Der Einsatz von Google Analytics
Gerade aufgrund der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 06.10.2015 (Rechtssache C-362/14 – Schrems) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gemeinsam mit anderen deutschen Aufsichtsbehörden in der Vergangenheit mehrfach den Einsatz von Google Analytics mit Blick auf den Datenschutz überprüft, weshalb in regelmäßigen Abständen intensive Debatten darüber geführt werden, unter welchen Voraussetzungen ein datenschutzkonformer Einsatz von Google Analytics möglich ist.
Dieser Kurzartikel soll nüchtern Hinweise für die datenschutzkonforme Verwendung von Google Analytics bieten, die im Einklang mit den bisherigen Vorgaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stehen.
Bitte beachten Sie, dass auch die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 Anwendung findet, das Thema der Datenerhebung mit Web-Analyse-Systemen erneut erheblich verändern wird.
Vorangestellt sei zudem auch hier, dass sich die bisherigen Prüfungen der Aufsichtsbehörden vorrangig auf eine Klausel im Auftragsdatenverarbeitungsvertrag Google Analytics betreffend bezogen, die Bezug auf das aufgehobene Safe-Harbor-Abkommen nimmt, sowie andere Aspekte des transatlantischen Datenverkehrs.
Zertifizierung der Google Inc. für das EU-US-Privacy Shield
Die Google Inc. hat mittlerweile die Zertifizierung für das EU-US-Privacy Shield durchgeführt (vgl. https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und damit überhaupt die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß § 4b BDSG aF auch für die Erbringung des Dienstes Google Analytics im Wege der Auftragsverarbeitung geschaffen. Bereits am 27.09.2016 wurden Verwender des Dienstes über eine In-Product-Notice auf diese Zertifizierung hingewiesen.
Voraussetzungen für einen beanstandungsfreien Einsatz
Mit Abschluss der letzten formalen Prüfung stellte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit folgende Voraussetzungen erfüllt sind:
1. Erstellung pseudonymer Nutzungsprofile – Widerspruchsrecht und Trennungsgebot
Die Nutzung von Google Analytics erfolgt ausschließlich zur Erstellung pseudonymer Nutzungsprofile unter Beachtung der in § 15 Abs. 3 Telemediengesetz (TMG) beschriebenen Zwecke und der dort genannten datenschutzrechtlichen Rahmenbedingungen. Dies erfordert den Hinweis auf das Widerspruchsrecht und dessen Umsetzung sowie die Beachtung des Trennungsgebotes.
Bitte beachten Sie hier die Bußgeldandrohung des § 16 Abs. 2 Nr. 5 TMG.
2. Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
Zudem bedarf es weiterhin des Abschlusses eines Auftragsdatenverarbeitungsvertrages zwischen der Google Inc. und den jeweiligen Verwendern.
So müssen alle Nutzer den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Dieser Vertrag steht jedem Nutzer unter http://www.google.com/analytics/terms/de.pdf zur Verfügung. Dabei ist zu beachten, dass alle Nutzer trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt auch hier bestimmte Kontrollpflichten auf der Seite jedes Nutzers ein, bei denen Google alle Nutzer durch Vorlage entsprechender Nachweise unterstützt (Ziffer 5 des Auftragsdatenverarbeitungsvertrages).
Bestehende Verträge sind dahingehend anzuwenden, dass der Verweis in Ziffer 4.7 der Anlage 1 “Regelungen zur Auftragsdatenverarbeitung” auf die überholte Safe-Harbor-Regelung nichtig ist. Die Rechtmäßigkeit der restlichen vertraglichen Bedingungen, soweit diese im Einklang mit geltendem Datenschutzrecht stehen, wird dadurch nicht berührt.
3. Anpassung der Datenschutzerklärung
Weiter sind alle Nutzer der jeweiligen Website in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufzuklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinzuweisen. Hierbei sollte möglichst auf die entsprechende Seite http://tools.google.com/dlpage/
gaoptout?hl=de verlinkt werden.
Die ANMATHO AG unterstützt Sie hier gerne mit auf Ihre Datenschutzerklärung zugeschnittenen Textbausteinen.
Wichtig ist auch, dass der Anbieter der jeweiligen Website gem. § 13 Abs. 1 S. 1 TMG alle Nutzer ggf. darauf hinweist, wenn die Datenverarbeitung außerhalb des Anwendungsbereiches des EU-Rechts stattfindet. Dies wird in der Regel nicht der Fall sein, kann aber nicht gänzlich ausgeschlossen werden.
4. Implementierung eigener Widerspruchslösungen
Soweit das jeweilige Internetangebot mittels Browsern genutzt wird, für die die unter Ziffer 3 beschriebenen Widerspruchsmöglichkeiten nicht gegeben sind (insbesondere Browser von Smartphones, beispielsweise bei einem Webangebot, das speziell für die mobile Nutzung ausgelegt ist), müssen alle Websitebetreiber eine eigene Widerspruchslösung implementieren. Diese sollte den Schalter ‘ga-disable-UA-XXXXXX-Y’ (siehe https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable oder https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out?hl=de abhängig von der Implementierung) verwenden, der das Tracking programmgesteuert unterbindet.
Google bietet eine beispielhafte Umsetzung auf der oben genannten Website an, die verwendet werden kann, um allen Nutzern die Möglichkeit für ein Google Analytics-Opt-Out zu geben. Dieses Beispiel muss insbesondere im Hinblick auf den erläuternden Text des Widerspruchs-Links vom jeweiligen Anbieter der Website geeignet angepasst werden.
Im Zweifel sollte jeder Anbieter seine jeweilige Webdesign-Agentur nach einer Best-Practice-Lösung fragen, die die ANMATHO AG im Anschluss gerne für Sie überprüft.
5. Kürzung der IP-Adressen
Des Weiteren muss jeder Websiteinhaber durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „anonymizeIp“ zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization entnommen werden.
6. Löschung von Altdaten bei unrechtmäßiger Erhebung
Wurde schon bisher Google Analytics in eine Webseite eingebunden, ist möglicherweise davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen bei unrechtmäßiger Erhebung gelöscht werden.
Bitte halten Sie hier ggf. mit der ANMATHO AG Rücksprache.
Google bietet für eine Löschung offensichtlich nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.
Bitte beachten Sie, dass eine Bewertung der datenschutzrechtlichen Zulässigkeit anderer, im Zusammenhang mit Google Analytics angebotener Marketing-Instrumente und Werbe-Dienste (beispielsweise AdSense, AdWords oder erweiterte Funktionen von Google Universal Analytics), nicht im Rahmen der Prüfung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgte. Diese waren ausdrücklich nicht Gegenstand der Prüfungen. Die vorstehenden Hinweise treffen damit auch keine Aussage über die datenschutzrechtliche Zulässigkeit des Einsatzes dieser Dienste, bei Fragen zu diesen, stehen wir Ihnen jedoch gerne zur Verfügung.
Bitte beachten Sie weiter, dass die hier beschriebenen Anforderungen den Stand von Januar 2018 widerspiegeln. Insbesondere im Zusammenhang mit der Datenschutz-Grundverordnung (DS-GVO) und einer geplanten Änderung der E-Privacy-Richtlinie können sich spätestens ab Mai 2018 weitere Änderungen ergeben.
Sollten Sie noch Fragen haben oder Unterstützung bei diesem Thema benötigen, kommen Sie gerne auf uns zu.