Auch 2011 geht die Diskussion um die Datenschutzkonformität der meistverbreiteten Webtracking-Lösung Google Analytics weiter.
Ein Gastkommentar von Holger Tempel, Geschäftsführer von Webalytics.
Holger Tempel, Geschäftsführer von Webalytics
Für Agenturen und professionelle Shopbetreiber ist Webtracking ein wichtiges Instrument der täglichen Arbeit. Dabei dient der Einsatz von Webanalyse-Software vor allem dazu, Kundenwünsche und Inhalte möglichst optimal aufeinander abstimmen zu können. Die meisten Betreiber setzen dabei auf den Marktführer Google Analytics. Doch gerade auf Google haben es die Datenschützer – begründet oder unbegründet – abgesehen.
Schon 2009 umfangreiche Bedenken der Datenschützer
Im Januar 2009 bezweifelte das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) die grundsätzliche Vereinbarkeit von Google Analytics und dem deutschen Datenschutzrecht. Die Vorwürfe gegenüber Google Analytics betrafen insbesondere die Speicherung von IP-Adressen, die Übermittlung der Analysedaten an Server außerhalb der EU, die unzureichende Möglichkeit der Löschung der erhobenen Daten und die grundsätzliche Möglichkeit der Verkettung von Nutzerdaten zu einem umfassenden personalisierten Profil.
Aufwind bekam die Diskussion dann nochmals durch ein im November 2009 veröffentlichtes Statement des Düsseldorfer Kreises (ein Zusammenschluss von Datenschützern) zur datenschutzkonformen Ausgestaltung von Webanalyseverfahren. Auf der Grundlage des Telemediengesetzes forderte der Düsseldorfer Kreis die Einwilligung des Nutzers, am Webanalyse Verfahren teilzunehmen, vor Betreten der Webseite – das sogenannte Opt-in-Verfahren.
Erste Anpassungen von Google Analytics
Im Mai 2010 nahm Google zwei Anpassungen in Google Analytics vor und reagierte damit auf die Forderungen der Datenschützer. Betreiber konnten durch eine Anpassung im Tracking-Code ihrer Webseite die gesammelten IP-Adressen durch eine teilweise Maskierung anonymisieren. Dies bedeutet, dass jeweils der letzte Teil einer IP-Adresse unkenntlich gemacht wurde.
Desweiteren gestattete das von Google zu Verfügung gestellte Plug-in „Opt-out“ dem Webseiten-Besucher, die Erfassung von Nutzerdaten über ein sogenanntes Opt-out-Verfahren insgesamt zu unterbinden. Trotz der Nachbesserung von Google in Sachen Datenschutz blieb aber ein großer Teil der Forderungen des Düsseldorfer Kreises offen. Zum einen war das Plug-in für eine Vielzahl von Browsern, wie etwa Opera und Safari, gar nicht verfügbar. Und desweiteren stand noch die Frage der Übertragung von Nutzerdaten an Server außerhalb der EU im Raum.
Auch die Webseiten von Datenschützern nicht immer datenschutzkonform
Anfang des Jahres 2011 beklagte der Hamburger Datenschützer Prof. Dr. Johannes Caspar, in einem Interview mit der FAZ (Frankfurter Allgemeine Zeitung), dass Google „den Anforderungen der Datenschützer nicht entsprochen habe. Gleichzeitig drohte er mit Musterklagen und Bußgeldbescheiden. Weiterhin gab Caspar im Interview an, dass die Gespräche mit Google vorerst beendet seien.
Nur wenige Tage später musste die Webseite des Datenschützers dann vom Web genommen werden. Blogger fanden heraus, dass die Webseite von Caspar ebenfalls eine Webanalyse-Software (IVW) einsetzt. Diese, so der Vorwurf, speichere IP-Adressen der Nutzer und leite sie dann weiter.
Caspar reagierte auf die Vorwürfe und veranlasste, die Seite bei seinem Betreiber vom Netz zu nehmen. Unabhängig davon ist im Google Blog „Conversion Room“ zu lesen, dass die Gespräche mit den Datenschützern durchaus weitergeführt würden, derzeit aber keine Bußgelder gegen den Einsatz von Google Analytics geplant seien.
Recht vs. technische Realität
Auf Seiten von Technikexperten und Webmarketingprofis sorgen die Argumente der Datenschützer teilweise für Schmunzeln. Webalytics bemängelt die derzeitige Diskrepanz zwischen Gesetzgebung und tatsächlichem Nutzen. Das Argument des Personenbezuges von IP-Adressen sei in Zeiten von dynamischen IPs und dem Einsatz von Routern mit NAT (Network Address Translation) aus technischer Sicht nur schwer nachvollziehbar.
Zum einen, weil die eigentliche IP-Adresse des individuellen Besuchers einer Webseite hinter einem Router gar nicht sichtbar ist. Zum anderen ist in Deutschland die Feststellung der Person anhand einer IP-Adresse nur durch einen Richterbeschluss möglich. Allein deshalb sei auch die Forderung zur manuellen Löschung von Nutzerdaten innerhalb von sechs Monaten technisch gar nicht umsetzbar. Denn dann müsste der Nutzer eine Liste mit mehreren hundert dynamischen IP-Adressen, inklusive der Zugriffzeiten, zusammen mit seinem Antrag auf Löschung einsenden. Und diese müssten dann den jeweiligen Seitenaufrufen zugeordnet werden. Praktisch also kein gangbarer Weg.
Abmahnungen und Bußgelder drohen
Trotzdem rät das Gros der auf Internetrecht spezialisierten Rechtsanwälte unter Hinweis auf das Telemediengesetz und die Äußerungen aus Reihen der Datenschützer momentan von Google Analytics ab. Es könnten Bußgelder und Abmahnungen drohen, auch wenn die Rechtslage nicht hundertprozentig eindeutig sei. Unternehmen, die weiterhin Google Analytics einsetzen möchten, sei die Konsultation eines spezialisieren Anwalts zu empfehlen.
Auch Webalytics empfiehlt Unternehmen, sich hinsichtlich einer datenschutzkonformen Lösung beraten zu lassen. Es gibt eine Vielzahl von Möglichkeiten, datenschutzkonforme Webanalyse zu betreiben. Unternehmen könnten Lösungen einsetzen, die sämtliche Forderungen des Datenschutzes erfüllen, so etwa Urchin from Google, das kostenpflichtige Pendant zu Google Analytics.
Das Spektrum reicht von kostenfrei bis hin zu serverbasierenden, internen Lösungen. Wichtig ist die eingehende Beratung. Ich gehe davon aus, dass erst eine Entscheidung des Europäischen Gerichtshofs zum Thema Datenschutz und Webanalyse endgültige Rechtsicherheit bringen wird.
(Hinweis: Diese Meinungsäußerung stellt keine Meinungsäußerung der Redaktion dar. )
