Enges Korsett
Den Einsatz des Tracking-Tools von Google sehen deutsche Datenschutzbehörden mit kritischen Augen: Nur unter strengen Voraussetzungen soll seine Verwendung legal sein. Netzkennern erscheinen die offiziellen Maßgaben gelegen tlich grotesk. Trotzdem kann Site-Betreibern, die sich nicht daran halten, ein Bußgeld bis zu 50 000 Euro drohen.
- Georg Schnurer
Um die eigene Website in puncto Reichweite, Effizienz und Werbewirksamkeit zu optimieren, gibt es zahlreiche Werkzeuge. Google Analytics liefert Aufschluss über so manches, was ein Site-Betreiber in Bezug auf die Nutzergemeinde seines Angebots gern wissen möchte, wobei der einzelne Besucher anonym bleibt. Wer diesen Dienst einsetzen will, muss nach dem Willen der Aufsichtsbehörden allerdings einiges tun, um nicht gegen deutsches Recht zu verstoßen.
Was für Maßgaben es zu erfüllen gilt, hat der „Düsseldorfer Kreis“ festgelegt. Dieses Gremium ist keine Behörde, sondern ein Zusammenschluss aller deutschen Aufsichtsorgane zum Datenschutz. Für Google Analytics hat eben dieser Kreis eine Fünf-Punkte-Vorgabe aufgestellt. Daran müssen sich nicht nur Großunternehmen halten, sondern alle, die geschäftlich im Web präsent sind. Ob sie mit ihren Websites Geld verdienen oder das virtuelle Zuhause nur der Darstellung des Unternehmens dient, ist unerheblich.
Was Webmaster konkret umsetzen müssen, sagt das Hinweisdokument (PDF), das vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereitgestellt wird. Noch einigermaßen trivial ist die Forderung, dass die User im Datenschutzhinweis über den Einsatz von Google Analytics aufgeklärt werden müssen. Ausreichend ist dafür die Übernahme von online gestellten Texten anerkannter Datenschutzexperten.
Ebenfalls relativ leicht lässt sich nachvollziehen, dass die Behörden die Einrichtung einer Opt-out-Möglichkeit für Analytics-unwillige Site-Besucher mit Hilfe eines Deaktivierungs-Add-on verlangen: Nutzer müssen die Möglichkeit haben, dem Tracking zu widersprechen. Es reicht dafür aus, dass der Site-Betreiber auf die von Google zur Verfügung gestellte Opt-out-Funktion verlinkt. Von dieser Maßnahme müssen laut der Hamburger Datenschutzbehörde alle gängigen Browser erfasst sein – also Internet Explorer, Firefox, Google Crome, Safari und Opera.
Als weitere technische Voraussetzung verlangen die Behörden, dass die zu speichernden IP-Adressen der Site-Besucher gekürzt werden. Um die IP-Kennung abzuschneiden, bindet man die Funktion _anonymizeIp() im Code von Google Analytics ein.
Vertrag mit Google
Was sich aber wohl kein Site-Betreiber vorstellen konnte, ist, dass er mit Google einen schriftlichen Vertrag abschließen muss. Rechtlich betrachtet muss immer dann ein sogenannter Vertrag über Auftragsdatenverarbeitung (PDF) nach § 11 des Bundesdatenschutzgesetzes (BDSG) abgeschlossen werden, wenn ein Dienstleister für einen Site-Betreiber personenbezogene Daten im Auftrag verarbeitet.Praxisrelevant sind etwa Fälle, in denen es um Kundendaten von Online-Händlern oder um Online-Marketingmaßnahmen geht.
Nach Meinung der Aufsichtsbehörden verarbeitet aber Google für die Site-Betreiber, die Analytics einsetzen, die personenbezogenen Daten der Besucher. Deshalb sei ein schriftlicher Vertrag erforderlich. Den Vertragstext stellt Google selbst zur Verfügung – abgestimmt mit den deutschen Behörden. Damit nicht genug: Als weitere Voraussetzung verlangt der Düsseldorfer Kreis auch noch, dass ein Site-Betreiber alle Daten löscht, die er mit Analytics bereits vor einem Vertragsschluss erhoben hat.
