Neue Web-Tracking-Tools

Inwieweit ist Googles Universal Analytics mit deutschem Datenschutzrecht vereinbar?

Fabian Winters ist Rechtsanwalt in der Kanzlei Lexton Rechtsanwälte in Berlin.
Dr. Kevin Max von Holleben ist Fachanwalt für Informationstechnologierecht bei Lexton Rechtsanwälte in Berlin.
Nach "Google Analytics" läutet Google mit "Universal Analytics" die nächste Generation der Web-Tracking-Tools ein. Doch aus juristischer Perspektive gibt es Einiges, was Unternehmen vor dem Einsatz der Software wissen sollten.

Werbetreibende freuen sich über die umfassenden Analysemöglichkeiten, die Universal Analytics verspricht: Anders als bei der Vorgängersoftware kann nun das Nutzerverhalten einzelner Website-Besucher geräteübergreifend ausgewertet werden. Zudem ist erstmals eine Erfassung von Einkäufen abseits des Internets möglich. Doch stellt sich die Frage, ob das Tool überhaupt mit dem deutschen Datenschutzrecht vereinbar ist.

Foto: Google

Funktionsweise von Universal Analytics

Um das zu verdeutlichen, soll hier kurz die Funktionsweise des Tools berschrieben werden: Universal Analytics vereint verschiedene Funktionen miteinander.

  • Zunächst werden - wie bei Google Analytics - Cookies eingesetzt. Besucht ein Internet-Nutzer eine Website, die Universal Analytics einsetzt, wird ein Cookie mit einer Client-ID auf dem verwendeten Endgerät des Nutzers abgelegt. So lässt sich das Gerät wiedererkennen, wenn die Website von dort aus erneut aufgerufen wird. Die Technologie hat per se einen Nachteil: Bei einer ausschließlich gerätebasierenden Analyse lässt sich nicht erkennen, ob etwa verschiedene Nutzer dasselbe Endgerät verwenden. Genauso wenig ist erfassbar, ob ein Nutzer dieselbe Website mittels verschiedener Endgeräte (per Smartphone, Laptop, Tablet etc.) besucht hat. Darüber hinaus lassen viele Nutzer mittels Browser-Einstellungen mittlerweile keine Cookies mehr zu.

  • Um eine geräteübergreifende Analyse zu ermöglichen, verwendet Universal Analytics neben den gerätespezifischen Client-IDs auch nutzerspezifische User-IDs ein. Hierfür ist es erforderlich, dass sich der konkrete Nutzer identifizieren lässt. Das ist unter anderem dann möglich, wenn Website-Betreiber einen personalisierten Bereich anbieten, der eine Authentisierung erfordert.Loggt sich ein Nutzer mit seinen Zugangsdaten in einen solchen Bereich ein, ist der Website-Betreiber in der Lage, dem Nutzer eine eindeutige User-ID zuzuweisen. Die gespeicherte User-ID wird im Zusammenhang mit Universal Analytics als Pseudonym genutzt. Website-Besuche und Interaktionen des Nutzers werden zusammen mit der User-ID via Universal Analytics an Google weitergegeben und dort zu Profilen verknüpft. Schließlich stellt Google die Nutzungsprofile dem Website-Betreiber in aggregierter Form wieder zur Verfügung.

  • Hat der Website-Betreiber darüber hinaus auch Ladengeschäfte, so lässt sich unter Umständen auch das Offline-Einkaufsverhalten der User-ID zuordnen. Dies ist beispielsweise dann möglich, wenn ein Kunde mit User-ID für seinen Einkauf in einem Ladengeschäft des Website-Betreibers eine individualisierte Kunden- oder Bonuskarte einsetzt.

Rechtliche Einordnung der Datenschutzbehörden

Schon im Zusammenhang mit Google Analytics hatten Datenschützer den Einsatz von Cookies zum Teil heftig kritisiert: Es sei ungewiss, was mit den gespeicherten (personenbezogenen) Daten geschehe, so hieß es immer wieder. Zudem hätten die betroffenen Website-Nutzer in eine Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten ja nicht eingewilligt.

Letztlich stimmte jedoch die datenschutzrechtliche Aufsichtsbehörde in Hamburg, genannt "Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit", im Dialog mit der in der Hansestadt ansässigen Vertriebsgesellschaft von Google ein Vorgehen ab, das nach Einschätzung der Behörde auch ohne Einwilligung der Betroffenen einen datenschutzrechtlich zulässigen Einsatz von Google Analytics ermöglicht (http://bit.ly/1mMt6ug).

Die Landesdatenschutzbeauftragten der anderen Bundesländer haben sich an dieser Einschätzung orientiert. In der Praxis hat es sich für Website-Betreiber im gesamten Bundesgebiet also bewährt, das abgestimmte Vorgehen einzuhalten. Auch und vor allem deshalb, weil bei Verstößen gegen das Bundesdatenschutzgesetz (BDSG) Bußgelder in Höhe von bis zu 300.000 Euro drohen, die gemäß Paragraf 43 Absatz 3 BDSG in Einzelfällen sogar noch höher sein können.

Für Universal Analytics ist aufgrund der neu hinzugekommenen Funktionen nunmehr eine erneute datenschutzrechtliche Einordnung nötig. Darüber sollten sich Website-Betreiber im Klaren sein - insbesondere im Hinblick auf die angesprochenen Bußgelder sowie einen möglichen Imageschaden in der Öffentlichkeit bei einem Bekanntwerden von Verstößen gegen das Datenschutzrecht.

In der juristischen Literatur gibt es bereits Stimmen, die den Einsatz des neuen Software-Tools unter bestimmten Voraussetzungen ebenfalls ohne Einwilligung der Betroffenen für zulässig befinden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hingegen hält es, so Informationen der Nachrichtenagentur Bloomberg, für datenschutzrechtlich unzulässig, Universal Analytics ohne Einwilligung der Betroffenen einzusetzen. Ob sich alle anderen Datenschutzbehörden dieser Auffassung anschließen, ist allerdings noch ungewiss.

Handlungsempfehlung für Website-Betreiber

Website-Betreiber, die ein Analyse-Tool einsetzen (wollen), sollten sich auf jeden Fall intensiv mit dem deutschen Datenschutzrecht auseinandersetzen. Sonst drohen Bußgelder in beträchtlicher Höhe sowie Imageschäden bei einem Bekanntwerden von Verstößen gegen das BDSG. Es empfiehlt sich, vor dem konkreten Einsatz juristischen Rat hinsichtlich der datenschutzrechtlichen Zulässigkeit. einzuholen. Als Faustformel empfiehlt sich nach derzeitiger Rechtslage folgendes Vorgehen:

  • Wenn ein Website-Betreiber im Anwendungsbereich des BDSG Universal Analytics nutzen möchte, sollte er eine Einwilligung der Betroffenen entsprechend den Anforderungen des BDSG einholen. Darüber hinaus ist es auf jeden Fall sinnvoll, die Hinweise des Hamburger Datenschutzbeauftragten zum datenschutzrechtlich zulässigen Einsatz von Google Analytics zu befolgen. Denn bekanntlich wurden dessen Funktionen in Universal Analytics integriert.

  • Unterhält der Website-Betreiber keine Ladengeschäfte und verfügt seine Website auch über keinen anmeldepflichtigen Bereich , so sollte er sich - sofern er ein Webtracking-Tool von Google verwenden will - fragen, ob er vorerst nicht besser auf Google Analytics zurückgreifen sollte. Dessen Einsatz dürfte seinen Ansprüchen vollkommen genügen. Und wenn er die erwähnten genannten Hinweise des Hamburger Datenschutzbeauftragten berücksichtigt, dürfte dem deutschen Datenschutzrecht in ausreichendem Maße Rechnung getragen sein. Es dürfte noch etwas Zeit ins Land gehen, bis Google Analytics nicht mehr angeboten wird. Bis dahin dürfte eine gewisse Rechtssicherheit hinsichtlich des Einsatzes von Universal Analytics bestehen. (qua)