Google und Datenschutz: Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden

Nach der Diskussion in der Vergangenheit über die Zulässigkeit von Google Analytics in Deutschland berichtet internetworld.de, dass Google Analytics in einer zentralen Forderung der Datenschutz-Aufsichtsbehörden nachgebessert wurde. Google Analytics kann daher mit Anpassungen nun wieder eingesetzt werden.

Update am 15. September 2011

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichtkeit von Google Analytics verständigt. Lesen Sie hier, was Webseitenbetreiber künftig beachten sollten.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag).

Nun: Code-Zusatz „anonymize IP“

Google bietet den Webseiten-Betreibern seit neuestem die Möglichkeit, den Google Analytics Code um die Funktion „_anonymizeIp()“ zu erweitern (siehe Beschreibung hier). Mit Anbringung dieses Zusatz-Codes werden vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht. Damit ist eine Identifizierung des Webseiten-Besucher ausgeschlossen. Eine grobe (datenschutzrechtlich zulässige) Lokalisierung bleibt möglich. Dieses Verfahren ist von den Datenschutz-Aufsichtsbehörden in Deutschland anerkannt und wird auch von anderen Webanalyse-Anbietern verwendet.

Wichtig: Datenschutzerklärung anpassen

Beim Einsatz von Google Analytics müssen Sie dies in Ihrer Datenschutzerklärung darstellen (vgl. Sie hierzu auch Ziffer 8.1 der Nutzungsbedingungen von Google Analytics). Hier können Sie sich informieren, was eine Datenschutzerklärung ist und wer sie anbringen muss.

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen [mit http://tools.google.com/dlpage/gaoptout?hl=de verlinken] werden. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.

Problem: Widerspruchsmöglichkeit

Ein datenschutzrechtlicher Aspekt beim Einsatz von Google Analytics bleibt uns erhalten. Die Datenschutz-Aufsichtsbehörden hatten in Ihrem Beschluss ebenfalls gefordert:

„Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.“

Branchenüblich ist eine Umsetzung dieser Widerspruchsmöglichkeit an sich mittels Cookies. Google bietet allerdings ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Das Plug-in funktioniert laut Auskunft von Heise derzeit nur für Internet Explorer 7 und 8, Firefox 3.x sowie für Chrome. Opera-Nutzer und Safari-Anwender können der Nutzung mit dem Deaktivierungs-Add-on von Google nicht widersprechen. Allerdings könnten natürlich die Browser-Einstellungen manuell entsprechend angepasst werden. Anders als bei der Frage der IP-Adressen ist mir in dieser Frage noch keine Stellungnahme der Aufsichtsbehörden bekannt. Solange hier keine eindeutige Positionierung seitens der Aufsichtsbehörden vorgenommen wurde kann Google Analytics meines Erachtens unter diesem Vorbehalt wieder eingesetzt werden.

Was ist konkret zu tun? „3-Punkte-Katalog“

Wollen Sie Google-Analytics einsetzen müssen Sie folgendes tun:

  1. Erweitern Sie den Tracking-Code von Google-Analytics in Ihrer Webseite um den Zusatz „_anonymizeIp()“ (siehe Beschreibung von Google).
  2. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an (siehe unser Beispiel oben im Text).
  3. Verfolgen Sie die Diskussion der Aufsichtsbehörden um die Umsetzung der Widerspruchsmöglichkeit.

Update am 17. Juni 2010

Auf der Webseite von Herrn Struwe findet sich eine genaue Beschreibung, wie der Anonymisierungs-Code-Zusatz auch bei Verwendung des neuen, asynchronen Google-Analytics-Codes eingebaut werden kann.

Auf dem webalytics-Blog findet sich zudem eine genaue Anleitung, wie der Anonymisierungs-Code-Zusatz in den verschiedenen Code-Varianten eingebaut werden kann.

