Google Analytics und Datenschutz

Das Produkt des Unternehmens dessen Name nicht genannt werden darf. So hört es sich an, wenn man alte Datenschutzbeauftragte über Google und Google Analytics reden hört. Bei dem Unternehmen, dessen Name nicht genannt werden darf, könnte es sich auch um Facebook handeln, aber darüber schreibe ich ein anderes Mal.

Heute also geht es um den datenschutzkonformen Einsatz von Google Analytics. Vorneweg sei gleich eine Alternative empfohlen: Piwik.

Piwik bietet den Vorteil, dass es direkt auf Ihrem Server gehostet wird, die Datensammlung also nicht von Google ausgewertet wird. Piwik wird vom Unabhängigen Landeszentrum für den Datenschutz empfohlen. Unter https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf erhält man neben der datenschutzrechtlichen Einordnung des Tools durch das ULD ein kurzes Manual zur Einrichtung von Piwik. Allerdings ist auch Piwik nicht per se datenschutzkonform. Immer müssen Sie als Webseiten-Anbieter bestimmte Vorgaben und Auflagen erfüllen.

Wie das alles funktioniert und wo die Gemeinsamkeiten und Unterschiede sind, wird im Folgenden erklärt. Los geht’s:

Warum gibt es eigentlich datenschutzrechtliche Probleme beim Google Analytics-Einsatz?

1. IP-Adresse

Der Einsatz von Google Analytics zur statistischen Auswertung der Webseitennutzung durch die Webseitenbesucher ist datenschutzrechtlich deswegen bedenklich, weil Google Analytics die komplette IP-Adresse der Besucher an Google überträgt und die statistische Auswertung bei Google erfolgt.

Unabhängig davon, ob Sie persönlich der Meinung sind, das eine IP-Adresse ein personenbezogenes Datum ist oder nicht – die Aufsichtsbehörden gehen jedenfalls sogar bei dynamischen IP-Adressen davon aus. (http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=13025&article_id=55991&_psmand=48)

Lösung zu 1.:

Streichen Sie das letzte Oktett der IP-Adresse und schon haben Sie diese Adresse anonymisiert. Google kann dann immer noch tolle Statistiken machen, erfährt aber nicht so viel über die Benutzer Ihrer Seite.

Das Anonymisieren der IP-Adresse erklärt Google hier: https://support.google.com/analytics/answer/2763052

Sollten Sie – wie ich – Filme lieben, dann hier mein allerliebstes Film-Zitat zum Umgang mit Juristen und jedem der anfängt zu erklären: „Erklären Sie es mir wie einem Fünfjährigem!“ (Ich frage mich gerade, ob wir ein Film-Zitate-Quiz starten sollten…)

Also ganz konkret funktioniert das so:

Fügen Sie in den Code von Google Analytics einfach eine Zeile mehr hinein. Welche sehen Sie hier im Orginalscript rot markiert:

<script type=”text/javascript”>
var _gaq = _gaq || [];
_gaq.push([‘_setAccount’,’UA-40537064-1′]);
_gaq.push ([‘_gat._anonymizeIp’]);
_gaq.push([‘_trackPageview’]);
(function() {
var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
})();
</script>

2. Vertrag zur Auftragsdatenverarbeitung

Darüber hinaus ist Google aus deutscher Datenschutzsicht auf Grund der Übermittlung und Verarbeitung von personenbezogenen Daten Auftragsdatenverarbeiter gemäß § 11 BDSG.

Daraus folgt, dass Sie also einen Vertrag mit Google zur Auftragsdatenverarbeitung abschließen müssen. Und Sie müssen alle technischen und organisatorischen Maßnahmen zur „Auftragskontrolle“ gemäß der Anlage zu § 9 BDSG ergreifen und beim Auftragnehmer überprüfen. Dazu nur ein Satz: Ich wünsche Ihnen viel Freude bei der IT-technischen Überprüfung eines Google-Rechenzentrums!

Lösung zu 2.:

Nein, keine Sorge: So schlimm ist es nicht. Sie besorgen sich hier: http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/de//analytics/terms/de.pdf den Google-Mustervertrag zur Auftragsdatenverarbeitung für die Nutzung von Google-Analytics. Da steht dann auch einiges zum Vorgehen.

