Seit langem steht das Webtracking Tool Google Analytics im Fokus der deutschen Datenschutzaufsichtsbehörden. Bislang wurde die Webseitenanalyse-Software von den Behörden überwiegend als rechtswidrig beurteilt. Google reagierte mit Nachbesserungen der Software [vergl. Pressemitteilung vom 1.6.2010]

Die Aufsichtsbehörden bewerteten die getroffenen Maßnahmen aber bislang als nicht ausreichend. So attestierte die Aufsichtsbehörde für den Datenschutz in Baden-Württemberg im März 2011, ebenso wie die Aufsichtsbehörde in Rheinland-Pfalz, dass die bis dahin von Google getroffenen Maßnahmen zum Schutz personenbezogener Daten den Anforderungen der datenschutzrechtlichen Bestimmungen nicht genügen.

Zwischenzeitlich überarbeitete Google in Abstimmung mit dem Hamburgischen Datenschutzbeauftragten das Programm Google Analytics.

Folgende Änderungsmaßnahmen sind für einen datenschutzkonformen Einsatz vorzunehmen:

  • Zwischen Google und dem Webseitenbetreiber muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden.
    Update 12/2012: Mittlerweile ist der von der Google Inc. ursprünglich angegebene Link auf den Vertrag zur Auftragsdatenverarbeitung veraltet und der Vertrag  hierunter nicht mehr aufzufinden.   Den Vertragstext finden Sie daher hier.
  • Der Einsatz von Google Analytics muss auf der Webseite in der Datenschutzerklärung dargestellt werden. Die Erklärung muss den Besucher der Seite auf sein Widerspruchsrecht gegen die Erhebung seiner personenbezogenen Daten durch Google Analytics hinweisen.
  • Google darf nur gekürzte IP-Adressen der Nutzer erhalten. Dazu muss das Programm Google Analytics um die Funktion _anonymizeIp() ergänzt werden.
  • Bei Bestandskunden von Google Analytics, also wenn das Programm bereits eingesetzt wurde, hat der Nutzer sämtliche Altdaten zu löschen, indem das bestehende Google-Analytics-Profil geschlossen und ein neues eröffnet wird.

Die Hinweise zur datenschutzkonformen Nutzung können auf der Webseite des Hamburgischen Datenschutzbeauftragten abgerufen werden. Das Hinweispapier ist zwar an Webseitenbetreiber mit Sitz in Hamburg gerichtet. Da der Hamburgische Datenschutzbeauftragte den Dialog mit Google vertretend für alle Aufsichtsbehörden führte, ist davon auszugehen, dass dieses Dokument auch über die Landesgrenzen Hamburgs hinaus Bestand hat.

Die Änderungen betreffen die gegenwärtige Rechtslage. Der Hamburgische Datenschutzbeauftragte weist explizit darauf hin, dass sich durch die Umsetzung der Richtlinie 2009/136/EG sogenannte Cookie-Richtlinie (darauf haben wir in unserem Datenschutznewsletter 5/2011 hingewiesen) weitere Änderungen ergeben können.

Als Alternative zu Google Analytics kann auf das kostenlose Webtracking Tool Piwik – Web analytics zurückgegriffen werden. Diese wurde seitens des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), bei Vornahme bestimmter Einstellungen, im März 2011 als datenschutzkonform bewertet.