Absatzwirtschaft

Wie sieht es mit dem Datenschutz beim meistgenutzten Web-Analyse-Tool Google Analytics aus?

Datenschutz und Google – zwei unvereinbare Gegensätze? Nicht zuletzt die aktuelle Diskussion um Google Streetview und ausgespähte WLAN-Netze scheinen diese These zu stützen. Vor allem aber auch im Bereich des Trackings von Internetseiten, der sogenannten Web-Analyse, spielt Google mit seiner kostenlosen Software Google Analytics eine gewichtige und datenschutzrechtlich kritische Rolle: So nutzen im deutschen Mittelstand rund 75 Prozent aller Unternehmen für Ihre Webseite eine Tracking-Software, knapp über 50 Prozent entfallen hierbei allein auf die Verwendung der Google Analytics-Software. (Quelle BMWi: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2009)
Autoren: Ralf Strehlau und Alexander Wagner

Was aber ist überhaupt die datenschutzrechtliche Grundproblematik bei Anbietern von Web-Analyse Software? Aktuell besteht in Deutschland keine eindeutige Rechtssicherheit über die Zulässigkeit der Speicherung von IP-Adressen, die bei der Web-Analyse gewonnen werden. Folgt man der Auffassung, dass IP-Adressen zu den personenbezogenen Daten eines Users gehören, so dürfen diese nicht ohne ausdrückliche Zustimmung des Users gespeichert werden, es sei denn, die Daten sind anonymisiert und werden nicht an Dritte weitergegeben. So sollten Unternehmen bei der Wahl ihres Web-Analyse Anbieters folgende Fragen beantworten oder stellen:

  • Werden die gewonnenen IP-Adressen gespeichert?
  • Werden diese anonymisiert und wenn ja zu welchem Zeitpunkt?
  • Gehören die Daten dem Betreiber der Webseite oder dem Software-Anbieter?
  • Werden die ermittelten Daten an Dritte weitergegeben?

(Quellen: Beschluss des Düsseldorfer Kreises vom 27.11.2009 sowie Gespräche mit der Behörde des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, Düsseldorf)

Insbesondere der Umgang von Google Analytics mit den letzen drei Punkten wurde bis vor kurzem von deutschen Datenschützern stark kritisiert. Es findet keine Anonymisierung der IP-Adressen statt, die Daten gehören Google selbst und außerdem behält es sich vor, die Nutzerdaten an aus Google Sicht vertrauenswürdige Unternehmen weiterzugeben.
Aufgrund der dauerhaften und massiven Kritik von Datenschützern bietet Google seit Ende Mai 2010 zwei neue Optionen an, die Google datenschutzrechtlich unbedenklicher erscheinen lassen:

Einerseits können IP-Adressen anonymisiert werden, bevor diese an Google weitergegeben werden. Dies geschieht jedoch nicht standardisiert sondern muss vom jeweiligen Webseitenbetreiber manuell eingestellt werden. Andererseits besteht für Internetnutzer die Möglichkeit, anhand eines vom User zu installierenden Browser Plug-Ins, das Tracking auf allen Internetseiten, die Google Analytics nutzen, künftig zu verhindern. Grundsätzlich können diese Optionen als erster ernster und im Kern begrüßenswerter Versuch von Google verstanden werden, sich den datenschutzrechtlichen Herausforderungen zu stellen und diese zu lösen. Jedoch muss sich Google auch daraus entstehender Kritik stellen: Der Verschiebung der Verantwortung für eine datenschutzkonforme Web-Analyse!

Durch die Möglichkeit der IP-Anonymisierung, welche die jeweiligen Webseitenbetreiber selbst initiieren müssen, liegt die Verantwortung ab jetzt bei eben diesen Webseitenbetreibern und nicht länger bei Google. Ähnlich verhält es sich auf der Seite von Internetnutzern. Installiert der User das Plug-In, wird er zukünftig nicht mehr von Google Analytics bei Webseitenbesuchen erfasst. Wird er von sich aus nicht aktiv oder nutzt er Browser wie z.B. Apples Safari, für die kein Plug-In vorhanden ist, so verstößt Google weiterhin gegen datenschutzrechtliche Anforderungen und sammelt ungehindert seine Daten. Beide neu angebotenen Optionen setzen Proaktivität voraus, allerdings auf Anwenderseite und nicht auf Seiten von Google.

Mit dem Angebot eines Browser Plug-Ins entsteht neben den weiterhin bestehenden datenschutzrechtlichen Bedenken bei der Google Analytics Nutzung noch ein weiteres ganz anderes Problem: Sollte das Plug-In Angebot unter den Internetnutzern eine relativ weite Verbreitung finden, was als wahrscheinlich gilt, so können Webseiten, die diese Analyse-Software nutzen Teile ihrer Webbesucher nicht mehr identifizieren. Das Tracking mit Google Analytics wird sicher nicht völlig wertlos, jedoch wird seine Aussagekraft bezüglich der gesammelten Daten erheblich geschmälert oder verzerrt.

Ein weiterer Kritikpunkt bleibt der Fakt, dass die mit der Analyse-Software gesammelten Daten weiterhin Google gehören und dieses sich vorbehält, die Daten nach eigenen Kriterien an Dritte weiterzugeben. Hierfür hat Google bisher keinerlei ernsthaften Verbesserungsvorschläge vorgelegt. Nutzen Sie für Ihre Unternehmenswebseite eine Web-Analyse Tool, unabhängig davon, ob es sich um Google Analytics oder andere verbreitete Analyse-Tools (wie z.B. etracker oder WiredMinds) handelt, so sollte zur Verhinderung von rechtlichen Schwierigkeiten eine eigene Datenschutz-Rubrik auf der Ihrer Webseite implementiert werden.

Diese sollte folgende Informationen zum Thema Tracking beinhalten:

  • Hinweis, dass auf der jeweiligen Webseite ein Tracking-Tool verwendet wird
  • Welche Daten getrackt werden
  • Wofür diese gesammelt werden
  • Ob und wann die Daten anonymisiert werden
  • Wie lange die erhobenen Daten gespeichert werden
  • Ob und an wen diese übermittelt werden
  • Möglichkeiten des Widerspruchs gegen das Tracking auf der Webseite

    • (Quellen: Beschluss des Düsseldorfer Kreises (27.11.2009) sowie Gespräche mit der Behörde des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, Düsseldorf)

    Ralf Strehlau ist Inhaber und Gründer der Anxo Managment Consulting in Düsseldorf, Alexander Wagner ist Senior-Berater