Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat mit Pressemitteilung vom 07.05.2012 mitgeteilt, dass es mit Hilfe einer eigens entwickelten Software 13.404 Homepages auf den datenschutzkonformen Einsatz von Google Analytics überprüft habe.

Die Prüfung habe ergeben, dass bei 2.449 Webseitenbetreibern, die Google Analytics einsetzen, nur von 78 (3%) die datenschutzrechtlichen Vorgaben eingehalten würden. Die übrigen 2.371 Webseitenbetreiber würden vom BayLDA schriftlich aufgefordert, die datenschutzrechtlichen Defizite bei der Nutzung von Google Analytics zu beheben. Mit diesem Vorgehen wolle die Behörde „datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet“ erreichen. Bußgeldverfahren wolle das BayLDA erst einleiten, wenn die angeschriebenen Webseitenbetreiber der Aufforderung der Behörde zur Behebung der Defizite nicht nachkommen würden. Im Falle eines erfolgreich durchgeführten Bußgeldverfahrens können gemäß § 35 Bundesdatenschutzgesetz (BDSG) und § 16 Telemediengesetz (TMG) jedoch Bußgelder in Höhe von bis zu 50.000 € verhängt werden. Das BayLDA plane darüber hinaus, in Zukunft auch die datenschutzkonforme Nutzung anderer Programme zur Reichweitenmessung zu überprüfen.

Hintergrund

Die Datenschutzaufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben im Herbst 2009 die Anforderungen an eine datenschutzkonforme Ausgestaltung von Analyserverfahren zur Reichweitenmessung bei Internetangeboten beschlossen und im Internet veröffentlicht.

Auf der Grundlage dieses Beschlusses hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit dem Unternehmen Google ausgehandelt, unter welchen Bedingungen das Webanalysetool Google Analytics datenschutzkonform angeboten und eingesetzt werden kann.

Danach müssen für einen datenschutzkonformen Einsatz von Google Analytics folgende Voraussetzungen erfüllt sein:

  1. Abschluss eines schriftlichen Vertrages zur Auftragsdatenverarbeitung zwischen Google und dem jeweiligen Webseitenbetreiber
  2. Veröffentlichung einer Datenschutzerklärung auf der Webseite, die auf den Einsatz von Google Analytics, die Widerrufsmöglichkeiten des Nutzers sowie auf die mit Google Analytics verbundenen Datenverarbeitungsvorgänge hinweist,
  3. Einbindung einer Anonymisierungsfunktion im Quellcode und
  4. ggf. Löschung eines alten Google-Kontos, wenn die Anonymisierungsfunktion bisher nicht eingesetzt worden ist.

Das BayLDA beruft sich in seiner Pressemitteilung ausdrücklich auf den Beschluss des Düsseldorfer Kreises von 2009 sowie auf die Verhandlungen des Hamburgischen Datenschutzbeauftragten mit Google und die daraus resultierenden Vorgaben für Webseitenbetreiber zum datenschutzkonformen Einsatz von Google Analytics.

Fazit

Seit dem Beschluss des Düsseldorfer Kreises müssen Webseitenbetreiber aktuell in allen Bundesländern mit Überprüfungen ihrer Webseiten auf den datenschutzkonformen Einsatz von Google Analytics durch die jeweils zuständige Datenschutzaufsichtsbehörde rechnen. Vor diesem Hintergrund empfiehlt es sich, den Einsatz von Google Analytics anhand der dargestellten Vorgaben datenschutzkonform zu gestalten. Auch beim Einsatz sonstiger Webtrackingtools anderer Anbieter müssen diese Vorgaben entsprechend umgesetzt werden.