeuer? Google Analytics hat sich in den letzten drei Jahren weltweit zum Marktführer in seiner Branche entwickelt. Alleine in Deutschland setzen es über 50% der nach IVW-Zählart Traffic-stärksten Webseiten ein, von den Millionen kleiner, oft privater Webseiten ganz zu schweigen.
Unfinanzierbar? Google Analytics ist für Google kein Selbstzweck. Google räumt sich bei Ihrer Anmeldung zu Google Analytics das Recht ein, die erhobenen Daten selbst nutzen zu dürfen. Damit verfügt Google weltweit milliardenfach über Datensätze zum Nutzerverhalten, die u.a. für die Verbesserung der Google Suche genutzt werden können. Jede Umfrage, jede Marktanalyse sieht dagegen alt aus.
Google dominiert somit den Markt des Web Controlling deutlich und lässt den Mitbewerbern in deren derzeitiger Aufstellung kaum Wachstumschancen.
Der Streit zwischen Google und den Verlagshäusern
Parallel dazu kämpft die Mehrheit unter den Verlagshäusern seit Jahren mit sinkenden Auflagenzahlen und wegbrechenden Werbeeinnahmen. Da man bislang keine nachhaltig tragfähigen Geschäftsmodelle zur Krisenbewältigung im Internet gefunden hat, wurde hier nach einem Sündenbock gesucht. Mit Google hatte man ihn im Internet gefunden, da Google mit seinem werbefinanzierten Nachrichtendienst Google News Geld verdient, aber den Verlagen kein Stück vom Kuchen abgeben will. Hintergrund ist hierbei, dass Google News ein Aggregator von Headlines aller relevanten Nachrichtenquellen ist und diese bei sich anzeigt. Die Nachricht selbst bleibt weiterhin nur bei der Nachrichtenquelle selbst zu sehen. Da Google News stark genutzt wird, verdient Google nicht nur Geld, sondern verschafft dadurch den Nachrichtenquellen bzw. zumeist Verlagshäusern auch -kostenlos- den Großteil ihrer Besucher auf ihren Webseiten.
Nahezu alle Web Controlling Mitbewerber sowie ein relevanter Teil der Verlagshäuser sind somit nicht gut auf Google zu sprechen und unterstützen zumindest nicht eine Versachlichung der Diskussion.
Wie ist die aktuelle Rechtslage zum Thema Datenschutz?
Doch nun zur aktuellen Rechtslage beim Datenschutz. Im Gegensatz zur allgemein vorherrschenden Panik und Polemik ist diese recht klar und verständlich. So heißt es im Bundesdatenschutzgesetz, dass personenbezogene Daten nur dann erhoben, verarbeitet und genutzt werden dürfen, wenn der Betroffene eingewilligt hat.
So klar die Rechtslage in Bezug auf personenbezogene Daten ist, so unklar ist sie bei deren Definition. So sind einige Datenschutzbeauftragte einiger Bundesländer der Auffassung, dass die IP Adresse ein personenbezogenes Datum sei. Dem schließen sich auch einige Landesgerichte an. Während die Schweiz dies sogar auf Bundesebene entsprechend juristisch festgestellt hat, liegt hierin bei uns in Deutschland noch das Problem. Solange es nur Meinungen einzelner Personen sowie Landesgerichtsurteile gibt und eine bundeseinheitliche Rechtsprechung fehlt, ist die IP Adresse nicht letztlich verbindlich als personenbezogenes Datum ansehbar.
Somit war und ist nach aktueller Rechtslage Google Analytics nicht illegal, da es keine personenbezogenen Daten erhebt, verarbeitet und nutzt.
Was bringt die Zukunft im Datenschutz?
Nach aktueller Rechtslage – dies muss besonders groß geschrieben werden. Denn es kündigen sich Veränderungen an. Betrachtet man die schon erwähnte Schweiz, die schon bundeseinheitlich die IP Adresse als personenbezogen definiert hat, betrachtet man die Datenschutzbeauftragten der Bundesländer, die in diesselbe Richtung drängen und betrachtet man die EU, die in Bezug auf den Datenschutz erst kürzlich den Zugriff auf Daten von Nutzerechnern nur mit Einwilligung desselben als zulässig erklärt hat, so wird eine klare restriktive Richtung deutlich. Man sollte somit darauf vorbereitet sein, dass über kurz oder lang die IP Adresse auch in Deutschland höchstrichterlich als personenbezogen festgestellt wird.
Was bedeutet das für Google Analytics?
Google hat im Mai 2010 reagiert und zwei Lösungen bereit gestellt. Zum einen hat Google die Code-Zeile _gat._anonymizeIp(); zur Verfügung gestellt, die dem Google Analytics Code ergänzend hinzugefügt werden kann. Dadurch wird die IP Adresse bei der Erhebung anonymisiert. Sollte nun die IP Adresse irgendwann als personenbezogenes Datum definiert werden, wäre dies durch diese proaktive Code Ergänzung kein rechtliches Problem mehr.
Zum anderen hat Google ein Opt-Out-Plugin für den Browser zur Verfügung gestellt. Jeder Internetnutzer, der dieses Plugin mit wenigen Klicks installiert, ist dann für Google Analytics unsichtbar, da das Plugin den Google Analytics Code ausschaltet.
Google Analytics zeigt somit, dass man sich die Web Controlling Marktführerschaft in Deutschland und den großen Erkenntnisgewinn aus den Google Analytics Daten nicht nehmen lassen will.
Problematisch wird es aber in Bezug auf die kommende Datenschutz Richtlinie der EU. Diese muss bis Juni 2011 von den Mitgliedsländern in geltendes Recht umgesetzt werden. Hierin wird u.a. vorgeschrieben, dass man nur mit Einwilligung des Nutzers auf Daten dessen Rechners zugreifen darf. Dies betrifft auch Web Controlling Anbieter, da diese häufig mit Cookies arbeiten, Plugin-Installationen auslesen oder auch Bildschirm-Auflösungen erfassen. Natürlich kann Google seine Software Google Analytics um die entsprechenden Informationen entschlacken. Die wahrscheinlichere Lösung ist jedoch, dass sich auf lange Sicht ein “Einverständnis-Fenster” etablieren wird, analog zum AGB-Einverständnis bei Bestellprozessen.
Wie sollten Sie sich als Webseitenbetreiber nun verhalten?
Zuallererst einmal Ruhe bewahren. Wie beschrieben gibt es unzählige “Adressen”, die einem Hochkochen der Thematik durchaus nicht abgeneigt gegenüber stehen.
Außerdem sollten Sie sich die grundsätzliche Frage stellen, ob Sie von Web Controlling Erkenntnissen profitieren können. Dies ist beispielsweise der Fall, wenn Sie im Internet ein Produkt und/oder Dienstleitung verkaufen oder auf Ihrer Webseite Werbung schalten. Andernfalls können Sie auch einfach auf Web Controlling und Google Analytics verzichten. Auf der sicheren Seite sind Sie aber erst, wenn Sie die komplette IP-Erfassung Ihrer Webseite deaktivieren, z.B. auch den bei den meisten Webseiten aktiven Webalizer. Hier ist Ihr Webseiten-Betreiber der richtige Ansprechpartner.
Brauchen Sie eine Web Controlling Software, dann sollten Sie diese nüchtern nach Ihren Zielen auswählen. Je nach Ihren Anforderungen kann dies Google Analytics sein. In einigen Anforderungsfällen muss aber auch über eine kostenpflichtige Lösung nachgedacht werden, oder aber eine Lösung in Betracht gezogen werden, die auf dem eigenen Server installiert wird. Aber auch hier sollte immer nur nach den Zielen entschieden werden. Denn ob die IP Adresse oder andere personenbezogenen Daten von Google, von einem Mitbewerber oder von Ihnen auf Ihrem Server erhoben werden, wäre künftig wohl in allen Fällen illegal.
