Zur Zeit wird gefiltert nach: September 25
Filter zurücksetzen

Google Analytics: 97% aller Websites nicht datenschutzkonform!

verfasst am 25. September 2012 von Sebastian Schulz


Diesen Oktober findet in Wien zum zweiten Mal die Internationale Google Analytics Konferenz statt. Im Raum D-A-CH handelt es sich dabei um eine in dieser Form einzigartige Veranstaltung.

Besonders in Deutschland galt der Einsatz von profilbasierten Trackingtools spätestens seit einem Beschluss der obersten Datenschutzaufsichtsbehörden aus dem Jahr 2009 als praktisch nicht umsetzbar. Der so genannte Düsseldorfer Kreis hatte seinerzeit deutlich gemacht, dass Tracking-Funktionen unter Verwendung der vollständigen IP-Adresse nur mit ausdrücklicher – d.h. vorher erteilter – Einwilligung der User zulässig sind. Zwischenzeitlich haben sich die obersten Datenschützer auf eine Vorgehensweise verständigt, die einen konformen Einsatz von Google Analytics nunmehr doch gewährleisten soll (dazu sogleich).

Verschiedene Landesdatenschutzbeauftragte haben für das Jahr 2012 der Überprüfung des datenschutz-konformen Einsatzes von Tracking-Tools oberste Priorität eingeräumt. Im Fokus soll dabei v.a. Google Analytics stehen. In einer im Bundesland Bayern bereits im Jahr 2011 durchgeführten Untersuchung stellte sich bei 97% der überprüften Webseiten eine mangelhafte Umsetzung der gesetzlichen Vorgaben heraus. Gesetzliche Vorgaben, die im Falle ihrer Missachtung bußgeldbewährt sein können. Nicht nur deshalb sollte bei jedem Kampagnentracking die Rechtskonformität des Einsatzes und der Laufzeit von Cookies sichergestellt sein. Aus aktuellem Anlass möchte ich deshalb (nochmals) auf die Schritte hinweisen, die von deutschen Datenschutzaufsichtsbehörden sowie durch Google selbst für einen datenschutzkonformen Einsatz von Google Analytics als notwendig erachtet werden.

Google verweist in seinen Nutzungsbestimmungen unter Punkt 8.1 darauf, dass Websitebetreiber, die Google Analytics einsetzen, „an prominenter Stelle“ eine Datenschutzpolicy vorzuhalten haben, aus der u.a. der Umstand des Einsatzes und die Möglichkeit der Deaktivierung klar hervorgehen.

Auch aus rechtlicher Sicht sollten beim Einsatz von Google Analytics verschiedene Vorgaben beachtet werden: Sämtliche Tracking-Dienste, die von deutschen Websitebetreibern eingesetzt werden, müssen datenschutzrechtlichen Vorgaben und hier vor allem denen des Telemediengesetzes (TMG) entsprechen. Gemäß § 15 Absatz 3 TMG darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Hierauf aufbauend hatten sich Google und die zuständige Hamburger Datenschutzaufsichtsbehörde im September des vergangenen Jahres auf die folgenden Guidelines geeinigt, die auch für den Webseitenbetreiber (weitere) Pflichten mit sich bringen. Im Einzelnen:

  1.  Jeder User muss  die Möglichkeit haben, gegen die Datenerhebung und -verwendung widersprechen zu können. Das von Google hierzu entwickelte Browser-Add-On steht hier zum Download zur Verfügung. Die Aufsichtsbehörden gehen davon aus, dass der Webseitenbetreiber hierauf zumindest in der Datenschutzerklärung aufmerksam macht.

  2. Der Websitebetreiber muss mit der Google Deutschland GmbH einen Vertrag zur Auftragsdatenverarbeitung abschließen. Der Vertrag muss den strengen Vorgaben des § 11 Bundesdatenschutzgesetz (BDSG)  genügen. Google hält im Internet einen vorformulierten Vertragstext bereit, der jedoch nicht ohne vorherige Prüfung im Einzelfall als Grundlage herangezogen werden sollte.

  3. Der Webseitenbetreiber muss durch eine Konfiguration des Programmcodes von Google Analytics die Anonymisierung (Löschung des letzten Oktetts der IP-Adresse) durch Google veranlassen. Praktisch geschieht dies über die Ergänzung des Trackingcodes um die Funktion „_anonymizeIp()“.

  4. Bereits erhobene Altdaten müssen gelöscht werden. Hierfür muss Google beauftragt werden, das bestehende Google-Analytics-Profil zu löschen. Anschließend muss ein neues eröffnet werden. Es kann nicht ausgeschlossen werden, dass hierdurch eine neue Web-Property-ID bzw. ein neuer Trackingcode zugewiesen wird.

Ob Ihr Webauftritt den oben aufgezeigten Anforderungen genügt, kann jetzt jedenfalls von Websitebetreibern in Bayern durch die dortige Aufsichtsbehörde auf Anfrage überprüft werden. Hierzu genügt eine E-Mail mit Angabe der jeweiligen URL in der Betreffzeile an onlinepruefung@lda.bayern.de. Websitebetreiber mit Sitz in anderen Bundesländern sollten bei der jeweils zuständigen Aufsichtsbehörde nachfragen, ob dort ein ähnlicher Service angeboten wird. Welche Behörde für Ihr Unternehmen zuständig ist, finden Sie hier.

Sollten Sie Anregungen und weiterführende Fragen zur Thematik haben, schreiben Sie mir gern eine E-Mail an sebastian.schulz@bvh.info.

 

 

Sebastian SchulzPermalinkKommentare 0
Tags: google, analytics, tracking, targeting, datenschutz
Views: 242

Login

Passwort vergessen.

registrieren

« September 2012»
Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Letzte Kommentare

Trifft analog auch in der Schweiz zu
27.09.2012 10:43
Frau
25.09.2012 14:55
Der Schatten über Berlin
21.09.2012 14:41
Danke für den Hinweis
07.09.2012 10:56

Blog rolls

  • kassenzone.dekassenzone.de
  • EtailmentEtailment
  • shopbetreiber-blog.de
  • Exciting CommerceExciting Commerce

Kopieren Sie diesen Link in Ihren RSS Reader

RSS 0.91Posts
RSS 2.0Posts

Meist gelesene Posts

Weihnachtszeit ist DDoS-Zeit
5207 Mal angesehen
21.10.2011 18:39
Herzlich willkommen Martin Groß-Albenhausen! Ciao Sabine!
5026 Mal angesehen
30.08.2011 15:16
Unser bvh-Blog startet
4671 Mal angesehen
25.08.2011 12:02
Datensicherheit bei sozialen Netzwerken wird zum Thema im...
4437 Mal angesehen
20.10.2011 17:26