ZDNet: Das klingt doch machbar. Was muss ein Website-Betreiber beachten, der Google Analytics nutzen will?
Matthias Ebneter: Einer der wesentlichen Grundsätze des Datenschutzes ist, dass personenbezogene Daten nur zu dem Zweck bearbeitet werden dürfen, der bei der Erhebung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Zudem müssen die Erhebung von solchen Daten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar, also transparent sein.
Der Besucher einer mit Google Analytics ausgewerteten Website muss also klar, verständlich und transparent darüber informiert werden, dass über ihn bestimmte Daten erhoben werden und was mit diesen geschieht – und zwar vor der Datenerhebung. Er muss ferner auch die Möglichkeit haben, der Datenerhebung zu widersprechen und eine einmal erteilte Einwilligung jederzeit zu widerrufen. Hinzu kommen die unabdingbaren Rechte des Betroffenen auf Auskunft und auf Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten.
ZDNet: Da ja mehrere Parteien mit der Datenerhebung und -auswertung befasst sind, stellt sich doch die Frage, wer letztlich eigentlich dafür verantwortlich ist?
Matthias Ebneter: Als verantwortliche Stelle nach dem Bundesdatenschutzgesetz gilt jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist die verantwortliche Stelle für die Einhaltung der Vorschriften des Bundesdatenschutzgesetz und anderer Vorschriften über den Datenschutz verantwortlich. Damit steht gegenüber dem Besucher einer Website jedenfalls auch der Betreiber in der Pflicht.
In den aktuellen Nutzungsbedingungen überträgt Google den Anwender von Google Analytics sogar vollumfänglich die Pflicht, sämtliche auf die Nutzung von Google Analytics und die Erhebung von Daten über Besucher der Websites anwendbaren Datenschutz- und Persönlichkeitsrechtsbestimmungen einzuhalten. Google sieht sich also selbst nur als Dienstleistungserbringer und damit als „Gehilfe“ des Anwenders von Google Analytics. Allerdings dürfte Google für die Datenerhebung mit Google Analytics durch Website-Betreiber zumindest auch verantwortlich sein.
ZDNet: Dieser Verpflichtung sind sich die meisten Betreiber von Websites als Anwender von Google Analytics vermutlich nicht bewusst.
Matthias Ebneter: Website-Betreiber, die Google Analytics nutzen, sollten mindestens die Erklärung gemäß Ziffer 8.1 der aktuellen Nutzungsbedingungen von Google Analytics in die eigene Datenschutzerklärung auf der Website einfügen. Damit wird einem Besucher zumindest transparent gezeigt, dass im Hintergrund Nutzungsdaten gesammelt und an Google Inc. übermittelt werden. Außerdem sollten sie sicherstellen, dass jeder Nutzer über die Datenerhebung mit Google Analytics informiert wird und sich damit einverstanden erklärt – und zwar vor der Datenerhebung.
In der Praxis kann man dies beispielsweise erreichen, indem jeder Besucher die Datenschutzerklärung lesen und durch Anklicken einer Checkbox ausdrücklich bestätigen muss. Ferner sollte der Nutzer die Möglichkeit haben, den Inhalt seiner Einwilligung jederzeit abzurufen und – wenn er das will – zu widerrufen. Detaillierte Vorschriften dazu finden sich auch im Telemediengesetz.
ZDNet: Wie hat so eine Einwilligung auszusehen?
Matthias Ebneter: Gemäß Telemediengesetz kann die Einwilligung elektronisch erklärt werden, wenn der Betreiber der Website sicherstellt, dass der Nutzer seine Einwilligung bewusst – also nach Kenntnisnahme der Datenschutzerklärung – und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und dass der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
ZDNet: Wie sieht das Einholen der Zustimmung des Nutzers dann in der Praxis aus? Ist das etwa durch ein Pop-up zu erreichen, in dem der Nutzer etwas anklicken muss?
