Google-Analytics und Datenschutz: Viel Aufwand für Webseitenbetreiber

Heute haben Google und „Der Hamburgische Datenschutzbeauftragte für Datenschutz und Informationssicherheit“ bekannt gegeben, dass ein „Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich“ ist. Angesichts des totalen Versagens seitens Facebook, Webseitenbetreibern Rechtssicherheit hinsichtlich der Verwendung des Like-Buttons zu geben, ist das sehr lobenswert. Leider aber nur auf den ersten Blick!

Denn hinter der Einigung zwischen Google und dem Datenschutzbeauftragten aus Hamburg stecken jede Menge offener Fragen und ein nicht zu unterschätzender Aufwand für Webseitenbetreiber und Blogger (sofern sie Google Analytics nutzen). Außerdem wird sämtliche Verantwortung bezüglich der Verwendung von Google Analytics auf Webseitenbetreiber abgeschoben.

Im einzelnen „sollten“ Analytics-Nutzer laut Google folgendes tun bzw. beachten:

  1. In der Datenschutzerklärung darauf hinweisen, dass Google-Analytics verwendet wird (das war im Prinzip schon in der Vergangenheit notwendig).
  2. Die Google IP-Masken-Funktion implementieren (mehr dazu später).
  3. Darauf hinweisen, dass es zu jedem der wichtigen aktuellen Browser ein Deaktivierungs-Add-on gibt.
  4. Mit Google einen Vertrag eingehen!

Die Punkte 1. und 3. sind problemlos zu leisten, da lediglich entsprechende Hinweise im Impressum notwendig sind. Problematisch und bisweilen aufwendig wird es bei Punkt 2.: Bezüglich der zu implementierenden „IP-Masken-Funktion“ (sie verhindert die Speicherung der letzten drei Ziffern der IP-Adresse) gibt es bei Google keine für normale Nutzer verständliche Anleitung. Im Gegenteil: Es ist HTML-Programmier-Know-how gefragt. Noch schlimmer: Es ist nicht gelöst, wie der Code in Dienste Dritter (z.B. bei gehosteten Plattformen wie Amplify.com) implementiert werden kann, da ja dort in der Regel kein Zugriff auf den HTML-Code möglich ist und Analytics lediglich durch die Eingabe des Tracking-Codes in einer Eingabemaske aktiviert wird.

Vollkommen abstrus wird es dann bei Punkt Vier! Google (eigentlich aber der Hamburger Datenschutzbeauftragte Johannes Caspar für alle Webseitenbetreiber aus Hamburg!) verlangt von den Google Analytics Anwendern tatsächlich den Abschluss eines Vertrages (PDF), um die neuen „Nutzungsbedingungen“ in Kraft zu setzen. Nicht klar ist (zumindest mir nicht), ob ein Vertrag für jede Website oder nur für jedes Konto notwendig ist. Auf jeden Fall erfolgt der Vertragsabschluss auf postalischem Weg und man möge jeweils einen frankierten Rückumschlag beilegen!

Doch das ist nicht alles. Denn zumindest die Hamburger Webseitenbetreiber müssen aufgrund der Vorschriften des Hamburger Datenschutzbeauftragten Caspar den obigen Vertrag eingehen. Dabei wird, nach meinem laienhaften Rechtsverständnis, sämtliche Verantwortung hinsichtlich des Analytics-Einsatzes und dessen Funktion auf den Webseitenbetreiber abgewälzt: „Dabei ist zu beachten, dass Sie trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google Sie durch Vorlage entsprechender Nachweise unterstützt.

Sie denken, dass das schlimm ist? Es kommt noch besser: „Haben Sie schon bisher Google Analytics in Ihre Webseiten eingebunden, ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen gelöscht werden. Google bietet nach unserer Kenntnis hierfür nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen.

Das bedeutet, dass Sie persönlich dafür sorgen müssen, dass sämtliche jemals erhobenen Analytics-Daten vernichtet werden (Wissen Sie wirklich, ob einer Ihrer Mitarbeiter nicht doch einen Ausdruck von 2005 in seiner Schublade hat?)

Wohlgemerkt! Das ist Pflicht, weil „gesetzlicher Stand“ (PDF) für die Hansestadt Hamburg. Aber es ist gut möglich, dass sich die Datenschutzbeauftragten anderer Länder diesem Beschluss anschließen werden, so dass dies auch ausserhalb Hamburgs zur Pflicht wird.

Angesichts der vielen offenen Fragen und sich abzeichnenden Probleme habe ich mir erlaubt, den „Director, Communication & Public Affairs, Google DACH“, Kay Oberbeck, auf Google+ um Klarstellung zu bitten. Eine Antwort stand zum Zeitpunkt der Veröffentlichung dieses Beitrags aus. (Sehen Sie mir bitte unsaubere Formulierungen und Rechtschreibfehler nach, so ist das nun mal im schnellen Social Media.)

Lieber +Kay Oberbeck: Jetzt mal ehrlich! Ich bin absolut überfordert und brauche schon wegen der Rechtssicherheit für meine Kunden eine eindeutige Ansage:

1. Was muss ich wirklich tun und was kann ich lassen. Muss ich wirklich für alle meine privaten Blogs und Kunden-Websites einen Vertrag mit euch abschließen?

2. Muss ich wirklich alle zurückliegenden Daten löschen? Wie stelle ich das sicher? Woher weiß ich, dass nicht irgendwo doch noch ein Ausdruck in irgendeinem Archiv liegt?

3. Wie ist das mit der IP-Masken-Funktion? Muss ich wirklich irgendwelche Funktionen in den Programmcode von WordPress & Co. einbauen?

4. Ist das mit dem Vertrag mit euch obligatorisch? Wie stellt ihr euch das in der Praxis vor? Wie ist das, wenn ich im Namen von Kunden handle. Müssen dann die den Vertrag machen oder ich?

Bitte schnellstmöglich um Klarstellung. Bitte!

 

Posted in Apps und Tools and tagged , , , , , .

9 Comments

  1. Pingback: Datenschutz: Google Analytics kann ohne Einwände genutzt werden | WordPress & Webwork

  2. Pingback: Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich – Webworking - Nachrichten und Artikel des WebTeams

  3. Klasse Idee, Google da ein bißchen in den Allerwertesten zu treten! Bin gespannt, ob und was sie antworten. Ich schätze, wir bleiben auf G+ posted?
    VG
    Dein ehemaliger MACup-Schreiber 😉

  4. Vielen Dank für den interessanten Beitrag!
    Mir stellt sich aber die Frage, wie man überprüfen will ob ein Vertrag mit Google abgeschlossen wurde? Kann die Aufsichtsbehörden das überhaupt prüfen?

    Haben Sie schon neue Erkenntnisse bezüglich der Frage, ob ein Vertrag mit jeder Webseite oder nur dem Konto abgeschlossen werden muss?

  5. Immer noch keine Reaktion darauf? wir sind uns immer noch unklar wie wir das ganze mit unseren über 20 Kunden (wir sind eine kleine agentur) handhaben sollen…
    Wie haben das denn andere gemacht?

Kommentar verfassen