Vor fast zwei Jahren hatte der sogenannte Düsseldorfer Kreis, als Zusammenkunft der Datenschutzbeauftragten der Länder, beschlossen, dass IP-Adressen als personenbezogene Daten anzusehen sind (weiterführend Entscheidung der Datenschutzbehörden: Nutzung von Google Analytics ohne Zustimmung der Besucher unzulässig. Diese Interpretation führte dazu, dass man davon ausgehen musste, dass Analysewerkzeuge, die IP-Adressen erheben und an den jeweiligen Diensteanbieter weitergeben – wie z.B. der weit verbreitete Dienst Google Analytics – ohne ausdrückliche Einwilligung des „getrackten“ Nutzers rechtswidrig sind (weiterführend Ist die Nutzung von Google Analytics und Co rechtswidrig?).

Nachdem diese Entscheidung viele Webseitenbetreiber verunsichert hatte , war seitens Google zunächst eine Variante von Google Analytics angeboten worden, bei der eine Anonymisierungsfunktion den Personenbezug der IP-Adresse beseitigte.

Zusätzlich war seitens der Datenschutzbehörden jedoch unter Bezugnahme auf § 15 Abs.3 TMG die Möglichkeit gefordert worden, der Reichweitenmessung durch Google Analytics durch eine Opt-Out Funktionalität zu widersprechen. Überdies sei die Verwendung von Google Analytics als Auftragsdatenverarbeitung anzusehen, die nach deutschem Recht zwingend den Abschluss eines Auftragsdatenverarbeitungsvertrages mit den nach § 11 BDSG vorgeschriebenen Inhalten erfordere.

Nach der gestrigen Meldung haben sich Google und der Hamburger Datenschutzbeauftragte über eine datenschutzkonforme Verwendung von Google Analytics geeinigt.

Die simple Meldung „Google Analytics nun verwendbar“ greift jedoch ein bißchen zu kurz, weil eine datenschutzkonforme Verwendung nach dem Verständnis der deutschen Datenschutzbehörden an die nachfolgend erläuterten, spezifische Voraussetzungen geknüpft ist.

I. Voraussetzungen für den „beanstandungsfreien Betrieb“ von Google Analytics

Google fasst die Anforderungen für einen „beanstandungsfreien Betrieb“ von Google Analytics wie folgt zusammen:

• Bitte erwähnen Sie in Ihrer Datenschutzerklärung, dass Google Analytics auf Ihrer Website eingesetzt wird.
• Implementieren Sie die IP-Masken Funktion, die Google Analytics anweist, nicht die vollständige IP-Adresse Ihrer Nutzer zu speichern oder zu verarbeiten.
• Weisen Sie in Ihren Datenschutzbestimmungen auf die Möglichkeit der Deaktivierung der Google Analytics-Funktion mittels eines Browser Add-on hin. Endnutzer können, falls gewünscht, sehr einfach durch Installation dieses Browser Add-on verhindern, dass Analyse-Informationen an Google gesendet werden. Diese Möglichkeit besteht seit über einem Jahr für Google Chrome, Firefox und Internet Explorer, ist jetzt auch für Safari und Opera verfügbar und hat sich als erfolgreiche und effiziente Lösung für die Nutzer erwiesen.
• Wir haben aktualisierte Nutzungsbedingungen eingeführt, die mit den Datenschutzbehörden abgestimmte Regelungen zur Auftragsdatenverarbeitung beinhalten.

Quelle: Beitrag im Google Conversion Room Blog vom 15.09.2011

Privatpersonen und Unternehmen, die Google Analytics oder auch andere Analysewerkzeuge rechtskonform verwenden wollen, ist daher zu raten, die Variante des jeweiligen Tools einzusetzen, welches die erhobenen IP-Adressen anonymisiert (siehe hierzu die Erläuterung von Google).

Überdies sollte ein Datenschutzhinweis aufgenommen werden, der die Webseitenbesucher über die Verwendung des jeweiligen Analysewerkzeuges und der Widerspruchsmöglichkeit (Opt-Out) hinreichend detailliert aufklärt.

Schließlich (und das ist neu) sollte der von Google als Muster zur Verfügung gestellte Auftragsdatenverarbeitungsvertrag (Vertragsmuster mit Handlungsanweisungen) – nach entsprechender Durchsicht und ggfls. Prüfung – geschlossen werden (erläuternd zu den Grundsätzen der Auftragsdatenverarbeitung siehe den Artikel „Thema Auftragsdatenverarbeitung wird vernachlässigt“).

Auch wenn an der ein der anderen Stelle diskutiert werden kann, ob der Vertrag den Anforderungen des § 11 BDSG genügt, ist die Unterzeichnung und Absendung an Google zu empfehlen. Über diese Konstruktion soll – verkürzt erklärt – sichergestellt werden, dass der Webseitenbetreiber in hinreichendem Maße für den datenschutzkonformen Umgang bei Google (als Auftragsdatenverarbeiter) Sorge trägt.

II. Erkenntnisse für die Diskussion um die Datenschutzwidrigkeit des Facebook Like Button

Nachdem die Diskussion um die datenschutzrechtliche Konformität von Google Analytics etwa zwei Jahren einige Unruhe ausgelöst hat, ist nun eine gemeinsame Lösung erzielt worden, die – auch wenn man über Details diskutieren kann – sicherlich zu einer weniger datenintensiven Verwendung des Werkzeugs geführt hat. Die ganze Angelegenheit hat außerdem zu dem positiven Ergebnis geführt, dass Google die entsprechenden personenbezogenen Daten offensichtlich überall in Europa anonymisiert.

Angesichts der überschaubaren Sensibilität einiger ausländischer Anbieter für das Thema Datenschutz hat der Anstoß der Diskussion einiges bewegt und schlussendlich auch Google dazu veranlasst, konstruktiv nach einer Lösung zu suchen. Wenn man sich regelmäßig mit datenschutzrechtlichen Problemen des Internet auseinandersetzt, zeigt sich, dass oft technische Ansätze zur Reduzierung/Beseitigung datenschutzrechtlicher Probleme führen können. Eine entsprechendes Bemühen kann man auch von US-amerikanischen Unternehmen erwarten.

Insoweit sollte diese Entwicklung exemplarisch sein für die datenschutzrechtliche Diskussion um den Facebook Like Button (vgl. hierzu Datenschutzbehörden (ULD) halten Facebook Plugins für datenschutzwidrig – Unterlassungsverfügungen und Bussgeld möglich).

Auch wenn es sicher unglücklich ist, dass die Mahnung der schleswig-holsteinischen Datenschützer nun erst einmal die Webseitenbetreiber im eigenen Bundesland trifft und nicht unmittelbar Facebook, um die es ja eigentlich geht, kann die angestoßene Diskussion zu positiven Ergebnissen führen. Ich halte es zumindest für nachvollziehbar, dass die Schleswig Holsteinischen Datenschützer (deren staatliche Aufgabe es ist, auf die Einhaltung datenschutzrechtlicher Grundsätze zu achten) den – aus ihrer Sicht – datenschutzwidrigen Einsatz des Facebook Like Buttons anprangert. Auch wenn die datenschutzrechtlichen Grundlagen in Deutschland sicherlich im Hinblick auf die Möglichkeiten des Internet reformbedürftig sind, stellen sie derzeit die gesetzliche Grundlage, an der es sich zu orientieren gilt. Facebook hat schon mehrfach gezeigt, dass das Unternehmen auch datenschutzrechtlich bedenkliche Funktionalitäten testet und auch weiterhin verwendet, wenn seitens der Nutzer oder staatlicher Organe keine Grenzen gesetzt werden.

Wenn sich Facebook, wie im oben genannten Fall zuletzt Google, bewegt und gemeinsam mit den Datenschutzbehörden konstruktiv nach einer Lösung sucht, bin ich sicher, dass sich – ähnlich der technischen Lösung bei Google – eine Gestaltung finden lässt, die den Bedenken der Datenschutzbehörden Rechnung trägt. Ein entsprechendes Entgegenkommen von Facebook, die bisher mit Informationen über die Funktionsweise des Like Buttons sehr zurückhaltend waren, kann man aus meiner Sicht schon erwarten. Wer möchte, dass auch deutsche Nutzer entsprechende Werkzeuge einsetzen, hat sich eben auch ein Stück weit am nationalen Rechtsrahmen zu orientieren.

Bis dahin halte ich eine Lösung ähnlich der Zwei-Klick Methode von heise für denkbar. Dabei liegt die Betonung auf ähnlich, da der Zwei Klick Button von heise mangels hinreichender Aufklärung über die konkrete Datenerhebung bzw. Opt-Out Möglichkeit den Anforderungen des Bundesdatenschutzgesetzes in der Form nicht genügt.

Unter Fortentwicklung dieses Ansatzes könnte es aber eine Lösung sein zunächst nur ein Image oder ein Hinweis auf der Webseite anzuzeigen, der deutlich macht, dass mit Klick hierauf, die Funktionalität des Facebook Like Buttons „freigeschaltet“ wird. Klärt dieser Hinweis in hinreichendem Maße über die Datenerhebung und –weitergabe an Facebook bzw. eine Opt-Out Möglichkeit auf, lässt sich argumentieren, dass der Nutzer eine hinreichende Einwilligung zur entsprechenden Datenerhebung erteilt hat. Ähnliche Lösung sind – mit geringfügigen Differenzierungen – wohl auch für weitere Social Plugins wie die von Google Plus, Twitter viele andere denkbar.

Im übrigen bleibt zu hoffen, dass Facebook sich der datenschutzrechtlichen Bedenken in Deutschland annimmt und gemeinsam mit den Datenschutzbehörden nach einer Lösung sucht, um die vom Unternehmen angestrebte weitere Verbreitung des Like-Buttons in Deutschland zu fördern.