Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)