1 Einleitung

Seit längerem bietet Google Analytics Anbietern von Telemedi-endiensten umfangreiche Möglichkeiten zur Online-Nutzungs-profilbildung. Nachdem Google Analytics anfänglich massiver datenschutzrechtlicher Kritik ausgesetzt war, lenkte Google im Jahr 2010 ein und entwickelte gemeinsam mit dem Hamburgi-schen Beauftragten für Datenschutz und Informationsfreiheit Lösungen für einen beanstandungsfreien Betrieb.1 Mittlerwei-le plant Google grundlegende Änderungen der bisherigen Nut-zungsprofilbildung, die eine rechtliche Neubewertung erforder-lich machen. So ist es mit Universal Analytics künftig möglich, das Online-Verhalten einzelner Nutzer über mehrere Endgeräte hinweg zu verfolgen. Universal Analytics bietet zudem Schnitt-stellen, mit denen auch Offline-Verhalten erfasst werden kann

1 Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen, März 2013, http://bit.ly/18lC8sF, zuletzt abgerufen am 31.1.2014.

(z.B. der Einsatz einer Kundenkarte in einer Filiale). Langfristig plant Google die Umstellung aller vorhandenen Google Analy-tics Accounts auf Universal Analytics Accounts.

Dieser Beitrag gibt eine erste Einschätzung, was der Einsatz von Universal Analytics praktisch und rechtlich in Zukunft bedeu-tet. Hierzu wird kurz auf die allgemeinen Rahmenbedingungen sowohl der Online- als auch der Offline-Profilbildung eingegan-gen, der aktuelle Stand zum Einsatz von Google Analytics wie-dergegeben und schließlich die neuen Funktionen von Universal Analytics dargestellt und rechtlich bewertet.

2 Allgemeine Rahmenbedingungen

Die allgemeinen Rahmenbedingungen für eine zulässig gestal-tete Online-Profilbildung ergeben sich aus § 15 Abs. 3 TMG. Demnach dürfen Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Te-lemedien Nutzungsprofile unter Verwendung von Pseudony-men erstellen, sofern der Nutzer dieser Profilbildung nicht wi-derspricht. Der Diensteanbieter hat den Nutzer auf sein Wider-spruchsrecht im Rahmen der nach § 13 Abs. 1 TMG vorgeschrie-benen Datenschutzerklärung hinzuweisen und zu gewährleisten, dass ein vom Nutzer erklärter Widerspruch auch tatsächlich um-gesetzt wird. Schließlich bestimmen sowohl § 15 Abs. 3 als auch § 13 Abs. 4 Nr. 6 TMG, dass die Zusammenführung von Nut-zungsprofilen und Angaben zur Identifikation des Trägers des Pseudonyms durch technische und organisatorische Maßnah-men zu verhindern ist. Trotz der auf den ersten Blick hohen Vo-raussetzungen stellt § 15 Abs. 3 TMG letztlich eine bereichsspe-zifische Erlaubnisnorm dar, die eine ansonsten unzulässige Nut-zungsprofilbildung durch den Diensteanbieter auch ohne Einwil-ligung des Nutzers legitimiert. Sofern der Diensteanbieter Drit-te mit der Erstellung pseudonymer Nutzungsprofile beauftragt, handelt es sich insoweit um eine Auftragsdatenverarbeitung. Es bedarf daher eines entsprechenden Vertrages.

Seit einiger Zeit wird zudem diskutiert, ob speziell das Tracking mittels Cookies weitere Voraussetzungen mit sich bringt. Hinter-grund ist die im Jahr 2009 verabschiedete Richtlinie 2009/136/EG, welche vorschreibt, dass die Speicherung von Informatio-nen oder der Zugriff auf Informationen, die bereits im Endgerät

Sebastian Ertel

Rechtsanwalt und Berater bei der datenschutz nord GmbH u. a. mit dem Schwerpunkt Datenschutz im Versandhandel

E-Mail: SErtel@datenschutz-nord.de

Sven Venzke-Caprarese

Rechtsanwalt und Berater bei der datenschutz nord GmbH mit dem Schwerpunkt Datenschutz in neuen Medien

E-Mail: SVenzke-Caprarese@datenschutz-nord.de

Sebastian Ertel, Sven Venzke-Caprarese

Google Universal Analytics

On- und Offline-Profilbildung anhand von User-IDs

Google arbeitet an einer Neuauflage seines Webtrackingtools Google Analytics. Dieses neue Trackingtool trägt den Namen Universal Analytics und soll eine geräteübergreifende Profilbildung einzelner Websitebesucher ermöglichen sowie das Verhalten abseits von Internetnutzungen erfassen können.

DuD • Datenschutz und Datensicherheit 3 | 2014 181

AUFSÄTZE

eines Nutzers gespeichert sind, nur gestattet ist, wenn der Nut-zer seine informierte Einwilligung gegeben hat. Trotz Ablauf der Umsetzungsfrist im Mai 2011 wurde die Richtlinie bisher nicht umgesetzt. Zwar gab es in den letzten Jahren mehrere Versuche, das TMG dahingehend zu ändern, dass eine Profilbildung un-ter Verwendung von Cookies anstelle der derzeit in § 15 Abs. 3 TMG vorgesehenen Widerspruchslösung künftig eines Opt-Ins bedarf. Entsprechende Änderungsvorschläge fanden im Bundes-tag jedoch keine Mehrheit. Vielmehr wurde die durchaus um-strittene Ansicht vertreten, dass die derzeitige Regelung des § 15 Abs. 3 TMG der Vorgabe der Cookie-Richtlinie bereits entspreche und es insoweit keiner Umsetzung der Richtlinie bedürfe.2 Ob-wohl diese Ansicht wegen des vermeintlich eindeutigen Wortlauts der Richtlinie überrascht, zeigt auch ein vergleichender Blick in andere EU-Mitgliedsstaaten einen sehr unterschiedlichen Mei-nungsstand.3 Mangels einer Umsetzung der Cookie-Richtlinie in nationales Recht bleibt es bis auf weiteres dabei, dass auch für ei-ne Nutzungsprofilbildung unter Verwendung von Cookies kei-ne von § 15 Abs. 3 TMG abweichenden Anforderungen gelten.4

Im Gegensatz zur Bildung von Online-Profilen nach § 15 Abs. 3 TMG existiert für eine Offline-Profilbildung keine Privi-legierung. Vielmehr unterliegt eine entsprechende Profilbildung

2 Plenarprotokoll 17/155 des Deutschen Bundestags, Seiten 18700 bis 18706.3 Vgl. hierzu DLA Piper, Cookie-Gesetze im aktuellen EU-Ländervergleich,

http://bit.ly/1eP51Ru, zuletzt abgerufen am 31.1.2014.4 Die Cookie-Richtlinie ist auch nicht unmittelbar anwendbar, da es letztlich

an der hierfür erforderlichen Bestimmtheit fehlt. Denn wie die durch die Cookie-Richtlinie vorgesehene Einwilligung eingeholt werden muss, ist unbestimmt.

dem grundsätzlichen Verbot mit Erlaubnisvorbehalt. Schließt ein Kunde mit einem Unternehmen z.B. einen Kaufvertrag, so dür-fen die in diesem Rahmen erforderlichen Daten zwar zur Abwick-lung des Vertrages genutzt werden. Eine darüberhinausgehende Verwendung der Daten zur Bildung von personenbezogenen Ver-haltensprofilen ist jedoch vom ursprünglichen Erhebungs- und Verarbeitungszweck nicht mehr gedeckt. An dieser Stelle bleibt nur der Rückgriff auf die freiwillige, informierte und grundsätz-lich schriftlich abzugebende Einwilligung des Betroffenen.

