• Deutsch
  • Aktuelles
  • Google Analytics: Unterlassung, Auskunft, Schadensersatz nach Deliktsrecht

Google Analytics: Unterlassung, Auskunft, Schadensersatz nach Deliktsrecht

In einer Entscheidung zum Themenkomplex „Google Analytics“ hat das Landgericht Dresden (1a. Zivilkammer) im Januar 2019 ein bemerkenswertes Urteil (rechtskräftig) gefällt, das erhebliche Auswirkungen für Betreiber von Portalen und Websites haben kann. Das Urteil betrifft Kernbereiche der aktuellen datenschutzrechtlichen Diskussion zum Einsatz von Webtrackingtechnologie, obwohl es in erster Linie zivilrechtliche Entscheidungsgrundlagen heranzieht.

Sachverhalt

Der Kläger ist eine natürliche Person. Er behauptet einen Rechtsverstoß, der dadurch eingetreten sei, dass seine personenbezogenen Daten, insbesondere die IP-Adresse des eingesetzten Geräts, beim Aufruf der Website des Beklagten durch den Einsatz von „Google Analytics“ ohne Zustimmung des Klägers an Google (USA) und damit einen Dritten übermittelt wurden. Die Beklagte habe sich nicht der Funktion „anonymizeIp“ bedient, um die IP-Adresse des Besuchers in Google Analytics zu maskieren. Der Kläger begehrt Unterlassung des beanstandeten Verhaltens, Auskunft sowie Freistellung von vorgerichtlichen Anwaltskosten.

Das Gericht hat die Beklagte entsprechend verurteilt mit folgendem Tenor

Der Beklagte wird verurteilt

  1. es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu 6 Monaten zu unterlassen, eine IP-Adresse des Klägers zu speichern und an die Google lnc. zu übermitteln, indem die Beklagte auf der vom Kläger besuchten Webseite den Tracking-Dienst Google Analytics nutzt, ohne dabei gleichzeitig die Code-Erweiterung „anonymizeIp“ zu verwenden,
  2. dem Kläger Auskunft zu erteilen, ob den Kläger betreffende personenbezogene Daten verbreitet werden, sowie ggf. Auskunft zu erteilen, welche personenbezogenen Daten über den Kläger gespeichert werden und
  3. den Kläger von der Zahlung vorgerichtlicher Anwaltskosten in Höhe von 571,44 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 11. September 2018 freizustellen.

Das Gericht hält den Anspruch aus § 823 Abs. 1 BGB i.V.m. einer Verletzung des Allgemeinen Persönlichkeitsrechts (APR) für begründet. Der Schutzbereich des APR umfasse auch personenbezogene Daten, zu denen IP-Adressen rechneten. Die Beklagte habe diese Daten auch mangels Einwilligung unzulässigerweise gegenüber Google offenbart und dadurch in rechtswidriger Weise das APR des Klägers verletzt.

Ein rechtsmissbräuchliches Verhalten des Klägers liege nicht vor, allein das gezielte Aufsuchen von Websites, die Google Analytics ohne „anonymizeIp“ verwenden, sei für sich gesehen nicht vorwerfbar. Auch eine analoge Anwendung von § 8 Abs. 4 UWG scheide aus, denn der Kläger habe sich zunächst privat per E-Mail ohne Kostenforderung an die Beklagte gewandt, was die Gebührenerzielungsabsicht als beherrschendes Motiv der Verfahrenseinleitung ausschließe. Eine Verpflichtung des Klägers, sich selbst „durch Vorkehrungen (VPN, Brave, Adblocker, TOR etc., A.d.V.) gegen vermutete Rechtsverletzungen“ zu schützen, lehnt das Gericht ab.

>> Beschluss des LG Dresden (1a. Zivilkammer) im Volltext (PDF)

Anmerkungen

#1 Das Datenschutzrecht endet nicht mit der DSGVO.

Das Gericht löst den Fall auf Ebene des deutschen Deliktsrechts, das damit trotz der jahrhundertealten Tradition seine Flexibilität und Zukunftsfähigkeit auch im Zeitalter invasiver Informationstechnologien beweist.

#2 Das Gericht geht ohne Weiteres davon aus, dass die an Google übermittelte IP-Adresse auch dem Kläger persönlich zuzuordnen ist.

Wer mit einer solchen Abmahnung des Klägers konfrontiert wird, sollte diese Zuordnung in jedem Fall bestreiten. Es ist nicht gesagt, dass der Kläger angesichts der Umstände (massenhafte Abmahnungen) den entsprechenden Beweis unter Beachtung von § 138 Abs. 1 ZPO erbringen kann.

#3 Die Funktion „anonymizeIp“ von Google ist eine Mogelpackung. 

Bereits der Begriff „Anonymisierung“, von Google selbst ad nauseam gebraucht, ist irreführend. Die Verschleierung des letzten Oktetts der IP-Adressen für den Nutzer von Google Analytics führt im besten Fall zu einer schwachen Form und damit im Sinne der DSGVO wertlosen Pseudonymisierung (vgl. LG Frankfurt/Main, Urteil vom 18.2.2014, Az.: 3-10 O 86/12 - Piwik sowie die DSK-Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019, S. 15), jedoch nicht zu einer Anonymisierung. Diese liegt nur vor, wenn ein Personenbezug objektiv beseitigt wird (vgl. Erwägungsgrund 26 der DSGVO). Zudem wird der Verarbeitungsvorgang der Pseudonymisierung durch einen Dritten, nämlich Google selbst durchgeführt. Dabei handeln Google und Webseitenbetreiber dank der gewählten Parametrierung und der geteilten technischen Ressourcen als gemeinsame Verantwortliche i.S.v. Art. 26 DSGVO. Die Widersprüchlichkeiten im Verhalten der an dieser Stelle wenig stringenten deutschen Aufsichtsbehörden hatte sehr treffend der geschätzte Kollege Thomas Stadler bereits im Jahr 2011 in seinem Blog verarbeitet, mit weiteren Nachweisen.

#4 Unabhängig von der IP-Adresse, gekürzt oder in voller Schönheit, werden beim Einsatz von Google Analytics weitere personenbezogene Daten erfasst, verarbeitet und gegebenenfalls profiliert. 

Nach § 15 Abs. 3 TMG wäre eine begrenzte pseudonyme Profilierung womöglich gerade noch so zulässig, wenn denn entsprechend konsistent informiert würde. Dass diese von Juristen gern strapazierte Norm des TMG im Hinblick auf Art. 5 Abs. 3 RL 2002/58/EG („ePrivacy“-Richtlinie) sehr wahrscheinlich europarechtswidrig ist (vgl. Schlussanträge des Generalanwalts Szpunar in Sachen C-673/17 – Planet49, insbesondere Rz. 109), ändert im Horizontalverhältnis zwischen Bürgern nichts. Websitebetreiber können sich auf die richtlinienwidrige Norm berufen, Gesetz ist Gesetz, eine negative Direktwirkung wird bisher vom EuGH verneint. Jedoch müssten sich die öffentliche Hand und ihre Unternehmen gegenüber den ihnen im Vertikalverhältnis Rechtsunterworfenen bei Europarechtswidrigkeit von Normen unmittelbar an höherrangiges Recht (hier: „ePrivacy“-Richtlinie) halten, vorausgesetzt, man folgt dem EuGH. Zumindest für Rechtsanwälte macht letzteres aus Haftungsgründen durchaus Sinn.

#5 Der datenschutzrechtskonforme Einsatz von Google Analytics ist ohne informierte Einwilligung unter der DSGVO bei ehrlicher Betrachtung nicht möglich. 

Das mag man schade finden oder nicht, mir persönlich ist jedenfalls keine unangreifbare Einbindung bekannt. Es gibt also viel zu tun für Datenschutzexperten. Berater sollten vor allem das Haftungsrisiko bei der Gestaltung von Einwilligungserklärungen bzw. Consent Management Systemen im Blick haben. Eine informierte Einwilligung erscheint aufgrund der Komplexität der Verarbeitungsvorgänge nur schwer zu gestalten. Ein Blick auf die Liste der hinter Google Analytics/Google Ads stehenden weiteren (gemeinsam?) Verantwortlichen Auftragsverarbeiter wirft für die Einhaltung der Grundsätze von Treu und Glauben und Transparenz mehr Fragen auf, als sie Antworten bereitstellt. Die Menge an Empfängern von personenbezogenen Daten ist auch vor dem Hintergrund möglicher Auskunftsansprüche und Löschbegehren von Betroffenen äußerst unangenehm im Handling. Herausforderungen verbleiben aber auch bei der ungelösten Problematik der Altersverifikation , die eine rechtswidrige Datenverarbeitung bei unwirksamer Einwilligung Minderjähriger ausschließen soll sowie der Weiterverarbeitung von Analysedaten in Googles zahlreichen KI-Projekten. Aus Angreifersicht ist Google Analytics ein Geschenk. Nicht zuletzt Art. 5 Abs. 2 DSGVO wird in der Gerichtspraxis für lange Gesichter sorgen, denn Beweisfälligeit ist auch für Gerichte ein effizienter Weg zur Urteilsfindung. Selbst wenn die prozessuale Einordnung der Norm als Beweislastumkehr zu Lasten des/der Verantwortlichen nicht ganz unumstritten ist, so wird die Einordnung als Geschenk an betroffene Kläger und solche, die es werden wollen, doch allgemein geteilt.