Philipp Ebneter: Wenn man es ernst nimmt, muss man jeden Besucher dazu auffordern, die Nutzungsbedingungen beziehungsweise die Datenschutzerklärung der Website zu akzeptieren, zum Beispiel mit einer Checkbox, die man beim ersten Aufruf der Website aktiviert. Realistisch gesehen wird dies aber kaum jemand umsetzen wollen, weil es für die Nutzer – obwohl letztlich zu ihrem Schutz – recht störend wäre. Es ist mir in dieser Form auch noch nirgends begegnet. Eher würde man vermutlich ganz auf den Einsatz von Google Analytics verzichten.
ZDNet: Und wie gehe ich als Website-Betreiber damit um, Besucher zu haben, deren Daten ich auswerten darf, und solche, bei denen dies nicht erlaubt ist?
Philipp Ebneter: Wenn man sich das Beispiel Google Analytics anschaut, wäre es schon möglich, je nach Besuchertyp den Google Code zu aktivieren oder zu deaktivieren. Mir ist aber kein Beispiel bekannt, wo dies tatsächlich angewendet wird. Und zudem wären auch noch ein paar technische Herausforderungen zu lösen.
ZDNet: Wie haben bis jetzt über gewerblich genutzte Sites gesprochen. Wie sieht es bei privat betriebenen Sites aus? Liegt da überhaupt ein berechtigtes Interesse vor, die Daten zu sammeln?
Matthias Ebneter: Die Rechtsfolgen der Erhebung und Verarbeitung von personenbezogene Daten über Besucher einer Website hängen rechtlich betrachtet nicht davon ab, ob die Website gewerblich betrieben wird oder für rein private Zwecke. Auch private Betreiber von Websites, die Google Analytics nutzen wollen, müssen den Datenschutz beachten. Insofern gelten hier dieselben Spielregeln wie bei gewerblich genutzten Websites. Eine Ausnahme kann man sich nur dort vorstellen, wo die Datenerhebung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Allein schon die Übermittlung von Daten über Besucher an Google Inc. dürfte über eine rein persönliche oder familiäre Nutzung hinausgehen.
ZDNet: Was können Nutzer unternehmen, die möglichst wenig Spuren bei Google Analytics hinterlassen wollen?
Philipp Ebneter: Grundsätzlich sollten diese Nutzer keine personenbezogen Google-Services verwenden, etwa Google Mail. Zudem sollten sie im Internet sehr zurückhaltend mit der Preisgabe persönlicher Informationen sein, sei dies auf Websites, in Foren, Blogs oder auf Social Community Sites. Technische Maßnahmen, um die Übertragung von Daten an Google zu unterbinden, sind meist kompliziert zu bedienen oder hinderlich bei der normalen Nutzung von Internetangeboten. Der einfachste Weg ist der Einsatz der Browsererweiterung Customizegoogle für Firefox. Dieses Tool ermöglicht es, die Google-Analytics-Cookies mit einem Klick zu blockieren. Auf diese Weise werden zwar nicht weniger Daten übertragen, aber die Erstellung von Langzeitprofilen wird deutlich erschwert.
Im Bemühen um mehr Transparenz hat Google zudem kürzlich ein Dashboard für die Benutzerkonten eingeführt. Dort sieht man alle Informationen, die man bei verschiedenen Google-Diensten eingegeben hat und die zu einem Account gespeichert sind. Allerdings hat man auch dort keine Möglichkeit, seine bei Google Analytics hinterlassenen „Spuren“ zu löschen.
Neueste Kommentare
3 Kommentare zu Google Analytics: Datenkrake oder nützliches Werkzeug?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Frage
Wie schade, aber ZDnet nutzt ja auch Google Analytics…
Artikel zu diesem Thema gerade heute auf Zeit Online
Ebenfalls zu diesem Thema, gerade heute herausgekommen:
http://www.zeit.de/digital/datenschutz/2009-11/google-analytics-datenschutz
Ist die IP-Adresse personenbezogen?
Sachlich dargestellt wird diese Frage hier:
http://www.ip-adressen-recht.de/personenbezogen/
Leider nicht bei Wikipedia verlinkt, da hat man den Artikel wohl nicht bei ZDNET gefunden?