Im Rahmen einer Klage musste sich das LG Dresden in seinem Urteil vom 11.01.2019 – Az.: 1a O 1582/18 mit dem Einsatz von Google Analytics ohne aktivierte IP-Anonymisierung beschäftigen. Der zu entscheidende Fall fiel noch nicht unter den Anwendungsbereich der DSGVO. Dennoch greift das Urteil die unter Datenschützern als Voraussetzung angesehene Pflicht zur Aktivierung der IP-Anonymisierung auf und bestätigt die etablierte Best-Practice.
Der Inhalt im Überblick
Zum Sachverhalt
Der auf Unterlassung klagende Kläger geht als Privatperson häufig selbst gegen Datenschutzverstöße vor. Laut dem Urteil hat er dazu auch ein eigenes IP-Tool entwickelt, um die Übermittlung seiner ungekürzten IP-Adresse durch Google Analytics zu tracken. So viel ihm bei dem Besuch der Seite der Beklagten auf, dass die IP-Anonymisierung von Google Analytics nicht aktiviert war. Deswegen forderte der Kläger die Beklagte auf eine Unterlassungserklärung abzugeben und verlangte Auskunft über die zu seiner Person gespeicherten Daten gem. § 13 Abs. 8 TMG. Da die Beklagte hierauf nicht reagierte, forderte der Kläger mit anwaltlichem Schreiben die Abgabe einer stafbewehrten Unterlassungserklärung, die Erstattung der Anwaltskosten und die Auskunft der zu ihm gespeicherten personenbezogenen Daten.
Der Kläger stützt seinen Unterlassungsanspruch dabei darauf, dass die Beklagte seine IP-Adresse bei seinem Besuch der Webseite ohne seine Zustimmung vollständig an Google Inc. übermittelt hat. Ihm stünde daher gem. §§ 823, Abs. 1 i. V. m. 1004 BGB analog ein Unterlassungsanspruch zu. Ein Besuch der Webseite ohne diese Übermittlung ist nicht möglich. Weiterhin hat er einer solchen Übermittlung auch in keiner Weise zugestimmt.
Die Beklagte erwidert auf diese Behauptungen, dass die IP-Adresse des Klägers nicht seiner Person zugeordnet werden kann. Außerdem, so die Beklagte, bedeutet eine nicht aktivierte IP-Anonymisierung nicht, dass die IP-Adresse des Klägers an Google weitergegeben wurde. Vielmehr wurde die IP-Adresse verschlüsselt weitergegeben, wodurch eine Identifizierung unabhängig der IP-Anonymisierung nicht mehr möglich sei. Zumal es laut der Beklagten ohne Weiteres möglich, die eigene IP-Adresse durch entsprechende Browser-Einstellungen zu anonymisieren. Es wäre somit Aufgabe des Klägers, mit geringem technischen Aufwand seine IP-Adresse zu anonymisieren, wenn wer nicht gewollt hätte, dass seine IP-Adresse an Google weitergegeben werden sollte. – Kein Witz!
Entscheidungsgründe
Das Gericht spricht dem Kläger einen Unterlassungsanspruch nach §§ 823 Abs. 1 i. V. m. 1004 BGB analog zu. Die Weitergabe der IP-Adresse an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, insbesondere dem Recht auf informationelle Selbstbestimmung. Dieses Recht stellt ein sonstiges Recht i. S. v. § 823 Abs. 1 BGB dar.
Lag eine Einwilligung vor
Das Gericht stellt fest, dass IP-Adressen personenbezogene Daten nach altem Recht waren und weiterhin sind. Auch lag keine Einwilligung nach § 13 Abs. 2 TMG oder § 4a BDSG a.F. vor, die eine Übermittlung gerechtfertigt hätten. Hierfür hätte der Kläger eine bewusste eindeutige Handlung vornehmen müssen. An dieser fehlt es jedoch, da schon beim Laden der Webseite durch den Browser des Klägers die IP-Adresse übermittelt wird. Schon gar nicht reicht ein Einwilligungstext in den AGB des Dienstanbieters.
Rechtsmissbräuchliches Verhalten
Bei dem Nichtbestehen eines Rechtfertigungsgrundes, so das Gericht, muss die Rechtswidrigkeit im Einzelfall durch eine Güter- und Interessenabwägung festgestellt werden. Hier beschäftigt sich das Gericht mit dem Vorbringen der Beklagten, das Verhalten des Klägers sei rechtsmissbräuchlich gem. § 242 BGB. Dies lehnt das Gericht mit der Begründung ab, dass für den Kläger kein Gebührenerzielungsinteresse im Vordergrund steht. Das Aufrufen einer Webseite und das Aufmerksammachen auf Rechtsverletzungen stellt kein rechtsmissbräuchliches Verhalten des Klägers dar, da der Kläger eben gerade ein Betroffener der Rechtsverletzung ist.
