Datenschutzkonformer Einsatz von Google Analytics

Datenschutzkonformer Einsatz von Google Analytics

Nur ca. 3% der Nutzer von Google Analytics setzen das Trackingtool auch datenschutzkonform ein. Lesen Sie hier, was Sie unbedingt beachten müssen, damit Sie sich teure Bußgelder ersparen.

Datenschutzkonformer Einsatz von Google Analytics

Seit April 2012 prüfen die Datenschutzbehörden der Länder, ob Webseiten in ihrem Zuständigkeitsbereich Google Analytics datenschutzkonform einsetzen. Die Prüfung des Bayerischen Landesbeauftragten für den Datenschutz hat bei der ersten Prüfung ergeben, dass „auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wurde und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform eingesetzt haben. Soweit der Einsatz nicht datenschutzkonform erfolgte, hat das BayLDA die übrigen 2.371 Webseitenbetreiber angeschrieben, sie über das Ergebnis der Prüfung informiert und aufgefordert, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.“ In einigen Fällen wurden bei Nicht-Reaktion durch den Angemahnten auch Bußgelder in fünfstelliger Höhe verhängt.

Dabei ist der datenschutzkonforme Einsatz von Google Analytics ganz einfach. Folgende Punkte müssen nach der Feststellung des Düsseldorfer Kreises, dem bundesweiten Gremium der Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich (Hinweise für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert gemäß Beschluss vom 26./27.11.2009), sowie den weiteren Hinweisen beziehungsweise vertraglichen Anforderungen (hier von Google) beachtet werden und zwar bevor mit dem Einsatz der Analysetools, hier Google Analytics, begonnen wird:

  • Implementierung der Funktion _anonymizeIp,
  • Aufnahme eines Cookie Hinweises auf die Webseite,
  • Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit Google,
  • Aufnahme von Informationen zu Google Analytics einschließlich Cookies in die Datenschutzhinweise der Webseite.

Die einzelnen Maßnahmen sind relativ leicht umzusetzen und erfordern gegebenenfalls die Unterstützung Ihres Webseiten-Betreuers/Agentur und Ihrer Rechtsabteilung oder eines mit dem Thema Datenschutz vertrauten Anwaltes.

  • Die Funktion _anonymizeIp ist sehr einfach im Quelltext der Seite einzubauen und verkürzt die IP-Adresse des Besuchers der Webseite datenschutzgerecht. Durch die Funktion wird das letzte Oktett der IP-Adresse des Nutzers noch innerhalb des Arbeitsspeichers auf null gesetzt. Wenn die IP-Adresse eine IPv6-Adresse ist, werden die letzten 80 der 128 Bits auf null gesetzt. Damit ist die IP-Adresse aus Sicht des deutschen Datenschutzes nicht mehr personenbeziehbar.
  • Gemäß der so genannten „Cookie Richtlinie“ der europäischen Union müssen Betreiber von Webseiten die Besucher ihrer Websites und Apps darüber informieren, wie sie Cookies und andere Formen der gerätebezogenen Speicherung von Besucherinformationen verwenden. Diese Richtlinie ist in den Ländern der europäischen Union unterschiedlich umgesetzt worden, wobei teilweise das Erfordernis der Zustimmung aufgestellt wird, teilweise der bloße Hinweis auf Cookies ausreicht. In Deutschland ist die Rechtslage umstritten, Google hat aber in seinen vertraglichen Regelungen, in die Sie als Nutzer auch von Google Analytics eingewilligt haben, vorgesehen, dass und wie ein Cookie Hinweis zu erfolgen hat (http://www.cookiechoices.org/).
  • Der Abschluss eines Vertrages zur Auftragsdatenverarbeitung (auch kurz ADV genannt) mit Google ist sehr einfach, da Google dafür einen Standardvertrag zur Verfügung stellt, der vom Webseiten-Betreiber nur auszufüllen, zu unterschreiben und an Google zu senden ist (https://www.google.de/analytics/terms/de.html und dort dann auf den Link im ersten Absatz klicken).
  • In den Datenschutzbestimmungen, die jede (gewerbliche) Webseite in Deutschland aufweisen muss, ist ein Hinweis zu Google Analytics und zu den Cookies, die in diesem Rahmen gesetzt werden, aufzunehmen. Es empfiehlt sich, den Einsatz von Google Analytics, einschließlich des Hinweises auf die Funktion _anonymizeIp, zu beschreiben und auch darauf hinzuweisen, wie der Nutzer ein Tracking verhindern kann. Hier sollte rechtlicher Rat zur korrekten Ausgestaltung der Hinweise eingeholt werden.

Eingesandt von Rechtsanwalt Christian R. Kast, Fachanwalt für IT-Recht im Anwaltscontor, www.anwaltscontor.de

Zurück

LeadingReports GmbH | Hungen | +49 6036 43 28 500 |
© Alle Rechte vorbehalten Nutzungsbedingungen, Datenschutz, Impressum und Streitbeilegung