Mehrfach ausgezeichnet.

Focus Markenrecht
en

Einsatz von Google Analytics ohne anonymizeIP ist datenschutzwidrig

Ihr Ansprechpartner
Verbraucher können Google Analytics ohne anonymizeIP abmahnen
©adiruch na chiangmai – Fotolia.com

Der Einsatz von Google Analytics ohne die Erweiterung „anonymizeIP“ ist datenschutzwidrig und stelle eine Verletzung des allgemeinen Persönlichkeitsrechts dar. Dies entschied das LG Dresden in einem bemerkenswerten Urteil vom 11.01.2019, das die aktuelle datenschutzrechtliche Diskussion zum Einsatz von Webtrackingtechnologie betrifft (LG Dresden, Urteil v. 11.01.2019, Az. 1a O 1582/18).

Somit könne jeder betroffene Webseitenbesucher Unterlassungsansprüche sowie die üblichen Nebenansprüche (Auskunft, Schadensersatz und Erstattung von Abmahnkosten) gegen den Webseitenbetreiber geltend machen, wenn seine Daten unerlaubt gespeichert werden. Es komme nicht auf ein Wettbewerbsverhältnis an.

Sachverhalt

Der Kläger, eine natürliche Person, hat die Betreiberin eines gewerblichen Internetportals, wegen Unterlassung, Auskunft sowie Freistellung von vorgerichtlichen Anwaltskosten in Anspruch genommen.

Bei Aufruf der Webseite der Beklagten stellte er fest, dass diese das Tracking-Tool Google Analytics für ihre Seite nutzte, ohne sich dabei der Funktion „anonymizeIp“zu bedienen, um die IP-Adresse der Besucher in Google Analytics zu maskieren.

Dem Kläger gelang diese Feststellung aufgrund eines von ihm entwickeltes IP-Tools, was allein dem Zweck diene, fehlende Hinweise auf eine Anonymisierung von IP-Adressen bei der Nutzung von Google Analytics zu identifizieren. Die Einbindung von Google Analytics ohne die Erweiterung „anonymizeIP“ habe zur Folge, dass dass seine personenbezogenen Daten, insbesondere die IP-Adresse des eingesetzten Geräts beim Aufruf der Webseite ohne seine Zustimmung an Server von Google in den USA und damit einen Dritten übermittelt wird. Hiergegen wandte sich der Kläger und verlangte Unterlassung der Übermittlung der  IP-Adressen an Google.

Die Beklagte wandte ein, der Einsatz des vom Kläger speziell entwickelten IP-Tool, um massenhaft fehlende Hinweise auf eine Anonymisierung von IP-Adressen im Rahmen von Google Analytics  zu ermitteln, rechtsmissbräuchlich sei. Darüber hinaus hätte der Kläger selbst Maßnahmen ergreifen können, beispielsweise durch entsprechende Browsereinstellungen, um die Übermittlung seiner IP-Adresse an Google zu verhindern.

LG Dresden: Verletzung des allgemeinen Persönlichkeitsrechts

Das LG Dresden hat die geltend gemachten Ansprüche des Klägers auf eine Verletzung des allgemeinen Persönlichkeitsrechts gestützt und der Klage stattgegeben. Dem Kläger stehe ein Unterlassungsanspruch nach §§ 823 Abs. 1 i. V. m. 1004 BGB analog zu.

Nach Ansicht des Gerichtes stelle die Übermittlung von nicht anonymisierten IP-Adressen an Google eine unerlaubte Weitergabe personenbezogener Daten und somit eine Verletzung des allgemeinen Persönlichkeitsrechtes dar und sei auch aus datenschutzrechtlichen Gründen unzulässig. Der Kläger sei durch die Verwendung des Google Analytics ohne den „anonymizeIP“-Zusatz insbesondere in seinem informationellen Selbstbestimmungsrecht sowie seinem Recht auf Achtung seiner personalen Identität verletzt worden.

In diesem Zusammenhang geht das Gericht davon aus, dass IP-Adressen personenbezogene Daten seien, wenn diese von einem Anbieter von Online-Mediendiensten bei Zugriff auf Internetseiten gespeichert würden.

Auch nach dem geltenden Datenschutzrecht kann die Weitergabe von nicht anonymisierten IP-Adressen an Google im Rahmen von Google Analytics nur durch eine ausdrückliche Nutzereinwilligung gerechtfertigt werden. Eine solche liege hier nicht vor, insofern sei die Übermittlung an Google datenschutzrechtswidrig. Nicht ausreichend sei zudem ein bloßer Hinweis auf die AGB des Dienstanbieters, in denen ein Einwilligungstext enthalten ist. Denn dann fehle es an einer bewussten und eindeutigen Handlung des Nutzers, mit der die Einwilligung erklärt wird (LG Dortmund, Urteil v. 23.02.2007, Az. 8 O 194/06). Das Einwilligungserfordernis lasse sich nur durch die Anonymisierung der IP-Adressen umgehen, das den Personenbezug so aufhebt, dass ein datenschutzrechtliches Schutzbedürfnis entfalle.

