• Deutsch
  • Aktuelles
  • Google Analytics: Unterlassung, Auskunft, Schadensersatz nach Deliktsrecht

Google Analytics: Unterlassung, Auskunft, Schadensersatz nach Deliktsrecht

In einer Entscheidung zum Themenkomplex „Google Analytics“ hat das Landgericht Dresden (1a. Zivilkammer) im Januar 2019 ein bemerkenswertes Urteil (rechtskräftig) gefällt, das erhebliche Auswirkungen für Betreiber von Portalen und Websites haben kann. Das Urteil betrifft Kernbereiche der aktuellen datenschutzrechtlichen Diskussion zum Einsatz von Webtrackingtechnologie, obwohl es in erster Linie zivilrechtliche Entscheidungsgrundlagen heranzieht.

Sachverhalt

Der Kläger ist eine natürliche Person. Er behauptet einen Rechtsverstoß, der dadurch eingetreten sei, dass seine personenbezogenen Daten, insbesondere die IP-Adresse des eingesetzten Geräts, beim Aufruf der Website des Beklagten durch den Einsatz von „Google Analytics“ ohne Zustimmung des Klägers an Google (USA) und damit einen Dritten übermittelt wurden. Die Beklagte habe sich nicht der Funktion „anonymizeIp“ bedient, um die IP-Adresse des Besuchers in Google Analytics zu maskieren. Der Kläger begehrt Unterlassung des beanstandeten Verhaltens, Auskunft sowie Freistellung von vorgerichtlichen Anwaltskosten.

Das Gericht hat die Beklagte entsprechend verurteilt mit folgendem Tenor

Der Beklagte wird verurteilt

  1. es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu 6 Monaten zu unterlassen, eine IP-Adresse des Klägers zu speichern und an die Google lnc. zu übermitteln, indem die Beklagte auf der vom Kläger besuchten Webseite den Tracking-Dienst Google Analytics nutzt, ohne dabei gleichzeitig die Code-Erweiterung „anonymizeIp“ zu verwenden,
  2. dem Kläger Auskunft zu erteilen, ob den Kläger betreffende personenbezogene Daten verbreitet werden, sowie ggf. Auskunft zu erteilen, welche personenbezogenen Daten über den Kläger gespeichert werden und
  3. den Kläger von der Zahlung vorgerichtlicher Anwaltskosten in Höhe von 571,44 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 11. September 2018 freizustellen.

Das Gericht hält den Anspruch aus § 823 Abs. 1 BGB i.V.m. einer Verletzung des Allgemeinen Persönlichkeitsrechts (APR) für begründet. Der Schutzbereich des APR umfasse auch personenbezogene Daten, zu denen IP-Adressen rechneten. Die Beklagte habe diese Daten auch mangels Einwilligung unzulässigerweise gegenüber Google offenbart und dadurch in rechtswidriger Weise das APR des Klägers verletzt.

Ein rechtsmissbräuchliches Verhalten des Klägers liege nicht vor, allein das gezielte Aufsuchen von Websites, die Google Analytics ohne „anonymizeIp“ verwenden, sei für sich gesehen nicht vorwerfbar. Auch eine analoge Anwendung von § 8 Abs. 4 UWG scheide aus, denn der Kläger habe sich zunächst privat per E-Mail ohne Kostenforderung an die Beklagte gewandt, was die Gebührenerzielungsabsicht als beherrschendes Motiv der Verfahrenseinleitung ausschließe. Eine Verpflichtung des Klägers, sich selbst „durch Vorkehrungen (VPN, Brave, Adblocker, TOR etc., A.d.V.) gegen vermutete Rechtsverletzungen“ zu schützen, lehnt das Gericht ab.

>> Beschluss des LG Dresden (1a. Zivilkammer) im Volltext (PDF)

Anmerkungen

#1 Das Datenschutzrecht endet nicht mit der DSGVO.

Das Gericht löst den Fall auf Ebene des deutschen Deliktsrechts, das damit trotz der jahrhundertealten Tradition seine Flexibilität und Zukunftsfähigkeit auch im Zeitalter invasiver Informationstechnologien beweist.

#2 Das Gericht geht ohne Weiteres davon aus, dass die an Google übermittelte IP-Adresse auch dem Kläger persönlich zuzuordnen ist.