Sie suchen ein Google Analytics Seminar oder brauchen einen Berater?
Hier finden Sie Informationen zu meinem regelmäßigen Google Analytics Seminar in München und meinen Web Controlling Seminaren bundesweit. Wenn Sie Unterstützung bei Ihrem individuellen Google Analytics brauchen, stehe ich Ihnen gern beratend zur Seite. Ich freue mich auf Ihre Kontaktaufnahme.
Weitere Beiträge zum Thema:
Beim letzten Punkt sollte man nicht vergessen, daß die meisten Webserver in der Standardeinstellung ein LogFile aller Zugriffe erstellen. Hier wird ebenfalls – neben einigen anderen Daten – die IP-Adresse dokumentiert und dauerhaft auf dem Server gespeichert.
Wenn man da also ganz ohne IP-Speicherung davonkommen will, bedarf es einer Umkonfiguration der Serversoftware.
Naja, Google Analytics war mit schon immer unheimlich. Im Grunde gebe ich mit der Software alles über meine Seite preis und in die Hände von Google. Daher habe ich mich für einige Zeit für den OpenSource Tracker Piwik entscheiden. Noch gewiss kein vollwertiger Ersatz für Analytics, aber schon auf dem guten Wege dahin. Die OpenSource Gemeinde wird mit diesem Tracker über kurz oder lang eine echte Alternative schaffen. Einziges Manko, jedenfalls für die kleinen Webseite, Piwik muss über eine eigene mySQL Datenbank installiert werden. Analytics ist da schneller eingebunden…
Mutige Überschrift, die sicher nicht als Rechtsberatung zu sehen ist
Stimmt, der Knackpunkt ist die IP und ob diese eine Personbesogenes Datum ist. Wie gesagt, dies ist noch nicht abschließend geklärt.
Sollte es irgendwann mal definitiv ein personenbezogenes Datum werden darf man es nicht an dritte (bspw. google) weiter geben.
Klar ist, GA ist super gemacht leicht einzubinden und stellt einen echten Mehrwert für die Seite dar, bezahlt wird dies mit den Daten der Seitenbesucher was ich nicht allzu schlimm finde, denn wenn sich jemand im Internet aufhält sollte er wissen das er solche Spuren hinterläßt, und bei nicht gefallen sollte er sich aktiv davor schützen können (hier fehlt es meiner Meinung nach aber an Sinnvollen anwenderfreundlichen, perfomanten und günstigen Lösungen).
Sehr mutige Überschrift, die sehr wohl Rechtsberatung sein kann, da nicht ausdrücklick daraufhingwiesen wir, dass es sich darum nicht handelt (oder etwas überlesen?)
@Marco: Stimmt. Die IP Adresse komplett NICHT zu erheben ohne Einwilligung VORAB, dürfte für die meisten Webseitenbetreiber ein schwieriges Unterfangen werden.
@Piwik Nutzer: Ich bin auch ein Piwik-Fan. Jedoch sollte jedem klar sein, dass Piwik auch die IP Adresse erhebt und speichert, und somit in Bezug auf die potentiell kommende Rechtslage nicht minder problematisch ist.
@nico: Sollte die IP Adresse höchstrichterlich ein personenbezogenes Datum werden, ist die Weitergabe der Daten nicht das erste Problem, sondern schon die Erhebung ohne Einwilligung. Vollkommen unerheblich, ob dies dann von einem selbst (z.B. Webalizer, Logfiles,…), von einem serverseitigen Programm (z.B. Piwik), von einem kostenlosen externen Programm (z.B. Google Analytics) oder auch von einem der vielen kostenpflichtigen Mitbewerber erfolgt.
