Suche
Suche Menü

Jeder (!) kann Google Analytics ohne anonymizeIP abmahnen

Google Analytics Abmahnung

Jeder Besucher einer Internetseite, der feststellt, dass dort Google Analytics ohne wirksame Anonymisierung der IP-Adressen eingesetzt wird, kann den Websitebetreiber wegen Verletzung des Allgemeinen Persönlichkeitsrechts abmahnen.

Google Analytics gibt IP-Adressen standardmäßig an Google weiter

Wer auf seiner Website zur Reichweitenüberwachung und Analyse des Besucherverhaltens Google Analytics verwendet, speichert standardmäßig die IP-Adresse seiner Besucher und leitet sie an Google weiter.

Da eine IP-Adresse spätestens seit Wirksamwerden der DSGVO unstreitig als personenbezogenes Datum eingestuft wird, ist der Einsatz von Google Analytics datenschutzrechtlich nur erlaubt, wenn die letzten Stellen der IP-Adresse anonymisiert werden. Google stellt zu diesem Zweck die Funktion _anonymizelp zur Verfügung. Damit wird das letzte Oktett der IP-Adresse des Besucher noch innerhalb des Arbeitsspeichers auf null gesetzt. Die IP-Adresse 12.214.31.144 würde beispielsweise in 12.214.31.0 geändert.

Hinweis: Die Pflicht zur wenigstens teilweisen Anonymisierung von IP-Adressen der Websitebesucher gilt nicht nur für Google Analytics, sondern sämtliche Analyse- und Trackingtools mit vergleichbaren Funktionen.

Jeder Websitebesucher kann unterbliebene Anonymisierung abmahnen

Das Landgericht Dresden entschied nun, dass bei Speicherung und Weitergabe nicht-anonymisierter IP-Adressen an Google wegen unterbliebener Aktivierung der _anonymizelp Funktion eine Verletzung des allgemeinen Persönlichkeitsrechts des Websitebesuchers vorliegt (LG Dresden, Urteil vom 11.01.2019, Az. 1a O 1582/18). Die Interessenabwägung ergäbe einen „schweren Eingriff“ in dessen Persönlichkeitsrecht, weshalb dem Besucher ein Unterlassungsanspruch nach §§ 823 Abs. 1 i. V. m. 1004 BGB analog zustehe.

Praktische Folge ist, dass Websitebetreiber, die Google Analytics ohne _anonymizelp einsetzen, von jedem beliebigen Besucher ihrer Internetseite abgemahnt werden können. Ob ein Konkurrenzverhältnis zwischen Websitebesucher und Websitebetreiber besteht, ist unerheblich, weil die Ansprüche nicht aus Wettbewerbsrecht abgeleitet werden. Somit kann auch jede Privatperson abmahnen und die Abgabe einer strafbewehrten Unterlassungserklärung sowie Ersatz ihrer Anwaltskosten verlangen.

Weder Rechtsmissbrauch noch eigene Pflicht zur Adressverschleierung

Ausdrücklich stellte das Landgericht fest, dass allein im Aufsuchen und Aufrufen von Webseiten, die Google Analytics ohne den Zusatz „anonymisiert“ im Quellcode verwenden, um sodann auf die Rechtsverletzung aufmerksam zu machen, kein Rechtsmissbrauch liege.

Das gelte jedenfalls dann, wenn der Besucher (wie der Kläger) entsprechende Betreiber von Webseiten zunächst per E-Mail anschreibe und dabei keinen Kostenersatz verlange, sondern nur die Abgabe einer strafbewehrten Unterlassungserklärung. Würde ein Webseitbetreiber darauf reagieren, entstünden ihm durch den Verstoß keine Kosten. Daher sei keine Gewinnerzielungsabsicht als beherrschendes Motiv der Verfahrenseinleitung erkennbar.

Ebenso lehnte das Landgericht eine Pflicht des klagenden Websitebesuchers ab, die eigene IP-Adresse ggf. selbst zu verschleiern, um eine Weitergabe an Google zu verhindern. Eine solche Pflicht widerspreche den Grundsätzen des Datenschutzrechts und der DSGVO. Der Websitebetreiber müsse seine Webseite so einrichten, dass die Datenschutzrechte gewährleistet sind.

Abmahnkosten von knapp 600 Euro pro Abmahnung

Das Landgericht setzte den Streitwert auf 6.000 Euro fest. Daraus ergaben sich Abmahnkosten in Höhe von 571,44 Euro inkl. MwSt., die dem klagenden Besucher vom Websitebetreiber ersetzt werden mussten. Ein darüber hinausgehender Anspruch auf Schadensersatz wurde nicht geltend gemacht (er würde aus unserer Sicht auch nicht bestehen).

Fazit

Angesichts dessen, dass im Internet an diversen Stellen anschaulich beschrieben wird, wie man als Websitebesucher feststellen kann, ob auf der besuchten Internetseite Google Analytics ohne IP-Anonymisierung aktiv ist, besteht ein hohe Abmahnrisiko für Betreiber von Websites.

Unsere Tipps:

  1. Prüfen Sie im ersten Schritt (falls nötig), ob Google Analytics überhaupt auf ihrer Internetseite aktiv ist. Stellen im zweiten Schritt sicher, dass die _anonymizelp Funktion installiert und aktiv ist.
  2. Falls noch nicht erfolgt, schließen Sie einen „Zusatz zur Datenverarbeitung“ in den Kontoeinstellungen Ihres Google Analytics Kontos im Verwaltungsbereich ab. Es handelt sich um einen sog. Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Ohne dessen Abschluss ist der Einsatz von Google Analytics unzulässig.
  3. Ergänzen Sie Ihre Datenschutzerklärung um einen Passus zu Google Analytics. Eine automatisch rechtssichere Datenschutzerklärung inklusive Abmahnkostenschutz bietet avalex, das unter anderem auch eine Opt-Out Funktion mit ausspielt, über die Websitebesucher weiteres Tracking deaktivieren können.

Autor:

Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter und Facebook!

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Kostenlose Ersteinschätzung