Bedingungen angepasst

Offene Fragen bei Google Analytics

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Der Hamburgische Datenschutzbeauftragte hat die konkreten Bedingungen für den rechtskonformen Betrieb vorgestellt. Johannes Richard nennt Details.

Die Nutzung von Google Analytics wirft viele datenschutzrechtliche Fragen auf, die nicht abschließend geklärt sind. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 15.09.2011 mitgeteilt, unter welchen Voraussetzungen ein "beanstandungsfreier Betrieb von Google Analytics" nach seiner Ansicht sofort möglich sei.

Foto: MacX - Fotolia.com

Hierzu hat der Hamburgische Datenschutzbeauftragte konkrete Hinweise für Webseiten-Betreiber "mit Sitz in Hamburg", die Google Analytics einsetzen, veröffentlicht. Wir gehen davon aus, dass diese Anforderungen nicht nur auf Hamburg beschränkt sind, sondern bundesweit Anwendung finden. Die Hinweise des Hamburgischen Datenschutzbeauftragten für Webseiten-Betreiber, die Google Analytics einsetzen, lauten wie folgt:

"Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen (Stand: September 2011) Google hat verschiedene Änderungen an dem Produkt Google Analytics vorgenommen, die Anforderungen der Datenschutzaufsichtsbehörden aufgreifen. Diese Änderungen betreffen zum einen die internen Verarbeitungsprozesse bei Google sowie die Einflussmöglichkeiten, die der Besucher einer Webseite, welche Google Analytics einsetzt, auf Ebene seines Browsers hat.

Widerspruchsmöglichkeiten

Zum anderen bestehen Anforderungen an die Webseitenbetreiber selbst. Für einen beanstandungsfreien Betrieb von Google Analytics müssen Sie als Betreiber einer Webseite mindestens folgende Maßnahmen umsetzen:

  1. Sie müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter "http://www.google.de/intl/de/analytics/tos.pdf". Dabei ist zu beachten, dass Sie trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google Sie durch Vorlage entsprechender Nachweise unterstützt."

  2. Sie müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite "http://tools.google.com/dlpage/gaoptout?hl=de" verlinkt werden.

  3. Sie müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion "_anonymizeIp()" zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite "http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp" entnommen werden.

  4. Haben Sie schon bisher Google Analytics in Ihre Webseiten eingebunden, ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen gelöscht werden. Google bietet nach unserer Kenntnis hierfür nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Wir weisen darauf hin, dass diese Anforderungen den gesetzlichen Stand vom September 2011 wiederspiegeln. Insbesondere im Zusammenhang mit der sog. "Cookie-Richtlinie" (Änderung der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG durch die Richtlinie 2009/136/EG) können sich zukünftig weitere Anforderungen ergeben."

Quelle:http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf vom 20.09.2011

Google hat zwischenzeitlich seine Google-Analytics-Bedingungen angepasst. Die Datenschutzerklärung, die in 8.1 der Google-Analytics-Bedingungen von Google dargestellt ist, die der Internetseiten-Betreiber verwenden soll, lautet wie folgt:

Inhalt dieses Artikels