Google Analytics datenschutzkonform einsetzen

Nach fast drei Jahren haben sich Google und die zuständigen Behörden auf eine datenschutzkonforme Nutzung von Google Analytics geeinigt. Rechtsanwalt Sebastian Kraska erklärt im Gastbeitrag für ZDNet, was das für Betreiber einer Website bedeutet.

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichkeit von Google Analytics verständigt. Die Einigung war nach entsprechenden Äußerungen erwartet worden. Damit scheint eine fast drei Jahre andauernde Auseinandersetzung um den Einsatz von Google Analytics beigelegt zu sein.

Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht (Bild: IITR).
Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und Autor dieses Gastbeitrags für ZDNet (Bild: IITR).

Die Datenschutz-Aufsichtsbehörden hatten Ende November 2009 einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics in den meisten Fällen abzuraten – zumindest bis Google später erste datenschutzkonforme Anpassungsmöglichkeiten vorgestellt hat.

Abschließender Lösungsvorschlag

Nun ist die Hamburger Datenschutz-Aufsichtsbehörde zu einer abschließenden Lösung mit Google gekommen und empfiehlt (PDF) für einen beanstandungsfreien Betrieb von Google Analytics folgende Maßnahmen umzusetzen:

  1. Auftragsdatenverarbeitungsvertrag abschließen: Webseiten-Betreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung (PDF) schriftlich abschließen. Dabei ist zu beachten, dass der Webseitenbetreiber trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber ist und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend der Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten ein, bei denen Google den Webseitenbetreiber durch Vorlage entsprechender Nachweise unterstützt.
  2. Datenschutzerklärung ergänzen: Der Betreiber muss die Nutzer der Website in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Ein entsprechender Textentwurf findet Sie am Ende dieses Beitrages.
  3. Tracking-Code anpassen: Der Webseitenbetreiber muss durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_gat._anonymizeIp();“ zu ergänzen. Über weitere Details informiert Google hier.

Die Hamburger Datenschutz-Aufsichtsbehörde weist zudem darauf hin, dass bislang über Google Analytics erhobene Altdaten gelöscht werden müssen. Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Zu beachten ist, dass Nutzer dabei möglicherweise einen anderen Trackingcode beziehungsweise eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und ihre Webseiten entsprechend anpassen müssen.

Hinweistext für die Datenschutzerklärung

Das Institut für IT-Recht (IITR) hat den Vorschlag von Google Analytics für einen Text für die Widerrufsbelehrung um einige Zeilen erweitert. Diese sind im Folgenden kursiv geschrieben. Für Vollständigkeit und Richtigkeit kann keine Gewähr übernommen werden.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren (Link an dieser Stelle einfügen. Der aktuelle Link ist: http://tools.google.com/dlpage/gaoptout?hl=de). Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.

AUTOR

Sebastian Kraska ...

... ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissenschaftlichen Beirat unterstützt.

Themenseiten: Big Data, Datenschutz, Gastbeiträge, Google, IT-Business

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Google Analytics datenschutzkonform einsetzen

Kommentar hinzufügen
  • Am 8. Juni 2012 um 15:48 von Daniel Wette

    Tool zur Überprüfung des Datenschutzkonformen Einbaus von Google Analytics
    Wir haben zu dem Thema ein kleines Onlinetool veröffentlicht, mit welchem man einfach die eigene Seite überprüfen kann -> http://www.analytics-datenschutz.de

  • Am 19. September 2011 um 0:00 von David

    Auf Englisch
    Hallo,

    gibt es diesen Text auch auf Englisch?

  • Am 15. September 2011 um 19:19 von Anna

    Schließung oder Löschung des alten GA Profils?
    Sie schreiben "Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen."
    Genügt es tatsächlich, wenn man das alte Google Analytics Profil schließt und sicherstellt, dass keine weiteren Daten dort einfließen? Soweit ich es bisher gelesen habe, muss man das Profil löschen.

