Google Analytics und Datenschutz

Google setzt Forderungen der Aufsichtsbehörden um

(hmbbfdi, 15.9.2011) Seit Ende 2009 haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises und Google Gespräche über die erforderlichen Änderungen zum gesetzeskonformen Einsatz von Google Analytics geführt. Hintergrund dafür bildete der entsprechende Beschluss der Aufsichtsbehörden der Länder zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.

Durch konstruktive Gespräche ist es gelungen, sich gemeinsam auf zentrale Punkte zu einigen und diese umzusetzen. Insbesondere hat Google das Verfahren dahingehend geändert, dass

•    den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivierungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
•    auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
•    mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll.

Für Webseitenbetreiber stellt der Hamburgische Datenschutzbeauftragte besondere Hinweise auf seiner Homepage www.datenschutz-hamburg.de zur Verfügung. Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses. Die intensive Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden einerseits und Google andererseits haben die erzielten Verbesserungen ermöglicht. Ausdrücklich begrüße ich auch die Ankündigung von Google, dass die technischen Änderungen europaweit umgesetzt werden sollen. Ich möchte jedoch auch daran erinnern, dass die Arbeit nicht abgeschlossen ist. Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Darüber hinaus wird künftig erforderlich sein, die technischen Anforderungen des Opt-Out auch auf Smartphones zu übertragen. Hinzu kommt, dass die Entwicklung der Analyse-Software mit dem derzeitigen Stand der Umsetzung keineswegs endgültig abgeschlossen ist. Technische und rechtliche Veränderungen erfordern eine kontinuierliche Weiterentwicklung. So werden die ausstehende Umsetzung der E-Privacy-Richtline, aber auch die Einführung von IPv6 neue Schritte erfordern.

Hierzu gilt es, auch weiterhin mit Google im Dialog zu bleiben.