Google Analytics datenschutzkonform in der eigenen Website nutzen

Der Hamburger Datenschutzbeauftragte hat vergangenen Donnerstag eine Pressemitteilung herausgegeben: Dort wird erklärt, dass Website-Betreiber das lange bestrittene und verteufelte Google Analytics nun einsetzen können. Zumindest wenn bestimmte Auflagen eingehalten werden - die ich vorstellen und auf die ich eingehen möchte.

Mit Google Analytics erhält man zu der eigenen Website ausführliche Analysen und Statistiken frei Haus. Google Analytics war über lange Zeit allerdings im Visier der Datenschützer - sicherlich nicht ganz zu unrecht: Werden die Analytics-Server doch in der Google-Cloud primär auch im Ausland betrieben und kaum jemand durchblickt, wo und was mit den erhobenen Daten Ihrer Website-Besucher tatsächlich angestellt wird / werden könnte. Dazu kommt natürlich das deutsche Recht, was dem Website-Betreiber und -Verantwortlichen enge Auflagen macht. Ein einziges großes Minenfeld.

Anfang des Jahres wurden die Gespräche zwischen Google und der Hamburger Datenschutzbehörde dazu abgebrochen - was einige vorsichtige Website-Betreiber und Blogger dazu veranlasste, Google Analytics zu entfernen. Einige spekulierten bereits über neue Abmahn-Wellen und Verfügungen - die Angst ging um. So verwundert es auch nicht, dass wir als Webhoster regelmäßig immer mal wieder Anfragen von verunsicherten Kunden zu Google-Analytics im Support erhielten. Wir konnten die Spannung dabei nie gänzlich entkräften und so auch nicht zum bedenkenlosen Einsatz raten. Einsatz also bislang auf eigenes Risiko.

Nun denn, nun haben die Gespräche zwischen Google und den Hamburger Datenschützern doch noch ein vorläufiges gutes Ende gefunden: Google Analytics wurde von den Hamburger Datenschützern unter bestimmten Auflagen und Bedingungen für datenschutzkonform erklärt, siehe die original Erklärung der Datenschützer.

Anforderungen an Einsatz von Google-Analytics

Aus den Hinweisen für Webseitenbetreiber ergeben sich einige Auflagen und Bedingungen die seitens des Website-Betreibers einzuhalten sind. Nur den von Google bereitgestellten HTML- und JS-Code in die eigene Website einzufügen reicht explizit nicht. Mit Website-Betreiber ist dabei im übrigen nicht der Webhoster gemeint, welcher den Server und Speicherplatz bereitstellt, sondern der Betreiber der jeweiligen Website lt. Impressum.

Aus der offiziellen Bekanntmachung der Hamburger Datenschützer ergeben sich folgende Auflagen zur Nutzung von Google Analytics:

  1. Datenschutz-Erklärung

    Die Besucher Ihrer Website müssen in der Datenschutzerklärung Ihrer Website (die viele übrigens noch nichtmal haben !) über die Verwendung von Goolge Analytics und damit über die Verarbeitung personenbezogener Daten aufgeklärt werden. Dies ist eigentlich nichts neues und ergibt sich bereits aus dem dt. Gesetz (§ 13 TMG).

  2. Widerspruchsmöglichkeiten

    In der Datenschutzerklärung muss über die Widerspruchsmöglichkeit bzgl. der Erfassung von Google Analytics aufgeklärt werden. Die Datenschützer empfehlen hierzu die Verlinkung des von Google dazu bereitgestellten Browser-Plugins - welches es nun für alle wichtigen Browser wie Google Chrome, Firefox, Internetexplorer, Safari und Opera gibt und Google Analytics neutralisiert / abschaltet.

  3. Vertrag zur Auftragsdatenverarbeitung

    Mit Google muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden. Hierzu stellt Google einen vorbereiteten Auftragsvertrag zur Verfügung, der vom Inhalt mit den Hamburger Datenschützern abgestimmt wurde. Sie beauftragen damit Google formal für Sie die Daten zu verarbeiten. Unbelassen davon haben Sie weiterhin allerdings gewisse Kontrollpflichten und Nachweispflichten, wo Google Sie unterstützen soll. Ob das in der Praxis jemals so gelebt werden wird ? Nun denn. 

Fortsetzung "Anforderungen an Einsatz von Google-Analytics":

  1. Anonymisierung von IP-Adressen

    Google Analytics erfasst standardmäßig auch die IP-Adresse der Besucher Ihrer Website - hierzu wird bereits seit einiger Zeit seitens Google eine Verkürzung angeboten. Diese Verkürzung muss jedoch beim Einbau des Tracking-Codes speziell aktiviert werden durch Aufruf der Funktion "_anonymizeIp()", vgl. Google-Dokumentation

  2. Löschung von Alt-Daten

    Wurden in der Vergangenheit bereits Daten durch Google erhoben, erfolgte dies lt. Ansicht der Datenschützer unrechtmäßig und diese erhobenen Daten sind zu löschen. Von daher fordern die Datenschützer auf, einmal den Google-Analytics-Account zu löschen und einen neuen anzulegen. Das führt zu zweierlei: Einmal sind natürlich alle eingebundenen Tracking-Codes auf den neuen Account und bzgl. der Web-Property-ID (ID der Website wenn mehrere getrackt werden) zu modifizieren - zum anderen sind natürlich alle alten Daten und Statistiken hinüber. Ein sehr unschöner Effekt - muss jeder selber Wissen ob er da 100% gehorsam sein will oder nicht (vor allem im Context der Widersprüche zu denen ich gleich noch komme). Ob und wie die Erfüllung dieser Auflage von extern geprüft werden kann ist in meinen Augen auf jeden Fall eher fraglich.