Wer mit einer solchen Abmahnung des Klägers konfrontiert wird, sollte diese Zuordnung in jedem Fall bestreiten. Es ist nicht gesagt, dass der Kläger angesichts der Umstände (massenhafte Abmahnungen) den entsprechenden Beweis unter Beachtung von § 138 Abs. 1 ZPO erbringen kann.

#3 Die Funktion „anonymizeIp“ von Google ist eine Mogelpackung. 

Bereits der Begriff „Anonymisierung“, von Google selbst ad nauseam gebraucht, ist irreführend. Die Verschleierung des letzten Oktetts der IP-Adressen für den Nutzer von Google Analytics führt im besten Fall zu einer schwachen Form und damit im Sinne der DSGVO wertlosen Pseudonymisierung (vgl. LG Frankfurt/Main, Urteil vom 18.2.2014, Az.: 3-10 O 86/12 - Piwik sowie die DSK-Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019, S. 15), jedoch nicht zu einer Anonymisierung. Diese liegt nur vor, wenn ein Personenbezug objektiv beseitigt wird (vgl. Erwägungsgrund 26 der DSGVO). Zudem wird der Verarbeitungsvorgang der Pseudonymisierung durch einen Dritten, nämlich Google selbst durchgeführt. Dabei handeln Google und Webseitenbetreiber dank der gewählten Parametrierung und der geteilten technischen Ressourcen als gemeinsame Verantwortliche i.S.v. Art. 26 DSGVO. Die Widersprüchlichkeiten im Verhalten der an dieser Stelle wenig stringenten deutschen Aufsichtsbehörden hatte sehr treffend der geschätzte Kollege Thomas Stadler bereits im Jahr 2011 in seinem Blog verarbeitet, mit weiteren Nachweisen.

#4 Unabhängig von der IP-Adresse, gekürzt oder in voller Schönheit, werden beim Einsatz von Google Analytics weitere personenbezogene Daten erfasst, verarbeitet und gegebenenfalls profiliert. 

Nach § 15 Abs. 3 TMG wäre eine begrenzte pseudonyme Profilierung womöglich gerade noch so zulässig, wenn denn entsprechend konsistent informiert würde. Dass diese von Juristen gern strapazierte Norm des TMG im Hinblick auf Art. 5 Abs. 3 RL 2002/58/EG („ePrivacy“-Richtlinie) sehr wahrscheinlich europarechtswidrig ist (vgl. Schlussanträge des Generalanwalts Szpunar in Sachen C-673/17 – Planet49, insbesondere Rz. 109), ändert im Horizontalverhältnis zwischen Bürgern nichts. Websitebetreiber können sich auf die richtlinienwidrige Norm berufen, Gesetz ist Gesetz, eine negative Direktwirkung wird bisher vom EuGH verneint. Jedoch müssten sich die öffentliche Hand und ihre Unternehmen gegenüber den ihnen im Vertikalverhältnis Rechtsunterworfenen bei Europarechtswidrigkeit von Normen unmittelbar an höherrangiges Recht (hier: „ePrivacy“-Richtlinie) halten, vorausgesetzt, man folgt dem EuGH. Zumindest für Rechtsanwälte macht letzteres aus Haftungsgründen durchaus Sinn.

#5 Der datenschutzrechtskonforme Einsatz von Google Analytics ist ohne informierte Einwilligung unter der DSGVO bei ehrlicher Betrachtung nicht möglich. 

Das mag man schade finden oder nicht, mir persönlich ist jedenfalls keine unangreifbare Einbindung bekannt. Es gibt also viel zu tun für Datenschutzexperten. Berater sollten vor allem das Haftungsrisiko bei der Gestaltung von Einwilligungserklärungen bzw. Consent Management Systemen im Blick haben. Eine informierte Einwilligung erscheint aufgrund der Komplexität der Verarbeitungsvorgänge nur schwer zu gestalten. Ein Blick auf die Liste der hinter Google Analytics/Google Ads stehenden weiteren (gemeinsam?) Verantwortlichen Auftragsverarbeiter wirft für die Einhaltung der Grundsätze von Treu und Glauben und Transparenz mehr Fragen auf, als sie Antworten bereitstellt. Die Menge an Empfängern von personenbezogenen Daten ist auch vor dem Hintergrund möglicher Auskunftsansprüche und Löschbegehren von Betroffenen äußerst unangenehm im Handling. Herausforderungen verbleiben aber auch bei der ungelösten Problematik der Altersverifikation , die eine rechtswidrige Datenverarbeitung bei unwirksamer Einwilligung Minderjähriger ausschließen soll sowie der Weiterverarbeitung von Analysedaten in Googles zahlreichen KI-Projekten. Aus Angreifersicht ist Google Analytics ein Geschenk. Nicht zuletzt Art. 5 Abs. 2 DSGVO wird in der Gerichtspraxis für lange Gesichter sorgen, denn Beweisfälligeit ist auch für Gerichte ein effizienter Weg zur Urteilsfindung. Selbst wenn die prozessuale Einordnung der Norm als Beweislastumkehr zu Lasten des/der Verantwortlichen nicht ganz unumstritten ist, so wird die Einordnung als Geschenk an betroffene Kläger und solche, die es werden wollen, doch allgemein geteilt.

