Warum Google Analytics in Deutschland illegal ist

Nach Ansicht des Berliner Datenschutzbeauftragten Alexander Dix sind IP-Adressen wie Telefonnummern zu behandeln. Auch dabei handle es sich um Maschinenadressen, die mit Personen in Verbindung gebracht werden könnten, argumentiert er. Auch wenn dies nicht für alle IP-Adressen gelte, müssten alle IP-Adressen daher als personenbezogene Daten behandelt werden. Schließlich trennten Anbieter nicht zwischen IP-Adressen, die sich Personen zuordnen lassen, und solchen, bei denen das nicht der Fall ist.

Das heißt in der Folge: Websites dürfen IP-Adressen nicht ohne Erlaubnis des Nutzers in die USA übermitteln. Daher sei der Einsatz von Google Analytics in der jetzigen Form in aller Regel nach deutschem Recht nicht erlaubt, argumentiert Dix beim Treffen der Google Technology User Group Berlin. Das gelte auch dann, wenn sich ein Unternehmen der Safe-Harbour-Vereinbarung unterwerfe.

Bei Google Analytics komme hinzu, dass Google die Daten zur Erstellung von Nutzerprofilen verwende. Dagegen aber hätten Nutzer nach Paragraf 15 Abs. 3 Telemediengesetz ein Widerspruchsrecht, das von den Websitebetreibern umgesetzt werden müsse. Google als Betreiber des Analysedienstes habe keine direkte Beziehung zum Nutzer. Dennoch sei ein Opt-out direkt bei Google vermutlich die effektivste Lösung, räumt auch Dix ein. Zwar habe sich Google im Laufe der Verhandlungen mit europäischen und deutschen Datenschützern bewegt, aber eben nicht genug, sagt Dix.

Das von Google zu diesem Zweck angebotene Addon reiche nicht aus, da es nicht für alle Browser angeboten werde und zudem die Weitergabe von IPs und das Ablegen von Cookies eben nicht unterbinde.

Darüber hinaus biete Google Websitebetreibern keine Möglichkeit, die über sie generierten Daten nach Beendigung der Geschäftsbeziehung zu löschen. Googles Software fehle schlichtweg eine Löschfunktion.

Auch Google Mail kann in Deutschland nicht legal genutzt werden

Dix kritisiert auch, dass sich Google das Recht vorbehalte, die per Google Analytics gesammelten Daten mit denen anderer Dienste wie Google Mail zusammenzuführen. Auch das sei mit deutschem Datenschutzrecht nicht vereinbar. Ganz nebenbei machte Dix zudem klar, dass nach seiner Ansicht auch Google Mail in Deutschland nicht legal genutzt werden kann.

Hinsichtlich Google Analytics würden die Datenschutzbeauftragten demnächst anfangen, Nutzer direkt über die unerlaubte Nutzung aufzuklären, kündigte Dix an. Letztendlich sei auch eine Verhängung von Bußgeldern möglich, sagte Dix, der aber nicht direkt mit Bußgeldern drohte. Geht es nach Dix, sollte Google das Problem für seine Nutzer auf Softwareseite lösen.

Datenschutzprobleme beim Cloud Computing

Dix wies auch auf Datenschutzprobleme in Sachen Cloud Computing hin. Dies gelte insbesondere für Cloud-Angebote, die außerhalb Europas gehostet würden. Dabei gehe es in erster Linie um Kontrolle. Lösungen für das Problem sieht Dix zum einen in Private Clouds, sogenannten Trusted Clouds, und regionalen Clouds, die in europäischen Rechenzentren gehostet werden. Bei ihnen spiele es keine Rolle, ob sie von US-Unternehmen betrieben würden, sagte Dix. Der Transfer der Daten in die USA sei ihnen ohnehin verboten. Letztendlich gehe es nicht um technische Sicherung, sondern um die Frage des rechtlichen Rahmens.

Apps und Datenschutz

Auch die aufstrebenden App-Plattformen, Dix nannte hier Apple und Facebook, machen den Datenschützern Sorgen: Die Apps liefern Daten direkt an die App-Anbieter, ohne dass Plattformen wie Facebook einen Einfluss darauf haben. Hier würden zum Teil viel mehr Daten erhoben als notwendig, kritisiert Dix. Auch hier gilt das Gebot der Datensparsamkeit, das heißt, es dürfen nur die Daten gesammelt werden, die für den Betrieb des Angebots notwendig sind. Plattformen sollten daher fein granulare Optionen bieten, mit denen Nutzer regeln können, welche Daten an einen Anbieter übertragen würden, rät Dix und verweist dabei auf StudiVZ als gutes Beispiel.

[Golem.de gehört wie StudiVZ zur Verlagsgruppe Georg von Holtzbrinck]