Wiedersprüche und Fazit

Zunächst einmal ist es natürlich positiv das sich Website-Betreiber, welche Google Analytics einsetzen wollen, nicht mehr auf's Glatteis begeben und Abmahnungen oder gar Verfügungen fürchten müssen.

Wenn man sich das ganze aber etwas weiter und genauer durch den Kopf gehen läst, kommt man schon ins Grübeln was für eine bürokratischen Mist wir hier in Deutschland mal wieder abhalten:

Die ganze Datenschutz-Diskussion beruht ja immer auf den "personenbezogenen Daten". Da Google hier aber logischerweise nicht mit Klarnamen wie "Hans Müller" arbeiten kann, wird seitens der Datenschützer immer die IP-Adresse als personenbezogenes Merkmal herangezogen um das böse Google Analytics überhaupt angehen zu können.

In meinen Augen ist eine solche IP-Adresse dabei gar kein personenbezogenes Merkmal, da sich eben nicht zu jeder IP-Adresse eindeutig eine Person zuordnen lässt. Aber selbst wenn man einmal annimmt, dass eine IP ein personenbezogenes Merkmal ist, stellt sich doch die Frage: Bricht das ganze Konstrukt mit den ganzen Auflagen und Anforderungen nicht in dem Moment zusammen, wo tatsächlich durch die bereitgestellte Anonymisierungs-Funktion der IP-Adresse des Website-Besuchers gar keine Übermittlung an Google mehr stattfindet und damit auch keine personenbezogenen Daten mehr verarbeitet werden ? Damit müssten dann meiner Meinung nach auch alle nach § 13 TMG gemachten Auflagen wie Notwendigkeit der Datenschutzerklärung, Vereinbarung zur Auftragsdatenverarbeitung usw. entfallen.

Die Anonymisierung der IP-Adressen beim Einsatz von Google-Analytics ist also in jedem Fall Pflicht. Eine Datenschutzerklärug ist darüber hinaus in jedem Fall meiner Meinung nach auch eine gute Idee - ganz unabhängig auch vom Einsatz von Google-Analytics. Wer von unseren Webhosting-Kunden oder Lesern aber so ganz 100% ig sicher gehen will, hält sich darüber hinaus an die oben genannten fünf Gebote. Wer nun Google-Analytics also auf seiner Website einsetzen möchte, dem stehen unsere Mitarbeiter unseres Agentur-Bereiches Website-Service gerne und nunmehr auch ohne Bedenken zur Verfügung.

Damit geht ein langer Weg in Sachen Datenschtz und Google Analytics vorläufig zu Ende. Vorläufig, da sich die Gesetzgebung wie auch die technischen Möglichkeiten (Stichwort IPv6) natürlich weiterentwickeln. Nun können sich die Datenschützer ja voll auf die Datenschutz-Klärung mit Facebook stürzen - da scheint mir derzeit noch genug Streitpotential für neuen Bürokratie-Wahnsinn vorhanden zu sein ;(

Seite 1 Seite 2

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR , um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Björn Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

21.07.2016
24.02.2016
26.05.2015
12.04.2015
11.01.2015
  • ivanalexender

    ivanalexender hat sich angemeldet


    vor 3 Stunden
  • wolfer2122

    wolfer2122 hat sich angemeldet


    vor 3 Stunden
  • kruegervoip

    kruegervoip hat sich angemeldet


    vor 8 Stunden
  • BeSSeRwUeRzEl

    BeSSeRwUeRzEl hat sich angemeldet


    vor 2 Tagen
  • pdbsmqpzp

    pdbsmqpzp hat sich angemeldet


    vor 3 Tagen
  • VPN-Server

    VPN-Server hat sich angemeldet


    am 16.02.2017
  • CF-PRAXIS1

    CF-PRAXIS1 hat sich angemeldet


    am 16.02.2017
  • Human12

    Human12 hat sich angemeldet


    am 15.02.2017
  • HumanLeaasing

    HumanLeaasing hat sich angemeldet


    am 15.02.2017
  • bremen-sip

    bremen-sip hat sich angemeldet


    am 09.02.2017
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
Telefonkette für Ihr Business
Mit Telefonkette.de können Sie Telefonketten verwaltet und automatisch die aufgenommenen Sprachnachrichten an die Mitglieder via echten Telefonanruf übermitteln.
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
Telefonvalidierung
Mit unserer Webservice-API Telefonvalidierung können Telefonnummern in eigenen Projekten überprüft werden (z.B. in Onlineshops, Communities, ...).
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.