Kann Google Analytics wegen Datenschutz -Anforderungen rechtmäßig betrieben werden?
Mehrere Aufsichtsbehörden haben genaue Voraussetzungen veröffentlicht, bei deren Einhaltung wie beim Betrieb von Google Analytics trotz Datenschutz -Recht keine Beanstandung seitens der Behörden erfolgen wird. Dies sollte von sämtlichen Webseitenbetreibern, die Google Analytics einsetzen daher beherzigt werden. Dies ist zwar keine Garantie, dass ein Gericht dennoch eine Unzulässigkeit annimmt – aber die Wahrscheinlichkeit, dass es vor Gericht landet ist ausgesprochen gering.
Voraussetzungen zur Rechtmäßigkeit von Google Analytics wegen Datenschutz -Recht:
- Der Betreiber der Webseite muss in seiner Datenschutzerklärung darüber aufklären, dass personenbezogene Daten verarbeitet werden durch den Einsatz von Google Analytics. Dieser Text muss enthalten, dass das Programm eingesetzt wird und dass dadurch Daten wie Cookies und dadurch eine Auswertung des Surf-Verhaltens erfolgt. (Formulierungsvorschlag von Google am Ende der Seite).
- Der Betreiber muss auf die bestehende Widerspruchsmöglichkeit gegen die Anwendung von Google Analytics hinweisen. Dazu sollte auf die entsprechende Seite von Google verlinkt werden: http://tools.google.com/dlpage/gaoptout?hl=de
- Der Betreiber muss mit Google eine Vereinbarung über eine Auftragsdatenvereinbarung abschließen. Dieser kann hier von der Google-Homepage heruntergeladen werden. Diese ist in zwei Ausführungen auszudrucken und je zwei Mal zu unterschreiben und dann an Google zu senden – nach ein paar Wochen erhält man ein von Google unterschriebenes Exemplar zurück.
- Der Betreiber muss im Programmcode von Google Analytics die Anonymisierungsoption wählen. Mit dieser erfolgt eine Kürzung der letzten 3 Ziffern der IP-Adresse. Dazu wird der Tracking-code der jeweiligen Seite mit der Funktion „_anonymizeIp()“ ergänzt. Darauf ist in der Datenschutzerklärung hinzuweisen. Mehr Informationen dazu finden Sie in der technischen Anleitung von Google.
Altdaten sind zu löschen
Die Behörde verlangt, dass sämtliche Altdaten, die vor Durchführung dieser Maßnahmen gesammelt wurden, gelöscht werden. Technisch ist dies derzeit wohl nur möglich durch ein neues Google-Analytics-Profil (Web-Property-ID). Dies ist wenig praktikabel, aber klare Anweisung der Datenschutzbeauftragten.
Umsetzung wichtig
Jeder Webseitenbetreiber sollte diese Anforderungen umsetzen. Die Datenschutzbehörden mehrerer Länder haben bereits Prüfungen tausender Webseiten durchgeführt und Betreiber zu einer Datenschutzkonformität angemahnt. Dies wird vermutlich auch in Zukunft passieren. Wer also ein Bußgeld vermeiden möchte, sollte dies umsetzen. Möglich ist u.U. auch eine Abmahnung eines Konkurrenten, da manche Gerichte (z.B. zuletzt OLG Hamburg) auch Datenschutzverstöße als wettbewerbsrechtlich relevant ansehen. Es wird sich zeigen, ob eine neue Abmahnwelle eintritt – bereits jetzt sollte man gewappnet sein, zudem die Rechtmäßigkeit ohne großen Aufwand hergestellt werden kann.
Weiterführende Links zu Google Analytics und Datenschutz:
- Die ursprüngliche Meldung des hamburgischen Datenschutzbeauftragten finden Sie hier.
- Link zur Informationsseite von Google hier.
- Mein Beratungsspektrum im Datenschutz.
Alternativen zu Google Analytics?
Es gibt auch Alternativen zu Google Analytics. Die (wohl) meist-verwendeten sind eTracker (kostenpflichtig) und Piwik (gratis). Piwik hat der Vorteil, dass die Daten direkt auf der Seite erfasst werden und somit keine Datenübertragung in die USA stattfindet. Das System wird Ihnen in den nächsten Tagen in meinem Blog vorgestellt werden.
Anhang: Formulierungsvorschlag von Google
„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren [Link hier einfügen. Der aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de].“
Dies ist zu ergänzen um den Hinweis auf die Verwendung von anonymizeIP.