Nach meinem Artikel zum Telemediengesetz und dem darin verankterten Datenschutzregelungen stellt sich die Frage, ob man sich mit externen Statistik-Tools in Teufels-Küche bewegen könnte. Mein aktuelles (nocht nicht abgeschlossenes) Fazit: Ja.
Bei diesem Artikel handelt es sich um einen Essay von Stud.Rer.Iur. Jens Ferner, die hier geäußerten Ansichten sind meine privaten.
Es gibt viele bekannte Tools (ich verzichte hier bewusst auf Namen von Anbietern) die alle gleich arbeiten: Man baut ein Javascript oder ein Bild etc. in seine Webseite ein. Danach werden Benutzerdaten an den Dienst übermittelt, der dann wiederum Statistiken zur Seite erstellt.
Das Problem: Der User muss -sonst wären die Daten nicht zuverlässig- identifizierbar sein. Ob also mit Cookies, IPs etc, gearbeitet wird kann dahin stehen: Die Individualisierung ist wesentlicher Bestandteil des Prozesses. Im Regelfall werden IPs ohnehin erhoben, da sonst keine Daten zu Ländern etc. erhoben werden können. Zur Frage, ob eine IP überhaupt personenbezogen ist, treffe ich hier eine Aussage.
Letztendlich hilft eine Diskussion hier ohnehin nicht weiter, da z.B. Google in seinen Datenschutzbestimmungen (Stand 5.5.2007) klar stellt, dass personenbezogene Daten erhoben werden (hier zu lesen).
Das ganze gibt nun folgende Probleme, für die ich erstmal keine Lösung finde:
- Dadurch dass man es in seine Webseite einbaut ist es ein Telemediendienst - zwar ein fremder, doch hält man ihn zur Nutzung bereit, wenn man ihn nicht gar zueigen macht. Mithin steht es im eigenen Verantwortungsbereich, man ist hier Diensteanbieter im Sinne des §2 Nr.1 TMG.
- Man vermittelt bei genauer Betrachtung personenbezogene Daten an Dritte, ohne dass diese im Regelfall davon Kenntnis erlangen oder dies unterbinden können
- Dies tut man in meinen Augen aus Werbezwecken: Schliesslich geht es um eine Marketing-Analyse der eigenen Webseite, dabei spielt es im TMG ohnehin keine Rolle ob man es geschäftsmäßig tut oder nicht
- Zulässig ist dies nur nach §12 I TMG, wenn es entweder per Gesetz erlaubt ist oder der User dies vorher(!) erlaubt
- Eine gesetzliche Erlaubnis ist für mich nicht aufzufinden, der User muss also einwilligen, bevor man ihn mittels des Skriptes erfasst
- Viele Webseiten schreiben "dadurch, dass Sie diese Webseite nutzen, stimmen Sie der Erfasssung zu" - das ist schon generell falsch, verstösst aber nebenbei auch noch gegen §12 III TMG, wonach die Nutzung des Dienstes nicht von der Einwilligung zur Datenerhebung abhängig gemacht werden darf. Abgesehen davon stellt §13 II Nr. TMG fest, dass die Einwilligung "bewusst" zu erfolgen hat.
- Hinzu kommt ein kleiner Hinkefuss, auf den ich schon letztes Jahr hingewiesen habe: Die EInwilligung muss zudem ausdrücklich protokolliert werden (§13 II Nr. 2 TMG), auch dies macht wohl kaum eine Webseite, eine erneute Abmahnfalle.
Zur Zeit finde ich keine Lösung für das Problem, ein solches Tracking wird von mir nicht genutzt. Sollte sich etwas neues ergeben, wird hier geschrieben. Hier gehts zum Artikel zum TMG von mir, mit den Ausführungen zum Datenschutz, beachten Sie auch die verwandten Artikel oben rechts.
Update: Aufgrund der ersten Nachfragen gibt es eine kurze Erweiterung. Natürlich ist es nicht generell verboten so ein Tool einzusetzen, ich stelle mir dies so erlaubt vor: Der User sieht ein Fenster "Dürfen wir Ihr Surf-Verhalten tracken?". Er klickt auf "Ja", dann wird das Skript geladen, bei "Nein" nicht. Ein "vermutetes Zustimmen" jedenfalls darf es nicht geben. Tatsache ist: Das Statistik-Tool wäre so nicht brauchbar, zu wenige würden auf "ja" klicken, ausserdem ist es schlicht nervig für den Besucher.
2. Update: Sollte diese Ansicht stimmen, kann man sogar noch weiter gehen: Was ist, wenn man (erlaubterweise) von der Webseite eines Dritten ein Bild via <img>-Tag einbindet? Dann werden die Daten ebenfalls dorthin (jedenfalls zum Server) übermittelt. Selbiges bei externen Skripten etc., es geht hier nicht alleine um Statistik-Tools, so etwa bei extern eingebundener Werbung - hier werden ja sogar teilweise gezielt personenbezogene Daten zwecks Auswertung übertragen.
Soweit hierbei die IP lediglich in Server-Logfiles gespeichert wird, kann man sich auf meine Argumentation hinsichtlich der Durchleitung von Daten stützen (hier geführt), so dass die reine Übertragung von und zu einem Server innerhalb der üblichen Logfiles gedeckt sein sollte, wobei schon dies nicht eindeutig ist.
Häufig aber werden Bilder, Videos, Banner etc. nicht über einen direkten Link, sondern vielmehr über ein Skript ausgetauscht - das dann diese Daten nicht speichern dürfte. Viele mir bekannte Tools, die zu diesem zweck existieren, tun aber eben dies.
3. Update: Nach einigen interessanten Diskussionen fiel mir noch etwas auf, was ich bisher nicht ausgeführt habe: Das TMG führt in §15 III aus, dass zu Marketingzwecken unter Pseudonym Daten gesammelt werden dürfen. Dies hat aber zwei Probleme, zum einen steht dort ausdrücklich durch die Nutzung des Begriffs "Pseudonym", dass man wohl keine personenbezogenen Daten nutzen darf (wozu ja in meiner Argumentation auch IPs gehören). Zum anderen müsste man bei Berufung hierauf den User belehren und ihm ein Widerrufsrecht geben.
