Verwendung von Google Analytics nun gesetzeskonform möglich?
Seit Ende des Jahres 2009 steht zwischen dem Hamburgischen Beauftragten für Daten-schutz und Informationsfreiheit (BfD) und Google im Streit, ob und wie das Web Analyse Angebot „Google Analytics“ von Unternehmen aus datenschutzrechtlicher Sicht genutzt werden darf.
Dieser Streit scheint nunmehr beigelegt.
In einer Presseerklärung erklärte der Hamburgische BfD auf seiner Webseite www.datenschutz-hamburg.de wie ein beanstandungsfreier Betrieb von Google Analytics ab sofort möglich ist.
Google habe das bisherige Verfahren dahingehend geändert, dass
• den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivie-rungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
• auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
• mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll.“ (Auszug Pressemitteilung)
Konkret benennt der Hamburgische BfD folgende Anforderungen an die Webseitenbetreiber, die den Web Analyse Dienst nutzen wollen:
Vertrag über Auftragsdatenverarbeitung
– Es müsste ein vorbereiteter Vertag zur Auftragsdatenverarbeitung schriftlich mit Google abgeschlossen werden. Dieser ist unter http://www.google.de/intl/de/analytics/tos.pdf abrufbar und kann verwendet werden.
Datenschutzerklärung
– Die Nutzer müssen auf ihrer Webseite in ihrer Datenschutzerklärung über die Verar-beitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auch die Widerspruchsmöglichkeiten durch die Erfassung durch Google Analytics hinweisen. Hierbei solle möglichst auf die entsprechende Seite http://tools.google.com/dlpage/gaoptout?hl=de%E2%80%9C verlinkt werden.
Modifizierung des Programmcodes
– Es müsse durch entsprechende Einstellung im Google Analytics Programmcode Google mit der Kürzung der IP-Adresse beauftragt werden. Dabei sei auf jeder Inter-netseite mit Analytics Einbindung der Trackingcode um die Funktion „anonymizeIP()“ zu ergänzen.
(Weitere Details unter: http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp)
-Löschung der Altdaten
Wurde bisher Google Analytics in die Webseiten eingebunden, ist davon auszugehen, dass die Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen nach Auffassung des Hamburgischen BfD gelöscht werden.
Dies könne nach nur so geschehen, dass das bestehende Google Analytics Profil ge-schlossen werde, um anschließend ein neues zu eröffnen.
Schließlich weist der Hamburgische BfD für die Zukunft darauf hin, dass die genannten An-forderungen zwar den gesetzlichen Stand im September 2011 wiederspiegeln, im Zusam-menhang mit der sog. Cookie-Richtlinie sich jedoch zukünftig weitere Anforderungen ergeben können.
Aus Sicht des Verfassers ist die in der Pressemitteilung angedeutete Vereinbarung mit Google ein Meilenstein in der gefühlt ewig währenden Diskussion um die Zulässigkeit der Nutzung von Google Analytics.
Zwar handelt es sich bei der Pressemitteilung nicht um ein Urteil eines obersten Gerichts, dennoch hat die Aussage des Hamburgischen Datenschutzbeauftragten ein erhebliches Gewicht, da dieser erklärt, im Auftrage des Düsseldorfer Kreises mit Google Gespräche über die erforderlichen Änderungen von Google Analytics geführt zu haben.
Der Düsseldorfer Kreis ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nichtöffentlichen Bereich überwachen, so dass davon auszugehen ist, dass die nun abgestimmte Vorgehensweise auch von anderen Landesbehörden gebilligt werden.