GOOGLE: Ist die Verwendung von Google Analytics ab sofort datenschutzrechtlich unangreifbar?

veröffentlicht am 16. September 2011

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, hat per Pressemitteilung vom 15.09.2011 verkündet, dass „ab sofort ein beanstandungsfreier Betrieb von Google Analytics möglich“ sei (hier). Seit Ende 2009 habe der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises (hier) und Google Gespräche über die erforderlichen Änderungen zum gesetzeskonformen Einsatz von Google Analytics geführt. Als Hintergrund wird ein entsprechender „Beschluss der Aufsichtsbehörden der Länder zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ genannt.

Google habe das Analyseverfahren insbesondere in den folgenden Punkten verändert:

1) Den Nutzern werde die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt und für alle gängigen Internet-Browser ein Deaktivierungs-Add-On zur Verfügung gestellt (http://tools.google.com/dlpage/gaoptout?hl=de).

2) Au Anforderung des Webseitenbetreibers werde das letzte Oktett der IP-Adresse vor jeglicher Speicherung noch innerhalb Europas gelöscht, um eine Identifizierung des Nutzers zu verhindern.

3) Mit den Webseitenbetreibern werde ein Vertrag zur Auftragsdatenverarbeitung (hier) nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen.

Für Webseitenbetreiber stellt der Hamburgische Datenschutzbeauftragte besondere Hinweise auf seiner Homepage zur Verfügung. Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet.

Caspar wies allerdings auch darauf hin, „dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Was wir davon halten? Der Kollege Stadler weist darauf hin, dass eine Anonymisierung und der gleichzeitige Abschluss einer Datenverarbeitungsvereinbarung sinnfällig ist (hier). Dieser HInweis ist berechtigt, da in dem oben geschilderten Szenario gerade keine personenbezogenen Daten (vgl. § 3 Abs. 1 BDSG) erhoben werden, was wiederum für datenschutzrechtliche Hinweise an die Nutzer von Internetdiensten bzw. den Abschluss einer Vereinbarung über eine Datenauftragsverarbeitung Voraussetzung ist (vgl. § 13 TMG, § 11 BDSG). Auch die Frage, ob ein Vertrag über eine Datenauftragsverarbeitung überhaupt in Übereinstimmung mit den Anforderungen des BDSG abgeschlossen werden kann, ist kritisch zu beurteilen, da umfassende Kontrollrechte des Auftraggebers (Webseitenbetreibers) bei Google nach dem gegenwärtigen Stand der Dinge gerade nicht möglich sind (vgl. § 11 BDSG i.V.m. Nr. 6 der Anlage zu § 9 BDSG: „… zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)„). Allerdings dürfte die Erfüllung der geforderten Maßnahmen zumindest das Risiko einer Auseinandersetzung mit den Datenschutzbehörden erheblich reduzieren.

I