Newsbeitrag veröffentlicht am 30.07.2015




Abmahnrisiko: Google entdeckt Rechtsproblem bei Analytics



Cookies Analytics Rechtslage


Google fordert Nutzer von Analytics, AdSense und anderer Produkte auf, Maßnahmen zu ergreifen

Am 27.07.2015 versendete Google eine eMail. Darin werden Nutzer von Google-Produkten aufgefordert, die Einwilligung deren Nutzer einzuholen. Dies soll durch ein Tool geschehen, welches den Nutzern auf allen Seiten eingeblendet werden soll. Hier ein Original-Auszug dieser eMail: "Gemäß diesen Richtlinien müssen Sie die Zustimmung der Endnutzer in der EU einholen, wenn Sie Google-Produkte einsetzen und dabei Cookies und andere Daten gespeichert und abgerufen sowie Daten erfasst, weitergegeben und genutzt werden." Betroffen sind also alle Google-Produkte, auf die dieser Satz zutrifft. Beispielhaft genannt werden in der eMail zunächst Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange, auf cookiechoices.org (eine Seite auf der Google Hilfestellung zum Thema gibt) nennt Google zusätzlich Google Analytics, ein Produkt auf die der Satz oben ebenfalls zutrifft.

Die Richtlinie soll sobald wie möglich, spätestens aber bis 30.09.2015 umgesetzt werden.

Nutzungsdaten erfassen ist nach deutschem Recht erlaubt!

Bei der ganzen Diskussion soll doch zunächst einmal ausgesprochen werden (bevor wir im übernächsten Abschnitt zum konkreten Fall kommen), was tatsächlich aktuell deutsches Recht ist und wie der Gesetzgeber die Situation im Allgemeinen angedacht hat:
Es wird klar zwischen personenbezogenen Daten und Nutzungsdaten unterschieden.

Die Behandlung personenbezogene Daten, geregelt beispielsweise in §§ 12, 13 und 14 Telemediengesetz oder §§ 4 und 6 Bundesdatenschutzgesetz, unterliegen sehr strengen Auflagen.
So heißt es in § 13 TMG: "Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten." Die Einwilligung kann elektronisch erfolgen, unter Beachtung von § 13 Absatz 2. Dazu gehört u.a. dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat und diese auch protokolliert wird.

Nutzungsdaten hingegen unterliegen nicht diesen strengen Auflagen! Sie werden beispielsweise im § 15 Telemediengesetz behandelt. Hier steht in Absatz 3: "Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 TMG Abs. 1 hinzuweisen."

Der § 13 TMG, der ja die strengeren, personenbezogenen Regeln enthält, erhält durch diesen Verweis nicht plötzlich Anwendung auf Nutzungsdaten. Dies wird auch im Urteil des LG Frankfurt vom 18.02.2014 (Az 3-10 O 86/12, veröffentlicht von telemedicus.info) so gesehen, bei dem es um ein Tool für Webseiten-Analyse ging: "Eine Unterrichtung des Nutzers über Art, Umfang und Zweck der Erhebung und Verwendung von Daten und das Erfordernis einer Einwilligung zur Nutzung gemäß § 13 Absatz 1, Absatz 2 TMG ist nur erforderlich, soweit personenbezogene Daten betroffen sind."

Im Klartext: wer ausschließlich Nutzungsdaten erhebt, muss NICHT die Einwilligung des Nutzers zu Beginn des Nutzungsvorganges einholen. Er darf Nutzungsprofile erstellen und ausdrücklich Marktforschung damit betreiben, so lange kein Widerspruch vom Nutzer erfolgt ist. Ob es überhaupt notwendig ist bzw. ob es ausreichend ist, den Nutzer über sein Widerspruchsrecht bezüglich der Nutzungsdaten zu informieren, z. B. in der Datenschutzerklärung, ist in diesem Artikel nicht geklärt.

Soweit so gut, wenn es um die Cookies geht über die Google spricht, kommen aber zu dieser Betrachtung noch wichtige Aspekte hinzu. Nach einer Erwähnung der EU-Richtlinie im nächsten Abschnitt, werden wir diese Aspekte im übernächsten Abschnitt beleuchten.

Hier noch die EU-Richtlinie

Es wurde vom europäischen Parlament eine EU-Richtlinie geschaffen, welche ebenfalls das Thema Cookies aufgreift. Lt. Wikipedia muss diese allerdings von den einzelnen Mitgliedsstaaten in nationales Recht umgewandelt werden. D. h. es gilt immer das jeweils nationale Recht. Ob die aktuelle Gesetzeslage sich bereits mit der EU-Richtlinie deckt, wird diskutiert. Mehr zu diesem Thema finden Sie auch bei it-recht-kanzlei.de

Wenn Nutzungsdaten erlaubt sind, was ist dann überhaupt das Problem?

Im vorletzten Abschnitt haben wir nur darüber gesprochen, wie Nutzungsdaten und wie personenbezogene Daten zu behandeln sind. Nun gibt es aber zwischen diesen beiden klaren Fällen noch anonymisierte und pseudonymisierte Daten. Wenn ein Nutzer, der eine Webseite besucht hat, bei einem erneuten Besuch wieder erkannt werden kann, so geht das Urteil des LG Frankfurt nicht von einer Anonymisierung, sondern von einer Pseudonymisierung aus, bei der sowohl die umfangreicheren Rechte aus § 13 TMG gelten, wie auch die aus § 15 TMG.

Im Klartext: Wenn ein Nutzer, z. B. von einem Tool zur Webseiten-Analyse, bei einem erneuten Besuch wieder erkannt wird, so muss Information und Einwilligung schon zu Beginn der (ursprünglichen) Nutzung erfolgen, wie in § 13 TMG beschrieben. Das ist der Sinn, der auch hinter der eMail von Google steht.

Reicht es die Cookies zu unterbinden?

Die Cookies zu unterbinden reicht nicht. Wie im letzten Absatz festgestellt, hängt § 13 TMG mit seinen umfangreichen Auflagen nicht an IP-Adressen oder Cookies, sondern (unter anderem) daran, ob ein Nutzer wiedererkannt werden kann oder nicht. Lt. Urteil des LG Frankfurt ist eine Besuchererkennung mittels einer Heuristik möglich, welche Auflösung, verwendeten Browser, die verwendeten Plugins und das Betriebssystem berücksichtigen kann und durch eine mögliche Kombination zu einem Hashwert verrechnen kann. Es kann also auch ohne Cookies und trotz verkürzter IP-Adressen mit relativ hoher Wahrscheinlichkeit auf einen Nutzer rückgeschlossen werden. D. h. mit anderen Worten: ein Tool zur Analyse einer Webseite löst durch eine mögliche Identifizierung wiederkehrender Nutzer auch die umfangreichen Anforderungen aus § 13 TMG aus.

1. Mögliche Reaktion von Webseitenbetreibern

Es ist schon unschön auf eine Webseite zu kommen, die einen Nutzer zunächst mit der Einblendung von Datenschutzabfragen bombardiert, anstatt ihm sofort das zu liefern, was er eigentlich möchte. Auch zweifeln wir an dem Sinn dieser Maßnahme, die aus deutschem Recht zu resultieren scheint: wenn alle Webseiten nun mit dieser Funktion ausgestattet werden, was soll ein Nutzer dann anderes tun als das die Cookies zu akzeptieren? Würde er es nicht tun, würde er sich selbst aus großen Teilen der digitalen Welt ausgrenzen. Aber es gibt sie, diese Möglichkeit mittels eines der von Google vorgeschlagenen Tools die Nutzererlaubnis einzuholen. Ob dieser Rat ausreicht die komplette Rechtslage zum Thema auch wirklich zu erfüllen, ist in diesem Artikel nicht geklärt.

Google empfiehlt selbst folgende fünf Anbieter von Tools, mit denen eine Einblendung eines Hinweises erfolgen kann, der die Cookie-Problematik anspricht:


Einrichtung am Beispiel von SilkTide:
Die Einrichtung dauert etwa 5 Minuten und ist sehr einfach: auf der Website von SilkTide alles ausfüllen, den dort generierten Codeschnipsel auf allen Webseiten einbinden, fertig. Wenn Sie hierzu noch Unterstützung benötigen, schreiben Sie uns, siehe Kontakt oder hinterlassen Sie einen entsprechenden Kommentar.

Nachtrag: bei den Tools werden offenbar Codeschnipsel verwendet, die teilweise mit weiterem Code auf dem Server des jeweiligen Herstellers kommunizieren. Wir haben nicht geklärt, ob tatsächlich Daten übertragen werden und welche. Wer eine solche Lösung einsetzt, sollte mit dem Hersteller ebenfalls einen Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) abschließen.
Es wäre ein besserer Datenschutz gegeben, eine Lösung einzusetzen, die auf eigenen Servern läuft, bzw. eine Inhouse-Lösung.

Noch ein Hinweis: Wer die rechtlichen Punkte, die bei Analytics seit längerem bereits zum Standard geworden sind, noch nicht umsetzt, sollte dies natürlich nachholen. Dazu gehören beispielsweise ein eigener Menüpunkt für den Datenschutz, der entsprechend formulierte Abschnitt in der Datenschutzerklärung incl. Widerspruchsrecht, Opt-Out-Möglichkeit, der von beiden Seiten unterschriebene Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) mit Google und die damit verbundene Neuanlage des kompletten Accounts, die Anonymisierung der IP-Adresse im Codeschnipsel.

