Die Software ermöglicht es den Betreibern einer Webseite, das Verhalten ihrer Nutzer auszuwerten. Viele halten dabei allerdings nicht die Regeln des Datenschutzes ein, wie eine Untersuchung des Bayerischen Landesamtes für Datenschutzaufsicht ergab. Von Thomas Kranig
Für die Betreiber von Websites wird es immer wichtiger, dass die Internet-Nutzer ihren Angeboten auch vertrauen. Sie müssen das Gefühl haben, dass transparent und fair mit personenbezogenen Daten umgegangen und nicht jegliches Surfen überwacht und ausgewertet wird. Nur dann besteht eine Basis für einen guten Schutz des Persönlichkeitsrechts und für gute Geschäfte.
Im September 2011 hat der Hamburger Datenschutzbeauftragte federführend für alle Datenschutzaufsichtsbehörden der Bundesrepublik Deutschland mit der Firma Google die Rahmenbedingungen für den datenschutzkonformen Einsatz von Google Analytics vereinbart. Diese von allen Datenschutzaufsichtsbehörden für gut befundenen Bedingungen können von der Homepage des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) heruntergeladen werden.
Kriterien der Prüfung
Betreiber von Websites, die Google Analytics einsetzen, hatten seitdem Zeit, ihr Programm entsprechend anzupassen. Das Landesamt hat nun in größerem Umfang die Angebote bayerischer Anbieter von Websites daraufhin untersucht, ob sie Google Analytics einsetzen. Die Seiten, bei denen dies der Fall war, wurden insbesondere auf die Beachtung folgender datenschutzrechtlichen Regelungen überprüft: Werden die Nutzer auf den Einsatz von Google Analytics hingewiesen? Können sie der Auswertung widersprechen? Ist sichergestellt, dass keine vollständigen IP-Adressen in die USA mit dem Ziel der systematischen Auswertung übertragen werden?
Ferner hat das BayLDA darauf aufmerksam gemacht, dass jeder Webseiten-Anbieter, der dieses Programm einsetzt, einen Vertrag zur Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz – BDSG) abschließen muss. Der Vertrag, der mit den Datenschutzaufsichtsbehörden abgesprochen ist, liegt als Standardvertrag bei der Firma Google vor. Er kann problemlos heruntergeladen, unterzeichnet und an die Firma Google zur Gegenzeichnung geschickt werden.
Insgesamt hat das Landesamt rund 13 400 Webseiten bayerischer Anbieter überprüft, von denen knapp 2 500 Google Analytics nutzen. Das ernüchternde Ergebnis: Nur drei Prozent der Anbieter setzen das Tracking-Programm datenschutzkonform ein. Die rund 2 400 Betreiber, die gegen den Datenschutz verstoßen, hat das BayLDA angeschrieben und sie aufgefordert, ihre Webseite zu ändern.
Anonymisierung
Überraschend bei der Prüfung war der hohe Anteil der Website-Betreiber, die es unterlassen haben, die Firma Google mit der Anonymisierung der IP-Adresse zu beauftragen. Dieser Auftrag wird dadurch erteilt, dass der Webseiten-Betreiber im Quellcode von Google Analytics die Funktion „_anonymizeIp()“ implementiert. Dadurch wird dem aufgerufenen Google Analytics-Dienst mitgeteilt, die IP-Adresse eines Webseiten-Besuchers auf einem Google-System mit Standort innerhalb Europas zu anonymisieren.
Das BayLDA hat an die Firma Google appelliert, die Funktion „_anonymizeIp()“ standardmäßig im automatisch generierten Google Analytics-Code vorzusehen. Dies würde bedeuten, dass dann, wenn ein deutscher Webseiten-Betreiber das Programm Google Analytics einsetzen will und – wie erforderlich – seinen Standort mit Deutschland angibt, automatisch diese Anonymisierungsfunktion angestoßen wird.
Die bisherigen Reaktionen insbesondere von Rechtsanwälten und betrieblichen Datenschutzbeauftragten der Unternehmen, die eine entsprechende Benachrichtigung des BayLDA bekommen haben, waren grundsätzlich sehr positiv. Es stellte sich heraus, dass einem Teil der Adressaten gar nicht (mehr) bewusst war, dass sie dieses Programm überhaupt einsetzen. Die meisten anderen waren überrascht, dass sie das Programm nicht datenschutzkonform einsetzen. Sie erklärten, dass sie zwar ein Interesse daran hätten, etwas über die Nutzer ihrer Webseite zu erfahren, aber diese nicht in ihrem Persönlichkeitsrecht verletzen wollten. Als hilfreich wurden die Informationen auf der Homepage des Landesamtes bezeichnet (www.lda.bayern.de, Rubrik „Fachthemen“/„Online-Prüfung“).
Das BayLDA hat deutlich gemacht, dass der Einsatz von Google Analytics ohne Beachtung der oben genannten Vorgaben einen Bußgeldtatbestand erfüllt. Es ist aber nicht beabsichtigt, generell Bußgeldverfahren einzuleiten. Bei hartnäckiger Weigerung, diese Software datenschutzkonform einzusetzen, ist das Landesamt als Aufsichtsbehörde aber gehalten, hoheitliche Maßnahmen zu ergreifen.
