Das kostenfreie Website-Analyse-Tool Google Analytics hat sich sehr stark im Markt durchgesetzt. Der Dienst war jedoch bislang nicht ohne weiteres mit den datenschutzrechtlichen Anforderungen kompatibel. Dies führte dazu, dass die deutschen Datenschutzaufsichtsbehörden den Einsatz des Dienstes als rechtswidrig ansahen und in einigen Fällen auch formelle Beanstandungen aussprachen.
Bei den meisten Unternehmen ist bereits bekannt, dass ein ordentliches Datenschutzkonzept nicht nur vor Abmahnungen und Sanktionen schützt, sondern auch langfristig für den strategischen Aufbau einer Kundendatenbank wichtig ist. Die umfassende Beachtung der datenschutzrechtlichen Vorschriften ist daher auch eine Maßnahme zur Kundenbindung und -zufriedenheit.
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
Rechtskonformer Einsatz von Google Analytics
1. Rechtskonformer Einsatz von Google Analytics
Rechtskonformer Einsatz
von Google Analytics
Themenübersicht:
Einleitung
Geeinigt: Datenschutzbehörde und Google
Schritt 1: Vertrag zur Auftragsdatenverarbeitung
Schritt 2: Hinweis an Nutzer
Schritt 3: Hinweis auf Widerspruchsmöglichkeit
Schritt 4: Anonymisierung der IP-Adressen
Schritt 5: Neues Google Analytics-Profil eröffnen
1
SKW Schwarz Rechtsanwälte www.techdivision.com
TechDivision GmbH
2. Einleitung
2TechDivision GmbH
Die Kritik der Behörden basiert im Kern auf der Tatsache, dass bei Google Analytics die IP-Adressen der Nutzer
eine Webseite ohne deren Kenntnis oder gar Einwilligung in die USA zu Servern von Google übermittelt und dort
gespeichert und verarbeitet werden. Eine von Google in 2010 vorgenommene „datenschutzfreundliche“
Überarbeitung des Dienstes änderte hieran nichts Wesentliches – jedenfalls bis jetzt!
Das kostenfreie Website-Analyse-Tool Google Analytics hat
sich sehr stark im Markt durchgesetzt. Der Dienst war
jedoch bislang nicht ohne weiteres mit den
datenschutzrechtlichen Anforderungen kompatibel. Dies
führte dazu, dass die deutschen
Datenschutzaufsichtsbehörden den Einsatz des Dienstes als
rechtswidrig ansahen und in einigen Fällen auch formelle
Beanstandungen aussprachen.
Bei den meisten Unternehmen ist bereits bekannt, dass ein
ordentliches Datenschutzkonzept nicht nur vor
Abmahnungen und Sanktionen schützt, sondern auch
langfristig für den strategischen Aufbau einer
Kundendatenbank wichtig ist. Die umfassende Beachtung
der datenschutzrechtlichen Vorschriften ist daher auch eine
Maßnahme zur Kundenbindung und -zufriedenheit.
Geeinigt: Datenschutzbehörde und Google
Kürzlich ist es zu einer Einigung zwischen wichtigen
Datenschutzbehörden und Google gekommen. Danach kann
Google Analytics rechtskonform eingesetzt werden, wenn
Sie einen Google Analytics Account angelegt haben und die
nachfolgenden Regelungen beachtet werden:
Schritt 1: Vertrag zur Auftragsdatenverarbeitung
Als ersten Schritt müssen Sie einen Vertrag zur
Auftragsdatenverarbeitung mit Google abschließen. Einen
entsprechenden Vordruck finden Sie unter
http://static.googleusercontent.com/external_content/
untrusted_dlcp/www.google.com/de//analytics/terms/de.pdf
Bitte beachten Sie die Versandoptionen auf der ersten Seite.
Durch den Vertrag entstehen gewisse Kontrollpflichten
Ihrerseits, bei denen Google Sie jedoch durch Vorlage
entsprechender Nachweise unterstützt.
Schritt 2: Hinweis an Nutzer
Sie müssen die Nutzer Ihrer Webseite darüber
informieren, dass Sie Google Analytics verwenden und
somit personenbezogene Daten erhoben, gespeichert und
verarbeitet werden. Ein solcher Hinweis ist in Ihrer
Datenschutzerklärung unterzubringen.
Schritt 3: Hinweis auf Widerspruchsmöglichkeit
Zudem sollte in Ihrer Datenschutzerklärung auf die
Widerspruchsmöglichkeit des Nutzers gegen die
Erfassung seiner personenbezogenen Daten durch
Google Analytics hingewiesen werden. Im Rahmen dieses
Hinweises sollten Sie die entsprechende Seite verlinken:
http://tools.google.com/dlpage/gaoptout?hl=de. Durch
dieses Verfahren wird ein sogenannter „Cookie“, eine
kleine Textdatei, auf dem Rechner des Nutzers
gespeichert und beim Besuch Ihrer Webseite durch
Google Analytics abgefragt. Findet Google Analytics den
Cookie, werden keine Daten erhoben.
Schritt 4: Anonymisierung der IP-Adressen
Weitere Anforderung ist die Anweisung an Google, eine
Kürzung der IP-Adressen um das letzte Oktett, d.h. die
letzten drei Ziffern der IP-Adresse, vorzunehmen. Dies
können Sie über entsprechende Einstellungen im Google
Analytics – Programmcode erreichen.
Die Einigung mit den Aufsichtsbehörden sieht vor, dass
auf jeder Internetseite mit Analytics-Einbindung der
Trackingcode um die Funktion „_anonymizelp()“ ergänzt
wird.
Rechtskonformer Einsatz von Google Analytics
3. Weitere Details können Sie den technischen Anleitungen von Google auf der
folgenden Seite entnehmen:
http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp
Schritt 5: Neues Google Analytics-Profil eröffnen
Wurde Google Analytics schon bisher genutzt, sind die entsprechenden Daten, die
bis zur Umsetzung der oben beschriebenen Änderungen erhoben worden,
rechtswidrig erhoben worden. Sie müssen daher solche Altdaten unbedingt
löschen. Hierfür müssen Sie das bestehende Google-Analytics-Profil schließen und
anschließend ein neues eröffnen. Dabei sollte Sie beachten, dass Sie
möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID
(UA-XXXXX-YY) erhalten und Ihre Webseiten anpassen müssen.
Fazit
Sobald Sie diese Anforderungen beachten und umsetzten, können Sie, so die
Datenschutzaufsichtsbehörden, die Dienste von Google Analytics in Anspruch
nehmen, ohne dass dies einen Verstoß gegen das Datenschutzrecht
darstellt. Diese Lösung, die von einigen Datenschutzbehörden mit Google
verhandelt wurde, ist noch nicht von allen anderen Aufsichtsbehörden ausdrücklich
anerkannt worden. Üblicherweise ist dies aber der Fall, insbesondere wenn, wie
hier, mehrere Behörden bereits das Verfahren anerkannt haben. Zum aktuellen
Stand gehen wir daher von der Rechtskonformität aus.
Noch Fragen?
Falls Sie Fragen zur genaueren Ausgestaltung der neuen Anforderungen oder
Bedenken bei der Umsetzung haben, stehen Ihnen die Rechtsanwälte der Kanzlei
SKW Schwarz jederzeit zur Verfügung. Die anerkannten IT Rechtsexperten
entwerfen gerne die erforderlichen Texte, prüfen Ihre Datenschutzerklärung und
beraten Sie ganz allgemein zur Integration des Systems in Ihr bestehendes
Datenschutzkonzept.
TechDivision GmbH
Spinnereiinsel 3a
83059 Kolbermoor
Telefon: +49 8031 2210 55 - 0
Telefax: +49 8031 2210 55 - 22
Josef Willkommer
E-Mail: j.willkommer@techdivision.com
www.techdivision.com
3TechDivision GmbH Rechtskonformer Einsatz von Google Analytics
SKW Schwarz
Rechtsanwälte Steuerberater
Wirtschaftsprüfer Partnerschaft
Sitz der Partnerschaft ist München,
eingetragen beim
Amtsgericht München PR 884.
Dr. Matthias Orthwein, LL.M. (Boston)
Telefon: +49 89 286 40-102
E-Mail: m.orthwein@skwschwarz.de
Stefan Schicker, LL.M.
E-Mail: s.schicker@skwschwarz.de
www.skwschwarz.de