Kann Google Analytics datenschutzkonform eingesetzt werden?

16.09.2014 – Google Analytics ist ein sog. „Webtracking-Analysetool", mit dem das Nutzungsverhalten auf einer Internetseite wie z. B. einem Onlineshop ausgewertet und analysiert werden kann. Wie kann es datenschutzkonform eingesetzt werden? Noch vor drei Jahren war die Frage klar mit nein zu beantworten, insbesondere weil Nutzungsdaten in nicht anonymisierter Form an Google-Server in die USA übertragen wurden. Heute sieht die Sache bei Beachtung einiger wichtiger Punkte erfreulicherweise anders aus.

Eine Übermittlung von Nutzungsdaten in die USA findet zwar immer noch statt, die Datenschutzaufsichtsbehörden haben jedoch in Zusammenarbeit mit Google zwischenzeitlich einen Plan entwickelt, mit dem Google Analytics wohl datenschutzkonform eingesetzt werden kann.

Bei den Nutzungsdaten, die Google Analytics speichert und verarbeitet, handelt es sich zum Beispiel um die folgenden Informationen:

  • Von woher kommt der Internetnutzer?
  • Welches Betriebssystem nutzt er?
  • Welchen Browser und welche Browserversion setzt er ein, um im Internet zu surfen?
  • Welche IP-Adresse ist dem Nutzer bei Aufruf der Internetseite zugeordnet?

Gerade bei dem Nutzungsdatum "IP-Adresse" herrscht noch Streit, ob es sich hier um ein personenbezogenes Datum handelt. Dass personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist gerade Voraussetzung für die Anwendbarkeit der Datenschutzgesetze – Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Liegen mit anderen Worten gar keine personenbezogenen Daten vor, muss ich mich um die Einhaltung datenschutzrechtlicher Vorgaben nicht kümmern. Die Datenschutzaufsichtsbehörden gehen jedoch davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt.

Sofern Google Analytics in der Basisversion ohne weitere Vorkehrungen eingesetzt wird, ist die Erhebung, Verarbeitung und Übermittlung der IP-Adresse des jeweiligen Nutzers der Internetseite, die Google Analytics einsetzt, nicht ausgeschlossen.
Nach den derzeitigen Anforderungen der Datenschutzaufsichtsbehörden, insbesondere des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) sowie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, kann Google Analytics aber eingesetzt werden, wenn mindestens folgende Vorkehrungen getroffen werden:

  1. Umfassende Information über den Einsatz von Google Analytics und das Ausmaß der Datenverarbeitungsprozesse über die Internetseite durch Google Analytics im Rahmen einer Datenschutzerklärung mit zusätzlichen Hinweisen auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics.

    Widerspruchsmöglichkeit 1 (bei herkömmlichen Browsern auf PCs oder Laptops): Hinweis auf Installationsmöglichkeit des von Google bereitgestellten Browser-Plugins

    Widerspruchsmöglichkeit 2 (vor allem bei Smartphone-Browsern, bei denen eine Plugin-Installation wie bei Widerspruchsmöglichkeit 1 nicht möglich ist): Implementierung einer eigenen technischen Widerspruchslösung, um das Tracking durch Google Analytics über die eigene Internetseite programmgesteuert zu unterbinden

  2. Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung mit Google

  3. Verwendung der Funktion „_anonymizeIP" im Tracking-Code auf jeder Internetseite mit Google Analytics-Einbindung

  4. Löschen von Altdaten über schon eingesetzte Google Analytics-Profile. Diese Profile sind nach Auffassung der Datenschutzaufsichtsbehörden zu löschen, da davon auszugehen sei, dass bei dem vorherigen Einsatz von Google Analytics ohne die vorgenannten Vorkehrungen zu treffen Daten unrechtmäßig erhoben worden seien. Gerade diese Voraussetzung dürfte für einen Webseitenbetreiber der Super-Gau sein, da er durch Löschen seines Google Analytics-Profils meist über Jahre ausgewertete Marketingdaten über die Nutzung seiner Internetseite verliert.

Die Beantwortung der aktuellen Rechtsfrage fällt daher klassisch juristisch aus: Es kommt darauf an. Wenn die vorgenannten Voraussetzungen erfüllt sind, ist ein datenschutzkonformer Einsatz von Google Analytics möglich, auch wenn wir insbesondere die Vorgabe der Ziff. 4 zumindest für bedenklich, wenn nicht sogar contra legem halten (vgl. schon unseren Beitrag hier).


SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30