Update am 16. Januar 2011

Nachdem der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit, Herr Professor Dr. Johannes Caspar, die Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics wieder aufgegriffen hatte und zu lesen war, dass er die Verhandlungen mit Google abgebrochen habe und Webseitenbetreiber mit Bußgeldern zu rechnen hätten, kann nun vorerst Entwarnung gegeben werden: Webseitenbetreibern, die Google Analytics (mit weiteren Anpassungen) einsetzen, drohen momentan keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) durch die Hamburger Datenschutz-Aufsichtsbehörde (Anm.: diese Entscheidung ist für Datenschutz-Aufsichtsbehörden in anderen Bundesländern nicht bindend). Weiterlesen…

IITR-Datenschutz-Codex erfüllt

Mit der Anpassung von Google Analytics hinsichtlich der Verarbeitung von IP-Adressen erfüllen Webseiten-Betreiber damit auch Punkt 8 des IITR-Datenschutz-Codex für Webseitenbetreiber:

„Der Webseitenbetreiber erklärt, keine Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ohne Einwilligung der Betroffenen durchzuführen.“

Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht, insbesondere die weitere Diskussion um den Einsatz von Google Analytics.

Fazit

Es ist zu begrüßen, dass Google reagiert hat und Google Analytics in dem zentralen Punkt der IP-Adressen-Verarbeitung angepasst hat. Unter Beachtung unseres „3-Punkte-Katalogs“ können Webseiten-Anbieter Google Analytics nun wieder einsetzen.


Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de


 
Beitrag veröffentlicht am 26. Mai 2010.

17 Kommentare

  1. Rechtler schrieb:

    Sehr schön! Auf einen Beitrag, der die Neuerungen so gut auf den Punkt bringt, habe ich seit einigen Stunden gewartet. ;)

    Verlinkung erfolgt – versprochen!

  2. el-flojo schrieb:

    Die Option, die IPs kürzen zu lassen, war wirklich lange überfällig. Leider ist die Dokumentation seitens Google momentan mehr als dürftig. Die überall verlinkte Anleitung bezieht sich nur auf das bisherige Standardtracking. Für das neuere asynchronous tracking findet sich überhaupt kein Hinweis auf IP-Kürzung. Da nutz ich den neuesten Code, kann aber dadurch die neuesten Funktionen nicht nutzen? Hm.

  3. 26.05. Der Tag an dem der Datenschutz ein kleines bisschen besser wurde schrieb:

    […] und angepasster Datenschutzerklärung wieder einsetzen. Weitere Infos dazu, hat der Datenschutzbeauftragte Online zusammen gestellt. Wer nicht möchte, dass Google überhaupt Daten im Rahmen von Google Analytics erfasst, […]

  4. wichtiges schrieb:

    Google geht das Thema Datenschutz an…

    […] Suchmaschine eingelenkt und bei seinem Webmasterservice Google Analytics eine Änderung vorgenommen: Der […]…

  5. Das war die Woche bei Google | webciety schrieb:

    […] den Statistiken erkennbaren Trends anzupassen. Aber auch der Seitenbetreiber selbst, und das ist die viel wichtigere Neuerung, bekommt nun ein kleines Werkzeug in die Hand, mit dem der Datenschutz von Google Analytics […]

  6. Manfred schrieb:

    Und die Anleitung fürs Standard-Tracking ist nun nicht gerade so ganz selbsterklärend, zumindest nicht ohne Javascript-Führerschein.

  7. Sebastian Kraska schrieb:

    Update am 17. Juni 2010

    Auf der Webseite von Herrn Struwe unter http://1336.de/google-analytics-datenschutz/ findet sich eine genaue Beschreibung, wie der Anonymisierungs-Code-Zusatz auch bei Verwendung des neuen, asynchronen Google-Analytics-Codes eingebaut werden kann. Vielen Dank hierfür!

  8. Urteil: Kein Anspruch auf sofortige Löschung von IP-Adressen | Das Datenschutz-Blog schrieb:

    […] Die Entscheidung ist unter anderem auch für die Frage relevant, ob es sich bei IP-Adressen um personenbezogene Daten handelt oder nicht. Würden diese sofort zu löschen sein stünde das Merkmal der “Personenbeziehbarkeit” durchaus in Frage (vgl. hierzu auch unsereArtikel “Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind” und “Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden“). […]

  9. » Google Analytics nun datenschutzkonform (?) | Thomas Lamsfuß | Onlinemarketing, Web 2.0, Social Media, Enterprise 2.0 schrieb:

    […] Zweitens: ein zusätzlicher Parameter im Analytics-Code. Der Zusatz “_anonymizeIp()” im Analytics-Code sorgt dafür, dass die letzten Bit der IP-Adresse nicht  Damit ist eine Identifizierung des Webseiten-Besucher ausgeschlossen, die so gekürzte IP also kein personenbezogenes Datum mehr. Damit ist die weitere Nutzung datenschutzrechtlich zulässig. [RA Kraska]. […]

  10. Piwik die Open-Source Alternative zu Google Analytics schrieb:

    […] Weitere Hinweise zur rechtlichen Situation findet man zb hier: http://www.datenschutzbeauftragter-online.de […]

  11. Datenschutz war gestern schrieb:

    Zitat von datenschutzzentrum.de:

    “Reicht es aus, dass der Nutzer selber Cookies, Javascript etc. abschalten kann?

    Antwort: Nein. Die Pflichten des TMG betreffen den Webseitenbetreiber. Es sind keine Pflichten, die einseitig auf den Nutzer abgewälzt werden können.”

    Das würde bedeuten, dass ein von Google zur Verfügung gestelltes Browser-Addon nicht verlangt werden kann.

  12. facebookmarketing.de | Einsatz von Social-Media-Plugins | Rechtliche Stolperfallen beim Facebookmarketing Teil 14 schrieb:

    […] als ein Gericht feststellte, dass die Speicherung von IP-Adressen der Besucher rechtswidrig war, passte Google den Dienst zumindest etwas an. Analyticsnutzer, können, wenn sie wollen, die IP-Adresse um […]

  13. Haftung für Google Analytics vermeiden – Anleitung für Webmaster | SCHWENKE & DRAMBURG schrieb:

    […] anonym gespeichert wird. Dann wird auch kein personenbezogenes Datum gespeichert, es liegt insoweit kein Datenschutzverstoß vor und der Analytics-Nutzer entgeht potentieller Haftung. Ferner sollten die Websitebesucher in […]

  14. Erfolgreich 2.0 » Google Analytics – ja oder nein ? schrieb:

    […] Datenschutzbestimmungen anpassen (siehe roten Text) […]

  15. Tim schrieb:

    Moin, darf man den Text von oben für das Impressum 1:1 übernehmen, oder haben Sie da Rechte auf den Text?

  16. Sebastian Kraska schrieb:

    Wie im Artikel beschrieben dürfen Sie den Text in Ihrer Datenschutzerklärung gerne verwenden.

  17. Hamburger Datenschutz-Aufsichtsbehörde: Google Analytics datenschutzkonform einsetzen | Paid4Magazin.de schrieb:

    […] Die Datenschutz-Aufsichtsbehörden hatten Ende November 2009 einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics in den meisten Fällen abzuraten (siehe hierzu auch diesen Beitrag, bis Google später erste datenschutzkonforme Anpassungsmöglichkeiten vorstellte (vgl. den Beitrag hier). […]

Einen Kommentar verfassen

Bitte beachten Sie: Kommentare auf dieser Seite werden moderiert, das heisst immer erst von einem Admin gelesen und dann ggfs. freigeschaltet. Dadurch wird es etwas dauern bis der Kommentar erscheint, beachten Sie bitte auch die Hinweise im Bereich "About".