Beitrag freundlicherweise zu Verfügung gestellt von: LIEB.Rechtsanwälte, Erlangen
Bei Google Analytics handelt es sich um eines der bekanntesten Analyse-Tools für eine fundierte Auswertung der eigenen Internetpräsenz. Es zählt zunächst, wie viele Benutzer eine Website hat, schlüsselt auf, wie lange ein Nutzer auf der Website geblieben ist, welche Unterseiten besonders häufig aufgerufen wurden und stellt Zusammenhänge her, beispielsweise in welcher Reihenfolge die Website angesehen wird. Zudem werden Details über die Nutzer erhoben, beispielsweise ihre Herkunft, Sprache und demographische Informationen wie Alter und Geschlecht. Zudem erhebt Google Analytics Informationen darüber, wie lange es im Schnitt dauert, bis die Homepage geladen wird, welchen Browser die Besucher verwenden und über welche Kanäle die Homepage aufgesucht wird, also per URL-Eingabe, soziale Netzwerke, Links von anderen Seiten oder über Suchmaschinen. Google Analytics verfügt dabei über weitere zahlreiche Analysefunktionen.
Wie die obige Beschreibung bereits erkennen lässt, wird Google Analytics auf der eigenen Homepage implementiert, die Datenerhebung bzw. –auswertung erfolgt jedoch nicht durch den Betreiber der Homepage, sondern durch Google, was für den Besucher der Homepage nicht erkennbar ist. Da personenbezogene Daten ohne Kenntnis und vor allem ohne Einwilligung des Betroffenen weitergegeben werden, stehen Datenschützer der Verwendung von Google Analytics nach wie vor sehr skeptisch gegenüber.
Der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat sich bereits im November 2009 sehr skeptisch hinsichtlich der Vereinbarkeit von Google Analytics mit dem deutschen Datenschutz geäußert. Im Jahr 2011 trat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit vertretend für die Aufsichtsbehörden in Deutschland mit Google in Verhandlungen. Man verständigte sich darauf, wie Google Analytics angepasst werden müsste, damit es die deutschen Nutzer datenschutzkonform einsetzen könnten.
Um Google Analytics datenschutzkonform einzusetzen, sind folgende Voraussetzungen zu erfüllen:
1. Abschluss eines schriftlichen Vertrages mit Google über eine Auftragsdatenvereinbarung
Der von Google und den Datenschützern entwickelten Mustervertrag zur Auftragsdatenverarbeitung ist unter http://www.google.de/analytics/terms/de.html abrufbar.
Der Vertrag umfasst inklusive einer „Anlage 1 – Regelungen zur Auftragsdatenverarbeitung“ und einer „Anlage 2 – Technische und organisatorische Maßnahmen“ insgesamt 15 Seiten. Der Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlag per Post an Google gesendet werden. Das gegengezeichnete Exemplar wird dann per Post von Google an den Webseitenbetreiber zurück gesendet.
2. Verwendung von Google Analytics mit verkürzten IP-Adressen
Aufgrund der angesprochenen Datenschutzdiskussion sollen fortan nicht mehr die kompletten IP-Adressen der Webseitenbesucher gespeichert werden. In diesem Zusammenhang hat Google die Funktion anonymizeIP() eingeführt. Diese Funktion verwirft das jeweils letzte Oktett der IP-Adresse. Dadurch werden nicht mehr die vollständigen IP-Adressen der Besucher einer Webseite gespeichert, sondern nur noch eine gekürzte Version.
Der Code für die anonymizeIP() – Funktion muss von jedem Webmaster eigenständig in seinem Google Analytics Code verankert werden.
3. Löschung der bisherigen Google-Analytics-Daten
Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.
4. Die Datenschutzerklärung auf Ihrer Website muss angepasst werden
Die Nutzer der Website müssen über die Speicherung und Verarbeitung der Daten im Rahmen von Google Analytics hingewiesen werden. Die Datenschutzerklärung muss weiter einen Hinweis auf die Widerspruchsmöglichkeit der Nutzer enthalten. Dazu soll auf das Browser-Add-on zur Deaktivierung von Google Analytics hingewiesen werden.
Für die Nutzer von Google Analytics ist die Einhaltung der vorstehenden Voraussetzungen von Bedeutung, da beispielsweise das Bayerische Landesamt für Datenaufsicht mittels einer Onlineprüfung untersucht, ob das Programm Google Analytics datenschutzkonform eingesetzt wird. Nach der Feststellung, dass Google Analytics zum Einsatz kommt, überprüft das hierfür vom BayLDA selbst entwickelte Prüfprogramm, ob
- die Funktion _anonymizeIp vorhanden und korrekt implementiert ist,
- auf der Startseite des Internetauftritts ein Hinweis auf eine Datenschutzerklärung zu finden ist,
- in einer vorhandenen Datenschutzerklärung über den Einsatz von Google Analytics informiert wird und
- in einer vorhandenen Datenschutzerklärung der Nutzer auf sein Widerspruchsrecht gegen die Erfassung seiner Nutzungsdaten durch Google Analytics hingewiesen wird, das der Nutzer dadurch wahrnehmen kann, indem er ein Deaktivierungs-Add-On installiert.
Kommt das Bayerische Landesamt für Datenaufsicht zu dem Ergebnis, dass keine datenschutzkonforme Verwendung vorliegt, drohen dem Verwender Bußgelder in nicht unerheblicher Höhe.