Der Einsatz von Google Analytics, etracker & Co.

Trackingstools wie Google Analytics waren schon länger unter Datenschützern umstritten. Für Webseitenbetreiber ist es jetzt jedoch möglich, diese Analysesoftware rechtmäßig einzusetzen.

 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat es im Auftrag des Düsseldorfer Kreises, einer Vereinigung der obersten Datenschutz-Aufsichtsbehörden in Deutschland, in Verhandlungen mit Google erreicht, dass Google Analytics ab sofort gesetzeskonform eingesetzt werden kann. Damit steht fest, dass die zuständigen Datenschutzbehörden keine Bußgeldverfahren wegen Verstoßes gegen Datenschutzbestimmungen einleiten, wenn die gemeinsam gefundenen Mindestanforderungen durch den Webseitenbetreiber erfüllt werden. Die Anforderungen gelten nicht nur für Google, sondern können auf jeden anderen Anbieter von Trackingsoftware übertragen werden.

Die Regelungen betreffen zum einen die internen Verarbeitungsprozesse bei dem Softwareanbieter sowie die Einflussmöglichkeiten, die der Besucher einer Webseite auf Ebene seines Browsers hat.

Dies sind die Anforderungen, um Trackingtools beanstandungsfrei einsetzen zu können:

 

1. Vertrag zur Auftragsdatenverarbeitung

Da der Webseitenbetreiber die Daten seiner Nutzer an Google, Etracker usw. liefert, liegt eine Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) vor. Das Gesetz verlangt, dass der Webseitenbetreiber mit dem jeweiligen Anbieter einen entsprechenden schriftlichen Vertrag zur Auftragsdatenverarbeitung abschließt.

Bei Google ist der Vertrag unter www.google.de/intl/de/analytics/tos.pdf abrufbar.
Dabei ist zu beachten, dass der Webseitenbetreiber formal Auftraggeber ist und der Anbieter wie Google in Bezug auf die Verarbeitung der gelieferten, personenbezogenen Daten lediglich entsprechend den Weisungen des Webseitenbetreibers handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf der Seite des Webseitenbetreibers ein, die in dem Vertrag geregelt sind.

 

2. Datenschutzinformation

Der Webseitenbetreiber muss die Nutzer seiner Website in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von den eingesetzten Trackingtools aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch die Software hinweisen. Hierbei sollte möglichst auf eine entsprechende Informationsseite des Anbieters verlinkt werden. Bei Google ist die Information unter tools.google.com/dlpage/gaoptout?hl=de erreichbar. Google bietet außerdem eine Formulierung an, die in die Seite „Datenschutz“ übernommen werden kann.

 

3. Ergänzung des Programmcodes

Außerdem ist durch entsprechende Einstellungen im Programmcode die Kürzung der IP-Adresse sicher zu stellen. Das bedeutet, dass die IP-Adresse des Nutzers nur noch anonymisiert an den Anbieter übertragen wird. Dazu ist auf jeder Internetseite mit Analyse-Einbindung der Trackingcode zu ergänzen.

Bei Google ist das beispielsweise die Funktion „_anonymizeIp()“, zu der die technische Anleitung auf der Seite code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp abgerufen werden kann.

 

4. Löschung der vorher gesammelten Daten

Und schließlich sind Webseitenbetreiber verpflichtet, die vorher ggf. unter rechtswidrigen Voraussetzungen gesammelten Analysedaten über die Nutzer ihrer Webseite zu löschen.

 

 

---

 

 

Autor/Quelle

 

Rechtsanwältin und Fachanwältin für Informationstechnologie Sabine
Heukrodt-Bauer, LL.M., www.legalershop.de

 

Der Beitrag wurde von der Mainzer Rechtsanwältin Sabine Heukrodt-Bauer
zur Verfügung gestellt. Frau Heukrodt-Bauer ist Spezialistin für Internetrecht,
als Gastdozentin bei Fachhochschulen tätig und hält in Deutschland
regelmäßig Vorträge zum Thema „Rechtssicherheit im E-Commerce“. Mit
ihrem Rechts-Mustershop www.legalershop.de hilft sie kleinen und
mittleren Unternehmen beim rechtssicheren Verkaufen im Internet.