    • Am 16. September 2011 um 8:25 von Nutzer

      AW: Google Analytics datenschutzkonform einsetzen
      Man. Datenschützer können einem echt alles versauen. Es ist ja so schon kein Rückschluss auf einen konkreten User möglich. nun kann man noch nicht mal annäherungsweise zurückverfolgen, ob ein privater oder gewerblicher Kunde auf die seite zugreift. Ich werde diesen schwachsinnigen neuen Code nicht einbauen. Solange wie es Payback Karten gibt und selbst EC Cash Unternehmen mit Daten handeln dürfen ohne dass eine rechtliche Konsequenz folgt, werde ich meine geringen Informationen nicht auch noch aufgeben. Aber so ist das mit Theoretikern und Juristen. Sie leben in ihrer virtuellen Welt und können gar nicht nachvollziehen, wie schwer es ist im Internet die richtigen Marketingmaßnahmen zu fahren um Kunden zu gewinnen und wie wichtig dabei ein gewisses Maß an Nutzerdaten ist.

    • Am 16. September 2011 um 11:32 von Sebastian Kraska

      AW: Google Analytics datenschutzkonform einsetzen
      @Anna:
      Haben Sie vielen Dank für Ihren Kommentar.

      Zu Ihrer Frage:
      „Genügt es tatsächlich, wenn man das alte Google Analytics Profil schließt und sicherstellt, dass keine weiteren Daten dort einfließen? Soweit ich es bisher gelesen habe, muss man das Profil löschen.“

      Mit Schließung des Google Analytics Profil war nach meiner Lesart der Unterlagen der Datenschutz-Aufsichtsbehörde Hamburg gerade gemeint, dass das Profil gelöscht werden muss. Eine bloße Deaktivierung würde danach nicht genügen.

      Mit freundlichen Grüßen
      Sebastian Kraska

    • Am 16. September 2011 um 14:40 von bingfan

      AW: Google Analytics datenschutzkonform einsetzen
      Zwischen „schließen“ und „löschen“ ist kein Unterschied. Als Administrator kann man ja jederzeit neue Profile anlegen, möchte mein altes „erledigen“, ist der Vorgang hier beschrieben:

      Ich möchte mein Google Analytics-Konto auflösen
      Sie haben jederzeit die Möglichkeit, Ihr AdWords-Konto aufzulösen, indem Sie es löschen. Ist das zu löschende Google Analytics-Konto mit keinem anderen Analytics- oder AdWords-Konto verknüpft und sind Sie ein Administrator des Kontos, ist das Löschen des Kontos einfach.

      Entfernen Sie vor dem Löschen das Snippet des JavaScript-Codes von Ihren Seiten.

      Wählen Sie zum Löschen des Kontos zunächst aus dem Dropdown-Menü „Mein Analytics-Konto“, das oben auf jeder Seite in Google Analytics angezeigt wird, das Konto aus. Navigieren Sie anschließend zur Seite Konto- und Datenfreigabeeinstellungen bearbeiten und klicken Sie zum Beenden des Vorgangs auf „Konto löschen“.

      Wurde ein Konto gelöscht, kann der Vorgang nicht mehr rückgängig gemacht werden. Alle Administratoren Ihres Kontos erhalten eine E-Mail mit dem Hinweis, dass das Konto gelöscht wurde. Weisen Sie sie bitte darauf hin, dass es in ihrer Verantwortung liegt, andere Nutzer des Kontos über die Kontoauflösung zu informieren. Ist das Analytics-Konto mit einem anderen Analytics- oder AdWords-Konto verknüpft, wenden Sie sich an den Analytics-Support und bitten Sie ihn, das Konto für Sie zu löschen.

      Hilfreiche Links:
      http://www.google.com/support/analytics/bin/answer.py?hl=de&answer=55551
      http://www.google.com/support/googleanalytics/bin/request.py?cf_question=qc_5_1&hl=de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *