Veröffentlicht am Katgeorien Kommentar, News, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, Recht, SoftwareTags , , , , , , , , , , , ,

Google und Datenschutz: Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden

Nach der Diskussion in der Vergangenheit über die Zulässigkeit von Google Analytics in Deutschland berichtet internetworld.de, dass Google Analytics in einer zentralen Forderung der Datenschutz-Aufsichtsbehörden nachgebessert wurde. Google Analytics kann daher mit Anpassungen nun wieder eingesetzt werden.

Update am 15. September 2011

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichtkeit von Google Analytics verständigt. Lesen Sie hier, was Webseitenbetreiber künftig beachten sollten.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag).

Nun: Code-Zusatz „anonymize IP“

Google bietet den Webseiten-Betreibern seit neuestem die Möglichkeit, den Google Analytics Code um die Funktion „_anonymizeIp()“ zu erweitern (siehe Beschreibung hier). Mit Anbringung dieses Zusatz-Codes werden vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht. Damit ist eine Identifizierung des Webseiten-Besucher ausgeschlossen. Eine grobe (datenschutzrechtlich zulässige) Lokalisierung bleibt möglich. Dieses Verfahren ist von den Datenschutz-Aufsichtsbehörden in Deutschland anerkannt und wird auch von anderen Webanalyse-Anbietern verwendet.

Wichtig: Datenschutzerklärung anpassen

Beim Einsatz von Google Analytics müssen Sie dies in Ihrer Datenschutzerklärung darstellen (vgl. Sie hierzu auch Ziffer 8.1 der Nutzungsbedingungen von Google Analytics). Hier können Sie sich informieren, was eine Datenschutzerklärung ist und wer sie anbringen muss.

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen [mit http://tools.google.com/dlpage/gaoptout?hl=de verlinken] werden. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.

Problem: Widerspruchsmöglichkeit

Ein datenschutzrechtlicher Aspekt beim Einsatz von Google Analytics bleibt uns erhalten. Die Datenschutz-Aufsichtsbehörden hatten in Ihrem Beschluss ebenfalls gefordert:

„Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.“

Branchenüblich ist eine Umsetzung dieser Widerspruchsmöglichkeit an sich mittels Cookies. Google bietet allerdings ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Das Plug-in funktioniert laut Auskunft von Heise derzeit nur für Internet Explorer 7 und 8, Firefox 3.x sowie für Chrome. Opera-Nutzer und Safari-Anwender können der Nutzung mit dem Deaktivierungs-Add-on von Google nicht widersprechen. Allerdings könnten natürlich die Browser-Einstellungen manuell entsprechend angepasst werden. Anders als bei der Frage der IP-Adressen ist mir in dieser Frage noch keine Stellungnahme der Aufsichtsbehörden bekannt. Solange hier keine eindeutige Positionierung seitens der Aufsichtsbehörden vorgenommen wurde kann Google Analytics meines Erachtens unter diesem Vorbehalt wieder eingesetzt werden.

Was ist konkret zu tun? „3-Punkte-Katalog“

Wollen Sie Google-Analytics einsetzen müssen Sie folgendes tun:

  1. Erweitern Sie den Tracking-Code von Google-Analytics in Ihrer Webseite um den Zusatz „_anonymizeIp()“ (siehe Beschreibung von Google).
  2. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an (siehe unser Beispiel oben im Text).
  3. Verfolgen Sie die Diskussion der Aufsichtsbehörden um die Umsetzung der Widerspruchsmöglichkeit.

Update am 17. Juni 2010

Auf der Webseite von Herrn Struwe findet sich eine genaue Beschreibung, wie der Anonymisierungs-Code-Zusatz auch bei Verwendung des neuen, asynchronen Google-Analytics-Codes eingebaut werden kann.

Auf dem webalytics-Blog findet sich zudem eine genaue Anleitung, wie der Anonymisierungs-Code-Zusatz in den verschiedenen Code-Varianten eingebaut werden kann.

Update am 16. Januar 2011

Nachdem der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit, Herr Professor Dr. Johannes Caspar, die Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics wieder aufgegriffen hatte und zu lesen war, dass er die Verhandlungen mit Google abgebrochen habe und Webseitenbetreiber mit Bußgeldern zu rechnen hätten, kann nun vorerst Entwarnung gegeben werden: Webseitenbetreibern, die Google Analytics (mit weiteren Anpassungen) einsetzen, drohen momentan keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) durch die Hamburger Datenschutz-Aufsichtsbehörde (Anm.: diese Entscheidung ist für Datenschutz-Aufsichtsbehörden in anderen Bundesländern nicht bindend). Weiterlesen…

IITR-Datenschutz-Codex erfüllt

Mit der Anpassung von Google Analytics hinsichtlich der Verarbeitung von IP-Adressen erfüllen Webseiten-Betreiber damit auch Punkt 8 des IITR-Datenschutz-Codex für Webseitenbetreiber:

„Der Webseitenbetreiber erklärt, keine Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ohne Einwilligung der Betroffenen durchzuführen.“

Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht, insbesondere die weitere Diskussion um den Einsatz von Google Analytics.

Fazit

Es ist zu begrüßen, dass Google reagiert hat und Google Analytics in dem zentralen Punkt der IP-Adressen-Verarbeitung angepasst hat. Unter Beachtung unseres „3-Punkte-Katalogs“ können Webseiten-Anbieter Google Analytics nun wieder einsetzen.


Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de


 

17 Gedanken zu „Google und Datenschutz: Google Analytics erfüllt zentrale Forderung der Datenschutz-Aufsichtsbehörden“

  1. Die Option, die IPs kürzen zu lassen, war wirklich lange überfällig. Leider ist die Dokumentation seitens Google momentan mehr als dürftig. Die überall verlinkte Anleitung bezieht sich nur auf das bisherige Standardtracking. Für das neuere asynchronous tracking findet sich überhaupt kein Hinweis auf IP-Kürzung. Da nutz ich den neuesten Code, kann aber dadurch die neuesten Funktionen nicht nutzen? Hm.

  2. Pingback: wichtiges
  3. Und die Anleitung fürs Standard-Tracking ist nun nicht gerade so ganz selbsterklärend, zumindest nicht ohne Javascript-Führerschein.

  4. Zitat von datenschutzzentrum.de:

    „Reicht es aus, dass der Nutzer selber Cookies, Javascript etc. abschalten kann?

    Antwort: Nein. Die Pflichten des TMG betreffen den Webseitenbetreiber. Es sind keine Pflichten, die einseitig auf den Nutzer abgewälzt werden können.“

    Das würde bedeuten, dass ein von Google zur Verfügung gestelltes Browser-Addon nicht verlangt werden kann.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *