Home Menü

Google Analytics datenschutzkonform einsetzen

Viele Webseitenbetreiber setzen auf das überaus beliebte und populäre Tracking-Tool Google Analytics. Die wenigsten davon, nämlich gerade einmal 3 Prozent, beachten hierbei geltendes Datenschutzrecht. Haben Sie sich schon einmal Gedanken darüber gemacht, ob Sie Google Analytics datenschutzkonform einsetzen?

Hintergrundinformationen

Laut einer Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) vom Mai 2012 setzen nur 3 Prozent der untersuchten, bayerischen Webseiten den Dienst Google Analytics datenschutzkonform ein. Das BayLDA hat hierbei insgesamt 13.404 Webseiten untersucht, wovon 2.449 Webseiten Google Analytics verwendeten. Davon haben lediglich 78 Webseiten (ca. 3 Prozent) geltendes Datenschutzrecht (Europa, Deutschland, Bayern) eingehalten.

Diese Zahl ist allerdings nicht erstaunlich, da man sich erst im September 2011 mit Google auf einen datenschutzkonformen Einsatz von Google Analytics in Deutschland geeinigt hat (Quelle).

Datenschutzkonformer Einsatz von Google Analytics

Für einen beanstandungsfreien Betrieb von Google Analytics müssen Webseitenbetreiber mindestens folgende Maßnahmen umsetzen:

  1. Der Webseitenbetreiber muss mit Google Inc. einen Vertrag zur Auftragsdatenverarbeitung abschließen. Dazu schickt der Betreiber der Internetseite ein ca. 20 Seiten langes, vorgefertigtes Dokument in zweifacher Ausführung unterschrieben an Google nach Hamburg. Einen Link zu diesem Dokument finden Sie am Ende dieses Artikels.
  2. Die Nutzer Ihrer Webseite müssen in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt werden. In dieser Erklärung müssen Sie auch auf eine Widerspruchsmöglichkeit (in Form des Google Analytics Deaktivierungs Add-Ons) hinweisen. Eine Formulierungsmöglichkeit für Ihr Impressum hält die Webseite der BayLDA unter folgendem Link bereit: BayLDA FAQ Nr. 7

    Zusätzlich müssen Sie beachten, dass von Ihrer Startseite ein direkter Link mit der Bezeichnung „Datenschutzerklärung“ (oder einer ähnlichen Bezeichnung) auf Ihre Google Analytics Datenschutzerklärung platziert ist. Siehe dazu auch: BayLDA FAQ Nr. 9

    Sollte Ihre Webseite speziell auf mobile Nutzer (mobile Webbrowser) ausgelegt sein, so müssen Sie für diese eine eigene Widerspruchsmöglichkeit implementieren (für nähere Details siehe Dokument am Ende des Artikels).

  3. Der Google Analytics-Programmcode, welcher auf jeder Ihrer Seiten eingebunden ist, muss um eine Funktion zur Anonymisierung der IP-Adresse ergänzt werden. Hierbei wird automatisch das letzte Oktett der IP-Adresse des Webseitenbesuchers entfernt. Informationen zur Implementierung dieser Funktion erhalten Sie auf der Developer-Seite von Google.
  4. Sollten Sie bereits vor Durchführung der Schritte 1-3 Google Analytics auf Ihrer Webseite eingebunden haben, dann ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Aus diesem Grund müssen Sie für einen datenschutzkonformen Einsatz diese Altdaten löschen, indem Sie Ihr bestehendes Google-Analytics-Profil schließen und anschließend ein neues eröffnen.

Weiterführende Informationen und Dokumente

Das Bundesdatenschutzgesetz (BDSG) wird auf Landesebene noch einmal konkretisiert, weshalb im Einzelfall immer das Landesdatenschutzgesetz (z.B. BayDSG) für die einzelne Ausgestaltung des BDSG gültig ist. Aus diesem Grund stellen die nachfolgenden Dokumente nur eine Basis dar, welche im Einzelfall durch Ihr geltendes Landesdatenschutzgesetz ergänzt werden muss.

Google Analytics: Hinweise für Webseitenbetreiber (via datenschutz-hamburg.de)

Google Analytics: Bayerisches Landesamt für Datenschutzaufsicht

Vertrag zur Auftragsdatenverarbeitung (via google.com)

Fazit

Die Erfahrung und auch die Statistik des BayLDA zeigt, dass der Großteil aller Webseitenbetreiber, die Google Analytics auf Ihrer Webseite einsetzen, gegen geltendes Datenschutzrecht verstoßen. Da zum aktuellen Zeitpunkt allerdings nicht mit Bußgeldern zu rechnen ist, sondern lediglich Mahnungen und Hinweise durch die einzelnen Landesdatenschutzbehörden versendet werden, ist davon auszugehen, dass die Zahl der Datenschutzverstöße in diesem Bereich weiterhin hoch bleibt. Diese Erkenntnis ist insofern bedauerlich, da es lediglich etwas Zeit bedarf, um Google Analytics datenschutzkonform zu implementieren und einzusetzen.

(Artikelbild: © Heart Internet – iconfinder.com)

Veröffentlicht von Josef Seidl

Josef Seidl hat an der TU München und der Stanford University Wirtschaftsinformatik studiert, bevor er mit INNOSPOT sein eigenes Unternehmen gründete. Er ist begeistert von Technik, schätzt performante Webseiten und ist gerne in den Bergen unterwegs. Zu finden ist er auch bei LinkedIn und privat bei Twitter.

3 Kommentare » Schreibe einen Kommentar

    Schreibe einen Kommentar

    Pflichtfelder sind mit * markiert.