…will der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar. Dies ist an sich nichts Neues, das ist letztlich eine seiner Aufgaben. Nun aber will er einem der größten Datensammler überhaupt an den Kragen: dem weltweit wohl am häufigsten eingesetzten Analyse-Tool für Webseiten Google Analytics.

Wird Google Analytics (GA), welches im Übrigen von Google kostenlos zur Verfügung gestellt wird, zur Analyse der Homepage eingesetzt, werden die verschiedensten Nutzerdaten der Besucher gespeichert. Unter anderem werden der verwendete Browser, die Uhrzeit des Besuches, die Dauer des Besuches und eben auch die IP-Adresse auf Server in den USA übertragen, dort gespeichert und ausgewertet. Dieses Verfahren halten alle deutschen Datenschutzbehörden für nicht gesetzeskonform.

Aus diesem Grunde hatte Caspar schon seit Monaten mit Google verhandelt und um Nachbesserung des Programmes gebeten. Daraufhin wurde zugesagt, die IP-Adressen zu verkürzen und dadurch zu anonymisieren. Auch wurden Erweiterungen für verschiedene Internetbrowser entwickelt, welche es zulassen, dass die Benutzer die Übertragung der IP-Adresse verhindern können. Da dies jedoch noch bei weitem nicht für alle Browser vorhanden ist, insbesondere nicht für die beliebten Browser Safari und Opera, und Google selbst eine Veränderungspflicht nicht einsehen mag, wurden die oben genannten Gespräche inzwischen abgebrochen.

Das rechtliche Problem besteht hier darin, dass laut dem Bundesdatenschutzgesetz (BDSG) personenbezogene Daten nur erhoben, gespeichert und verarbeitet werden dürfen, wenn der Betroffene hierin vorher ausdrücklich eingewillig hat. Die hier von GA gespeicherten IP-Adressen werden von der überwiegend herrschenden Meinung als so ein personenbezogenes Datum angesehen. Für eine Internetseite, auf der GA eingesetzt wird, heißt das, dass eigentlich eine Vorschaltseite angebracht sein müsste, auf welcher (ohne das GA auf diese Seite zugreifen kann) auf den Einsatz von GA hingewiesen wird und das Betreten der eigentlichen Homepage einer Einwilligung in die Speicherung der Daten gleichkomme.

In den Nutzungsbedingungen, welche von GA vorgeschrieben werden steht unter anderem, man solle in einer Datenschutzerklärung auf die Verwendung von GA hinweisen. Aber ist das wirklich ausreichend? Ich denke, nein. Denn ehe ich als Benutzer einer Seite diese Erklärung lese (wenn ich das denn überhaupt tue) sind meine Daten erfasst und gespeichert, ohne, dass ich etwas dagegen tun konnte.

Selbst wenn die Einwilligung in die Speicherung hier erfolgt, ist immer noch die Übertragung der Daten in die USA ein Verstoß gegen das BDSG, da die USA in Sachen Datenschutz als unsicheres Drittland gelten. Daraus folgt, dass jeder Nutzer von GA mit Google einen Vertrag über Auftragsdatenverarbeitung im Sinne des § 11 BDSG abschließen müsste, in welchem Google sehr detailliert darstellt, wie es gedenkt, den deutschen Datenschutzvorschriften entsprechen zu wollen. Darüber hinaus ist der Webseitenbetreiber verpflichtet, sich vor Ort von der Einhaltung der Vorschriften verpflichtet.

Aus diesem Grunde ist die Verwendung von GA auf einer Homepage ein Verstoß gegen das BDSG. Dies sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit so. Da man aber, so Caspar gegenüber der FAZ, gegen Google selbst keine Handhabe habe, erwäge man einen Musterprozess gegen ein größeres deutsches Unternehmen, welches GA einsetze. Sollte sich das Gericht dabei der Ansicht der Datenschützer anschließen, drohe ein empfindliches Bußgeld.

Fazit

Wenn Sie also auf Ihrer eigenen Homepage ein Analyse-Tool einsetzen wollen, um nachvollziehen zu können, wie diese von den Besuchern genutzt wird, verwenden Sie bitte eines, welches den Anforderungen des deutschen Rechts entspricht. Welche Möglichkeiten es in diesem Zusammenhang gibt, können wir Ihnen gern in einem persönlichen Gespräch erläutern.