Immer wieder ist der Einsatz von Google Analytics Teil der Medienberichterstattung, da es lange Zeit einen Streit über den rechtssicheren Einsatz von Google Analytics in Deutschland gab. Inzwischen gibt es hier jedoch eine Einigung zwischen Google und den deutschen Datenschutzbeautragten und für den rechtssicheren Einsatz von Google Analytics gibt es nur ein paar Punkte zu beachten.
Was ist Google Analytics?
Google Analytics ist eine kostenlose Software von Google, die dazu eingesetzt werden kann Informationen zu den Besuchern der Webseite zu sammeln. Zum Beispiel wie viele Besucher am Tag die Webseite besuchen, woher Sie kommen und welche Seiten sie betrachten. Zusätzlich werden Faktoren wie Betriebssystem, Browserversion und Bildschirmgröße gesammelt, die aufgrund ihres statistischen Charakters bei der Optimierung der Webseite helfen können.
Google Analytics und der deutsche Datenschutz
Die Messung dieser Daten findet auf Basis der individuellen IP-Adresse und eines Cookies statt. Dies bedeutet jedoch auch nach deutschem Verständnis einer IP-Adresse, dass diese Informationen einer individuellen Person zuordnenbar sind. Dies ist nicht mit den deutschen Datenschutzbestimmungen vereinbar, die eine solche Speicherung und Verarbeitung von Daten nur auf Basis von anonymisierten, aggregrierten Daten zulässt.
Dies führte zu einer sehr langen Diskussion zwischen den deutschen Datenschutzbeauftragten und Google, sowie indirekt den deutschen Nutzern von Google Analytics, die gerne das kostenlose Tool einsetzen. Im letzten Jahr kam es nun endlich zu einer Einigung und somit zur Möglichkeit Google Analytics datenschutzkonform einzusetzen.
Maßnahmen zum datenschutzkonformen Einsatz von Google Analytics
Teil der Einigung zwischen den Datenschutzbeauftragten und Google ist ein dreiteiliger Maßnahmenkatalog, den es umzusetzen gilt um Google Analytics rechtssicher einsetzen zu können.
Sollte bereits Google Analytics eingesetzt werden aber ohne diese Maßnahmen, so muss vor der Umstellung leider das aktuelle Google Analyticskonto gelöscht werden und ein neues eingerichtet werden, da die bisheringen Daten nicht durch die Änderungen angepasst werden und nicht datenschutzkonform gesammelt wurden.
Anpassung des Google Analytics Scripts
Um Google Analytics einsetzen zu können, muss auf der eigenen Internetseite auf jeder Seite ein Code eingebaut werden, der die Daten sammelt. Dieser Code wird von Google automatisch vorgegeben um ihn einfach auf der eigenen Seite einzufügen. In Deutschland muss dieser Code jedoch angepasst werden – selbst auf der deutschen Version der Einrichtungswebseite ist der Code noch nicht angepasst.
Dies kann jedoch sehr einfach gemacht werden, der Code muss nur um eine Zeile erweitert werden:
_gaq.push (['_gat._anonymizeIp']);
Diese wird vor der Zeile eingefügt, welche die Pageviews zählt: _gaq.push ([‚_trackPageview‘]); und führt dadurch dazu, dass Google nicht die gesamte IP-Adresse speichert sondern die letzten Zeichen der IP-Adresse zu ignorieren und die Daten so zu anonymisieren. Der einzige Unterschied, der hierdurch bei der Auswertung der Daten entsteht, ist das ein Runterbrechen auf einzelne Regionen und Städte nicht mehr im gleichen Umfang möglich ist. Anonsten sollten für normale Nutzungsfälle keine Unterschiede bei der Benutzung von Google Analytics vorliegen.
Datenschutzerklärung
Neben der anonymisierung der Daten ist auch ein Information der Nutzer über die Erhebung, Sammlung und Auswertung der Daten notwendig. Hierfür sollte eine Datenschutzerklärung auf der Webseite zu finden sein, entweder auf einer eigenen Seite oder mit auf der Impressums-Seite. Im Internet finden sich eine Vielzahl an Mustervorlagen für diese Datenschutzerklärung, welche durch setzen eines Links übernommen werden können.
Wichtig ist in der Erklärung, der Hinweis auf den Einsatz von anonymizeip um die IP-Adresse zu kürzen und ein Link zu den Möglichkeiten, die Google anbietet um dem Sammeln der Informationen zu widersprechen (hierfür gibt es für alle Browser eine sog. Extension oder inzwischen eingebaute „Do-Not-Track“-Optionen).
Vertrag über die Datenverarbeitung mit Google
Als drittes Element verlangt der deutsche Datenschutz den Abschluss eines Vertrages mit Google über die Auftragsdatenverarbeitung. In diesem müssen ein paar Angaben zur Firma und die Nummer des Google Analytic Accounts eingegeben werden und dann unterschrieben an Google gesandt werden. Nach ein paar Tagen erhält man den Vertrag von Google unterschrieben zurück und kann bei den eigenen Akten abgeheftet werden.
Folgen der Nichteinhaltung
Natürlich stellt sich die Frage, warum man diesen Aufwand betreiben sollte. Die kurze Antwort ist, dass man ohne diesen Aufwand beim Einsatz von Google Analytics nicht datenschutzkonform handelt. Die Folge hiervon kann eine Abmahnung durch den zuständigen Datenschutzbeauftragten sein – inkl. einer Geldstrafe. Aktuell beschränken sich die meisten Datenschutzbeauftragten auf Stichproben und Anschreiben der Unternehmen mit dem Hinweis auf die geänderte Lage und der Bitte den Einsatz von Google Analytics anzupassen. Wie lange diese Taktik jedoch bestand haben wird, ist nicht abschätzbar. Es ist davon auszugehen, dass hier die Sanktionen in der kommenden Zeit schärfer werden. Schon allein aus diesem Grund ist eine Überprüfung des eigenen Einsatzes von Google Analytics – oder auch vergleichbaren Lösungen, für welche die gleichen grundsätzlichen Prinzipien gelten – anzuraten und ggf. eine Änderung vorzunehmen bevor man hierzu aufgefordert wird.
Hinweis:Dieser Text ist eine allgemeine Information und stellt keine Rechtsberatung dar. Für konkrete Beratung richten Sie sich bitte an ihren Rechtsbeistand.