Google Analytics nun auch aus Sicht des Datenschutzes nutzbar

Google Analytics nun auch datenschutzrechtlich Nutzbar

Google Analytics nun auch datenschutzrechtlich Nutzbar

Lange hat es gedauert und zahlreiche Probleme mussten gelöst werden bis der Hamburger Datenschutzbeauftragte im September 2011 endlich verkünden konnte, dass Google Analytics nun auch in Deutschland – datenschutzrechtlich betrachtet – nutzbar ist.

Nach vielen Verhandlungen mit der Firma Google Inc. konnten die deutschen Datenschutzaufsichtsbehörden unter Führung des Hamburger
Datenschutzbeauftragten nun einen Erfolg für sich verbuchen: Die bisherigen datenschutzrechtlichen Mängel bei Google Analytics – dem kostenlosen Werkzeug zur Nutzungsanalyse im Internet – wurden von Google abgestellt. Vor allem Webseiten-Betreiber, die Google Analytics einsetzen, um ihr Internet-Angebot zu optimieren, dürfen jetzt endlich aufatmen, weil für sie bis Dato ungewiss war, ob die
Aufsichtsbehörden gegen sie vorgehen werden.

Ein Großteil des datenschutzrechtlichen Anstoßes war, dass beim Besuch einer Webseite, die von Google Analytics erfasst wird, die vollständige IP-Adresse an Google übermittelt wird. Aufgrund der
Personenbeziehbarkeit der IP-Adresse ist dies nach deutschem Datenschutzrecht nur mit bewusster, eindeutiger Einwilligung des Besuchers zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen bzw. zu anonymisieren, dass eine Personenbeziehbarkeit ausgeschlossen ist. Nach den jetzt vollzogenen Anpassungen durch Google soll künftig nur eine
gekürzte IP-Adresse an Google übertragen werden (bisher war das nur teilweise durch die Funktion „_anonymize_IP()“ möglich). Der einzelne Besucher einer  Webseite kann mittels dieser Adresse nicht mehr identifiziert werden. Weiterhin  wurde von Google ein Add-On für die
gängigen Internet-Browser entwickelt (http://tools.google.com/dlpage/gaoptout?hl=de), mit dem das Setzen eines Cookies zum Zweck der Webanalyse unterbunden werden kann.  Damit kann der Webseiten-Besucher wirksam die Analyse seines Surfverhaltens durch Google Analytics verhindern.

Außerdem hat Google seine Geschäftsbedingungen geändert. Auf der Grundlage eines Vertrags zur Auftragsdatenverarbeitung können sich Website-Betreiber nun  datenschutzrechtlich sicher fühlen, wenn sie weiterhin Google Analytics einsetzen wollen.

Umsetzungsanleitung für Betreiber von Webseiten

Was ist aber nun genau zu tun, um den Einsatz von Google Analytics aus datenschutzrechtlicher Sicht zu legalisieren?

  1. Hierzu muss zunächst ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden – nähere Informationen enthält folgendes Dokument von Google: http://www.google.com/analytics/terms/de.pdf.
  2. Es muss außerdem in der Datenschutzerklärung Ihrer Website auf die Verarbeitung personenbezogener Daten und die Widerspruchsmöglichkeiten hingewiesen werden. Auch ein Link auf die Google Analytic Add-Ons sollte enthalten sein: http://tools.google.com/dlpage/gaoptout?hl=de.
  3. Die Funktion „_anonymizeIp()“ muss in jeden Aufruf von Google Analytics (den sogenannten Trackingcode) integriert werden. Weitere Informationen können diesem Artikel von Google entnommen werden: http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp
  4. Sofern Sie bisher Google Analytics eingesetzt haben und dafür keinen gesonderten Vertrag zur Auftragsdatenverarbeitung besaßen, wurden die Nutzungsdaten ihrer Besucher bisher unrechtmäßig erhoben. Da man diese jedoch nicht löschen kann, sollte ein neues Google Analytics Profil angelegt werden (und natürlich auch im Trackingcode entsprechend geändert werden).

Mehr Details finden Sie in diesem PDF-Dokument des Hamburger Datenschutzbeauftragten: http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf

Aussichten und Entwicklungen im Datenschutz

Die rasante Entwicklung bei den mobilen Endgeräten wie Smartphones und Tablet-PCs lässt jedoch keinen Stillstand zu; auch in diesem Segment müssten die datenschutzrechtlich erforderlichen Anpassungen bei Google Analytics zeitnah umgesetzt werden. Erfreulich ist jedoch, dass sich ein international tätiges Unternehmen wie Google in Richtung  auf mehr Datenschutz bewegt hat. Nun ist zu hoffen, dass auch andere globale
Internet-Player wie z.B. Facebook mit seinen umstrittenen Angeboten hoffentlich diesem guten Beispiel folgen.

Update 20.01.2013:

Der Link zu Googles Formular zur Auftragsdatenverwaltung hat sich geändert: http://www.google.com/analytics/terms/de.pdf

Carsten Knoop

Über Carsten Knoop

Inhaber von www.audatis.de einem auf Datenschutz + Datensicherheit spezialisierten Beratungshaus, Ex-CISO (Chief Information Security Officer) der Bertelsmann AG; Datenschutzbeauftragter + Datenschutzauditor (TÜV); IT-Security Beauftragter + Manager (TÜV)
Dieser Beitrag wurde unter Anleitungen, Datenschutz abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar