- Google Analytics wertet die Nutzerdaten (insbesondere die vollständige IP-Adresse) des Besuchers einer Webseite auf Veranlassung, aber ohne Einflussmöglichkeit des Webseitenbe-treibers für eigene Zwecke aus. Hierin liegt ein Verstoß gegen § 13 Abs. 4 Nr. 2 Telemediengesetz (TMG) sowie gegen den datenschutzrechtlichen Zweckbindungsgrundsatz.
- Die Auswertung der Nutzerdaten erfolgt in den USA, wo nach Ansicht der europäischen Auf-sichtsbehörden kein angemessenes Datenschutzniveau herrscht. Zudem findet eine Zusammenführung von Bestands- und Nutzungsdaten statt, sodass die Erstellung personenbezogener Nutzerprofile möglich ist. Dieses Vorgehen ist gemäß § 15 Abs. 3 S. 3 TMG unzulässig bzw. bedarf einer ausdrücklichen Einwilligung des Betroffenen.
Auch der von Google vorgeschlagene Hinweis zum Datenschutz vermag diese Bedenken nicht zu beseitigen. Es fehlt dabei an einer wirksamen Einwilligung der Nutzer im Sinne des § 4a BDSG. Nur eine solche würde die datenschutzrechtlichen Bedenken ausräumen.
Der Düsseldorfer Kreis, die Vereinigung der obersten Datenschutzaufsichtsbehörden, sprach sich im Entschluss vom 26./27. September 2009 gegen jegliche Webtrackingtools (und damit unter anderem auch gegen Google Analytics) aus, die IP-Adressen ohne Zustimmung des jeweiligen betroffenen Besuchers speichern und verarbeiten.
In der Folgezeit hatte die Datenschutzaufsichtsbehörde in Schleswig-Holstein ein Unternehmen aufgefordert, den Einsatz von Google Analytics unverzüglich einzustellen und Google zur Löschung der so gewonnenen Daten aufzufordern. Sollte das Unternehmen dieser Forderung nicht nachkommen zog das ULD die Verhängung eines Bußgeldbescheides in Erwägung.
Google hat daraufhin einerseits ein Opt-Out-Browser-Plug-In entwickelt, mit dem die Datenerhebung durch Google Analytics verhindert werden kann. Das Plug-In ist seit Ende Mai verfügbar und soll mittels einer Opt-Out-Lösung die Speicherung der IP-Adresse durch Google Analytics unterbinden. Das Plug-In ist zunächst für die Browser Chrome, Firefox ab Version 3.0 und die Internet-Explorer 7 und 8 verfügbar.
Des Weiteren hat Google die Möglichkeit geschaffen, dass Webseitenbetreiber den Google Analytics Code erweitern können. Durch die Funktion „anonymizeIp()“ soll die IP-Adresse um die letzten 8 Bit (das entspricht den letzten drei Stellen) gekürzt werden. Durch diese Kürzung ist zwar eine gewisse Lokalisierung weiterhin möglich, nicht hingegen die Identifizierung des einzelnen Webseiten-Besuchers, da das IP-Adressenkürzel einer bestimmten Person nicht mehr zugeordnet werden kann. Insoweit wäre die anonymisierte IP-Adresse kein personenbezogenes Datum mehr. Durch eine wirksame Anonymisierung wäre der Einsatz von Google Analytics datenschutzrechtlich nicht mehr zu beanstanden.
Ob durch die Nachbesserungen der Einsatz von Google Analytics nunmehr datenschutzkonform ist, kann gegenwärtig nicht abschließend beurteilt werden. Insbesondere die Datenschutzaufsichtsbehörden haben zu den Veränderungen noch keine Stellung bezogen.
Problematisch ist weiterhin, dass das Plug-In gegenwärtig nur bei ausgewählten Browsern eingesetzt werden kann und beim Nutzer Kenntnisse vorausgesetzt werden, um eine Datenübermittlung zu verhindern.
Etwas anderes gilt für die Funktion „anonymizeIp()“. Diese setzt weder ein Handeln des Webseitenbesuchers voraus noch einen bestimmten Browsertyp. Ob die Funktion jedoch geeignet ist, jegliche Übertragung von personenbezogenen Daten zu verhindern kann nicht abschließend beurteilt werden. Probleme bestehen ferner noch im Hinblick auf die Nutzungsbedingungen von Google, insbesondere auf die dort vorgeschriebenen „Erklärung“, welche von Webseitenbetreibern veröffentlicht werden muss, die aber den neuen Änderungen noch nicht angepasst ist.
Bis zu einer eindeutigen Stellungnahme der Aufsichtsbehörden sollte der Einsatz von Google Analytics daher restriktiv gehandhabt werden.