Jeder Besucher einer Internetseite, der feststellt, dass dort Google Analytics ohne wirksame Anonymisierung der IP-Adressen eingesetzt wird, kann den Websitebetreiber wegen Verletzung des Allgemeinen Persönlichkeitsrechts abmahnen.
Google Analytics gibt IP-Adressen standardmäßig an Google weiter
Wer auf seiner Website zur Reichweitenüberwachung und Analyse des Besucherverhaltens Google Analytics verwendet, speichert standardmäßig die IP-Adresse seiner Besucher und leitet sie an Google weiter.
Da eine IP-Adresse spätestens seit Wirksamwerden der DSGVO unstreitig als personenbezogenes Datum eingestuft wird, ist der Einsatz von Google Analytics datenschutzrechtlich nur erlaubt, wenn die letzten Stellen der IP-Adresse anonymisiert werden. Google stellt zu diesem Zweck die Funktion _anonymizelp zur Verfügung. Damit wird das letzte Oktett der IP-Adresse des Besucher noch innerhalb des Arbeitsspeichers auf null gesetzt. Die IP-Adresse 12.214.31.144 würde beispielsweise in 12.214.31.0 geändert.
Hinweis: Die Pflicht zur wenigstens teilweisen Anonymisierung von IP-Adressen der Websitebesucher gilt nicht nur für Google Analytics, sondern sämtliche Analyse- und Trackingtools mit vergleichbaren Funktionen.
Jeder Websitebesucher kann unterbliebene Anonymisierung abmahnen
Das Landgericht Dresden entschied nun, dass bei Speicherung und Weitergabe nicht-anonymisierter IP-Adressen an Google wegen unterbliebener Aktivierung der _anonymizelp Funktion eine Verletzung des allgemeinen Persönlichkeitsrechts des Websitebesuchers vorliegt (LG Dresden, Urteil vom 11.01.2019, Az. 1a O 1582/18). Die Interessenabwägung ergäbe einen “schweren Eingriff” in dessen Persönlichkeitsrecht, weshalb dem Besucher ein Unterlassungsanspruch nach §§ 823 Abs. 1 i. V. m. 1004 BGB analog zustehe.
Praktische Folge ist, dass Websitebetreiber, die Google Analytics ohne _anonymizelp einsetzen, von jedem beliebigen Besucher ihrer Internetseite abgemahnt werden können. Ob ein Konkurrenzverhältnis zwischen Websitebesucher und Websitebetreiber besteht, ist unerheblich, weil die Ansprüche nicht aus Wettbewerbsrecht abgeleitet werden. Somit kann auch jede Privatperson abmahnen und die Abgabe einer strafbewehrten Unterlassungserklärung sowie Ersatz ihrer Anwaltskosten verlangen.
Weder Rechtsmissbrauch noch eigene Pflicht zur Adressverschleierung
Ausdrücklich stellte das Landgericht fest, dass allein im Aufsuchen und Aufrufen von Webseiten, die Google Analytics ohne den Zusatz „anonymisiert“ im Quellcode verwenden, um sodann auf die Rechtsverletzung aufmerksam zu machen, kein Rechtsmissbrauch liege.
Das gelte jedenfalls dann, wenn der Besucher (wie der Kläger) entsprechende Betreiber von Webseiten zunächst per E-Mail anschreibe und dabei keinen Kostenersatz verlange, sondern nur die Abgabe einer strafbewehrten Unterlassungserklärung. Würde ein Webseitbetreiber darauf reagieren, entstünden ihm durch den Verstoß keine Kosten. Daher sei keine Gewinnerzielungsabsicht als beherrschendes Motiv der Verfahrenseinleitung erkennbar.
Ebenso lehnte das Landgericht eine Pflicht des klagenden Websitebesuchers ab, die eigene IP-Adresse ggf. selbst zu verschleiern, um eine Weitergabe an Google zu verhindern. Eine solche Pflicht widerspreche den Grundsätzen des Datenschutzrechts und der DSGVO. Der Websitebetreiber müsse seine Webseite so einrichten, dass die Datenschutzrechte gewährleistet sind.
Abmahnkosten von knapp 600 Euro pro Abmahnung
Das Landgericht setzte den Streitwert auf 6.000 Euro fest. Daraus ergaben sich Abmahnkosten in Höhe von 571,44 Euro inkl. MwSt., die dem klagenden Besucher vom Websitebetreiber ersetzt werden mussten. Ein darüber hinausgehender Anspruch auf Schadensersatz wurde nicht geltend gemacht (er würde aus unserer Sicht auch nicht bestehen).
Fazit
Angesichts dessen, dass im Internet an diversen Stellen anschaulich beschrieben wird, wie man als Websitebesucher feststellen kann, ob auf der besuchten Internetseite Google Analytics ohne IP-Anonymisierung aktiv ist, besteht ein hohe Abmahnrisiko für Betreiber von Websites.
Unsere Tipps:
- Prüfen Sie im ersten Schritt (falls nötig), ob Google Analytics überhaupt auf ihrer Internetseite aktiv ist. Stellen im zweiten Schritt sicher, dass die _anonymizelp Funktion installiert und aktiv ist.
- Falls noch nicht erfolgt, schließen Sie einen „Zusatz zur Datenverarbeitung“ in den Kontoeinstellungen Ihres Google Analytics Kontos im Verwaltungsbereich ab. Es handelt sich um einen sog. Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Ohne dessen Abschluss ist der Einsatz von Google Analytics unzulässig.
- Ergänzen Sie Ihre Datenschutzerklärung um einen Passus zu Google Analytics. Eine automatisch rechtssichere Datenschutzerklärung inklusive Abmahnkostenschutz bietet avalex, das unter anderem auch eine Opt-Out Funktion mit ausspielt, über die Websitebesucher weiteres Tracking deaktivieren können.
Die IP-Anonymisierung ist nahezu egal, wenn keine wirksame Einwilligung des Betroffenen eingeholt wurde, sagen die Aufsichtsbehörden.
vgl.
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf
Das ist fast korrekt. “Die” Aufsichtsbehörden sagen das nicht, aber zumindest einige wie BW und Bayern. Solange es dazu keine Urteile gibt, sind es aber nur Meinungen.
Das ist ein so unfassbarer Schwachsinn, das ist wirklich nicht mehr auszuhalten. Das Speichern der IP bei Google ist ein “Eingriff in die Persönlichkeitsrechte”? Mit dieser IP kann Google doch gar nichts anfangen, weil der User jedesmal, wenn er sich neu mit dem Internet verbindet, eine neue IP zugewiesen bekommt. Und aus dieser IP lässt sich bei Google absolut nichts “persönliches” auslesen, nicht einmal der angezeigte “Standort” wird korrekt dargestellt.
Wir regulieren uns hier kaputt!
Man erlebt leider in der Praxis wirklich immer wieder, dass die IP-Anonymisierung vergessen wird.
Wer schnell und einfach prüfen möchte, ob die IP-Anonymisierung aktiv ist, kann das mit diesem Online-Tool tun: https://checkgoogleanalytics.psi.uni-bamberg.de/