2. Mögliche Reaktion von Webseitenbetreibern

Sie haben keine Lust darauf, Ihre Leser bzw. Nutzer auf Ihrer Webseite mit diesen Einblendungen zu konfrontieren? Sehr verständlich! Und Sie werden es nicht glauben, aber mit einem gewissen Aufwand, gibt es vielleicht tatsächlich eine Alternative:
Entfernen Sie zunächst alle Produkte von Ihrer Webseite, die Cookies nutzen. Dazu gehören eben bestimmte Werbebanner und leider auch das verwendete Analytics Tool.

Vielleicht denke Sie sich nun, wie soll ich meine Webseite steuern und wissen was bei Nutzern gut ankommt und was nicht, wenn ich kein Analytics-Tool mehr einsetzen darf? Die Antwort auf diese Frage heißt Piwik. Aber das oben genannte Urteil des LG Frankfurt hat auch bei Piwik festgestellt, dass Nutzer wiedererkannt werden können. Daher ist einiges zu tun:

Piwik als Alternative zu Analytics?

Piwik ist in der Verbreitung in Deutschland auf Platz 2 unter den Tools für Webseitenanalyse und wurde lt. Wikipedia bereits 2,4 Millionen Mal heruntergeladen. Der Funktionsumfang ist niedriger als bei Google Analytics und die detaillierte Kartenansicht funktioniert nur unter Erfüllung von Auflagen eines angebotenen Drittanbieters.


Cookies Analytics Rechtslage Piwik

Screenshot von Piwik


Es hat einige Vorteile: es ist open source, kann auf ihrem eigenen Webserver exklusiv eingebunden werden, übermittelt keine Daten an andere Unternehmen und ermöglicht die Sperrung von Cookies (diese muss aber erst aktiv eingerichtet werden). Natürlich können auch die IP-Adressen anonymisiert werden. (Übrigens sollten Webseitenbetreiber versuchen, die Anonymisierung der IP-Adressen so nachvollziehbar und glaubwürdig wie möglich nachzuweisen, auch bei Google Analytics.)

Klingt toll, ist aber noch nicht ganz so toll. Denn auch hier können Nutzer mittels Hashwert (wie oben beschrieben) wiedererkannt werden. (Auch die anderen rechtlichen Punkte die bei der Verwendung von Google-Analytics längst zum Standard geworden sind wie oben beschrieben, sollten bei der Installation von Piwik beachtet werden.)

Aber Piwik ist open source und liegt auf Ihrem Server. Beauftragen Sie Ihren Programmierer damit, die Sammlung der Hashwerte und die Wiedererkennung der Nutzer zu unterbinden. Die Umprogrammierung darf nicht nur die GUI (=Graphical User Interface, bzw. die Graphische Oberfläche) betreffen, sondern den Kern incl. Datenbank, da es auch eine Mobile-App gibt die darauf zugreifen kann. Ob diese Änderung - zusammen mit allen oben genannten Maßnahmen - allen möglichen Eventualitäten vor Gericht stand hält, kann man natürlich nicht versprechen.

Piwik ist relativ mächtig in der Programmierung und hat etwa 65 MB auf dem Server, Daten noch nicht inbegriffen. Es ist also doch Zeit nötig, sich im Code etwas zurechtzufinden, die Änderung selbst dürfte vergleichsweise wenig Aufwand bereiten. Die Änderung sollte umfassend dokumentiert werden, um später gegebenenfalls vor Gericht nachgewiesen zu werden. Auch sollten Sie diese Veränderung in der Datenschutzerklärung klar zum Ausdruck bringen. Für die Änderung der Programmierung fallen Kosten an. Für größere Unternehmen dürfte sich das aber im Rahmen bewegen.

Bringt ein Analyse-Tool dann noch genug Informationen?

Wenn das Analyse-Tool nun um so viele Informationen reduziert wurde, stellt sich die Frage, was kann das Tool denn nun noch leisten? Viele Kennzahlen werden nicht mehr zu errechnen sein. Dazu z. B. die Unterscheidung zwischen neuem Nutzer oder wiederkehrendem Nutzer.

Aber viele wichtige Informationen können immer noch erzeugt werden. Denn PHP hat die Möglichkeit, die jeweils vorhergehende Webseite wie auch die aktuelle Webseite abzufragen. Allein dadurch sind bereits Aussagen über die Akquisition möglich. So können soziale Netzwerke, Backlinks und Google-Search als Traffic-Quellen ermittelt werden. Auch das Verhalten ist überprüfbar: Welche Seiten wurden wie stark besucht, welche Verzeichnisse lösen das stärkste Interesse aus, usw. Auf Basis dieser Zahlen lassen sich bereits einige wichtige Kennzahlen aufbauen und das alles völlig ohne die Daten, die für einen Hashwert zur Identifizierung nötig sind bzw. ohne die Identifizierung selbst.

Wer auf keine Informationen im Analyse-Tool verzichten will, dem steht die oben vorgeschlagene Möglichkeit 1 offen.

Wie reagieren Sie auf die Situation? Schreiben Sie Ihren Kommentar dazu (hier klicken für Sprung nach unten).

Newsletter:








Empfehlen Sie diesen Beitrag weiter: