Webanalyse-Tools und der Datenschutz

von Til Pörksen, Rechtsanwalt und Fachanwalt für IT-Recht

10.08.2011

Die Verwendung von Analyse-Tools für Webseiten oder andere Internet-basierte Anwendungen (z.B. Google AnaIytics, Flurry, Piwik etc.) ist weit verbreitet, um Informationen über das Verhalten der jeweiligen Nutzer zu erhalten bzw. um die Anwendung und Nutzerführung zu verbessern. Allerdings begegnet die Verwendung solcher Dienste datenschutzrechtlichen Bedenken. Es werden nach herrschender Ansicht insbesondere mit der (vollständigen) IP-Adresse personenbezogene Daten gesammelt, ohne dass abschließend erkennbar würde, von wem, wo und zu welchen Zwecken die Daten genutzt werden können. Oder aber die Verwendung der Daten erfolgt unter Außerachtlassung der datenschutzrechtlichen Vorgaben für die Weitergabe der Daten an Dritte durch den Dienstleister als sog. verantwortliche Stelle.

Der Düsseldorfer Kreis, ein informeller Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat bereits im November 2009 einen Kriterienkatalog für den aus seiner Sicht datenschutzkonformen Einsatz von Webanalyse-Tools definiert. Diese Grundsätze dürften aber auch für solche Analyse-Tools Anwendung finden, die nicht Web-, doch aber Internet-basiert sind (z.B. Apps etc.). Der Beschluss hat für sich genommen keine rechtliche Wirkung gegenüber den Nutzern der Analyse-Tools, dient aber den Datenschutzbehörden als verbindliche Richtlinie zur Beurteilung der Rechtmäßigkeit des Einsatzes eines Analyse-Tools. Dementsprechend wird auf dieser Basis festgelegt, ob aufsichtsrechtliche Maßnahmen (z.B. Verbotsverfügungen oder Bußgelder) getroffen werden.

Die vom Düsseldorfer Kreis herausgegebene Checkliste soll es Anbietern ermöglichen, Analyse-Tools in rechtmäßiger Weise anzubieten. Die Checkliste soll daher im Folgenden näher dargestellt werden.

Hinweispflicht,
d.h. auf die Erstellung von pseudonymen Nutzungsprofilen müssen Sie als Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.

Widerspruchsmöglichkeit,
d.h. den Nutzern ist eine Möglichkeit einzuräumen, der Erstellung von Nutzungsprofilen zu widersprechen. Auf die Möglichkeit zum Widerspruch ist in deutlicher Form im Rahmen der Datenschutzerklärung hinzuweisen. Etwaige Widersprüche müssen zudem (selbstverständlich) wirksam umgesetzt werden.

Trennungsgebot

Die pseudonymisierten Daten der Nutzer dürfen nicht mit Daten des betroffenen Nutzers wieder zusammengeführt werden. Dieses Trennungsgebot ist durch entsprechende technische Maßnahmen sicherzustellen. Sie müssen zudem gelöscht werden, wenn die Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer die Löschung verlangt. Eine dauerhafte Aufbewahrung der Daten ist also nicht zulässig.

Einwilligungserfordernis
In der Stellungnahme des Düsseldorfer Kreises wird zudem darauf hingewiesen, dass die Erhebung und Verwendung von personenbezogenen Daten ohne Einwilligung des Nutzers nur dann zulässig ist, soweit dies für die Inanspruchnahme des Internetangebots bzw. für Abrechnungszwecke erforderlich ist. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.

Keine Verarbeitung vollständiger IP-Adressen (ohne Einwilligung)
Vollständige IP-Adressen dürfen nach Ansicht der Aufsichtsbehörden aufgrund ihres Personenbezugs nur mit ausdrücklicher Einwilligung des Betroffenen zur Analyse des Nutzungsverhaltens verwendet werden. Ohne eine solche Einwilligung dürfen nur verkürzte IP-Adressen zur Webanalyse verwendet werden.

Auftragsdatenverarbeitung (Erstellung der Webanalyse durch Dritte)
Beauftragen Sie einen Dritten mit der Erstellung der pseudonymen Nutzungsprofile, haben Sie darüber hinaus die Vorgaben des § 11 BDSG zur Auftragsdatenverarbeitung
einzuhalten. Danach ist insbesondere eine entsprechende Vereinbarung mit dem Anbieter der Webanalyse abzuschließen.


Beraterhinweis:
Derzeit nur wenige der am Markt vorhandenden Webanalyse-Tools die vorstehenden Voraussetzungen. Da Sie als Anbieter der Onlineplattform für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich sind, sollten Sie schon in Ihrem eigenen Interesse eine Prüfung des Tools vornehmen (lassen).

Für Nutzer von Google Analytics hat sich die Situation inzwischen verbessert. S. Beitrag hier. Dennoch darf nicht übersehen werden, dass der Nutzer des Tools und nicht Google für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist. D.h., der Webseitenbetreiber muss einer Reihe von Pflichten nachkommen, die hier näher beschrieben sind.