Google Analytics: 97% aller Websites nicht datenschutzkonform!

verfasst am 25. September 2012 von Sebastian Schulz

Diesen Oktober findet in Wien zum zweiten Mal die Internationale Google Analytics Konferenz statt. Im Raum D-A-CH handelt es sich dabei um eine in dieser Form einzigartige Veranstaltung.

Besonders in Deutschland galt der Einsatz von profilbasierten Trackingtools spätestens seit einem Beschluss der obersten Datenschutzaufsichtsbehörden aus dem Jahr 2009 als praktisch nicht umsetzbar. Der so genannte Düsseldorfer Kreis hatte seinerzeit deutlich gemacht, dass Tracking-Funktionen unter Verwendung der vollständigen IP-Adresse nur mit ausdrücklicher – d.h. vorher erteilter – Einwilligung der User zulässig sind. Zwischenzeitlich haben sich die obersten Datenschützer auf eine Vorgehensweise verständigt, die einen konformen Einsatz von Google Analytics nunmehr doch gewährleisten soll (dazu sogleich).

Verschiedene Landesdatenschutzbeauftragte haben für das Jahr 2012 der Überprüfung des datenschutz-konformen Einsatzes von Tracking-Tools oberste Priorität eingeräumt. Im Fokus soll dabei v.a. Google Analytics stehen. In einer im Bundesland Bayern bereits im Jahr 2011 durchgeführten Untersuchung stellte sich bei 97% der überprüften Webseiten eine mangelhafte Umsetzung der gesetzlichen Vorgaben heraus. Gesetzliche Vorgaben, die im Falle ihrer Missachtung bußgeldbewährt sein können. Nicht nur deshalb sollte bei jedem Kampagnentracking die Rechtskonformität des Einsatzes und der Laufzeit von Cookies sichergestellt sein. Aus aktuellem Anlass möchte ich deshalb (nochmals) auf die Schritte hinweisen, die von deutschen Datenschutzaufsichtsbehörden sowie durch Google selbst für einen datenschutzkonformen Einsatz von Google Analytics als notwendig erachtet werden.

Google verweist in seinen Nutzungsbestimmungen unter Punkt 8.1 darauf, dass Websitebetreiber, die Google Analytics einsetzen, „an prominenter Stelle“ eine Datenschutzpolicy vorzuhalten haben, aus der u.a. der Umstand des Einsatzes und die Möglichkeit der Deaktivierung klar hervorgehen.

Auch aus rechtlicher Sicht sollten beim Einsatz von Google Analytics verschiedene Vorgaben beachtet werden: Sämtliche Tracking-Dienste, die von deutschen Websitebetreibern eingesetzt werden, müssen datenschutzrechtlichen Vorgaben und hier vor allem denen des Telemediengesetzes (TMG) entsprechen. Gemäß § 15 Absatz 3 TMG darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Hierauf aufbauend hatten sich Google und die zuständige Hamburger Datenschutzaufsichtsbehörde im September des vergangenen Jahres auf die folgenden Guidelines geeinigt, die auch für den Webseitenbetreiber (weitere) Pflichten mit sich bringen. Im Einzelnen:

1.  Jeder User muss  die Möglichkeit haben, gegen die Datenerhebung und -verwendung widersprechen zu können. Das von Google hierzu entwickelte Browser-Add-On steht hier zum Download zur Verfügung. Die Aufsichtsbehörden gehen davon aus, dass der Webseitenbetreiber hierauf zumindest in der Datenschutzerklärung aufmerksam macht.
   
   
2. Der Websitebetreiber muss mit der Google Deutschland GmbH einen Vertrag zur Auftragsdatenverarbeitung abschließen. Der Vertrag muss den strengen Vorgaben des § 11 Bundesdatenschutzgesetz (BDSG)  genügen. Google hält im Internet einen vorformulierten Vertragstext bereit, der jedoch nicht ohne vorherige Prüfung im Einzelfall als Grundlage herangezogen werden sollte.
   
   
3. Der Webseitenbetreiber muss durch eine Konfiguration des Programmcodes von Google Analytics die Anonymisierung (Löschung des letzten Oktetts der IP-Adresse) durch Google veranlassen. Praktisch geschieht dies über die Ergänzung des Trackingcodes um die Funktion „_anonymizeIp()“.
   
   
4. Bereits erhobene Altdaten müssen gelöscht werden. Hierfür muss Google beauftragt werden, das bestehende Google-Analytics-Profil zu löschen. Anschließend muss ein neues eröffnet werden. Es kann nicht ausgeschlossen werden, dass hierdurch eine neue Web-Property-ID bzw. ein neuer Trackingcode zugewiesen wird.

Ob Ihr Webauftritt den oben aufgezeigten Anforderungen genügt, kann jetzt jedenfalls von Websitebetreibern in Bayern durch die dortige Aufsichtsbehörde auf Anfrage überprüft werden. Hierzu genügt eine E-Mail mit Angabe der jeweiligen URL in der Betreffzeile an onlinepruefung@lda.bayern.de. Websitebetreiber mit Sitz in anderen Bundesländern sollten bei der jeweils zuständigen Aufsichtsbehörde nachfragen, ob dort ein ähnlicher Service angeboten wird. Welche Behörde für Ihr Unternehmen zuständig ist, finden Sie hier.

Sollten Sie Anregungen und weiterführende Fragen zur Thematik haben, schreiben Sie mir gern eine E-Mail an sebastian.schulz@bvh.info.