Bayerische Unternehmen: Nachholbedarf beim datenschutzkonformen Einsatz von Google Analytics

Das Bayerischen Landesamtes für Datenschutzaufsicht überprüfte bayerische Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin. Das Ergebnis: Nur 3% der Seiten, die Google Analytics nutzen, wenden das Tracking-Programm datenschutzkonform an.

Im November 2009 hatte sich der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, zu den Voraussetzungen für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert
(siehe www.lda.bayern.de/onlinepruefung/Beschluss_Reichweitenmessung.pdf – Beschluss vom 26./27.11.2009). Auf dieser Grundlage hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit federführend für die Aufsichtsbehörden in Deutschland Verhandlungen mit der Firma Google geführt und sich darüber verständigt, wie das Produkt angepasst werden muss, damit es die deutschen Nutzer datenschutzkonform einsetzen können. Als Ergebnis dieser Gespräche hat Google das Verfahren im Jahr 2011 dahingehend geändert, dass

  • Google ein Deaktivierungs-Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) zur Verfügung gestellt hat, auf das die Webseitenbetreiber die Nutzer hinzuweisen haben und das die Nutzer auf ihrem Rechner installieren können, um von ihremRecht auf Widerspruch gegen die Erfassung von Nutzungsdaten Gebrauch zu machen,
  • auf Anforderung des Webseitenbetreibers Google das letzte Oktett der IP-Adresse des Nutzers vor jeglicher Speicherung schon innerhalb von Europa gelöscht wird, so dass insoweit keine Daten in die USA fließen und keine Identifizierung des Nutzers mehr möglich ist und,
  • Google mit den Webseitenbetreibern, die Google Analytics einsetzen wollen, zur Sicherstellung des ordnungsgemäßen Umgangs mit den Daten der Nutzer einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließt.

Google-Analytics: Datenschutzkonforme Anforderungen

Die Anpassungen von Google ermöglichen es deutschen Webseitenbetreibern, das Analysetool Google Analytics datenschutzkonform einzusetzen. Konkret ist jeder einzelne Webseitenbetreiber in der Pflicht, Google Analytics nur einzusetzen, wenn

  • der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
  • die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
    Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
  • die Anonymisierungsfunktion im Quellcode eingebunden ist und,
  • falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Das BayLDA hat nun in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. Hierfür hat es eine eigene Software entwickelt, mit der automatisiert festgestellt werden kann, ob Google Analytics entsprechend den o.g. Vorgaben eingesetzt wird. Geplant ist, in absehbarer Zeit auch die datenschutzkonforme Nutzung anderer Programme zur Reichweitenmessung zu überprüfen.

Google-Analytics: Nur 3% setzen es richtig ein

Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen. Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.

„Die Webseitenbetreiber in Bayern, die noch Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben aufweisen, werden von uns angeschrieben und in einem ersten Schritt aufgefordert, diese zu beheben. Wir sehen dies als Beitrag zur Qualitätssicherung für die Unternehmen einerseits und Sicherstellung des Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer andererseits an“ so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Empfohlen wird auch für Betriebe außerhalb Bayerns genau nachzuschauen, ob Google Analytics datenschutzkonform eingesetzt wird. Die Landesdatenschützer könnten bei einer Überprüfung durchaus Betriebe abmahnen.

 Quelle: BayLDA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.