Gezielte Suche nach Rechtsverstößen sei kein Rechtsmissbrauch

Weiterhin betonte das Gericht, der Anspruch sei auch nicht dadurch ausgeschlossen, dass der Kläger bewusst nach derartigen Rechtsverstößen suche. Denn der Kläger habe außergerichtlich die Beklagte selbst per E-Mail angeschrieben und dabei keinen Kostenersatz verlangt, sondern nur zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert.

Hätte die Beklagte die außergerichtlich verlangte strafbewehrte Unterlassungserklärung abgegeben, entstünden ihm durch den Verstoß keine Kosten. Die Verfolgung sachfremder Ziele als beherrschendes Motiv der Verfahrenseinleitung, insbesondere einer Gewinnerzielungsabsicht, konnte das Gericht nicht feststellen.

Keine Pflicht eigene Maßnahmen IP-Verschleierung zu ergreifen

Ebenso lehnte das Landgericht eine Verpflichtung des klagenden Webseitenbesuchers ab, seine eigene IP-Adresse ggf. zu verschleiern, um eine Weitergabe an Google zu verhindern. Denn es sei nicht die Aufgabe des Klägers, seine eigenen Daten zu schützen. Eine solche Pflicht widerspreche den Grundsätzen des Datenschutzrechts, da sich die Dienstanbieter dadurch ihrer datenschutzrechtlichen Pflichten entziehen könnten. Der Webseitenbetreiber müsse seine Webseite so einrichten, dass die Datenschutzrechte gewährleistet sind.

Abmahnung vermeiden: Google Analytics rechtskonform einsetzen

Zur umstrittenen Frage, ob nach Inkrafttreten der DSGVO die Verwendung von Google Analytics, mit Zusatz „anonymizeIP“, als datenschutzkonform zu betrachten ist, sagt das Urteil des LG Dresden nichts aus. Da auch AnonomizeIP weitere Mängel hat, sollten Webseitenbetreiber genau abwägen, ob und welcher Form diese den Tracking-Dienst von Google einsetzen. Webseitenbetreiber, die das Tracking-Tool weiterhin verwenden wollen, müssen im Hinblick auf die DSVGO einige Implementierungsanforderungen beachten, um Bußgelder und kostenpflichtige Abmahnungen zu vermeiden. Folgende Punkte müssen erfüllt werden:

  1. Vertrag über die Auftragsdatenverarbeitung mit Google

Es muss mit Google ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO geschlossen werden.

  1. Nutzungshinweis, Datenschutzerklärung und Widerspruchsmöglichkeit

Die Besucher Ihrer Webseite müssen beim Aufrufen der Website wissen, dass der Dienst von Google Analytics genutzt wird. Sie müssen zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informiert werden.

Die Seitenbesucher müssen darüber aufgeklärt werden, dass sie dagegen Widerspruch einreichen können – dies auch mittels Opt-Out-Möglichkeit. Hilfreich ist es hier, auf das Add-On von Google zu verlinken, das es ermöglicht Analytics „auszuschalten“:

https://tools.google.com/dlpage/gaoptout?hl=de

  1. IP-Anonymisierung

Der Seitenbetreiber muss die Einstellungen im Tracking-Tool so wählen, dass die IP-Adresse durch Google verkürzt wird und dadurch eine Anonymisierung stattfindet. Auf den Seiten, auf denen Google Analytics eingebunden ist, muss der Google Trackingcode um die Funktion „_anonymizeIp()“ ergänzt werden. (sog. IP-Masken-Methode). Wie dies im Seitencode eingebaut werden kann, erfahren Sie auf der Google-Seite unter:

https://developers.google.com/analytics/devguides/collection/gajs/methods/gaJSApi_gat?hl=de#_gat._anonymizeIp

Fazit

Zwar ist bei deutschen Gerichten aktuell stark umstritten, ob DSGVO-Abmahnungen überhaupt abgemahnt werden könnten. Das Gericht zieht jedoch in erster Linie das deutsche Deliktsrecht als Entscheidungsgrundlage heran. Es hat einen solchen Anspruch jedem Besucher einer Internetseite bzw. jedem Verbraucher bei einer unerlaubten IP-Speicherung bzw. IP-Weiterleitung im Rahmen von Google Analytics  zugesprochen und die geltend gemachten Ansprüche auf eine Persönlichkeitsrechtsverletzung – und nicht auf Datenschutznormen – gestützt.

Die private Verfolgbarkeit von Datenschutzverstößen über persönlichkeitsrechtliche Unterlassungsansprüche als neue Rechtsdurchsetzungsmöglichkeit birgt neue Abmahnrisiken für Betreiber von Portalen und Webseiten, da es die Menge der Klageberechtigten Verbrauchern enorm erhöht. Ob dieser Linie auch andere Gerichte folgen werden, bleibt noch offen.

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht