Google Analytics – Online.Spiele.Recht

Update: Google Analytics – Datenschützer überprüfen Websites

Tim Maiorino — Mon, 14 May 2012 04:30:14 +0000

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
Anonymisierung der IP-Adressen durch das _anonymizeIp()-Tool von Google
Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
Löschung von Altdaten (bestehende Google Analytics Profile).

Special: Die Fesseln des Online-Datenschutzes

Felix Hilgert — Thu, 20 Oct 2011 12:08:51 +0000

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

Wendung bei Google Analytics – „beanstandungsfrei“ einsetzbar – irgendwie jedenfalls

Dr. Marc Störing — Tue, 27 Sep 2011 13:37:36 +0000

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

Webseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

Piwik Analytics bekommt den Segen der Datenschützer

Felix Hilgert — Wed, 16 Mar 2011 11:00:42 +0000

Piwik Analytics ist eine Open-Source-Software zum Tracking von Website-Besuchern (die auch in unserem Blog eingesetzt wird). Anders als bei der seit längerem unter datenschutzrechtlichem Druck stehenden Lösung Google Analytics lässt sich diese Software lokal betreiben. Eine Datenübermittlung an Dritte oder gar ins Ausland findet also nicht statt.

Unsere Einschätzung, dass damit bei entsprechend sorgfältiger Konfiguration ein mit dem deutschen Datenschutzrecht konformes Tracking möglich ist, wird nunmehr auch ganz offiziell vom – tendenziell in Datenschutzfragen recht strengen – Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geteilt – Piwik wird als Alternative zu Google Analytics sogar ausdrücklich empfohlen.

Allerdings genügt dafür die Grundversion der Software nach Meinung des ULD nicht ganz. Ausgehend von der umstrittenen Rechtsauffassung, dass IP-Adressen personenbezogene Daten darstellen, fordern die Datenschützer mindestens noch den Einsatz des Plugin „AnonymizeIP“, das die vollständige Speicherung von IP-Adressen abschaltet.

Das Ende von Google Analytics in Deutschland

Konstantin Ewald — Mon, 10 Jan 2011 19:06:53 +0000

Die FAZ meldet, dass der für den Sitz von Google Deutschland zuständige Datenschutzbeauftragte von Hamburg, Johannes Caspar, die Verhandlungen mit Google über die datenschutzkonforme Ausgestaltung des verbreiteten Analysetools Google Analytics abgebrochen habe. Der Suchmaschinenriese hat sich dem Anschein nach nicht genügend bewegt.

Dem rechtliche Kernproblem von Google Analytics haben wir schon vergangenen März einen Beitrag gewidmet: Die Software erhebt IP-Adressen von Websitebesuchern und übermittelt diese zur Auswertung und Speicherung an Google-Server in den USA. Hält man mit Teilen von Rechtsprechung und Rechtswissenschaft IP-Adressen für personenbezogene Daten, dann bedeutet dies eineErhebung und Übermittlung solcher personenbezogener Daten in Drittstaaten außerhalb der EU. Beides ist grundsätzlich nur mit der Einwilligung des Betroffenen zulässig – aber eine solche Einwilligung kann bei der aktuellen technischen Ausgestaltung des Prozesses nicht eingeholt werden.

Nachdem die Verhandlungen über eine Umgestaltung der Software ergebnislos geblieben sind und die Hamburger Datenschutzbehörde auch den Verweis auf Blockier-Plugins zu Recht schon deswegen nicht für ausreichend hält, weil diese für etliche verbreitete Browser gar nicht zur Verfügung stehen, könnte es nun zu behördlichen Maßnahmen gegen jeden Websitebetreiber kommen, der Google Analytics weiterhin einsetzt.

Dazu die FAZ:

Da die Aufsichtsbehörden gegen Google selbst nicht vorgehen können, wollen sie nun prüfen, ob und wie sie gemeinsam gegen Betreiber von Websites vorgehen, die weiterhin GA einsetzen. Auf sie könnte dann „ein empfindliches Bußgeld“ zukommen, sagte Caspar. Auch ein Musterprozess gegen ein größeres Unternehmen wird erwogen.

Für die betroffenen Unternehmen kann das teuer werden: § 43 BDSG sieht grundsätzlich Geldbußen bis 300.000 Euro vor – im Einzelfall darf dieser Rahmen sogar noch überschritten werden.

Update 14.1.2011:

Die Einstellung der Datenschutzbehörde scheint sich etwas zu beruhigen. Das Conversion Room Blog berichtet von einem Post des Google Analytics Teams. Darin heißt es:

Nach dem Gespräch können wir bestätigen, dass von der Datenschutzbehörde in Hamburg derzeit keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) gegen den Einsatz von Google Analytics geplant sind.