Google™Analytics stand bekanntermaßen lange Zeit in der Kritik der deutschen Datenschutzbehörden. Im September 2011 wurde dann nach einigem Hin und Her bekannt gegeben, dass Google™ Analytics bei Einhaltung bestimmter Voraussetzungen rechtskonform einsetzbar sei…
Nach einem halben Jahr Ruhe machen die Datenschutzbehörden eine Bestandsaufnahme…
Dabei hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei 13.404 Webseitenanbietern geprüft, ob Google™Analytics datenschutzkonform eingesetzt wird. Und ist (wen wundert´s) zu dem Ergebnis gekommen, dass bei den 2.449 Webseiten bayerischer Anbieter, die Google™Analytics nutzen, anscheinend nur 78 (d.h. also wirklich nur magere 3%) dieses Tracking-Programm auch datenschutzkonform einsetzen.
Wie mir jetzt bekannt wurde, prüfte in den vergangenen Tagen auch die Datenschutzbehörde von Nordrhein-Westfalen in großem Stil Internetseiten auf eine rechtskonforme Anwendung von Google™Analytics und fordert deren Betreiber zur Einhaltung der gesetzlichen Bestimmungen auf:
Im Gegensatz zu Bayern, das sich (noch) moderat verhält und bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten (wird), sondern erst dann, wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert…(Quelle BayLDA), versendet der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes NRW derzeit Briefe an durch den Einsatz von Google™Analytics aufgefallene Website-Betreiber und weist „rein vorsorglich“ schon einmal darauf hin, dass die nicht korrekte Beantwortung des diesem Schreiben angehängten5-seitigen Fragenkatalogs mit einem Ordnungsgeld von bis zu 50.000 Euro geahndet werden kann…
Rekapitulieren wir nochmal die Anforderungen an einen datenschutzkonformen Einsatz von Google™Analytics:
Jeder Webseitenbetreiber ist in der Pflicht, Google™Analyticsnur und wirklich nur dann einzusetzen,
wenn
- der von Google™ vorbereitete Vertrag (denmit unseren Datenschutzbehörden abgestimmten, vorformulierten Vertragstext und eine Erläuterung zum Ablauf des Verfahrens können Sie hier herunterladen: Google™ Analytics Vertrag) zur Auftragsdatenverarbeitung insbesondere auch schriftlich abgeschlossen worden ist,
- die Datenschutzerklärung auf seiner Webseite auf den Einsatz von Google™Analytics und die bestehenden Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
- die Anonymisierungsfunktion im Quellcode eingebunden ist und,
- falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google™Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.
Was müssen Sie jetzt zu tun?
Sie müssen nachfolgende drei Punkte unbedingt beachten, wenn Sie ein Schreiben der Behörde erhalten haben (und es schadet sicher auch nichts, diese auch ohne Schreiben zu beachten):
1) Sie sind zur Antwort verpflichtet!
Der Datenschutzbeauftragte hat Recht auf Auskunft, wenn er Sie in seinem Brief anschreibt. Eine nicht erfolgte Antwort kann zu üppigen Bußgeldern führen. Sie sollten das Schreiben unbedingt ernst nehmen und korrekt und im vorgegebenen Zeitrahmen beantworten und es nicht als gegenstandslos betrachten.
2) Google™Analyticsrechtskonform einsetzen!
Wenn Sie es bis dato nicht bereits gemacht haben, sollte schnellstens die Voraussetzungen
zur Einhaltung des Gesetzes schaffen. Damit verbunden ist im Übrigen die Löschung des Alt-
Profils und das Anlegen eines neuen Google™Analytics Accounts. Anders können Sie die
bisher rechtswidrig erlangten Daten nicht löschen.
3) Oder auf Google™Analytics generell verzichten:
Und so dem ganzen Ärger mit Datenschützern aus dem Weg gehen und beim Einsatz von Webanalyse-Diensten darauf achten, dass ohne ausdrückliche Einwilligung des Nutzers keine vollständigen IP-Adressen verarbeitet werden und Nutzungsprofile ausschließlich unter Verwendung von Pseudonymen erstellt werden.
Meinen „datenschutzkorrekten“ Weg habe ich Ihnen bereits in meinem Artikel Datenschutz 2012 gezeigt:
Wir von der STEICONS verwenden auf allen unseren WebSeiten gerade nicht das umstrittene Google™Analytics: Denn aus meiner Sicht könnte die alles umfassende Krake G die erlangten Informationen nutzen und auch weiter aufbereiten, und: Google™ könnte die erhaltenen Informationen wiederum an Dritte übertragen.
Wir benutzen und empfehlen ein alternatives, darüber hinaus auch noch kostenloses Tool:
Mit PIWIK werden die datenschutzrechtlich „interessanten“ Daten über die benutzten Suchmaschinen, die Herkunft der Besucher, der verwendete Browser inkl. PlugIns, die Dauer des Besuchs, die IP-Adresse, die Abbruchquote und weitere Informationen auf dem eigenen Server ausgewertet:
Daher spricht man hier von einer sog. „Geschützten Inhouse-Lösung”, denn gerade die rechtlich bedenkliche Übermittlung der gewonnenen Daten an Dritte erfolgt also nicht.
Da ich von der legalen Anwendung von PIWIK und der darauf aufbauenden kostenlosen Inhouse-Lösung wirklich begeistert bin, habe ich hierzu vor einiger Zeit ein kostenloses PDF erstellt: „Legal Kunden ausspionieren”.
Es ist immer noch aktuell, gehen Sie dem vorprogrammierten Ärger mit Google™Analyticsaus dem Weg und lesen Sie mein PDF, denn…
… es lohnt sich, legal zu arbeiten,
meint Dr. Hans-Jürgen Karg
PS: Nochmals der Link zu meinem kostenlosen PDF: „Legal Kunden ausspionieren”