Das kostenfreie Website-Analyse-Tool Google Analytics hat sich sehr stark im Markt durchgesetzt. Der Dienst war jedoch bislang nicht ohne weiteres mit den datenschutzrechtlichen Anforderungen kompatibel. Dies führte dazu, dass die deutschen Datenschutzaufsichtsbehörden den Einsatz des Dienstes als rechtswidrig ansahen und in einigen Fällen auch formelle Beanstandungen aussprachen. Die Kritik der Behörden basiert im Kern auf der Tatsache, dass bei Google Analytics die IP-Adressen der Nutzer eine Webseite ohne deren Kenntnis oder gar Einwilligung in die USA zu Servern von Google übermittelt und dort gespeichert und verarbeitet werden. Eine von Google in 2010 vorgenommene „datenschutzfreundliche“ Überarbeitung des Dienstes änderte hieran nichts Wesentliches – jedenfalls bis jetzt!
Bei den meisten Unternehmen ist bereits bekannt, dass ein ordentliches Datenschutzkonzept nicht nur vor Abmahnungen und Sanktionen schützt, sondern auch langfristig für den strategischen Aufbau einer Kundendatenbank wichtig ist. Die umfassende Beachtung der datenschutzrechtlichen Vorschriften ist daher auch eine Maßnahme zur Kundenbindung und -zufriedenheit.
Geeinigt: Datenschutzbehörde und Google
Kürzlich ist es zu einer Einigung zwischen wichtigen Datenschutzbehörden und Google gekommen. Danach kann Google Analytics rechtskonform eingesetzt werden, wenn die nachfolgenden Regelungen beachtet werden:
Schritt 1: Vertrag zur Auftragsdatenverarbeitung
Als ersten Schritt müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Einen entsprechenden Vordruck finden Sie unter www.google.com/de//analytics/tos.pdf. Bitte beachten Sie die Versandoptionen auf der ersten Seite. Durch den Vertrag entstehen gewisse Kontrollpflichten
Ihrerseits, bei denen Google Sie jedoch durch Vorlage entsprechender Nachweise unterstützt.
Schritt 2: Hinweis an Nutzer
Sie müssen die Nutzer Ihrer Webseite darüber informieren, dass Sie Google Analytics verwenden und somit personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Ein solcher Hinweis ist in Ihrer Datenschutzerklärung unterzubringen.
Schritt 3: Hinweis auf Widerspruchsmöglichkeit
Zudem sollte in Ihrer Datenschutzerklärung auf die Widerspruchsmöglichkeit des Nutzers gegen die Erfassung seiner personenbezogenen Daten durch Google Analytics hingewiesen werden. Im Rahmen dieses Hinweises sollten Sie die entsprechende Seite verlinken: http://tools.google.com/dlpage/gaoptout?hl=de. Durch dieses Verfahren wird ein sogenannter „Cookie“, eine kleine Textdatei, auf dem Rechner des Nutzers gespeichert und beim Besuch Ihrer Webseite durch
Google Analytics abgefragt. Findet Google Analytics den Cookie, werden keine Daten erhoben.
Schritt 4: Anonymisierung der IP-Adressen
Weitere Anforderung ist die Anweisung an Google, eine Kürzung der IP-Adressen um das letzte Oktett, d.h. die letzten drei Ziffern der IP-Adresse, vorzunehmen. Dies können Sie über entsprechende Einstellungen im Google Analytics – Programmcode erreichen. Die Einigung mit den Aufsichtsbehörden sieht vor, dass auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizelp()“ ergänzt wird. Weitere Details können Sie den technischen Anleitungen von Google auf der folgenden Seite entnehmen: http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp
Schritt 5: Neues Google Analytics-Profil eröffnen
Wurde Google Analytics schon bisher genutzt, sind die entsprechenden Daten, die bis zur Umsetzung der oben beschriebenen Änderungen erhoben worden, rechtswidrig erhoben worden. Sie müssen daher solche Altdaten unbedingt löschen. Hierfür müssen Sie das bestehende Google-Analytics-Profil schließen und anschließend ein neues eröffnen. Dabei sollte Sie beachten, dass Sie möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID
(UA-XXXXX-YY) erhalten und Ihre Webseiten anpassen müssen.
Fazit
Sobald Sie diese Anforderungen beachten und umsetzten, können Sie, so die Datenschutzaufsichtsbehörden, die Dienste von Google Analytics in Anspruch nehmen, ohne dass dies einen Verstoß gegen das Datenschutzrecht darstellt. Diese Lösung, die von einigen Datenschutzbehörden mit Google verhandelt wurde, ist noch nicht von allen anderen Aufsichtsbehörden ausdrücklich anerkannt worden. Üblicherweise ist dies aber der Fall, insbesondere wenn, wie hier, mehrere Behörden bereits das Verfahren anerkannt haben. Zum aktuellen Stand gehen wir daher von der Rechtskonformität aus.
Noch Fragen?
Falls Sie Fragen zur genaueren Ausgestaltung der neuen Anforderungen oder Bedenken bei der Umsetzung haben, wenden Sie sich direkt an die Rechtsanwälte von SKW Schwarz, die Ihnen jederzeit gerne zur Verfügung stehen. Sie entwerfen Ihnen gerne die erforderlichen Texte, prüfen Ihre Datenschutzerklärung und beraten Sie ganz allgemein zur Integration des Systems in Ihr bestehendes Datenschutzkonzept.
Dr. Matthias Orthwein, LL.M., München
Verpassen Sie keinen Beitrag und abonnieren Sie unseren RSS-Feed.
