Einsatz von Google Analytics ohne anonymizeIP ist datenschutzwidrig
Der Einsatz von Google Analytics ohne die Erweiterung „anonymizeIP“ ist datenschutzwidrig und stelle eine Verletzung des allgemeinen Persönlichkeitsrechts dar. Dies entschied das LG Dresden in einem bemerkenswerten Urteil vom 11.01.2019, das die aktuelle datenschutzrechtliche Diskussion zum Einsatz von Webtrackingtechnologie betrifft (LG Dresden, Urteil v. 11.01.2019, Az. 1a O 1582/18).
Somit könne jeder betroffene Webseitenbesucher Unterlassungsansprüche sowie die üblichen Nebenansprüche (Auskunft, Schadensersatz und Erstattung von Abmahnkosten) gegen den Webseitenbetreiber geltend machen, wenn seine Daten unerlaubt gespeichert werden. Es komme nicht auf ein Wettbewerbsverhältnis an.
Sachverhalt
Der Kläger, eine natürliche Person, hat die Betreiberin eines gewerblichen Internetportals, wegen Unterlassung, Auskunft sowie Freistellung von vorgerichtlichen Anwaltskosten in Anspruch genommen.
Bei Aufruf der Webseite der Beklagten stellte er fest, dass diese das Tracking-Tool Google Analytics für ihre Seite nutzte, ohne sich dabei der Funktion „anonymizeIp“zu bedienen, um die IP-Adresse der Besucher in Google Analytics zu maskieren.
Dem Kläger gelang diese Feststellung aufgrund eines von ihm entwickeltes IP-Tools, was allein dem Zweck diene, fehlende Hinweise auf eine Anonymisierung von IP-Adressen bei der Nutzung von Google Analytics zu identifizieren. Die Einbindung von Google Analytics ohne die Erweiterung „anonymizeIP“ habe zur Folge, dass dass seine personenbezogenen Daten, insbesondere die IP-Adresse des eingesetzten Geräts beim Aufruf der Webseite ohne seine Zustimmung an Server von Google in den USA und damit einen Dritten übermittelt wird. Hiergegen wandte sich der Kläger und verlangte Unterlassung der Übermittlung der IP-Adressen an Google.
Die Beklagte wandte ein, der Einsatz des vom Kläger speziell entwickelten IP-Tool, um massenhaft fehlende Hinweise auf eine Anonymisierung von IP-Adressen im Rahmen von Google Analytics zu ermitteln, rechtsmissbräuchlich sei. Darüber hinaus hätte der Kläger selbst Maßnahmen ergreifen können, beispielsweise durch entsprechende Browsereinstellungen, um die Übermittlung seiner IP-Adresse an Google zu verhindern.
LG Dresden: Verletzung des allgemeinen Persönlichkeitsrechts
Das LG Dresden hat die geltend gemachten Ansprüche des Klägers auf eine Verletzung des allgemeinen Persönlichkeitsrechts gestützt und der Klage stattgegeben. Dem Kläger stehe ein Unterlassungsanspruch nach §§ 823 Abs. 1 i. V. m. 1004 BGB analog zu.
Nach Ansicht des Gerichtes stelle die Übermittlung von nicht anonymisierten IP-Adressen an Google eine unerlaubte Weitergabe personenbezogener Daten und somit eine Verletzung des allgemeinen Persönlichkeitsrechtes dar und sei auch aus datenschutzrechtlichen Gründen unzulässig. Der Kläger sei durch die Verwendung des Google Analytics ohne den „anonymizeIP“-Zusatz insbesondere in seinem informationellen Selbstbestimmungsrecht sowie seinem Recht auf Achtung seiner personalen Identität verletzt worden.
In diesem Zusammenhang geht das Gericht davon aus, dass IP-Adressen personenbezogene Daten seien, wenn diese von einem Anbieter von Online-Mediendiensten bei Zugriff auf Internetseiten gespeichert würden.
Auch nach dem geltenden Datenschutzrecht kann die Weitergabe von nicht anonymisierten IP-Adressen an Google im Rahmen von Google Analytics nur durch eine ausdrückliche Nutzereinwilligung gerechtfertigt werden. Eine solche liege hier nicht vor, insofern sei die Übermittlung an Google datenschutzrechtswidrig. Nicht ausreichend sei zudem ein bloßer Hinweis auf die AGB des Dienstanbieters, in denen ein Einwilligungstext enthalten ist. Denn dann fehle es an einer bewussten und eindeutigen Handlung des Nutzers, mit der die Einwilligung erklärt wird (LG Dortmund, Urteil v. 23.02.2007, Az. 8 O 194/06). Das Einwilligungserfordernis lasse sich nur durch die Anonymisierung der IP-Adressen umgehen, das den Personenbezug so aufhebt, dass ein datenschutzrechtliches Schutzbedürfnis entfalle.
Gezielte Suche nach Rechtsverstößen sei kein Rechtsmissbrauch
Weiterhin betonte das Gericht, der Anspruch sei auch nicht dadurch ausgeschlossen, dass der Kläger bewusst nach derartigen Rechtsverstößen suche. Denn der Kläger habe außergerichtlich die Beklagte selbst per E-Mail angeschrieben und dabei keinen Kostenersatz verlangt, sondern nur zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert.
Hätte die Beklagte die außergerichtlich verlangte strafbewehrte Unterlassungserklärung abgegeben, entstünden ihm durch den Verstoß keine Kosten. Die Verfolgung sachfremder Ziele als beherrschendes Motiv der Verfahrenseinleitung, insbesondere einer Gewinnerzielungsabsicht, konnte das Gericht nicht feststellen.
Keine Pflicht eigene Maßnahmen IP-Verschleierung zu ergreifen
Ebenso lehnte das Landgericht eine Verpflichtung des klagenden Webseitenbesuchers ab, seine eigene IP-Adresse ggf. zu verschleiern, um eine Weitergabe an Google zu verhindern. Denn es sei nicht die Aufgabe des Klägers, seine eigenen Daten zu schützen. Eine solche Pflicht widerspreche den Grundsätzen des Datenschutzrechts, da sich die Dienstanbieter dadurch ihrer datenschutzrechtlichen Pflichten entziehen könnten. Der Webseitenbetreiber müsse seine Webseite so einrichten, dass die Datenschutzrechte gewährleistet sind.
Abmahnung vermeiden: Google Analytics rechtskonform einsetzen
Zur umstrittenen Frage, ob nach Inkrafttreten der DSGVO die Verwendung von Google Analytics, mit Zusatz „anonymizeIP“, als datenschutzkonform zu betrachten ist, sagt das Urteil des LG Dresden nichts aus. Da auch AnonomizeIP weitere Mängel hat, sollten Webseitenbetreiber genau abwägen, ob und welcher Form diese den Tracking-Dienst von Google einsetzen. Webseitenbetreiber, die das Tracking-Tool weiterhin verwenden wollen, müssen im Hinblick auf die DSVGO einige Implementierungsanforderungen beachten, um Bußgelder und kostenpflichtige Abmahnungen zu vermeiden. Folgende Punkte müssen erfüllt werden:
- Vertrag über die Auftragsdatenverarbeitung mit Google
Es muss mit Google ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO geschlossen werden.
- Nutzungshinweis, Datenschutzerklärung und Widerspruchsmöglichkeit
Die Besucher Ihrer Webseite müssen beim Aufrufen der Website wissen, dass der Dienst von Google Analytics genutzt wird. Sie müssen zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informiert werden.
Die Seitenbesucher müssen darüber aufgeklärt werden, dass sie dagegen Widerspruch einreichen können – dies auch mittels Opt-Out-Möglichkeit. Hilfreich ist es hier, auf das Add-On von Google zu verlinken, das es ermöglicht Analytics „auszuschalten“:
https://tools.google.com/dlpage/gaoptout?hl=de
- IP-Anonymisierung
Der Seitenbetreiber muss die Einstellungen im Tracking-Tool so wählen, dass die IP-Adresse durch Google verkürzt wird und dadurch eine Anonymisierung stattfindet. Auf den Seiten, auf denen Google Analytics eingebunden ist, muss der Google Trackingcode um die Funktion „_anonymizeIp()“ ergänzt werden. (sog. IP-Masken-Methode). Wie dies im Seitencode eingebaut werden kann, erfahren Sie auf der Google-Seite unter:
Fazit
Zwar ist bei deutschen Gerichten aktuell stark umstritten, ob DSGVO-Abmahnungen überhaupt abgemahnt werden könnten. Das Gericht zieht jedoch in erster Linie das deutsche Deliktsrecht als Entscheidungsgrundlage heran. Es hat einen solchen Anspruch jedem Besucher einer Internetseite bzw. jedem Verbraucher bei einer unerlaubten IP-Speicherung bzw. IP-Weiterleitung im Rahmen von Google Analytics zugesprochen und die geltend gemachten Ansprüche auf eine Persönlichkeitsrechtsverletzung – und nicht auf Datenschutznormen – gestützt.
Die private Verfolgbarkeit von Datenschutzverstößen über persönlichkeitsrechtliche Unterlassungsansprüche als neue Rechtsdurchsetzungsmöglichkeit birgt neue Abmahnrisiken für Betreiber von Portalen und Webseiten, da es die Menge der Klageberechtigten Verbrauchern enorm erhöht. Ob dieser Linie auch andere Gerichte folgen werden, bleibt noch offen.