• deutsch
  • english
  • türk
  • español
  • nederlands
  • italiano
  • svenska

Unverhoffte Wendung im Fall Google Analytics

Getreu dem Motto „Unverhofft kommt oft“ überraschte gestern die Meldung, dass "deutsche" Datenschutzbehörden den rechtlich beanstandungsfreien Betrieb der Webanalysesoftware Google Analytics bestätigen würden.

Zuletzt sorgte die unerwartete und schließlich heiß diskutierte Meldung vom 08.09.2011 über eine mutmaßiche Einigung in Sachen Datenschutz- und Telemedienrecht zwischen Facebook und Innenminister Friedrich für Aufsehen, nachdem der Like-Button im Kreuzfeuer der Datenschützer stand.

So verkündet der Beauftragte für Datenschutz und Informationsfreiheit der Stadt Hamburg, Prof. Dr. Johannes Casper, nun eine Einigung mit Google, nach der Analytics die Anforderungen des deutschen Datenschutzgesetzes erfülle.

Wo-geht-es-als-naechstes-lang

Wo geht es als nächstes lang?

Google setzt Anforderungen zum Datenschutz um

Hintergrund der Debatte war die Auffassung der Aufsichtsbehörden der Länder, dass der Einsatz Google Analytics nicht mit dem Telemediengesetz vereinbar ist. Aus diesem Grund führte der Hamburger Datenschützer im Auftrag des Düsseldorfer Kreises bereits seit 2009 intensive Verhandlungen mit Google zur Durchsetzung von Änderungen, die einen gesetzeskonformen Einsatz zuließen. Im Januar diesen Jahres schienen die Verhandlungen bereits zum Scheitern verurteilt,  sie wurden mit der Begründung "Leider mussten wir zu dem Ergebnis kommen, dass Google unseren Datenschutzanforderungen nicht entsprochen hat" durch den Hamburger abgebrochen.

Laut Johannes Caspar führten intensive und konstruktive Gespräche nun doch noch zur Einigung in zentralen Punkten. Einen wesentlichen Anteil daran hatten seiner Aussage zufolge Googles Änderungen des Verfahrens, welches nun sicherstellt, dass:

- Nutzern ein Browser-Plugin zur Verfügung gestellt wird, welches die Erfassung von Nutzungsdaten durch Google Analytics unterbindet. Das Add-On stand bereits seit über einem Jahr für Google Chrome, Firefox und Internet Explorer zur Verfügung, berücksichtigt mit den kürzlich bereitgestellten Versionen für Safari und Opera jedoch alle gängigen Browser.

- keine vollständige Speicherung der IP-Adressen von Webseitenbesuchern erfolgen muss. Insbesondere bietet Analytics die Möglichkeit, dem in die Webseite integrierten Tracking-Code eine Anweisung hinzuzufügen, welche Google anweist, das letzte Oktett einer IP nicht abzuspeichern. Die Löschung erfolgt in Europa.

- Webseitenbetreiber und Google einen Vertrag zur Auftragsdatenverarbeitung schließen, der den Vorschriften des BDSG genügt.

Johannes Caspar begrüßt zudem ausdrücklich die Ankündigung Googles, die oben genannten technischen Änderungen europaweit umsetzen zu wollen.

Verantwortung liegt bei (Hamburger) Webseitenbetreibern

Verantwortlich für den datenschutzgerechten Einsatz von Google Analytics ist der Webseitenbetreiber dennoch selbst. Er hat mit Google den Vertrag zur Auftragsdatenverarbeitung abzuschließen und seine Datenschutzerklärung rechtskonform zu gestalten, Nutzer über ihre Widerspruchsmöglichkeiten zu informieren, den Tracking-Code entsprechend anzupassen sowie alle bisher erfassten Analysedaten zu löschen, wie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit auf der folgenden Seite informiert: Hinweise für Webseitenbetreiber in Hamburg.

Bei genauer Betrachtung wird deutlich, dass die Hinweise ausschließlich an Seitenbetreiber mit Sitz in Hamburg gerichtet sind. Trotz gleichlautender Telefonvorwahl -040 werden die Nachbarn aus Norderstedt noch bangen müssen und können nur hoffen, dass ihr Datenschutzbeauftragter Dr. Thilo Weichert die Hamburger Ansicht teilt. Gemäß seiner datenschutzrechtlichen Bewertung des Einsatzes von Google Analytics vom Januar 2009, die Sie hier nachlesen können, müsste Google nachweisen, keine Daten in Länder außerhalb der EU zu übertragen. Wie dies im Endeffekt technisch realisiert wird, bleibt eine spannende Frage. Sollte sie nicht beantwortet werden können, bleibt für die Kollegen in Schleswig-Holstein wie gegebenenfalls auch für alle anderen Bundesländer nur die Möglichkeit des Opt-In-Verfahrens, wie es unsere holländischen Nachbarn unter Umständen gerade gesetzlich verankern.

Selbst ohne die generelle Sinnhaftigkeit von Browser-Plugins zu hinterfragen bleibt zumindest die Frage offen, wie mit den Prüfungspflichten, die sich aus § 11 BDSG für den Auftraggeber einer personenbezogenen Datenverarbeitung ergeben, umgegangen wird.

Fazit

Die neusten Entwicklungen im „Fall“ Google Analytics sind ein guter Ansatz, erinnern jedoch zu sehr an den Vorstoß unseres Innenministers in Sachen Facebook-Like-Button. Gerade private Webseitenbetreiber oder kleinere Unternehmen, die wohl in erster Linie auf Google Analytics als Tracking-System setzen, benötigen eine endgültige und unmissverständliche Regelung. Hinzu kommt, dass der Datenschutz in Deutschland bedauerlicherweise bundesweit immer noch nicht einheitlich geregelt ist.

Wir sind gespannt auf weitere Entwicklungen zum Thema Datenschutz.

Mehr Informationen zu diesem Thema finden Sie unter folgenden Links:

Datenschutz in Hamburg

Conversion Room Blog

more


1 Kommentar

  1. […] die sich eher schlecht als recht mit dem deutschen Datenschutz verstanden haben (Stichwort Google Analytics). Das soll sich am 1. März – an dem Tag treten Googles neue AGBSs und […]


Hinterlasse einen Kommentar





Erforderliche Felder sind markiert (*)