07.02.2012
[] Seit November 2011 ist nach der Einigung zwischen dem Hamburger Datenschutzbeauftragten und Google Deutschland eine Nutzung des Trackingtools „Google Analytics" nach langjährigen Diskussionen rechtskonform möglich.
Trackingtools sind Programme, die es erlauben, das Nutzerverhalten auf Websites nachzuvollziehen, auszuwerten und grafisch darzustellen.
Sie werden zu Zwecken der Marktforschung, Werbung oder auch zur gezielten Gestaltung der Websiteangebote genutzt. Google Analytics ist dabei das meist genutzte Programm. Es geriet in die Kritik, weil Google nicht hinreichend darüber aufklärte, was mit den gespeicherten Daten in welchem Umfang geschehen sollte und, im Gegensatz zu anderen Trackingtools, IP-Adressen der Nutzer gespeichert und an Google in die USA übermittelt. Jedenfalls statische IP-Adressen gelten als personenbezogene Daten, die dem besonderen Schutz von § 12 Abs. 3 TMG, § 3 Abs. 1 BDSG unterliegen. Sofern kein gesetzlicher Erlaubnistatbestand eingreift, ist danach für die Nutzung personenbezogener Daten eine ausdrückliche Einwilligung des Nutzers erforderlich. Verschiedene von Google ergriffene Maßnahmen, etwa nutzerseitig installierbare Deaktivierungs-Add-Ons für einige gängige Browser, wurden von den Datenschutzbehörden als nicht hinreichend zur Wahrung datenschutzrechtlicher Vorgaben angesehen.
Inhalt der Einigung und Handlungsanweisung für Webseitenbetreiber
Webseitenbetreiber haben nun verschiedene Maßnahmen zu ergreifen, wenn sie Google Analytics datenschutzkonform einsetzen wollen:
Mit Google muss ein Vertrag über eine Datenverarbeitung im Auftrag gemäß § 11 BDSG geschlossen werden, der von Google als Muster bereitgestellt wird. Der Tracking-Code muss durch den Webseitenbetreiber durch eine Funktion erweitert werden, die die Kürzung der IP-Adresse sicherstellt („Masking“) und so die Anonymisierung gewährleistet. Die bisherigen Daten, die mit Google Analytics erhoben wurden, sind zu löschen, da sie (wenigstens teilweise) rechtswidrig erhoben wurden. Hierfür ist das alte Profil des Webseitenbetreibers zu löschen und ein neues anzulegen. Die Datenschutzerklärung auf der Webseite muss an die aktuellen Gegebenheiten angepasst werden.
Darüber hinaus muss für den Nutzer eine Widerspruchsmöglichkeit gegen die Erhebung und Nutzung seiner Daten bestehen. Diese wird über ein von Google für die gängigen Browser bereitgestelltes Deaktivierungs-Add-On sichergestellt, das der Nutzer selbst installieren muss.
Ausblick
Für die Praxis ergibt sich eine deutliche, wenn auch rechtlich erforderliche, Verkomplizierung der Nutzung des Trackingtools. Die zu ergreifenden Maßnahmen stellen Webseitenbetreiber wenigstens im Hinblick auf den Auftragsdatenverarbeitungsvertrag und dessen Verständnis vor eine nicht unerhebliche Herausforderung. Dies lässt sich nach wie vor durch die Verwendung anderer Trackingtools vermeiden, die auf die Verwendung der IP Adresse verzichten und bei denen – folgerichtig und nach der Natur der Sache – keine Übermittlung von personenbezogenen Daten an Google USA erfolgt.
Eine Frage bleibt allerdings auch bei der nun akzeptierten Vorgehensweise offen: Google stellt das erforderliche Deaktivierungs-Add-On für Internet Explorer, Firefox, Chrome, Safari und Opera als gängige Programme zur Verfügung, nicht aber für andere Browser. Erhältlich ist es auch nicht für Smartphones, obwohl deren Marktanteil und Nutzung zunehmend steigen. Es bleibt abzuwarten, ob eine diesbezügliche Diskussion noch geführt werden wird.