#6 Vor dem Hintergrund dieser Ausführungen ist der Tenor des vorliegenden Urteils technisch und rechtlich widersprüchlich und widersinnig.

Da die Funktion „anonymizeIp“ nicht verhindert, dass personenbezogene Daten des Klägers an Google übermittelt werden, kann mit der Verurteilung zum Einsatz dieses Skripts das Ziel der Klage auch nicht erreicht werden. Der Dieser Umstand macht m.E. das Urteil unwirksam, es ist nicht der materiellen Rechtskraft fähig (vgl. BGHZ 124, 164, 166).

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Tags

Sponsoren Presserecht Auslandszustellung Privacy Distribution Berlin Arbeitsunfall verbraucherstreitbeilegungsgesetz Chat Großbritannien Bots Spirit Legal Annual Return Freelancer Machine Learning Suchalgorithmus Urlaub Schadenersatz drohnengesetz handelsrecht Werbung A1-Bescheinigung CNIL Mindestlohn informationspflichten Phishing Persönlichkeitsrecht Wettbewerb Double-Opt-In Hack Einwilligungsgestaltung Türkisch IT-Sicherheit Finanzaufsicht Reisen Spielzeug data Event Exklusivitätsklausel verlinkung vertrag Datenschutzgrundverordnung Bildrecherche Journalisten Namensrecht veröffentlichung Messe datenverlust Dynamic Keyword Insertion messenger LG Köln Human Resource Management New Work zahlungsdienst Google AdWords Notice & Take Down Data Protection Kunsturhebergesetz LMIV Home-Office technology Rechtsanwaltsfachangestellte Dark Pattern Hotelrecht Einwilligung Unterlassungsansprüche Education technik Vergütungsmodelle Stellenangebot Vertragsrecht Videokonferenz Arbeitsrecht Wettbewerbsrecht Gastronomie Schleichwerbung Corporate Housekeeping Duldungsvollmacht Datenschutz Mitarbeiterfotografie entgeltgleichheit JointControl Big Data Europarecht fotos Extremisten Markeneintragung Amazon Linkhaftung Identitätsdiebstahl Infosec Zahlungsdaten Instagram Erbe Heilkunde Abhören Insolvenz brexit Bachblüten Abwerbeverbot handel Artificial Intelligence Google Onlineshop E-Mail-Marketing Urheberrechtsreform FashionID Kapitalmarkt Neujahr jahresabschluss Nutzungsrecht anwaltsserie kündigungsschutz Werbekennzeichnung Schöpfungshöhe Beschäftigtendatenschutz Doxing Custom Audiences Ofcom SEA Rückgaberecht fristen recht am eigenen bild Buchungsportal PSD2 Lebensmittel Presse hate speech § 24 MarkenG LG Hamburg Meldepflicht Booking.com Reiserecht Evil Legal PPC Entschädigung Bildrechte Analytics Onlineplattform § 5 MarkenG wallart Europawahl Know How Microsoft Handelsregister besondere Darstellung Flugzeug ADV Lohnfortzahlung Künstliche Intelligenz Datenschutzgesetz gezielte Behinderung 5 UWG data security #emd15 Hotels Gesichtserkennung Minijob Sponsoring Influencer kommunen Pressekodex Unlauterer Wettbewerb online werbung Plattformregulierung Handynummer Ratenparität Digitalwirtschaft AfD 3 UWG information technology Rabattangaben Kundendaten Geschäftsführer Datenschutzrecht Reise Kennzeichnungskraft neu Jahresrückblick Marke Haftung html5 Newsletter Suchmaschinenbetreiber Einverständnis Urteil Midijob Email #bsen berufspflicht email marketing Bußgeld Datenschutzerklärung SSO Pseudonomisierung Bundesmeldegesetz Apps Markensperre OTMR Internetrecht

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: