Google Analytics datenschutzkonform einsetzen

Tracking-Tools gehören heute zu den selbstverständlichen “Helfern” mit denen Firmen den Besuch ihrer Internetpräsenz analysieren. Die Diskussion der Landesdatenschutzbeauftragten mit Google hat nun zu einer rechtssicheren Regelung geführt. Der Datenschutzexperte Roland Breda ist externer Datenschutzbeauftragter und hat ein kurzes “Handbuch” zusammengestellt, mit dem Internetseitenbetreiber, nach heutigem Stand, Google Analytics datenschutzrechtlich korrekt einbinden können.

1. Wie kann ein Besucher einer Webseite überhaupt erkennen, dass Tracking-Tools verwendet werden?

In Abhängigkeit des genutzten Browsers finden sich unterschiedliche Analysetools, wie im Falle von Firefox das “Ghostery”, welche beim Besuch einer Internetseite die von dieser Seite genutzten Tracking-Tools anzeigen. So ist es für einen Nutzer mit der ersten Sekunde des Seitenbesuchs klar, ob “Google Analytics” durch den Seitenbetreiber genutzt wird.

Aber auch ohne ein Analysetool ist die Nutzung feststellbar. Wenn man sich den Quelltext einer Internetseite anzeigen lässt (rechte Maustaste + “Quelltext anzeigen”) und nach “Google” sucht, findet man den entsprechenden Eintrag.

Natürlich steht es auch den Landesdatenschutzbehörden frei, im Rahmen von Kontrollen, Webseiten zu besuchen und in Abhängigkeit des genutzten Tracking-Tools zu prüfen, ob diese datenschutzkonform betrieben werden.

2. Welche rechtlichen Auswirkungen hat die Nutzung von Google Analytics?

Entsprechend dem Beschluss des Düsseldorfer Kreises vom 27.11.2009 zur “Datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten” ist der Betreiber von Internetseiten verpflichtet:

http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.pdf;jsessionid=41EFA6B1B586D750FC48D26533D1A655.1_cid134?__blob=publicationFile

– den Seitenbesucher zu informieren
– eine Widerspruchsmöglichkeit (Opt-out) anzubieten
– eine Analyse mit vollständiger IP nur mit Einwilligung des Betroffenen
durchzuführen
– bei der Erstellung von Nutzerprofilen die Regelungen der Auftragsdatenverarbeitung (ADV) zu berücksichtigen?

3. Was muss im Einzelnen beachtet werden?

Der hamburgische Datenschutzbeauftragte hat Hinweise zur praktischen Anwendung zusammengestellt:
http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf

Hieraus ergibt sich das folgende Vorgehen:

– Hinweis in die Datenschutzerklärung einbauen

a) allgemein
(Text siehe Ziffer 8.1 des Vertrages mit Google)

b) Anbieten des Opt-out Plugins
“Wir möchten Sie darauf hinweisen, dass unsere Website zur Verbesserung des Datenschutzes Google Analytics mit der Erweiterung “_anonymizeIp()” verwendet. In diesem Falle wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Damit ist eine direkte Personenbeziehbarkeit bei der Analyse der Nutzung unserer Website ausgeschlossen.” https://developers.google.com/analytics/devguides/collection/gajs/methods/gaJSApi_gat?hl=de#_gat._anonymizeIp

c) Anbieten des “anonymizedIP”
“Sie können das Setzen der Google Analytics-Cookies durch die Erweiterung Ihres Browsers ablehnen. Damit können Sie Ihr Recht wahrnehmen, der Datenerhebung, -verarbeitung und -nutzung durch Google Analytics mit Wirkung für die Zukunft zu widersprechen. Hierzu können Sie das Deaktivierungs-Add-on für Browser von Google Analytics installieren. Damit verhindern Sie, dass Google Analytics Informationen über Ihre Website-Besuche speichert. Weitere Informationen sowie Hinweise zum Download und zur Installation dieses Deaktivierungs-Add-on finden Sie hier ____.” (aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de )

– Abschluss eines ADV-Vertrages mit Google

zu beachten:
– Punkt 7 des Vertrages “Nutzungsrecht als Referenzkunde”
– Anlage 1 Ziff. 5 “Prüfbericht anfordern”
entsprechend § 11 Abs. 2 S. 4 Bundesdatenschutzgesetz (BDSG)

– Löschen des Accounts

Soweit ein ohne die o.g. Vorgehensweise betriebenes Google-Konto existiert, muss dieser gelöscht werden, damit die unzulässig übermittelten Daten gelöscht werden. Die Nummer des neuen Google Kontos muss in den Quelltext eingepflegt werden. Die Löschung eines alten Google-Kontos bringt den Verlust der Historie mit sich, allerdings auch den Vorteil einer rechtskonformen Nutzung.

Die datenschutzrechtlichen Vorgaben gelten für alle auf dem Markt verfügbaren Tracking-Tools wie Piwik, Etracker oder Omniture.

Künftig können weitere Anforderungen mit der “Cookie-Richtlinie” auf Webseitenbetreiber zukommen und ein verändertes Vorgehen erforderlich machen.

Roland Breda Unternehmensberatung – externer Datenschutzbeauftragter – Holzapfelstrasse 34, 41836 Hückelhoven, Tel.: 0 24 33 – 46 41, E-Mail: r.breda@roland-breda-dsb.de

Die KAM3 GmbH Kommunikationsagentur ist u. a. auf Public Relations und Werbung spezialisiert. Die 1993 gegründete und inhabergeführte Kommunikationsagentur fungiert seit 2008 als GmbH. Geschäftsführer sind Dr. Jeannette Hark und Vojislav Miljanovic.

Kontakt:
KAM3 GmbH Kommunikationsagentur
Monika Beumers
Finkenstraße 8
52531 Übach-Palenberg
02451-909310
mb@kam3.de
http://www.kam3.de