Der Einsatz des auch bei Pressesprechern beliebten, gebührenfreien Marktforschungs- und Webanalyse-Tools „Google-Analytics“ sei nach Ansicht des Landesbeauftragten für den Datenschutz Rheinland-Pfalz in der gegenwärtigen rechtlichen und technischen Ausgestaltung nicht datenschutzkonform. Kern seiner Kritik ist die Übermittlung von vollständigen IP-Adressen an den US-Konzern, der verdächtigt wird, diese mit bei ihm vorhandenen Daten des Nutzers zusammenzuführen, der dagegen nicht widersprechen kann. Rechtlich ist die Situation aber weniger eindeutig, als die Datenschützer behaupten: Konflikte sind daher vorprogrammiert.
In den kürzlich vom Datenschutzbeauftragten Rheinland-Pfalz veröffentlichten Hinweisen zum Einsatz von Google Analytics bei Internet-Angeboten wird die Kritik im wesentlichen mit der Übermittlung von vollständigen IP-Adressen an das US-Unternehmen begründet: „Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist“.
Die Frage, ob IP-Adressen als personenbezogene Daten oder als Pseudonyme verstanden werden können, ist jedoch umstritten: Während der informelle Gesprächskreis der Datenschützer, der sog. „Düsseldorfer Kreis“ bereits seit geraumer Zeit eine sehr weitreichende Auffassung vertritt, dass IP-Adressen als „personenbeziehbare“ Daten gelten müssten und daher nicht als Pseudonyme verstanden werden können (So auch: AG Mitte Urteil. v. 27.3.2007 – 5 C 314/06), wurde dieses gerichtlich jedoch in der Vergangenheit auch schon anders beurteilt (AG München, Urteil vom 30. 9. 2008, Az. 133 C 5677/08).
Auch sonst erscheint die Auffassung des „Düsseldorfer Kreis“ als zu weitgehend, da letztlich jedes technische Datum auf eine Person bezogen werden kann, wenn alle Umstände der Kommunikation sowie die persönlichen Stammdaten bekannt sind.
Dieses ist jedoch ein theoretisches Problem. Entscheidend ist im vorliegenden Fall der Umstand, sich der konkrete Personenbezug nämlich nicht allein aus der Kenntnis der IP-Adresse herleiten lässt, sondern, dass es stets weiterer Angaben bedarf um die IP-Adresse auf eine bestimmte Person zurückzuführen. Da Google-Analytics ausschließlich die IP-Adressse des Webseiten Besuchers erhebt und – jedenfalls nach Angaben des Unternehmens – keine weiteren persönlichen Daten erhebt oder mit diesem Datum kombiniert, darf man davon ausgehen, dass die Auswertung auf Grund anonymer Daten erfolgt, da faktisch keine Möglichkeit besteht, den Bezug zu einer benennbaren Person (dem konkreten Besucher der Seite) herzustellen. Die Nutzung von Google Analytics in Deutschland ist dann aber nicht gesetzwidrig.
Beim Einsatz von Google Analytics oder ähnlichen Webanalyse Systemen, die IP-Adressen speichern, ist der Website-Betreiber aber in jedem Fall verpflichtet, einen entsprechenden Hinweis bezüglich der Erfassung und Nutzung der Daten auf der Webseite zu platzieren – da sich dieses aber auch schon aus den Nutzungsbedingungen von Google, sollte dieses nicht übersehen werden!
Fazit: Die Diskussion um die rechtliche Einordnung von IP-Adressen dürfte noch eine Weile andauern. Der von den Datenschutzbeauftragte verwendete Begriff der „personenbeziehbarkeit“ von IP-Adressen erweist sich bei näherer Betrachtung als „Kampfbegriff“ gegen Google und schießt über das (gerechtfertigte) Ziel hinaus, Google zu mehr datenschutzrechtlicher Transparenz zu zwingen. Wer es aus Web Analyse Sicht braucht, sollte Google Analytics deswegen noch nicht abschalten. Dennoch sollte sich Google um eine Lösung bemühen, damit nicht die Nutzer des Dienstes den Rechtsstreit austragen müssen, falls es tatsächlich zu ersten Bußgeldverfahren kommen sollte. Wer will, kann aber auch mit Diensten wie analytics-anonym selber die IP-Adresse vor Übermittlung an Gogle anonymisieren lassen.
Ich halte IP-Adressen nicht für personenbezogene Daten. Das erscheint mir realitätsfremd zu sein.
Das ist eine theoretische Diskussion die in mir nur die Sorge verstärkt, dass der Datenschutz in Deutschland heute völlig seine Aufgabe verkennt. Er ist in erster Linie dazu da die Bürger vor dem allmächtigen Staat zu schützen (der mittlerweile munter Datenbestände mit dem »unsicheren Drittstaat« USA austauscht!). Er soll nicht dem kleinen Websitebetreiber die Werkzeuge aus der Hand schlagen! IP’s personenbezogen 🙂 –> lächerlich!