3 Google Analytics

Google Analytics ermöglicht es Websitebetreibern und sonsti-gen Diensteanbietern, Informationen über die Besucher der ei-genen Internetpräsenzen zu sammeln. Neben der Gesamtanzahl der Seitenaufrufe und Besucher werden z.B. auch Einstiegs- und Ausstiegsseiten, Besucherquellen (von welcher Website kommt ein Besucher, aus welchem Land wird die Website aufgerufen) so-wie Aufenthaltsdauer und Besuchszeiten erfasst. Darüber hinaus können die Anzahl der Seitenaufrufe pro Besucher, die aufgerufe-nen Unterseiten und ganze Besuchsverläufe sowie Interaktionen ausgewertet werden. Google Analytics erfasst zudem die Schlüs-selwörter, die ein Nutzer z.B. in einer Suchmaschine eingegeben hat, und die zum Aufruf der Website führten.

Google Analytics basiert maßgeblich auf dem Einsatz von Coo-kies. Besucht ein Nutzer eine Website, in die Google Analytics in-tegriert ist, wird ein eindeutiger Cookie mit einer sog. Client-ID

André Papmehl, Hans J. Tümmers (Hrsg.)Die Arbeitswelt im 21. JahrhundertHerausforderungen, Perspektiven, Lösungsansätze

2013. XIV, 254 S. mit 29 Abb. Br. € (D) 44,99ISBN 978-3-658-01415-5Unsere Arbeitswelt steht vor gewaltigen Umbrüchen: Globalisierung, Digitalisierung, de-mographischer Wandel, Vereinbarkeit von Beruf und Familie - dies sind nur einige der aktuellen Herausforderungen. André Papmehl und Professor Hans Tümmers beschreiben Perspektiven und Praxis für Wirtschaft, Wissenschaft und Gesellschaft. Mit Beiträgen von Professor Klaus Armbrüster, Professor Knut Bleicher, Professor Hans H. Hinterhuber, Jörg Hofmann, Professor Ervin Laszlo, Professor Horst W. Opaschowski, Professor Christian Scholz, Ian Walsh und vielen mehr.

Handlungsempfehlungen für die neue Arbeitswelt

springer-gabler.de Ä

nder

unge

n vo

rbeh

alte

n. E

rhäl

tlich

im B

uchh

and

el o

der

bei

m V

erla

g.

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301

182 DuD • Datenschutz und Datensicherheit 3 | 2014

AUFSÄTZE

auf dem verwendeten Endgerät abgelegt. Hierdurch ist es mög-lich, das verwendete Endgerät wiederzuerkennen. Mit Google Analytics werden also tatsächlich nicht individuelle Besucher, sondern lediglich individuelle Endgeräte erfasst. Dies hat zur Folge, dass der Aufruf einer Website durch einen Besucher mit unterschiedlichen Endgeräten als Aufrufe mehrerer unterschied-licher Besucher gezählt wird. Wird beispielsweise eine Website vom gleichen Nutzer mittels Tablet, Smartphone und Laptop be-sucht, ordnet Google Analytics diese Aufrufe drei unterschiedli-chen Einzelbesuchern zu. Die Ergebnisse, die Google Analytics liefert, können daher verhältnismäßig unscharf sein und ermög-lichen dem Diensteanbieter keine geräteübergreifende Profilbil-dung eines Nutzers.