#6 Vor dem Hintergrund dieser Ausführungen ist der Tenor des vorliegenden Urteils technisch und rechtlich widersprüchlich und widersinnig.

Da die Funktion „anonymizeIp“ nicht verhindert, dass personenbezogene Daten des Klägers an Google übermittelt werden, kann mit der Verurteilung zum Einsatz dieses Skripts das Ziel der Klage auch nicht erreicht werden. Der Dieser Umstand macht m.E. das Urteil unwirksam, es ist nicht der materiellen Rechtskraft fähig (vgl. BGHZ 124, 164, 166).

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Kommentar von Nicholas Vollmer |

Sorry, aber in Ihrem PDF finden sich schwerwiegende Fehler. Möglicherweise haben Sie das Original-Papierdokument eingescannt und mit Schrifterkennung behandelt. Jedenfalls wurde das "TMG" zu einem "Trv-G".

Kommentar von Nicholas Vollmer |

Dem Kommentar #6 stimme ich zu. Google schreibt auf der eigenen Supportseite selbst, dass die Anonymisierung erst "später" auf derem Server stattfindet: https://support.google.com/analytics/answer/2763052?hl=de.

Leider ist dieser Umstand wohl (fast) der gesamten Fachwelt unbekannt. Aber auch mal logisch nachgedacht: Wie soll das konkrete Klickverhalten einer Person denn ausgewertet werden, wenn die gekürzte IP-V4-Adresse theoretisch 256 verschiedene Personen bedient? Fazit: Google verarbeitet immer die volle IP-Adresse und kürzt sie erst später für Langfrist-Analysen. Das habe ich in meinem PrivazyPlan® ebenfalls erklärt.

Einen Kommentar schreiben

Tags

München Class Action Twitter Email Apps Ferienwohnung wetteronline.de Urheberrechtsreform § 15 MarkenG Stellenausschreibung online werbung Diskriminierung Privacy Dokumentationspflicht Evil Legal New Work Conversion Social Media JointControl vertrag Finanzaufsicht Voice Assistant Impressumspflicht Irreführung Datenpanne AIDA Haftung Einverständnis technology patent Minijob #bsen ADV ransomware Hotel Kundendaten AfD Insolvenz Produktempfehlungen Wettbewerbsbeschränkung informationspflichten Freelancer Gesundheit Hackerangriff LikeButton Datensicherheit WLAN Keyword-Advertising Geschmacksmuster Foto §75f HGB NetzDG technik News Mindestlohn right of publicity verlinkung Customer Service Auftragsdatenverarbeitung Flugzeug Home-Office Lizenzrecht Presserecht Event ReFa Großbritannien Impressum Extremisten Rechtsanwaltsfachangestellte Cyber Security urheberrechtsschutz Leipzig Kinder KUG LMIV Social Engineering Fotografen drohnen britain E-Mail Online Shopping USA data security fotos Entschädigung Rabattangaben Schadenersatz Geschäftsgeheimnis ecommerce Machine Learning Phishing Medienrecht Vertragsrecht Einstellungsverbot Sicherheitslücke Löschungsanspruch copter Wettbewerbsrecht Hotelkonzept Interview drohnengesetz Hacking Creative Commons handelsrecht GmbH Big Data Infosec SEA Doxing Datenportabilität Art. 13 GMV berufspflicht Duldungsvollmacht 3 UWG Sperrabrede IT-Sicherheit Umtausch Kritik ITB Boehmermann Abwerbeverbot Anmeldung AGB Kekse CNIL Marketing data privacy Suchalgorithmus unternehmensrecht Vergleichsportale bgh Onlineshop Website LG Köln Kennzeichnung Alexa Datenschutzbeauftragter Gegendarstellung Ring Adwords Nutzungsrecht Persönlichkeitsrecht Konferenz Facebook UWG Verbandsklage Datenschutz Online-Portale Rückgaberecht whatsapp Weihnachten Gesamtpreis Booking.com Pseudonomisierung Bachblüten Influencer Beleidigung Unionsmarke Referendar data Bildrechte Beweislast transparenzregister Datenschutzgrundverordnung Hotelsterne Datengeheimnis zahlungsdienst Scam Opentable custom audience Amazon Dark Pattern Algorithmen verlinken Preisangabenverordnung Urteil EU-Kommission Erschöpfungsgrundsatz Compliance Gäste Kunsturhebergesetz Meinungsfreiheit Plattformregulierung Registered besondere Darstellung Team Education Zustellbevollmächtigter Mitarbeiterfotografie Tipppfehlerdomain Gesetz Bewertung events Google Berlin Personenbezogene Daten Touristik datenverlust Kinderrechte Authentifizierung

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2019, alle Rechte vorbehalten