Immer häufiger tauchen in unseren Web Analytics Seminaren Fragen zum Thema Datenschutz auf. Insbesondere der rechtssichere Einsatz des Web-Analyse-Tools von Google – Google Analytics – scheint nach wie vor erklärungsbedürftig. Dies obwohl Google bereits seit 2011 alle Voraussetzungen zum datenschutzrechtlich korrekten Einsatz in Deutschland erfüllt.
In diesem Beitrag soll es weniger um die juristischen Hintergründe gehen. Vielmehr soll kurz und verständlich aufgeführt werden, was zu tun ist, wenn Unternehmen Google Analytics rechtskonform einsetzen möchten.
Webseiten-Betreiber, die Google Analytics nutzen, sind angehalten folgende fünf Maßnahmen umzusetzen:
- IP-Adressen anonymisieren
- Altdaten löschen
- Impressum und Datenschutzerklärung anpassen
- Widerspruch ermöglichen
- Vertrag zur Auftragsdatenverarbeitung abschließen
1. IP-Adressen anonymisieren
Der auf Ihrer Webseite verwendete Tracking-Code von Google Analytics muss so angepasst werden, dass bei der Erfassung der Daten die jeweilige IP-Adresse anonymisiert wird. Hierzu muss die Funktion „_anonymizeIp()“ ergänzt werden.
Dieser erste Schritt muss vom Webmaster per Hand vorgenommen werden. Eine technische Anleitung dazu finden Sie bei Google unter: developers.google.com/analytics/
2. Altdaten (bestehende Profile, bzw. Datenansichten) löschen
Alle Daten, die vor der Codeanpassung von Punkt 1 (Anonymisierung der IP-Adressen) erfasst und gespeichert wurden verstoßen gegen aktuelle Datenschutzbestimmungen und sind somit zu löschen.
Eine zuverlässige Löschung der Daten ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto gelöscht und ein neues Konto angelegt wird. Andere Quellen sprechen davon, dass die Löschung alter Profile, bzw. Datenansichten ausreichend ist. Möchten Sie auf Nummer sicher gehen, sollten Sie jedoch den Rat vom Hamburgischen Datenschutzbeauftragten befolgen 😉
3. Impressum und Datenschutzerklärung anpassen
Im Impressum bzw. in der Datenschutzerklärung (falls vorhanden) muss die Nutzung von Google Analytics angegeben werden. Im Internet und auf vielen Webseiten von Rechtsanwälten (z.B.: Rechtsanwalt-Schwenke.de) finden sich dementsprechende Vorlagen. Unser Tipp: Bevor Sie sich für eine dieser Vorlagen entscheiden, sollten Sie sich juristisch rückversichern, dass diese der aktuellen Gesetzeslage auch wirklich entsprechen! Auch wir haben eine solche Vorlage auf unserem Impressum verwendet.
Google selbst formuliert diesen Punkt folgendermaßen: „Für Website-Inhaber, die Google Analytics einsetzen, sind Datenschutzbestimmungen erforderlich, in denen die Nutzung von Google Analytics vollständig dargelegt wird.“ (siehe: Google Analytics – Übersicht)
4. Widerspruch ermöglichen
Die Besucher einer Webseite müssen eine Möglichkeit haben sich gegen die Erfassung ihrer Daten auszusprechen. Dazu stellt Google ein Deaktivierungs-Add On zur Verfügung. Besucher die nicht mit der Datenerhebung einverstanden sind, müssen dieses Add On herunterladen und im Browser installieren. Es ist auf allen gängigen Browsern lauffähig.
Hat ein User dieses Add On installiert und aktiviert, werden von Google Analytics keine Daten mehr von ihm erfasst. Dies gilt im Übrigen auch für andere Webseiten, die der User besucht und die Google Analytics einsetzen. Unter „Extras>Add-Ons“ kann das Programm aktiviert und deaktiviert werden.
Als Unternehmen müssen Sie im Impressum und in der Datenschutzerklärung (falls vorhanden) auf dieses Add On hinweisen und verlinken. Als Beispiel können Sie wieder einen Blick in unser Impressum werfen.
5. Vertrag zur Auftragsdatenverarbeitung
Zu guter Letzt müssen Sie mit Google einen Vertrag zur Auftragsdatenverarbeitung schließen. Der Vertrag ist von Google bereits vorbereitet und steht hier zum Download bereit: www.google.com/analytics/terms/
Wie zu vermuten, ist der Vertrag sehr umfangreich. Das Durchlesen ist dementsprechend mühselig.
Sind Sie mit den Vertragsbedingungen einverstanden, können Sie den Vertrag ausfüllen, unterscheiben und in doppelter Ausfertigung mit einem adressierten und frankierten Rückumschlag an Google schicken. Nach ca. drei bis vier Wochen sollte eine Antwort von Google zu erwarten sein.
Den Vertrag sollte übrigens jeder ausfüllen, der Google Analytics in Deutschland verwendet. Dabei ist es unerheblich, ob das Google Tool privat oder geschäftlich genutzt wird.
Bei dem Vertrag gehen Sie folgendermaßen vor:
- Laden Sie den Vertrag unter oben genanntem Link herunter (Die erste Seite ist ein Deckblatt von Google zur Handhabung des Vertrags. Die weiteren Seiten sind der Vertrag und zwei dazugehörige Anlagen.)
- Drucken Sie den Vertrag 2 x aus
- Tragen Sie in beiden Ausdrucken auf der ersten Seite des Vertrages ein und unterschreiben Sie:
- Blättern Sie weiter zur letzten Seite der Anlage 1 (in der uns vorliegenden Vertragsversion wäre das die Seite 15 des Dokuments). Füllen Sie dort auf beiden Ausdrucken nur die linke Spalte aus und unterschreiben Sie. Die rechte Spalte wird von Google ergänzt.
- Senden Sie beide Ausfertigungen der Unterlagen an die Adresse der Google Ireland Ltd. in Dublin. Die Adresse finden Sie auf der ersten Seite des Vertragswerks. Google wird Ihnen dann ein Exemplar der Unterlagen nach Gegenzeichnung zukommen lassen – das kann aber vier bis sechs Wochen dauern.
- Fertig… das war`es 😉
Rechtliche Hintergründe können beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) nachgelesen werden (www.datenschutz-hamburg.de)
Schlussbemerkung:
Dieser Beitrag wurde mit großer Sorgfalt recherchiert und erstellt. Es wird jedoch darauf hingewiesen, dass Fehler nicht auszuschließen sind. Insbesondere übernehmen wir keine Verantwortung bezüglich der Rechtsverbindlichkeit. Im Zweifelsfall sollten Sie immer Ihren Anwalt konsultieren.
Ach, noch was: Vielleicht interessiert Sie ja unser Google-Analytics-Seminar 😉
