13 Prozent der Internetseiten-Betreiber haben das kostenlose statistische Tool „Google Analytics“ in ihren Quellcode eingebaut, um die Besucherströme und das Klickverhalten zu analysieren. Ende November 2009 hat der „Düsseldorfer Kreis“, ein loser Zusammenschluss der Datenschutzbeauftragten der Länder, auf einer gemeinsamen Tagung beschlossen, dass Google Analytics gegen deutsche Datenschutzbestimmungen verstößt. Anlass für diese Feststellung sind die IP-Adressen der Besucher, die vollständig gespeichert werden und bei der Nutzung des Tools sichtbar bleiben.
Was ist eine „IP-Adresse“?
Jedem Computer wird eine eindeutige Nummer zugewiesen. Das ist die IP-Adresse. Diese Adresse erlaubt eine eindeutige Identifizierung des physikalischen Computers oder Servers. Auch der Standort kann über die IP-Adresse ermittelt werden. Jeder Internetprovider ist versplichtet, die IP-Adressen seiner Kunden zu speichern. Die Staatsanwaltschaft kann im Rahmen eines Ermittlungsverfahrens wegen einer schweren Straftat die Herausgabe der IP-Adresse verlangen. Ob es sich bei IP-Adressen um personenbezogene Daten handelt, sahen die Gerichte bisher sehr verschieden.
Welche Konsequenzen sind mit dem Beschluss des Düsseldorfer Kreises vom 26. November 2009 verbunden?
Die Aufsichtsbehörden haben angekündigt, Website-Betreiber anzuschreiben und sie aufzufordern, Google Analytics und ähnliche Tools abzuschalten. Sollten die Betreiber dieser Aufforderung nicht nachkommen, sollen in einem zweiten Schritt auch Bußgelder verhängt werden.
Da es sich um insgesamt 1,8 Millionen betroffene Seiten handelt, wird es für die Bundesländer schwer, diesen Beschluss in der Praxis durchzusetzen. Wahrscheinlich stehen zunächst Shopbetreiber im Fokus der Ermittlungen.
Google Analytics will zeitnah auf den Beschluss reagieren und ein Statistik-Tool anbieten, das den deutschen Datenschutzbestimmungen entspricht. Dort werden die IP-Adressen wohl nur in verkürzter Form wiedergegeben werden.
Alternativ zu Analyse-Tools, die die kompletten IP-Adressen speichern, gibt es zum Beispiel die Tools „eTracker“ und „Econda Monitor“, die nach eigenen Angaben die IP-Adressen unkenntlich machen oder bei entsprechender Einstellung datenschutzkonform wiedergeben.