Datenschutz
1. Grundlegende Entscheidung der Aufsichtsbehörden
Im November 2009 hatte sich der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, zu den Voraussetzungen für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert (siehe www.lda.bayern.de/onlinepruefung/Beschluss_Reichweitenmessung.pdf – Beschluss vom 26./27.11.2009). Auf dieser Grundlage hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit federführend für die Aufsichtsbehörden in Deutschland Verhandlungen mit der Firma Google geführt und sich darüber verständigt, wie das Produkt angepasst werden muss, damit es die deutschen Nutzer datenschutzkonform einsetzen können. Als Ergebnis dieser Gespräche hat Google das Verfahren im Jahr 2011 dahingehend geändert, dass
- Google ein Deaktivierungs-Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) zur Verfügung gestellt hat, auf das die Webseitenbetreiber die Nutzer hinzuweisen haben und das die Nutzer auf ihrem Rechner installieren können, um von ihrem Recht auf Widerspruch gegen die Erfassung von Nutzungsdaten Gebrauch zu machen,
- auf Anforderung des Webseitenbetreibers Google das letzte Oktett der IP-Adresse des Nutzers vor jeglicher Speicherung schon innerhalb von Europa gelöscht wird, so dass insoweit keine Daten in die USA fließen und keine Identifizierung des Nutzers mehr möglich ist und,
- Google mit den Webseitenbetreibern, die Google Analytics einsetzen wollen, zur Sicherstellung des ordnungsgemäßen Umgangs mit den Daten der Nutzer einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließt.
2. Anforderungen an den datenschutzkonformen Einsatz von Google Analytics
Die Anpassungen von Google ermöglichen es deutschen Webseitenbetreibern, das Analysetool Google Analytics datenschutzkonform einzusetzen. Konkret ist jeder einzelne Webseitenbetreiber in der Pflicht, Google Analytics nur einzusetzen, wenn
- der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
- die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt, - die Anonymisierungsfunktion im Quellcode eingebunden ist und,
- falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.
3. Ergebnis der Prüfung durch das BayLDA
Das BayLDA hat nun in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. Hierfür hat es eine eigene Software entwickelt, mit der automatisiert festgestellt werden kann, ob Google Analytics entsprechend den o.g. Vorgaben eingesetzt wird. Geplant ist, in absehbarer Zeit auch die datenschutzkonforme Nutzung anderer Programme zur Reichweitenmessung zu überprüfen.
Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen. Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.
“Die Webseitenbetreiber in Bayern, die noch Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben aufweisen, werden von uns angeschrieben und in einem ersten Schritt aufgefordert, diese zu beheben. Wir sehen dies als Beitrag zur Qualitätssicherung für die Unternehmen einerseits und Sicherstellung des Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer andererseits an“ so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.
4. Angebot an bayerische Webseitenbetreiber
Das BayLDA bietet allen bayerischen Webseitenbetreibern aus dem nicht-öffentlichen Bereich an, ihren Internetauftritt im Hinblick auf den datenschutzkonformen Einsatz von Google Analytics, d.h. auf die o.g. Kriterien hin überprüfen zu lassen. Hierzu genügt eine e-mail mit Angabe der jeweiligen URL in der Betreffzeile an onlinepruefung@lda.bayern.de. Ende Mai 2012 plant das BayLDA dann einen zweiten Prüfdurchgang mit den neu hinzugekommenen Internetadressen durchführen. „Ziel dieser Aktion ist es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund wird das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.“ so Thomas Kranig weiter.