Der Hamburgische Datenschutzbeauftragte hat am 15.9.2011 in einer Pressemitteilung erklärt, dass für Betreiber von Websites ab sofort ein datenschutzrechtlich „beanstandungsfreier Gebrauch“ von Google Analytics (GA) möglich ist.
Vorausgegangen waren jahrelange Verhandlungen mit Google, deren Ergebnis vor allem ein umfangreicher Vertrag über die Datenverarbeitung im Auftrag ist, den Nutzer von GA mit Google abschließen sollen.
Webseitenbetreiber, die Tracking Tools wie Google Analytics verwenden, sind für den datenschutzgerechten Einsatz dieser Tracking Tools verantwortlich. Dies hat in der Vergangenheit zu großen Unsicherheiten geführt (vgl. zu den Einzelheiten Online-Marketing und Recht, S. 173 ff.).
Mit seiner Pressemitteilung vom 15.9.2011 hat der Hamburgische Datenschutzbeauftragte nun Vorgaben für die Verwendung von Google Analytics gemacht und durch diese Verlautbarung ein Stück weit Rechtssicherheit geschaffen. Wer diese Vorgaben berücksichtigt, soll GA in Zukunft „beanstandungsfrei“ einsetzen können, was vor allem heißt, dass die Datenschutzbehörden gegen den Einsatz nicht vorgehen werden. Dies gilt nicht nur in Hamburg sondern bundesweit.
Was muss der Webseitenbetreiber, der Google Analytics nutzt, nun beachten?
Folgende Voraussetzungen sollen nach Wunsch der Datenschützer eingehalten werden:
– Der Webseiten-Betreiber muss die Verwendung des Tracking Tools in der Datenschutzerklärung auf seiner Website erwähnen und erläutern.
– Mit Google soll ein schriftlicher Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden. Einen solchen Vertrag hat Google mit der Behörde verhandelt und wird von Google zum Download und zur Verwendung angeboten. Google selbst weist darauf hin, dass es nach eigener Ansicht eines solchen Vertrages nicht zwingend bedürfe (siehe dazu auch unten).
– Daneben sollte der Nutzer von Google Analytics das von Google bereitgestellte IP-Masking-Tool in den Tracking Code einfügen, so dass Google die letzten acht Bits der IP-Adressen der Webseitenbesucher löscht, bevor diese gespeichert werden.
– Der Nutzer muss die Webseitenbesucher außerdem darauf hinweisen, dass sie die Erfassung ihrer Analysedaten mit der Installation der, von Google für inzwischen alle gängigen Browser zur Verfügung gestellten, Add-ons verhindern können. Auch dies sollte in der Datenschutzerklärung, die transparent einzubinden ist, geschehen.
Hält der Webseitenbetreiber diese Anforderungen ein, befindet er sich datenschutzrechtlich auf der sicheren Seite. Jedenfalls hat er von den Datenschutzbehörden nichts zu fürchten.
Die Vorgaben der Datenschützer gehen zu weit
Die Vorgaben der Hamburgischen Datenschützer sind in gewisser Weise widersprüchlich:
Ausdrücklich festgehalten wird, dass die Anonymisierung dazu führt, dass der Personenbezug der erhobenen Daten insgesamt entfällt. Sobald aber kein personenbezogenes Datum mehr gegeben ist, ist auch § 13 TMG nicht mehr einschlägig, sodass es konsequenterweise auch der Beachtung des BDSG nicht bedürfe.
Es ist ohnehin zweifelhaft, ob IP-Adressen personenbezogene Daten sind. Das Gesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Ob sich für Google tatsächlich auf den hinter einer IP-Adresse stehenden Nutzer schließen lässt, ist sehr zweifelhaft.
Der Hamburgische Datenschutzbeauftragte verlangt auch eine Vereinbarung über Auftragsdatenverarbeitung zwischen dem Webseitenbetreiber und Google, die § 11 BDSG entspricht. Diese wäre nach oben Gesagtem ebenfalls überflüssig. Allenfalls die Millisekunden der notwendig vollständigen Erhebung der Daten bis zu deren Kürzung können datenschutzrechtlich relevant sein.
Dennoch hat sich Google bereit erklärt, solche Verträge mit den Webseitenbetreibern abzuschließen.
Auswirkungen für andere Tools
Dem Deal mit Google lassen sich natürlich auch Rückschlüsse auf andere Tracking Technologien gleich in welchem Zusammenhang ziehen. Stets bedarf es einer gesetzlichen Rechtfertigung oder einer Einwilligung, wenn zuordnenbare IP-Daten erhoben werden. Außerdem müssen eine Opt-out-Möglichkeit angeboten und die Nutzer darüber informiert werden. Ist es kein Inhouse-Tracking, sondern werden die Daten extern – und ohne Anonymisierung – erhoben muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden, der den strengen Vorgaben der §§ 11, 9 BDSG stand hält.
Fazit
Trotz der Vorbehalte bezüglich der Notwendigkeit der Vereinbarung zur Auftragsdatenverarbeitung ist die Einigung der Hamburgischen Datenschützer mit Google zu begrüßen. Für Webseitenbetreiber, die schon bisher versucht haben, alle datenschutzrechtlichen Vorgaben einzuhalten, bieten die Vorgaben des Hamburgischen Datenschutzbeauftragten eine verlässliche Richtschnur.
Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht bei HÄRTING Rechtsanwälte, Berlin. Ende letzten Jahres ist sein Buch: Online-Marketing und Recht im mitp-Verlag erschienen – www.online-marketing-recht.de.