Die datenschutzkonforme Nutzung von Google Analytics bedarf einiger Grundkenntnisse des Datenschutzrechts und der richtigen
Anwendung.
Google Analytics ist ein weitestgehend kostenfreies
Tool zur Analyse der Besucherströme auf einer Webseite. Dazu wird ein
von Google Analytics zur Verfügung gestellter Programmcode in den
Quelltext der Webseite integriert. Der "Google Analytics Tracking Code"
(kurz GATC) übergibt die Daten aus der Nutzung der Webseite an Google
Analytics, durch dessen Software dann die Analyse des Nutzungsverhaltens
der Besucher einer Seite erfolgt.
Google nutzt dann die gewonnenen Daten für eigene Zwecke zur Reichweitenanalyse und für Werbung weiter.
Der
datenschutzkonformen Nutzung von Google Analytics ist möglich, wenn diese drei Punkte beachtet und umgesetzt werden:
- Google Analytics Account mit leeren Datensätzen
- GATC richtig einsetzen
- Schriftlicher Vertrag mit Google
1. Google Analytics Account mit leeren Datensätzen
Wer einen bestehenden Account bei Google
Analytics weiterhin nutzen möchte, hat datenschutzrechtlich ein Problem.
Ohne die Änderungen vorzunehmen enthalten die alten Daten
personenbezogene Daten, deren Erhebung bisher ohne das vorherige
Einverständnis der betroffenen Nutzer geschehen. Es ist nicht möglich,
diese Daten einzeln zu löschen. Es bedarf vielmehr einer vollständigen
Löschung aller Daten durch das Schließen des bisherigen Accounts und die
Anmeldung als neuer Nutzer. Nur dadurch werden alle bisher mit
personenbezogenen Daten durchsetzten Datensätze gelöscht.
2. GATC richtig einsetzen
Der Google Analyse Tracking Code ist mit einer
Anweisung zur IP-Maskierung zu versehen. Hinter diesem Fachausdruck
verbürgt sich ein Stück Quellcode, um den der GATC ergänzt wird. Der
Quellcode "_gaq.push(['_gat._anonymizeIp']);" gibt an Google Analytics
die Anweisung, die letzten drei Ziffern einer IP-Adresse abzuschneiden.
Dadurch wird eine IP Adresse 213.183.211.109 auf 213.183.211. verkürzt.
Dadurch wird verhindert, dass der genutzte Computer eindeutig
identifizierbar ist. Die IP Adresse wird anonymisiert und gilt nicht
mehr als personenbezogener Datensatz. In der Regel ist der von Google gestellte Quellcode manuell zu prüfen
3. Vertrag mit Google Analytics
Gleichzeitig ist ein schriftlicher Vertrag über die
Nutzung von Google Analytics zwischen dem Webseitenbetreiber und Google
notwendig. Die Schriftform wird für Teile der Auftragsdatenverarbeitung
vom Bundesdatenschutzgesetz vorgeschrieben. Google hat dafür einen
vorformulierten Vertrag ins Netz gestellt. Dieser ist mit der Hamburger
Datenschutzbehörde abgestimmt.
Der Vertrag enthält Allgemeine
Geschäftsbedingungen und die Konkretisierungen zur Datenverarbeitung und
datenschutzkonformen Analyse der Daten.
Der Vertrag wird
zwischen dem Betreiber der zu analysierenden Webseite als Auftraggeber
und Google als Auftragnehmer geschlossen. Der Vertrag regelt die Rechte
und Pflichten der Vertragspartner, wobei Google seinen rechtlichen
Spielraum so weit wie möglich ausnutzt.
Die Nutzung von Google Analytics oder anderen Analysetools ist in der Datenschutzerklärung für die Webseite anzugeben. Fehler können zu wettbewerbsrechtlichen Konsequenzen (Abmahnung wegen IP-Adresse) ect. führen. Bei Fragen nehmen Sie mit uns Kontakt auf.
Kommentare 1
Duplicate juristi
Wenn ab 25.05.2018 die DSGVO gilt, reicht es aus, wenn der Vertrag über die Auftragsdatenverarbeitung online abgeschlossen wird. Esi st dann nicht mehr notwendig, den Vertrag zu unterschreiben. Der Aufwand wird etwas geringer.