@Herbert Peck: Rechtsberatung kann m.M. nach nur von Rechtsanwälten & Co. erfolgen. Das bin ich (leider) nicht
Auch darf Rechtsberatung meines Wissens nach auch nicht so einfach und kostenfrei in einem Blog erfolgen, insofern wäre dies auch formal überhaupt nicht möglich. Es handelt sich selbstverständlich bei allen Informationen hier um freie Meinungsäußerungen, die m. M. nach nicht als diese gesondert zu kennzeichnen sind. Trotzdem steht im Impressum aber seit Anbeginn dieser Site ein Haftungsausschluss, der dies sicherheitshalber nochmal erläutert.
Was hierbei nicht vergessen werden sollte und was sicherlich auch dazu beiträgt, dass insbesondere Google Analytics ins Visier genommen wurde: Was macht Google selber mit den gesammelten Daten? Wie verwendet Google die gespeicherte IP und wie wird diese in Zusammenhang mit anderen Daten, die ebenfalls von Google gesammelt werden, in Verbindung gebracht? (Auch wenn die Reduzierung allein auf die IP meines Erachtens Blödsinn ist, da es noch weitaus mehr Methoden gibt, die Nutzer eindeutig zu identifizieren und die verschiedenen Datenquellen zusammenzuführen… zudem hinterlassen die Menschen an vielen anderen Stellen weitaus mehr Daten, oder hat sich schon mal jemand Gedanken darüber gemacht, was es heisst eine Kundenkarte für einen Drpgeriemarkt o.ä zu haben?). Die mit Google Analytics erhobenen Daten gehören in diesem Falle aber tatsächlich Google und nicht dem Webseitenbetreiber, der das GA-Tag eingebaut hat… Verschiedene Toolanbieter dagegen haben hier einen entsprechenden Passus im Vertrag, der besagt, dass die erhobenen Daten dem Kunden gehören. Ich denke, dass die Diskussion hierzu erst begonnen hat und wir dazu noch einiges in der Zukunft erwarten dürfen.
@Matthias: Stimmt, die Diskussion steht noch ziemlich am Anfang, da noch kaum jemand die Tragweite der aktuellen IP- und Cookie-Diskussion wirklich erfasst. Und sollte das Thema Datenschutz im Internet einmal wirklich sinnvoll, schlagkräftig und nachhaltig realisiert werden, so bedarf es größtenteils vollkommen neuer Lösungen, rechtlich wie technisch. Die derzeit diskutierten Wege tragen jedenfalls kaum dem aktuellen Stand der Technik, den Anforderungen der Marktteilnehmer und den Usability-Bedürfnissen der User Rechnung.
ZITAT: [...] ein LogFile aller Zugriffe erstellen. Hier wird ebenfalls – neben einigen anderen Daten – die IP-Adresse dokumentiert und dauerhaft auf dem Server gespeichert. [...]
Ich frage mich nur, wie soll ich dann in Zukunft Hacker oder andere Angriffe auf meinen Systemen verhindern oder verfolgen? Ist es dann illegal per BotSentry oder Fail2Ban meine Logfiles auszuwerten um entsprechende Angriffe zu stoppen? Irgendwie finde ich da die Gesetzeslage etwas kontraproduktiv. Ich brauche doch gerade diese IP um bei Verletzung meiner Privatsphäre oder das Ausnutzen von Sicherheitslöchern durch Hacker oder BruteForce-Programme Anzeige erstatten zu können, oder nicht?
@ Patrick Kracht: Das ist leider häufig das Problem bei neuer Gesetzgebung: Man hofft ein Problem zu lösen, und schafft dadurch gleichzeitig 10 neue. Es wird langfristig mit Sicherheit neue Mittel und Wege geben (müssen), um den beschriebenen Szenarien Herr zu werden. Kurz- und mittelfristig rechne ich aber mit einigen “Reibungsverlusten”, bei denen auch einige übers Ziel hinaus geschossene Datenschützer auf den Boden der Tatsachen zurück geholt werden. Fairerweise sollte man aber auch letztlich vom Gesetzgeber nicht verlangen, die Problematik im Sinne aller betreffenden Parteien zu verstehen und zu lösen, wenn diese dies zum großen Teil selbst nicht tun, trotz fachlicher Expertise.