Datenschutzkonformer Einsatz von Google Analytics in deutschen Unternehmen

Seit April 2012 prüfen die Datenschutzbehörden der Länder regelmäßig, ob in ihrem Zuständigkeitsbereich ein datenschutzkonformer Einsatz von Google Analytics erfolgt. Die Datenschutzbehörden haben dazu ein automatisiertes Programm entwickelt, dass die Grundprüfung automatisiert vornehmen kann. Dabei werden die Texte der Webseite sowie der Seitenquelltext der Leitseite analysiert. Zweiteres kann übrigens jeder, der sich den Quelltext einer Webseite anzeigen lässt und nach dem Begriff „_anonymizeIp“ sucht. Damit wird schnell erkennbar, ob Google Analytics eingesetzt wird und ob die Anonymisierungsfunktion aktiviert ist.

Daher sind die Fragen, wie Google Analytics datenschutzkonform eingesetzt werden kann, immer wieder Teil der anwaltlichen Beratungsanfragen.

Die Prüfung des Bayerischen Landesbeauftragten für den Datenschutz hatte bei der ersten Prüfung ergeben, dass „auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wurde und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform eingesetzt haben. Soweit der Einsatz nicht datenschutzkonform erfolgte, hat das BayLDA die übrigen 2.371 Webseitenbetreiber angeschrieben, sie über das Ergebnis der Prüfung informiert und aufgefordert, den Einsatz des Programms gemäß den Vorgaben der Datenschutzbehörden datenschutzkonform zu gestalten. (Quelle: BayLDA)“ In einigen Fällen wurde bei Nicht-Reaktion durch den Angemahnten auch Bußgelder verhängt.

Dabei ist der datenschutzkonforme Einsatz von Google Analytics ganz einfach. Folgende Punkte müssen nach der Feststellung des Düsseldorfer Kreises, dem bundesweiten Gremium der Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich (Hinweise für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert gemäß Beschluss vom 26./27.11.2009) sowie den weiteren Hinweisen beziehungsweise vertraglichen Anforderungen (hier von Google) beachtet werden und zwar bevor mit dem Einsatz der Analysetools, hier Google Analytics begonnen wird.

Umzusetzende Maßnahmen

  • Implementierung der Funktion _anonymizeIp,
  • Aufnahme eines Cookie Hinweises auf die Webseite,
  • Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit Google,
  • Aufnahme von Informationen zu Google Analytics einschließlich Cookies in die Datenschutzhinweise der Webseite.

Die einzelnen Maßnahmen sind relativ leicht umzusetzen und erfordern gegebenenfalls die Unterstützung Ihres Webseiten-Betreuers/Agentur und ihrer Rechtsabteilung oder eines mit dem Thema Datenschutz vertrauten Anwaltes.

  • Die Funktion _anonymizeIp ist sehr einfach im Quelltext der Seite einzubauen und verkürzt die IP Adresse des Besuchers der Webseite datenschutzgerecht. Durch die Funktion wird das letzte Oktett der IP-Adresse des Nutzers noch innerhalb des Arbeitsspeichers auf null gesetzt. Wenn die IP-Adresse eine IPv6-Adresse ist, werden die letzten 80 der 128 Bits auf null gesetzt. Damit ist die IP Adresse aus Sicht des deutschen Datenschutzes nicht mehr personenbeziehbar.
  • Gemäß der so genannten „Cookie Richtlinie“ der europäischen Union müssen Betreiber von Webseiten die Besucher ihrer Websites und Apps darüber informieren, wie sie Cookies und andere Formen der gerätebezogenen Speicherung von Besucherinformationen verwenden. Diese Richtlinie ist in den Ländern der europäischen Union unterschiedlich umgesetzt worden. Teilweise ist eine Zustimmung erforderlich, teilweise reicht der bloße Hinweis auf Cookies aus. In Deutschland ist die Rechtslage umstritten; Google hat aber in seinen vertraglichen Regelungen, in die alle Nutzer von Google Analytics eingewilligt haben, vorgesehen, dass und wie ein Cookie Hinweis zu erfolgen hat (http://www.cookiechoices.org/).
  • Der Abschluss eines Vertrages zur Auftragsdatenverarbeitung (auch kurz ADV genannt) mit Google ist sehr einfach, da Google dafür einen Standardvertrag zur Verfügung stellt, der vom Webseiten-Betreiber nur auszufüllen, zu unterschreiben und an Google zu senden ist (https://www.google.de/analytics/terms/de.html und dort dann auf den Link im ersten Absatz klicken).
  • In den Datenschutzbestimmungen, die jede (gewerbliche) Webseite in Deutschland aufweisen muss, ist ein Hinweis zu Google Analytics und zu den Cookies, die in diesem Rahmen gesetzt werden, aufzunehmen. Es empfiehlt sich, den Einsatz von Google Analytics, einschließlich des Hinweises auf die Funktion _anonymizeIp, zu beschreiben und auch darauf hinzuweisen, wie der Nutzer ein Tracking verhindern kann. Hier sollte rechtlicher Rat zur korrekten Ausgestaltung der Hinweise eingeholt werden.

Veröffentlicht von Rechtsanwalt Kast Christian_KAst_landing