Google Analytics kann datenschutzkonform verwendet werden

vg wort
Update: 25.05.2017

Durch die Entscheidung des EuGH vom 06.10.2015, C 362/14  zur Unwirksamkeit des Safe Harbor Abkommens sind auch die alten Verträge zur Auftragsdatenverarbeitung mit Google unwirksam geworden. Danach ist jede Datenverarbeitung, die sich auf der Grundlage des Safor Harbor-Abkommen bezieht, mit dem Datenschutzrecht in Europa unvereinbar. Da sich die von Google bereitgehaltenen Verträge zur Auftragsdatenverarbeitung (ADV) auf das Safor Harbor Abkommen beriefen, war somit die Legitimation der Datenverarbeitung durch diese EuGH-Entscheidung nicht mehr zulässig.

Google hat mittlerweile neue Vertragsdokumente auf der Grundlage des neuen Privacy Shield vom September 2016 zur Verfügung gestellt.

Sofern Sie als Unternehmer noch einen alten Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen haben, kommen Sie somit nicht darum herum, mit Google eine neue ADV auf der Grundlage der neuen Privacy Shield Version zu vereinbaren, sofern Sie die Analysesoftware Google Analytics weiterhin datenschutzkonform verwenden wollen. Andernfalls sind die Voraussetzungen für einen internationalen Datentransfer nicht erfüllt, da der Datentransfer auf Grundlage des Privacy Shields nur nach entsprechender Vereinbarung zur Auftragsdatenverarbeitung wirksam ist.

> Hier können Sie sich die neuen Vertragsunterlagen zur ADV mit Google herunterladen.

Darüber hinaus müssen natürlich weiterhin die übrigen Voraussetzungen (Anonymisierung der IP-Adresse, Widerspruchsmöglichkeit), welche ich unten in diesem Beitrag beschrieben habe, zum datenschutzkonformen Einsatz von Google Analytics beachtet werden.

———————————————————————————————————————

Webseitenbetreiber, die das Webanalysetool Google Analytics benutzen können aufatmen, was den Datenschutz anbelangt.

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben nun auf der Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte  zum datenschutzkonformen Umgang mit Webanalysetools eine Einigung mit Google erreicht, was die datenschutzkonforme Anwendung des Webanalysetool von Google betrifft.

Voraussetzung für datenschutzkonforme Verwendung von Google Analytics

Somit ist eine datenschutzkonforme Anwendung des Webanalysetools Google Analytics unter folgenden Voraussetzungen möglich.

Zunächst muss der Webseitenbetreiber sicherstellen, dass die IP-Adresse des Benutzers nur in einer anonymisierten Form an Google übertragen und von Google gespeichert wird. Um diese Anonymisierung der IP-Adresse zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung einer zusätzlichen Codezeile „_gaq.push([‚_gat._anonymizeIp‘]);“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Hierdurch ist zwar weiterhin eine grobe Lokalisierung möglich, jedoch wird dieses von den deutschen Datenschutzbehörden anerkannt. Wie ein solcher anonymisierter Code im Analytics Konto eingebunden wird, habe ich in einem früheren Beitrag bereits beschrieben.

Zusätzlich müssen Sie als Webseitenbetreiber in Ihrer Datenschutzerklärung, die zwingend auf der Website angebracht werden muss, dem Benutzer Ihrer Website auch die Möglichkeit eines Widerspruchs gegen die Erfassung seiner Nutzungsdaten durch Google einräumen.
Google bietet hierfür ein Deaktivierungs-Add-on für Browser an. Entscheidet sich der Benutzer Ihrer Webseite für die Installation dieses Add-on wird verhindert, dass Google Analytics auf den besuchten Webseiten ausgeführt wird. Dieses Add-On, das bisher nur für den Internet Explorer, Firefox und Google Chrome verfügbar war, ist nun auch für Browser Safari und Opera verfügbar.
Wegen der Formulierung der Datenschutzerklärung können Sie sich gerne an meine eingebundenen Datenschutzerklärung orientieren.

Ferner müssen Sie als Webseitenbetreiber noch einen schriftlicher Vertrag mit der Google Germany GmbH in Hamburg gemäß § 11 BDSG zur Auftragsdatenverarbeitung abschließen. Durch einen solchen Vertrag soll die Einhaltung der datenschutzrechtlichen Bestimmung durch den Webseitenbetreiber einerseits und andererseits aber auch durch Google sichergestellt werden. Ein mit der Aufsichtsbehörde abgestimmter Mustervertrag können Sie sich hier runterladen. Diese Vertragsentwurf ist von Webseitenbetreiber in zweifacher Ausfertigung an die Google Germany GmbH in Hamburg mit einen frankierten und adressierten Rückumschlag zusenden. Nach Unterzeichnung sendet Google dem Webseitenbetreiber ein Exemplar des Vertrages zurück. Diese Schriftform ist nach § 11 Abs.2 BDSG zwingend erforderlich.

7 Kommentare auf “Google Analytics kann datenschutzkonform verwendet werden

  1. Betrifft Browser-Add-on zur Deaktivierung von „Google Analytics“
    Na ja, da beisst sich die Katz auch in den Schw…. . Was ist davon zu halten, wenn dies an eine Bedingung geknüpft wird,“Cookies an Drittanbieter“ zu erlauben?

    Ausszug: „Sellen Sie sicher, dass Drittanbieter-Cookies NICHT für den Internet Explorer deaktiviert sind. Wenn Sie Ihre Cookies löschen, werden diese Cookies innerhalb kurzer Zeit durch das Add-on zurückgesetzt, um sicherzustellen, dass Ihr Google Analytics-Browser-Add-on weiterhin uneingeschränkt funktioniert.
    Durch die Nutzung des Browser-Add-ons zur Deaktivierung von Google Analytics lässt sich nicht verhindern, dass Daten an die Website oder an andere Webanalyse-Dienste gesendet werden.“

    • Gerade zu dieser Problematik, dass die Datenschutzbedingungen dieser amerikanischen Anbieter wie Facebook, Google aber auch Mikrosoft hat der EuGH vor kurzen, am 06.10.2015 C-362/14 eine wichtige Entscheidung verkündet, indem der EuGH das Safe-Harbor-Abkommen zwischen dem US-Handelsministerium und der EU-Kommission für ungültig erklärt hat. Aufgrund dieses Urteils sind in erster Linie Facebook und Google nun gefordert ihre Datenschutzrichtlinien, gerade was die Speicherung auf amerikanischen Server betrifft, endlich an die europäischen Datenschutzbestimmungen anzupassen.

  2. Ich lese Ihre Beiträge jedes Mal mit großem Interesse. Der Informationsgehalt ist sehr wertig, vielen Dank dafür.

    Wie sieht die Sache eigendlich mit dem Metrica von Yandex aus? Laut einiger Aussagen im Netz, ist bei der kostenlosen Version keine Datenschutzerklärung nötig, da keine IPs genutzt werden.

    • Yandex ist ja der russische Suchmaschinen-Betreiber.
      Soweit es um die Datenverarbeitung von deutschen User, sowie auch von User innerhalb der EU-Mitgliederstaaten geht, sind solche Gerüchte, dass bei Nutzung dieses Dienstes eine Datenschutzerklärung nicht erforderlich seien, einfach falsch.
      Soweit es um Verarbeitung von persönliche Nutzerdaten geht, haben die deutschen sowie die europäischen Datenschutzbestimmung, Vorrang vor interne Erklärungen, von ausländischen Suchmaschinenanbietern.

  3. Hallo Dieter,
    wie immer ein wirklich fundierter Artikel von dir. Ich habe jetzt mal alles so umgesetzt bis auf den Brief an Google. Schön das die endlich eine Einigung gefunden haben. Ich hoffe das sich auch Facebook mit den Datenschützern einig wird, und wir uns dann auf die wesentlchen Dinge konzentrieren können.
    Vielen Dank für die Tipps und Links.
    Viele Grüße
    Hauke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.