Google Analytics datenschutzkonform einsetzen

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichkeit von Google Analytics verständigt. Die Einigung war nach entsprechenden Äußerungen erwartet worden. Damit scheint eine fast drei Jahre andauernde Auseinandersetzung um den Einsatz von Google Analytics beigelegt zu sein.

Die Datenschutz-Aufsichtsbehörden hatten Ende November 2009 einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics in den meisten Fällen abzuraten – zumindest bis Google später erste datenschutzkonforme Anpassungsmöglichkeiten vorgestellt hat.

Abschließender Lösungsvorschlag

Nun ist die Hamburger Datenschutz-Aufsichtsbehörde zu einer abschließenden Lösung mit Google gekommen und empfiehlt (PDF) für einen beanstandungsfreien Betrieb von Google Analytics folgende Maßnahmen umzusetzen:

1. Auftragsdatenverarbeitungsvertrag abschließen: Webseiten-Betreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung (PDF) schriftlich abschließen. Dabei ist zu beachten, dass der Webseitenbetreiber trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber ist und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend der Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten ein, bei denen Google den Webseitenbetreiber durch Vorlage entsprechender Nachweise unterstützt.
2. Datenschutzerklärung ergänzen: Der Betreiber muss die Nutzer der Website in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Ein entsprechender Textentwurf findet Sie am Ende dieses Beitrages.
3. Tracking-Code anpassen: Der Webseitenbetreiber muss durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_gat._anonymizeIp();“ zu ergänzen. Über weitere Details informiert Google hier.

Die Hamburger Datenschutz-Aufsichtsbehörde weist zudem darauf hin, dass bislang über Google Analytics erhobene Altdaten gelöscht werden müssen. Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Zu beachten ist, dass Nutzer dabei möglicherweise einen anderen Trackingcode beziehungsweise eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und ihre Webseiten entsprechend anpassen müssen.

Hinweistext für die Datenschutzerklärung

Das Institut für IT-Recht (IITR) hat den Vorschlag von Google Analytics für einen Text für die Widerrufsbelehrung um einige Zeilen erweitert. Diese sind im Folgenden kursiv geschrieben. Für Vollständigkeit und Richtigkeit kann keine Gewähr übernommen werden.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren (Link an dieser Stelle einfügen. Der aktuelle Link ist: http://tools.google.com/dlpage/gaoptout?hl=de). Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.“