Wenn Sie Piwik benutzen, benötigen Sie keinen Vertrag zur Auftragsdatenverarbeitung mit irgendjemanden, weil Sie die Daten ja selbst verarbeiten. In nächster Zeit werde ich einen Artikel zum Thema Auftragsdatenverarbeitung schreiben. Denn das Problem findet sich nicht nur hier, sondern auch dann wenn Sie im Unternehmen z.B. ein externes Lohnbüro beauftragen oder, oder, oder…

3. Datenschutzhinweis

Nach den Vorschriften des Telemediengesetzes müssen Sie die Nutzer Ihrer Webseite auch darüber informieren, dass Sie ein Auswertungstool einsetzen. Das ist unabhängig davon, für welches Tool Sie sich entscheiden. Denn die Benutzer sollen wissen, was mit ihren personenbezogenen Daten passiert.

Lösung zu 3.:

Wo Sie einen Datenschutzhinweis bekommen, hatte ich Ihnen schon mal geschrieben. Hier nochmals der Link: http://rechtsanwalt-schwenke.de/smmr-buch/datenschutz-muster-generator-fuer-webseiten-blogs-und-social-media/

4. Löschen bereits erhobener Daten

Sollten Sie bisher Google Analytics schon eingesetzt haben, sich dabei aber nicht datenschutzkonform verhalten haben, haben Sie unzulässigerweise personenbezogene Daten erhoben, verarbeitet und genutzt und sogar Dritten zugänglich gemacht. In der Werbung heißt es nun: „Das geht nun wirklich nicht!“ (Ich denke intensiv über ein Quiz nach!). Das schreit nach Bußgeld nach dem BDSG. In diesem Falle bis 300.000 €. Einige Aufsichtsbehörden haben Webseitenbetreiber wegen der nicht-datenschutzkonformen Nutzung von Googel Analytics bereits angeschrieben.

Lösung zu 4.:

Es hilft nichts: Die unzulässig gewonnen Daten müssen gelöscht werden. Da blutet das Herz eines SEO.

Hier noch einmal zusammengefasst:

Voraussetzungen rechtssicherer Nutzung von Google-Analytics

  • Erster Schritt: Mit Hilfe der bei Google beschriebenen IP-Masken-Methode “_anonymizeIp()” im Analytics-Code die letzten 8bit der IP-Adresse kappen.
  • Zweiter Schritt: Diesen Vertrag über Auftragsdatenverarbeitung ausfüllen und mit einem frankiertem Rückumschlag an Google schicken. Details und Adresse finden Sie hinter dem Link.
  • Dritter Schritt: Aufklärung der Besucher in der Datenschutzerklärung
  • Vierter Schritt: Sie löschen alle bisher durch Google Analytics erhobenen Daten. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen.

Zu den Gemeinsamkeiten und Unterschieden von Google Analytics und Piwik

Für den Einsatz eines Analyse-Tools benötigen Sie immer einen entsprechenden Datenschutzhinweis
Immer muss die IP-Adresse anonymisiert werden (ja, auch bei Piwik)
Wenn Sie Piwik benutzen, benötigen Sie keinen Vertrag zur Auftragsdatenverarbeitung. Nutzen Sie Google Analytics, ist so ein Vertrag zwingend.
Noch ein paar Hinweise:

Unter https://tools.google.com/dlpage/gaoptout?hl=de finden Sie ein Browser-Ad-On, dass – wenn es aktiviert ist, dafür sorgen soll, dass keine Benutzerdaten an Google Analytics gesendet werden. Insofern hat der Besucher einer Seite es selbst in der Hand, ob er getrackt wird. In dem Datenschutzhinweis Ihrer Seite sollten Sie auf diese Möglichkeit hinweisen.

Als datenschutzfreundliche Alternative bietet sich auch Statify an. Jedenfalls dann, wenn man WordPress einsetzt. Wie sich Statify aus SEO-Sicht bewährt, schreibt Ihnen demnächst Herr Brand.

Zu allen Fragen rund um den datenschutzgerechten Einsatz von Google Analytics können Sie auch Ihren betrieblichen Datenschutzbeauftragten fragen. Sollten Sie nicht wissen, wer das ist – oder haben Sie gar keinen Datenschutzbeauftragten – fragen Sie einfach uns. Oder rufen Sie mich einfach an unter: 030 / 206 7372-280.

Herzliche Grüße,

Ihr Jens Olaf Krügermann

css.php