Pflicht Betroffener sich vor Rechtsverletzungen zu schützen
Auch die Behauptungen der Beklagten, dass der Kläger mittels geringen technischen Maßnahmen die Übermittlung seiner IP-Adresse hätte verhindern können, lässt das Gericht richtigerweise nicht gelten. Der Zweck der Datenschutzbestimmungen, welche das Recht auf informationelle Selbstbestimmung konkretisieren, ist die Wahrung des Schutzes personenbezogener Daten. Eine Pflicht für Betroffene sich vor Rechtsverletzungen zu schützen, anstatt die Betroffenen vor Rechtsverletzungen zu schützen, widerspricht den Grundsätzen des Datenschutzes.
Was können wir aus der Entscheidung mitnehmen?
Das Ergebnis der Entscheidung ist nicht sonderlich überraschend. Die Aktivierung der IP-Anonymisierung ist in Abstimmung mit den Datenschutzbehörden seit einiger Zeit Grundvoraussetzung zum Einsatz von Google Analytics und allgemeiner Konsens unter Datenschützern. Schön ist, dass das Gericht diese Auffassung nun in seinem Urteil bestätigt. Wünschenswert wäre es gewesen, wenn das Gericht in seiner Entscheidung auch § 15 Abs. 3 TMG berücksichtigt hätte. In diesem Zusammenhang wäre eine gerichtliche Auseinandersetzung mit der Position der Aufsichtsbehörden aufschlussreich gewesen.
Abschließend ist zu sagen, dass Google Analytics nur mit aktivierter IP-Anonymisierung verwendet werden sollte – was nur eine von mehreren Voraussetzungen ist. Wir haben hierfür eine umfangreiche Anleitung zum Einsatz von Google Analytics veröffentlicht. Natürlich könnte man auch auf andere Analyse-Tools ausweichen, wir haben uns beispielsweise auch mit Matomo auseinander gesetzt. Ein solcher Fehler sollte heutzutage einfach nicht mehr passieren und den Ärger kann man sich sicherlich sparen, wenn man sich mit dem datenschutzkonformen Einsatz von Tracking-Tools beschäftigt.
Die Weitergabe der (vollständigen) IP-Adresse findet doch aber in jedem Fall statt. Wie soll das sonst funktionieren? Nur von Google-Europa nach Goolge-USA wird über die Anonymisierung ein Teil abgeschnitten, so dass kein Drittland-Transfer vorhanden ist.
Wenn die Aussage „Die Weitergabe der IP-Adresse an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, insbesondere dem Recht auf informationelle Selbstbestimmung.“ tatsächlich so gilt, dann können alle Tracker, Libraries etc. einpacken, die so auf Webseiten verbaut sind, denn dort wird bei jedem Abruf die IP-Adresse übertragen.
Soweit mir bekannt, wird das letzte Oktett der IP-Adresse unmittelbar noch im Arbeitsspeicher der „Google Analytics Collection“-Server mit Nullen überschrieben und erst im Anschluß gespeichert – sofern davor das „&aip=1“-Parameter durch „_anonymizelp“ gesetzt wurde.
Danke, guter Artikel.
Wie ist es eigentlich beim Benutzen eines Reverse Proxys, Web-Firewalls oder CDN wie CloudFlare oder Sucuri es anbieten? Da wird beim Besuch einer Website auch die IP-Adresse übermittelt. Zudem sind dies auch Firmen in der USA. Der ganze Internetverkehr läuft nämlich beim Aufruf einer durch CloudFlare/Sucuri geschützte Website vollständig über dessen Server. Als Nutzer hat man gar keine Wahl dies zu unterbinden. Beim ersten Besuch einer URL wird die IP-Adresse bereits übermittelt. Der Grund ist weil diese Umleitung in der DNS Konfiguration einer Domain-Name so eingestellt.
Es würde mich wirklich interessieren ob CloudFlare/Sucuri-Benutzer sich da auf Glatteis bewegen. Sucuri (GoDaddy) und CloudFlare sagen natürlich dass alles GDPR konform vonstatten geht.
Der Kenner weiß wie er es unterbindet ;) → Pi-Hole
Ja, genau – wenn man z. B. bild.de aufruft, geht die eigene IP-Adresse an über hundert Ziele – darunter eben auch Content Provider, CDN, Tracker, Profiler, Analytics, Optimierung etc. etc.