Foto:
Webanalyse-Tools wie Google Analytics sind für viele Webseiten- und Online-Shop-Betreiber unverzichtbar. Sie ermitteln, wer wie oft welche Seiten und Unterseiten besucht, wie lange der Besucher dort verweilt und welche Funktionen er nutzt. Die Auswertung dieser Informationen wiederum ermöglicht es dem Webseitenbetreiber, Erkenntnisse über die Funktionalität und Attraktivität seiner Homepage zu erlangen und seine Prozesse entsprechend zu optimieren.
Problematisch ist hieran nur, dass bei der Ermittlung all dieser Daten auch die IP-Adresse des jeweiligen Besuchers gespeichert und zur Auswertung an den Diensteanbieter übermittelt wird.
Bei der IP-Adresse handelt es sich aber um eine personenbezogene Angabe, d. h. sie ermöglichst die Zuordnung der erhobenen Daten zu einer bestimmten natürlichen Person. Eine solche Datenübermittlung darf jedoch nach deutschem Recht nur mit der ausdrücklichen Einwilligung des Betroffenen erfolgen.
Gerade deshalb stand insbesondere das beliebteste Webanalyse-Tool, Marktführer Google Analytics, in der Kritik der Datenschutzbehörden. Nach langen Diskussionen und Verhandlungen bewegte erst das bußgeldsanktionierte Verbot dieses Tools Google zum Einlenken: Google nahm daraufhin bereits im September vorigen Jahres verschiedene Änderungen an seinem Produkt "Google Analytics" vor; ein datenschutzrechtskonformer Einsatz von Google Analytics war damit möglich.
Dennoch unterließen es offenbar viele Google-Analytics-Nutzer, ihre Programme und Verarbeitungsprozesse auf den aktuellen Stand umzustellen, sodass sich die Datenschutzbehörden nunmehr erneut zum Handeln gezwungen sehen.
Die Landesdatenschutzbehörden überprüfen hierzu derzeit nach dem Zufallsprinzip verschiedene Webseiten auf die Implementierung von Google Analytics und fordern die Webseitenbetreiber ganz konkret und unter Fristsetzung zur Auskunftserteilung und zur Umstellung auf. Flankiert wird diese Aufforderung mit einem Hinweis auf die Auskunftspflicht und die Bußgeldandrohung von bis zu 50.000 Euro.
Sie sollten daher als Betreiber einer Webseite für einen beanstandungsfreien Betrieb von Google Analytics folgende Maßnahmen unverzüglich umsetzen:
1. Vertrag zur Auftragsdatenverarbeitung:
Sie sollten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag können Sie unter http://www.google.de/intl/de/analytics/tos.pdf herunter laden.
Dabei ist zu beachten, dass Sie trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google Sie durch Vorlage entsprechender Nachweise unterstützt.
Datenschutzerklärung
2. Datenschutzerklärung:
Sie sollten die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte auf die entsprechende Seite http://tools.google.com/dlpage/gaoptout?hl=de verlinkt werden.
3. Einstellungen im Google Analytics-Programmcode:
Sie sollten durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion "_anonymizeIp()" zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp entnommen werden.
4. Löschung der Altdaten
Nutzen Sie bereits bisher Google Analytics in Ihre Webseiten, so ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssten gelöscht werden. Google bietet nach unserer Kenntnis hierfür nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie in diesem Fall dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.
Jetzt Vorkehrungen treffen
Angesichts der vergleichbaren Sachlage bei Social-Plug-Ins und hier insbesondere dem Facebook-Link-Button, sollten auch hier dringend Vorkehrungen getroffen werden. Die Implementierung einer 2-Klick-Variante empfiehlt sich hier ebenso, wie ein Hinweis in der Datenschutzerklärung. (oe)
Der Autor Manfred Wagner ist Rechtsanwalt sowie Mitglied der Deutschen Anwalts- und Steuerberatervereinigung für die mittelständische Wirtschaft e.V. (www.mittelstands-anwaelte.de). Die Autorin Jenny Hubertus ist Rechtsanwältin.
Kontakt:
Wagner Rechtsanwälte, Großherzog-Friedrich-Str. 40, 66111 Saarbrücken, Tel.: 0681 958282-0, E-Mail: wagner@webvocat.de, Internet: www.webvocat.de
Wichtiger Hinweis:
Google wird demnächst das neue "Remarketing"-Feature innerhaklb vin Google Analytics einführen. Dieses erfordert bei aktiver Nutzung eine Erweiterung der genannten Datenschutzvorgaben.
Einen ausführlichen Artikel dazu gibt es hier:
http://ganatyticsblog.de/analytics-datenschutz/google-analytics-datenschutzkonform-mit-remarketing-nutzen/