Rechtskonformer Einsatz von Google Analytics
Michael Schubart, 21. Dezember 2011 kein Kommentar RSS
Das kostenfreie Website-Analyse-Tool Google Analytics hat sich sehr stark im Markt durchgesetzt. Der Dienst war jedoch bislang nicht ohne weiteres mit den datenschutzrechtlichen Anforderungen kompatibel. Dies führte dazu, dass die deutschen Datenschutzaufsichtsbehörden den Einsatz des Dienstes als rechtswidrig ansahen und in einigen Fällen auch formelle Beanstandungen aussprachen. Die Kritik der Behörden basiert im Kern auf der Tatsache, dass bei Google Analytics die IP-Adressen der Nutzer eine Webseite ohne deren Kenntnis oder gar Einwilligung in die USA zu Servern von Google übermittelt und dort gespeichert und verarbeitet werden. Eine von Google in 2010 vorgenommene „datenschutzfreundliche“ Überarbeitung des Dienstes änderte hieran nichts Wesentliches – jedenfalls bis jetzt!
Bei den meisten Unternehmen ist bereits bekannt, dass ein ordentliches Datenschutzkonzept nicht nur vor Abmahnungen und Sanktionen schützt, sondern auch langfristig für den strategischen Aufbau einer Kundendatenbank wichtig ist. Die umfassende Beachtung der datenschutzrechtlichen Vorschriften ist daher auch eine Maßnahme zur Kundenbindung und -zufriedenheit.
Geeinigt: Datenschutzbehörde und Google
Kürzlich ist es zu einer Einigung zwischen wichtigen Datenschutzbehörden und Google gekommen. Danach kann Google Analytics rechtskonform eingesetzt werden, wenn die nachfolgenden Regelungen beachtet werden:
Schritt 1: Vertrag zur Auftragsdatenverarbeitung
Als ersten Schritt müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Einen entsprechenden Vordruck finden Sie unter www.google.com/de//analytics/tos.pdf. Bitte beachten Sie die Versandoptionen auf der ersten Seite. Durch den Vertrag entstehen gewisse Kontrollpflichten
Ihrerseits, bei denen Google Sie jedoch durch Vorlage entsprechender Nachweise unterstützt.
Schritt 2: Hinweis an Nutzer
Sie müssen die Nutzer Ihrer Webseite darüber informieren, dass Sie Google Analytics verwenden und somit personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Ein solcher Hinweis ist in Ihrer Datenschutzerklärung unterzubringen.
Schritt 3: Hinweis auf Widerspruchsmöglichkeit
Zudem sollte in Ihrer Datenschutzerklärung auf die Widerspruchsmöglichkeit des Nutzers gegen die Erfassung seiner personenbezogenen Daten durch Google Analytics hingewiesen werden. Im Rahmen dieses Hinweises sollten Sie die entsprechende Seite verlinken: http://tools.google.com/dlpage/gaoptout?hl=de. Durch dieses Verfahren wird ein sogenannter „Cookie“, eine kleine Textdatei, auf dem Rechner des Nutzers gespeichert und beim Besuch Ihrer Webseite durch
Google Analytics abgefragt. Findet Google Analytics den Cookie, werden keine Daten erhoben.
Schritt 4: Anonymisierung der IP-Adressen
Weitere Anforderung ist die Anweisung an Google, eine Kürzung der IP-Adressen um das letzte Oktett, d.h. die letzten drei Ziffern der IP-Adresse, vorzunehmen. Dies können Sie über entsprechende Einstellungen im Google Analytics – Programmcode erreichen. Die Einigung mit den Aufsichtsbehörden sieht vor, dass auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizelp()“ ergänzt wird. Weitere Details können Sie den technischen Anleitungen von Google auf der folgenden Seite entnehmen:
http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp
Schritt 5: Neues Google Analytics-Profil eröffnen
Wurde Google Analytics schon bisher genutzt, sind die entsprechenden Daten, die bis zur Umsetzung der oben beschriebenen Änderungen erhoben worden, rechtswidrig erhoben worden. Sie müssen daher solche Altdaten unbedingt löschen. Hierfür müssen Sie das bestehende Google-Analytics-Profil schließen und anschließend ein neues eröffnen. Dabei sollte Sie beachten, dass Sie möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID
(UA-XXXXX-YY) erhalten und Ihre Webseiten anpassen müssen.
Fazit
Sobald Sie diese Anforderungen beachten und umsetzten, können Sie, so die Datenschutzaufsichtsbehörden, die Dienste von Google Analytics in Anspruch nehmen, ohne dass dies einen Verstoß gegen das Datenschutzrecht darstellt. Diese Lösung, die von einigen Datenschutzbehörden mit Google verhandelt wurde, ist noch nicht von allen anderen Aufsichtsbehörden ausdrücklich anerkannt worden. Üblicherweise ist dies aber der Fall, insbesondere wenn, wie hier, mehrere Behörden bereits das Verfahren anerkannt haben. Zum aktuellen Stand gehen wir daher von der Rechtskonformität aus.
Noch Fragen?
Falls Sie Fragen zur genaueren Ausgestaltung der neuen Anforderungen oder Bedenken bei der Umsetzung haben, wenden Sie sich direkt an die Rechtsanwälte von SKW Schwarz, die Ihnen jederzeit gerne zur Verfügung stehen. Sie entwerfen Ihnen gerne die erforderlichen Texte, prüfen Ihre Datenschutzerklärung und beraten Sie ganz allgemein zur Integration des Systems in Ihr bestehendes Datenschutzkonzept.
Dr. Matthias Orthwein, LL.M., München