Entsprechend der Vorgabe des § 15 Abs. 3 TMG erfolgt die Pro-filbildung durch Google-Analytics lediglich anhand einer pseu-donymen Client-ID. Um zu verhindern, dass diese Client-ID un-zulässigerweise mit weiteren personenbeziehbaren Daten ver-knüpft wird, bietet Google die Möglichkeit, die IP-Adresse der Nutzer vor der Profilbildung zu anonymisieren. Der Dienstean-bieter muss in seiner Datenschutzerklärung über den Einsatz von Google Analytics informieren und dem Nutzer die Möglichkeit geben, der Profilbildung zu widersprechen. Damit ein solcher Wi-derspruch auch umsetzbar ist, unterstützt Google Analytics ver-schiedene Widerspruchsmöglichkeiten. Zum einen besteht für den Nutzer die Option, ein von Google bereitgestelltes Browser-Plugin zu installieren, welches die Profilbildung unterbindet.5 Zum anderen bietet Google Analytics seit Anfang 2013 die Mög-lichkeit, Opt-Out-Cookies zu setzen. Hierzu muss der Dienstean-bieter den Quellcode der eigenen Datenschutzerklärung auf sei-ner Website anpassen und auf die Möglichkeit des Widerspruches mittels Opt-Out-Cookie hinweisen. Schließlich stellt die Daten-verarbeitung durch Google eine Auftragsdatenverarbeitung dar, sodass ein entsprechender Vertrag zwischen dem Diensteanbie-ter und Google abgeschlossen werden muss. Google stellt einen Vertrag zur Auftragsdatenverarbeitung6 und einen Unterschrif-tenprozess zur Verfügung. Google Analytics kann somit grund-sätzlich beanstandungsfrei eingesetzt werden.

4 Universal Analytics

4.1 Funktionsumfang und Funktionsweise

Im Gegensatz zu Google Analytics ermöglicht Universal Analy-tics nicht nur die Profilbildung einzelner Endgeräte anhand einer Client-ID. Vielmehr ist es unter gewissen Umständen auch mög-lich, einen Nutzer anhand einer sog. User-ID selbst dann wieder-zuerkennen, wenn dieser eine Website oder einen sonstigen In-ternetdienst zu unterschiedlichen Zeiten mit unterschiedlichen Endgeräten (Smartphone, Tablet, Notebook, Desktop-PC, Smart-TV, Spielekonsole, etc.) aufruft. Um dieses geräteübergreifende Tracking überhaupt durchführen zu können, ist es erforderlich, dass der Diensteanbieter den Nutzer identifiziert und ihm eine

5 Zumindest wenn der verwendete Browser auch unterstützt wird, was ins-besondere bei Smartphones und Tablets oftmals nicht der Fall ist.

6 Dieser Vertrag ist jedoch nicht verhandelbar, weshalb insbesondere öffent-liche Stellen oftmals nicht alle Vertragsanforderungen nach den entsprechenden Datenschutzgesetzen unterbringen können (vgl. Hessischer Datenschutzbeauf-tragter, http://bit.ly/1ncYFBF, zuletzt abgerufen am 31.1.2014).

eindeutige User-ID zuweist. Dies ist u.a. in Fällen möglich, in denen der Diensteanbieter einen personalisierten Bereich anbie-tet, der eine Authentisierung erfordert – etwa einen Online-Shop. Loggt sich ein Nutzer mit seinen Zugangsdaten in einen solchen Bereich ein, ist der Diensteanbieter in der Lage, dem Nutzer eine eindeutige User-ID zuzuweisen.

Abbildung 1 |

Diese User-ID kann vom Diensteanbieter frei vergeben und z.B. neben den Stammdaten und der Kundennummer im CRM-Sys-tem des Diensteanbieters gespeichert werden. Die auf diese Weise erstellte und gespeicherte User-ID wird im Zusammenhang mit Universal Analytics als Pseudonym genutzt. So werden Website-besuche und Interaktionen des Nutzers zusammen mit der User-ID mittels Universal Analytics an Google weitergegeben und dort zu Profilen verknüpft.7 Die so gebildeten Nutzungsprofile werden dem Diensteanbieter von Google in aggregierter Form wieder zur Verfügung gestellt.

Abbildung 2 |

Eine weitere Neuerung ist die Möglichkeit, Kundenverhalten ab-seits von Internetnutzungen mit Universal Analytics zu erfassen.

7 Google Developers, http://bit.ly/1njcQox, zuletzt abgerufen am 31.1.2014.

DuD • Datenschutz und Datensicherheit 3 | 2014 183

AUFSÄTZE

Ermöglicht wird dies wiederum durch die User-ID, die auch in diesem Zusammenhang als unabhängiges Zuordnungsmerkmal verwendet werden kann. Nutzt ein Kunde für seinen Einkauf in einer Filiale des Unternehmens z.B. eine individualisierte Kun-den- oder Bonuskarte, ist es möglich, diesen Einkauf im Kun-dendatensatz des CRM-Systems einer User-ID zuzuordnen und die Daten mittels Universal Analytics an Google zur Profilbil-dung weiterzugeben.8 Im Prinzip können auf diese Weise beliebi-ge Daten in die Profilbildung eingebracht werden. Es ist denkbar, dass Unternehmen versuchen werden, jeden individualisierten Offline-Kundenkontakt (Anrufe im Call-Center, Nutzung per-sonalisierter Gutscheine in der Filiale, Kundenanfragen und -be-schwerden, etc.) neben der Online-Nutzung zu erfassen.

4.2 Rechtliche Bewertung

4.2.1 Einwilligungserfordernis

Wie bereits dargestellt, erfordert eine pseudonyme Profilbildung außerhalb der Privilegierung des § 15 Abs. 3 TMG zwingend die Einwilligung des Betroffenen. Sofern ein Unternehmen die Schnittstellen von Universal Analytics nutzt, um auch Verhal-ten abseits der Internetnutzung zu analysieren, bedarf es einer Einwilligung, die den Anforderungen des § 4a BDSG entspricht und dabei insbesondere in Kenntnis der gesamten bevorstehen-den Datenverarbeitung abgegeben werden muss.

4.2.2 Trennung von Pseudonym und Träger

Sofern pseudonyme Nutzungsprofile im Rahmen der Privilegie-rung des § 15 Abs. 3 TMG erstellt werden, kommt es maßgeblich darauf an, dass diese nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können. Eine Zusammenführung der User-ID, die als Pseudonym fungiert, mit weiteren Informationen über den Nutzer, die letztlich zur Auflö-sung der User-ID führen, muss zunächst auf Seiten von Google verhindert werden. Insoweit ist der Diensteanbieter, der Universal Analytics nutzt, in der Pflicht, an Google neben der User-ID kei-ne weiteren personenbeziehbaren Daten zu übermitteln. Google selbst stellt hierzu in den eigenen Nutzungsrichtlinien klar, dass keine personenbezogenen Daten an Universal Analytics gesen-det werden dürfen und ein Verstoß zur Schließung des Univer-sal Analytics Accounts führen kann.9 In diesem Rahmen hat der Diensteanbieter u.a. auch dafür Sorge zu tragen, dass auf seinen Websites, bzw. in seinen sonstigen Diensten, der Universal Ana-lytics Trackingcode um die bereits durch Google Analytics be-kannte Funktion „anonymizeIP()“ergänzt wird.10

Schließlich muss eine Zusammenführung der pseudonymen Nutzungsprofile mit dem Träger des Pseudonyms auch auf Sei-ten des Diensteanbieters verhindert werden. Google darf daher keine Daten und Nutzungsprofile an den Diensteanbieter zurück-geben, die den Nutzer erkennen lassen. Vor einer Weitergabe der

8 Google I/O 2013 Präsentationsvideo, http://bit.ly/1fcUgdu, zuletzt abgeru-fen am 31.1.2014; Learn with Google, Universal Analytics, http://bit.ly/Mupvrh zu-letzt abgerufen am 31.1.2014.

9 Universal Analytics Nutzungsrichtlinien, http://bit.ly/L88QIh, zuletzt abge-rufen am 31.1.2014.

10 Idealerweise sollte diese Funktion bereits im Trackingcode von Universal Analytics voreingestellt sein.

Nutzungsprofile muss somit zwingend die User-ID durch Google entfernt werden. Denn der Diensteanbieter könnte ansonsten an-hand der von ihm gespeicherten Daten die User-ID einem kon-kreten Nutzer zuordnen. Die Nutzungsprofile dürfen schließlich nicht so detailliert sein, dass der Diensteanbieter den Nutzer an-hand von Einzeldaten des Profils wiedererkennen kann.

4.2.3 Widerspruchsmöglichkeit

Die Zulässigkeit des Einsatzes von Universal Analytics zur On-line-Nutzungsprofilbildung steht und fällt mit der Umsetzung des Widerspruchsrechts des Nutzers nach § 15 Abs. 3 TMG. Ge-nügte beim geräteabhängigen Webtracking mittels Google Ana-lytics noch die Umsetzung des Widerspruchsrechts durch Opt-Out-Cookie bzw. die Zurverfügungstellung eines lokalen Brow-ser-Plugins, gelten für ein geräteunabhängiges Tracking unter Verwendung der User-ID höhere Maßstäbe. Denn ein über ein beliebiges Endgerät erklärter Widerspruch eines Nutzers, dessen User-ID bekannt ist, kann auch auf allen anderen Endgeräten des Nutzers umgesetzt werden. Vereinfacht gesagt: Ein geräteunab-hängiges Tracking ermöglicht und erfordert eine geräteunabhän-gige Widerspruchsmöglichkeit. Der Widerspruch muss auf ei-nem beliebigen Endgerät mit Wirkung für alle Endgeräte erklärt werden können. Zur Umsetzung dieser Anforderung ist es denk-bar, den Widerspruch eines Nutzers, dessen User-ID bekannt ist, anhand der User-ID zu speichern und insoweit auf die künftige Weitergabe von Daten zu dieser User-ID an Google zu verzichten. Die Verantwortung für eine solche Umsetzung liegt beim Diens-teanbieter. Derzeit ist nicht erkennbar, dass Universal Analytics eine solche Möglichkeit von sich aus unterstützt bzw. Google den Diensteanbietern hierfür Umsetzungsvorschläge gibt.

Ebenso wie bei Google Analytics ist in der Datenschutzerklä-rung der Einsatz von Universal Analytics transparent darzustel-len. Sofern auch Universal Analytics weiterhin die gerätespezifi-sche Client-ID nutzt, gelten die Datenschutzhinweise zu Google Analytics entsprechend. In der Datenschutzerklärung ist daher ggf. zusätzlich zu der neuen, oben genannten Widerspruchsmög-lichkeit auch auf die bereits bewährten geräteabhängigen Wider-spruchmöglichkeiten zurückzugreifen.

4.2.4 Vertrag zur Auftragsdatenverarbeitung

Auf Grund der weitreichenden Möglichkeiten, die Universal Ana-lytics bietet, ist der bislang von Google im Rahmen von Google Analytics bereitgestellte Vertrag zur Auftragsdatenverarbeitung anzupassen. Insbesondere hinsichtlich des Weisungsrechts des Auftraggebers bedarf es einer Überarbeitung. Dem Auftraggeber darf es, zur Einhaltung der Bestimmungen des TMG, grundsätz-lich nicht möglich sein, Google als Auftragnehmer anzuweisen, Nutzungsprofile mitsamt der User-ID an den Auftraggeber zu-rückzugeben. Der Vertrag muss diese Besonderheit angemessen berücksichtigen. Zudem muss Google in diesem darstellen, wel-che technischen und organisatorischen Maßnahmen zum Schutz der Daten und insbesondere zur Verhinderung der Zusammen-führung von pseudonymen Nutzungsprofil und dem Träger des Pseudonyms getroffen wurden.

184 DuD • Datenschutz und Datensicherheit 3 | 2014

AUFSÄTZE

4.2.5 Verfahrensbeschreibung

Insgesamt ist von Google eine solche Darstellung des Verfahrens Universal Analytics zu fordern, die es dem Datenschutzbeauf-tragten des Diensteanbieters ermöglicht, den Einsatz des Ver-fahrens belastbar zu bewerten und dieses ggf. im Verfahrens-verzeichnis des Diensteanbieters als verantwortliche Stelle auf-zunehmen.

4.2.6 Zweckbindung und Speicherdauer

Eine Nutzungsprofilbildung ist nach § 15 Abs. 3 TMG nur zu Zwecken der Werbung, Marktforschung sowie der bedarfsge-rechte Telemediengestaltung zulässig. Daher gehen Aufsichtsbe-hörden davon aus, dass spätestens nach 24 Monaten keine Zweck-bindung der Daten mehr besteht.11 Die Speicherdauer der Nut-zungsprofile muss grundsätzlich auf diesen Zeitraum beschränkt werden.12

4.2.7 Auskunftsrechte

Für Online-Nutzungsprofile, die auf Grundlage des § 15 Abs. 3 TMG erstellt wurden, bestimmt § 13 Abs. 7 TMG, dass der Diens-teanbieter dem Nutzer auf Verlangen Auskunft über die zu sei-nem Pseudonym gespeicherten Daten zu erteilen hat. Eine sol-che Auskunftserteilung setzt jedoch voraus, dass das pseudony-me Nutzungsprofil eines Nutzers, entgegen dem Grundgedanken des § 13 Abs. 4 Nr. 6 TMG, mit Angaben zu seiner Identifikation zusammengeführt wird. In der Literatur wird daher die Ansicht vertreten, dass der Nutzer vom Diensteanbieter vor einer Aus-

11 Kranig, ZD-Aktuell 2013, 03671. 12 Laut Beschreibung von Google kann ein Kampagnen-Zeitlimit maximal

zwei Jahre betragen (vgl. bit.ly/LmZj0Q, zuletzt abgerufen am 31.1.2014).

kunftserteilung über die erforderliche Zusammenführung und die damit einhergehenden Konsequenzen zu informieren ist. Erst wenn der Nutzer in dieser Kenntnis an dem Auskunftsverlan-gen festhält, dürfe die Zusammenführung erfolgen und die Aus-kunft erteilt werden.13 Dieser Ansicht ist zuzustimmen, da sie zu Gunsten des Nutzers eine Informationspflicht mit Warnfunktion annimmt und es dem über sämtliche Konsequenzen informier-ten Nutzer überlässt, ob eine Zusammenführung erfolgen soll oder nicht. Einen entsprechenden Prozess müssen hinsichtlich der unter der User-ID gebildeten Nutzungsprofile sowohl Google als auch der auskunftspflichtige Diensteanbieter unterstützen. 14 Ob und wie dieser Anforderung nachgekommen wird, ist der-zeit nicht ersichtlich.

5 Fazit und Ausblick

Vorausgesetzt die Funktionen von Universal Analytics „be-schränken“ sich tatsächlich auf den dargestellten Umfang, er-scheint ein rechtskonformer Einsatz nicht unmöglich. Allerdings bestehen nicht nur im Hinblick auf die Funktionsweise von Uni-versal Analytics sondern auch im Hinblick auf die Umsetzung zentraler Vorgaben des TMG sowie auf die Gestaltung der Ver-träge zur Auftragsdatenverarbeitung offene Fragen.

13 Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 2011, § 13 TMG Rn. 17; Schmitz, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 36. EL 2013, Teil 16.2 Rn 221.

14 Ein solcher Prozess sollte hinsichtlich der Weisungsrechte ebenfalls im Vertrag zur Auftragsdatenverarbeitung als Ausnahmefall geregelt werden.

Zwei unter einer Decke:Ihre Kundendaten.Unser Zertifikat.

Sichern Sie sich Wettbewerbsvorteile durch eine Zertifizierung Ihres Webportals.Informieren Sie sich unter: www.datenschutz-cert.de

DuD • Datenschutz und Datensicherheit 3 | 2014 185

AUFSÄTZE