|
- Werbung -
suchradar.de >
Magazin
> Archiv >
Ausgabe 32 > Web-Analyse Tools: Google Analytics rechtssicher
Web-Analyse-Tools:
Google Analytics rechtssicher einsetzen
Gegen das beliebte und kostenlose Web-Analyse-Tool Google
Analytics sprach bislang, dass es durch seinen Einsatz zu rechtlichen
Problemen kommen konnte. Das hat sich nun geändert. Von
Martin Schirmbacher.
Nach jahrelangen Streitigkeiten um die datenschutzrechtliche
Zulässigkeit von Web-Analyse-Tools haben Website-Betreiber,
die Google Analytics verwenden, ab sofort mehr Rechtssicherheit.
Am 15. September 2011 hat der Hamburgische Datenschutzbeauftragte
in einer Pressemitteilung (http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html)
erklärt, dass der Einsatz von Google Analytics ab sofort
"beanstandungsfrei möglich ist". Voraussetzung
ist der Einsatz von IP-Masking, der Hinweis auf die Opt-out-Möglichkeit
und der Abschluss eines Auftragsdatenverarbeitungsvertrages
mit Google.
Diese Aussage ist das Ergebnis langer Verhandlungen mit Google.
Ende November 2009 hatte der so genannte Düsseldorfer
Kreis, der Zusammenschluss der Datenschutz-Aufsichtsbehörden,
einen Beschluss erlassen, wonach das Nutzerverhalten unter
Verwendung der IP-Adresse nur noch mit ausdrücklicher
Einwilligung des Betroffenen analysiert werden darf.
Hintergrund ist, dass die Datenschützer IP-Adressen
für personenbezogene Daten halten und eine Verarbeitung
die Einwilligung des Nutzers erforderlich macht.
Was geschieht bei dem Einsatz von Google Analytics rechtlich?
Google Analytics ermöglicht die Bestimmung und Speicherung
der Herkunft der Nutzer, Verweildauer sowie das Surf-Verhalten
auf der Website. Dieser Vorgang allein ist an sich rechtlich
noch nicht problematisch. Datenschutzrechtliche Probleme können
aber dort entstehen, wo eine Verknüpfung zwischen den
erhobenen Nutzerdaten (wie der IP-Adresse) und konkreten Nutzern
hergestellt wird.
Bei personenbezogenen Daten ist die Erhebung, Verwendung
und Speicherung nur innerhalb der relativ engen datenschutzrechtlichen
Grenzen zulässig. Gem. § 4 Abs. 1 BDSG bedarf es
einer Einwilligung des Betroffenen oder einer gesetzlichen
Regelung, die die konkrete Verwendung auch ohne diese Einwilligung
zulässt.
Bisher ist aber gerichtlich noch nicht endgültig geklärt,
ob IP-Adressen überhaupt ein personenbezogenes Datum
darstellen, da sich aus einer IP-Adresse nicht ohne weiteres
eine natürliche Person ermitteln lässt (so: AG München,
Urt. v. 30.9.2008, Az. 133 C 5677/08). Das AG Berlin-Mitte
(Urt. v. 17.3.2007, Az. 5 C 314/06) und das LG Berlin (Urt.
v. 6.9.2007, Az. 23 S 3/07) bejahten die Personenbezogenheit
von IP-Adressen, da durch die IP-Adresse unter Zuhilfenahme
Dritter, eine natürlich Person bestimmbar sei.
Bis zur endgültigen Klärung dieser Frage, bleibt
den Nutzern von Web-Analyse-Diensten nur, IP-Adressen wie
personenbezogene Daten zu behandeln und sich an die datenschutzrechtlichen
Vorgaben zu halten, um rechtlich auf der sicheren Seite zu
sein.
Da datenschutzrechtliche Vorgaben sich technisch oft gar
nicht so leicht umsetzen lassen, ist es an sich begrüßenswert,
dass der Hamburgische Datenschutzbeauftragte nun konkrete
für den beanstandungsfreien Einsatz von Google Analytics
macht. Website-Betreiber, die diese Vorgaben berücksichtigten,
können Google Analytics in Zukunft rechtssicher einsetzen.
Dies heißt vor allem, dass die Datenschutzbehörden
gegen den Einsatz nicht vorgehen werden. Dies gilt nicht nur
in Hamburg, sondern bundesweit.
Checkliste
Was müssen Website-Betreiber bei dem Einsatz von Google
Analytics beachten?
Hinweis auf die Datenverarbeitung in der Datenschutzerklärung
Website-Betreiber müssen in ihrer Datenschutzerklärung
auf die Verwendung von Google Analytics hinweisen. Es muss
insbesondere deutlich gemacht werden, dass durch das Web-Analyse-Tool
personenbezogene Daten verarbeitet werden.
