Rechtskonformer Einsatz von Google Analytics

Rechtskonformer Einsatz von Google Analytics Themenübersicht:

Einleitung

Geeinigt: Datenschutzbehörde und Google

Schritt 1: Vertrag zur Auftragsdatenverarbeitung

Schritt 2: Hinweis an Nutzer

Schritt 3: Hinweis auf Widerspruchsmöglichkeit

Schritt 4: Anonymisierung der IP-Adressen

Schritt 5: Neues Google Analytics-Profil eröffnen

1

SKW Schwarz Rechtsanwälte www.techdivision.com

TechDivision GmbH

Einleitung

2TechDivision GmbH

Die Kritik der Behörden basiert im Kern auf der Tatsache, dass bei Google Analytics die IP-Adressen der Nutzer eine Webseite ohne deren Kenntnis oder gar Einwilligung in die USA zu Servern von Google übermittelt und dort gespeichert und verarbeitet werden. Eine von Google in 2010 vorgenommene „datenschutzfreundliche“ Überarbeitung des Dienstes änderte hieran nichts Wesentliches – jedenfalls bis jetzt!

Das kostenfreie Website-Analyse-Tool Google Analytics hat sich sehr stark im Markt durchgesetzt. Der Dienst war jedoch bislang nicht ohne weiteres mit den datenschutzrechtlichen Anforderungen kompatibel. Dies führte dazu, dass die deutschen Datenschutzaufsichtsbehörden den Einsatz des Dienstes als rechtswidrig ansahen und in einigen Fällen auch formelle Beanstandungen aussprachen.

Bei den meisten Unternehmen ist bereits bekannt, dass ein ordentliches Datenschutzkonzept nicht nur vor Abmahnungen und Sanktionen schützt, sondern auch langfristig für den strategischen Aufbau einer Kundendatenbank wichtig ist. Die umfassende Beachtung der datenschutzrechtlichen Vorschriften ist daher auch eine Maßnahme zur Kundenbindung und -zufriedenheit.

Geeinigt: Datenschutzbehörde und GoogleKürzlich ist es zu einer Einigung zwischen wichtigen Datenschutzbehörden und Google gekommen. Danach kann Google Analytics rechtskonform eingesetzt werden, wenn Sie einen Google Analytics Account angelegt haben und die nachfolgenden Regelungen beachtet werden:

Schritt 1: Vertrag zur AuftragsdatenverarbeitungAls ersten Schritt müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Einen entsprechenden Vordruck finden Sie unterhttp://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/de//analytics/terms/de.pdf Bitte beachten Sie die Versandoptionen auf der ersten Seite. Durch den Vertrag entstehen gewisse KontrollpflichtenIhrerseits, bei denen Google Sie jedoch durch Vorlage entsprechender Nachweise unterstützt.

Schritt 2: Hinweis an NutzerSie müssen die Nutzer Ihrer Webseite darüberinformieren, dass Sie Google Analytics verwenden undsomit personenbezogene Daten erhoben, gespeichert undverarbeitet werden. Ein solcher Hinweis ist in IhrerDatenschutzerklärung unterzubringen.

Schritt 3: Hinweis auf WiderspruchsmöglichkeitZudem sollte in Ihrer Datenschutzerklärung auf dieWiderspruchsmöglichkeit des Nutzers gegen dieErfassung seiner personenbezogenen Daten durchGoogle Analytics hingewiesen werden. Im Rahmen diesesHinweises sollten Sie die entsprechende Seite verlinken:http://tools.google.com/dlpage/gaoptout?hl=de. Durchdieses Verfahren wird ein sogenannter „Cookie“, einekleine Textdatei, auf dem Rechner des Nutzersgespeichert und beim Besuch Ihrer Webseite durchGoogle Analytics abgefragt. Findet Google Analytics denCookie, werden keine Daten erhoben.

Schritt 4: Anonymisierung der IP-AdressenWeitere Anforderung ist die Anweisung an Google, eineKürzung der IP-Adressen um das letzte Oktett, d.h. dieletzten drei Ziffern der IP-Adresse, vorzunehmen. Dieskönnen Sie über entsprechende Einstellungen im GoogleAnalytics – Programmcode erreichen.Die Einigung mit den Aufsichtsbehörden sieht vor, dassauf jeder Internetseite mit Analytics-Einbindung derTrackingcode um die Funktion „_anonymizelp()“ ergänztwird.

Rechtskonformer Einsatz von Google Analytics

Weitere Details können Sie den technischen Anleitungen von Google auf der folgenden Seite entnehmen: http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp

Schritt 5: Neues Google Analytics-Profil eröffnenWurde Google Analytics schon bisher genutzt, sind die entsprechenden Daten, die bis zur Umsetzung der oben beschriebenen Änderungen erhoben worden, rechtswidrig erhoben worden. Sie müssen daher solche Altdaten unbedingt löschen. Hierfür müssen Sie das bestehende Google-Analytics-Profil schließen und anschließend ein neues eröffnen. Dabei sollte Sie beachten, dass Sie möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID(UA-XXXXX-YY) erhalten und Ihre Webseiten anpassen müssen.

FazitSobald Sie diese Anforderungen beachten und umsetzten, können Sie, so die Datenschutzaufsichtsbehörden, die Dienste von Google Analytics in Anspruch nehmen, ohne dass dies einen Verstoß gegen das Datenschutzrechtdarstellt. Diese Lösung, die von einigen Datenschutzbehörden mit Google verhandelt wurde, ist noch nicht von allen anderen Aufsichtsbehörden ausdrücklich anerkannt worden. Üblicherweise ist dies aber der Fall, insbesondere wenn, wie hier, mehrere Behörden bereits das Verfahren anerkannt haben. Zum aktuellen Stand gehen wir daher von der Rechtskonformität aus.

Noch Fragen?Falls Sie Fragen zur genaueren Ausgestaltung der neuen Anforderungen oderBedenken bei der Umsetzung haben, stehen Ihnen die Rechtsanwälte der Kanzlei SKW Schwarz jederzeit zur Verfügung. Die anerkannten IT Rechtsexperten entwerfen gerne die erforderlichen Texte, prüfen Ihre Datenschutzerklärung und beraten Sie ganz allgemein zur Integration des Systems in Ihr bestehendes Datenschutzkonzept.

TechDivision GmbH

Spinnereiinsel 3a83059 Kolbermoor

Telefon: +49 8031 2210 55 - 0Telefax: +49 8031 2210 55 - 22

Josef WillkommerE-Mail: j.willkommer@techdivision.com

www.techdivision.com

3TechDivision GmbH Rechtskonformer Einsatz von Google Analytics

SKW Schwarz

Rechtsanwälte Steuerberater Wirtschaftsprüfer PartnerschaftSitz der Partnerschaft ist München,eingetragen beim Amtsgericht München PR 884.

Dr. Matthias Orthwein, LL.M. (Boston)Telefon: +49 89 286 40-102E-Mail: m.orthwein@skwschwarz.de

Stefan Schicker, LL.M.E-Mail: s.schicker@skwschwarz.de

www.skwschwarz.de