Für viele Online-Händler ist es nicht mehr wegzudenken, die Besucher ihres Shops zu tracken. Oftmals bedient man sich dabei Google Analytics. Dabei muss jedoch beachtet werden, dass an die rechtssichere Verwendung dieses Tools bestimmte rechtliche Voraussetzungen geknüpft sind. So haben beispielsweise die deutschen Datenschutzbehörden nach dem jüngst vom Europäischen Gerichtshof ausgesprochenen Urteil zur Verwendung von Cookies klar und deutlich darauf hingewiesen, dass insbesondere Google Analytics nur mit der rechtskonformen Einwilligung des Betroffenen verwendet werden darf.
Selbst wenn diese eingeholt wird, ist damit aber noch nicht alles getan: Sowohl die Datenschutzbehörden als auch die Rechtsprechung sehen einhellig die Anonymisierung der IP-Adresse des Besuchers als essentiell für die rechtskonforme Nutzung an.
Nutzung von Analytics ist datenschutzrechtlich bedenklich
Von Haus aus wird die IP-Adresse des getrackten Seitenbesuchers durch Google Analytics an das Unternehmen Google übermittelt. Das ist problematisch, weil IP-Adressen die dahinter stehende Person bzw. zumindest den Anschlussinhaber identifizierbar machen – sie sind personenbezogen. Entsprechend können Daten zusammengeführt und genutzt werden. Noch problematischer wird die Situation, wenn diese Daten dann in ein anderes Land übertragen werden, in dem ein anderes, geringeres Datenschutzniveau herrscht.
Für die Betroffenen stellt die Verarbeitung ohne Anonymisierung einen Eingriff in ihr allgemeines Persönlichkeitsrecht dar. Dieses umfasst auch das Recht auf informationelle Selbstbestimmung, was wiederum die Daten einer Person schützt.
Änderung des Codes nötig
Dass Betroffene möglicherweise selbst in ihrem Browser dafür sorgen können, dass die IP-Adresse anonymisiert wird, stellt das rechtskonforme Vorgehen von Händlern und Seitenbetreibern nicht sicher – so hat es etwa das Landgericht Dresden festgestellt (Urteil v. 11.01.2019 – AZ. 1a O 1582/18). Vielmehr ist es nötig, selbst entsprechende Änderungen am Quellcode des Tools vorzunehmen.
Der Zusatz im Quellcode „ga('set', 'anonymizeIp', true);“ sorgt dann dafür, dass die letzten 8 Bit der IP-Adresse gelöscht werden. Eine genaue Darstellung für Entwickler stellt Google hier zur Verfügung (englisch), technische Erläuterungen finden sich hier.
Kommentar schreiben