Hinweis auf Opt-Out in der Datenschutzerklärung
Die Datenschutzerklärung muss ferner einen Hinweis auf
die Widerspruchsmöglichkeiten gegen die Erfassung durch
Google Analytics enthalten. Die Erfassung der Analysedaten
kann durch die Installation der, von Google für inzwischen
alle gängigen Browser zur Verfügung gestellten,
Add-ons verhindert werden. Dabei ist - wenn möglich -
direkt auf die entsprechende Seite zu verlinken.
Vertrag zur Auftragsdatenverarbeitung
Website Betreiber müssen mit Google einen schriftlichen
Vertrag zur Auftragsdatenverarbeitung schließen. Der
vorformulierte Vertragstext wird von Google zum Download angeboten, entspricht den Vorschriften des Bundesdatenschutzgesetzes
und wurde im Vorfeld mit der Datenschutzbehörde verhandelt.
Ungeachtet des Vertragsschlusses (und vor allem der tatsächlichen
Lage) bleibt der Betreiber der Webseite formal Auftraggeber
der Datenverarbeitung und damit auch Herr über die
Daten. Somit verbleiben einzelne Kontrollpflichten auf Seiten
des Website-Betreibers.
Anonymisierung der IP-Adressen durch IP-Masking
Daneben ist zur Anonymisierung der IP-Adressen eine Ergänzung
in den Tracking Code einzufügen. Dadurch löscht
Google die letzten acht Bits der IP-Adressen der Website-Besucher,
bevor diese gespeichert werden.
Eine detaillierte Anleitung ist auf der Seite http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp
zu finden.
Löschung von Altdaten
Altdaten müssen nach Ansicht der Datenschutzbehörden
gelöscht werden. Website-Betreiber, die in der Vergangenheit
Google Analytics verwendet haben, müssen ihre Altdaten
löschen, da nicht ausgeschlossen werden kann, dass personenbezogene
Daten auf unzulässige Weise erhoben wurden. Die Löschung
der Altdaten kann dadurch erreicht werden, dass das Analyseprofil
geschlossen und ein neues Profil eröffnet wird.
Website-Betreiber, die sich bei dem Einsatz von Google Analytics
an diese Mindestanforderungen halten, haben vor den Datenschutzbehörden
nichts zu befürchten. Wichtig ist es aber, den Hinweis
auf die Datenverarbeitung und die Opt-out-Möglichkeiten
korrekt in die Datenschutzerklärung einzubinden. Für
die Anpassung der Datenschutzerklärung ist unter 8.1
der Google Analytics Bedingungen ein Mustertext
vorgegeben.
Es empfiehlt sich, diesen oder einen ähnlichen Text
in die eigene Datenschutzerklärung zu integrieren. Wem
es gelingt, den wesentlichen Inhalt der Bestimmung kürzer
und prägnanter zu fassen, ist aufgerufen, seine Datenschutzerklärung
entsprechend zu vereinfachen.
Auswirkungen auf andere Analyse-Tools
Die Vereinbarung der Hamburgischen Datenschutzbehörde
mit Google lässt natürlich Schlüsse auf die
Zulässigkeit anderer Web-Analyse-Dienste zu.
Der Einsatz von Tracking Tools bedarf stets einer gesetzlichen
Rechtfertigung oder einer Einwilligung, wenn zuordnenbare
IP-Daten erhoben werden. Es ist zwingend erforderlich, dass
eine Opt-out-Möglichkeit besteht und die Website-Nutzer
über die Datenverarbeitung informiert werden. Liegt kein
Inhouse-Tracking vor, sondern werden die Daten extern - und
ohne Anonymisierung - erhoben, muss ein Auftragsdatenverarbeitungsvertrag
geschlossen werden, der den strengen Vorgaben der §§
11, 9 BDSG standhält.
Um im Moment rechtlich auf der sicheren Seite zu sein, ist
also erforderlich, dass ein Vertrag über die Auftragsdatenverarbeitung
mit dem Web-Analyse-Anbieter geschlossen wird.
Fazit
Wer sich an die strengen Vorgaben hält, die die Datenschutzbehörden für den Einsatz von Google Analytics vorsehen, ist auf der sicheren Seite. Erste Erfahrungen zeigen, dass Google bei dem Abschluss des Vertrages schnell reagiert und der Abschluss des Vertrages über die Datenverarbeitung im Auftrag damit formal kein großes Hindernis darstellt.
Darüber, ob die aufgestellten Anforderungen überhaupt rechtlich geboten sind, kann man allerdings trefflich streiten. Wer das nicht möchte, sollte die aufgestellten Bedingungen beachten.
 |
Über den Autor
Dr. Martin Schirmbacher ist Partner bei HÄRTING
Rechtsanwälte, Berlin.
Dr. Martin Schirmbacher
HÄRTING Rechtsanwälte
Chausseestr. 13
10115 Berlin
Telefon: +49 30 28 30 57 40
Fax: +49 30 28 30 57 44
E-Mail: schirmbacher@haerting.de
Web: www.haerting.de |
|
