klar

Google Analytics – Hinweise für Website-Betreiber in Niedersachsen

Der Einsatz von Google Analytics auf Websites ist aus datenschutzrechtlicher Sicht nur unter Einhaltung einiger Voraussetzungen zulässig:

  1. Sie müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf". Dabei ist zu beachten, dass Sie trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google Sie durch Vorlage entsprechender Nachweise unterstützt (Ziffer 5 des Auftragsdatenverarbeitungsvertrages)
  2. Sie müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de" verlinkt werden.
  3. Soweit Ihr Webangebot mittels Browsern genutzt wird, für die die unter Ziffer 2 beschriebenen Widerspruchsmöglichkeiten nicht gegeben sind (insbesondere Browser von Smartphones, z.B. bei einem Webangebot, das speziell für die mobile Nutzung ausgelegt ist), müssen Sie eine eigene Widerspruchslösung implementieren. Diese sollte den Schalter 'ga-disable-UA-XXXXXX-Y' (siehe https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable oder https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out?hl=de abhängig von der Implementierung) verwenden, der das Tracking programmgesteuert unterbindet. Google bietet eine beispielhafte Umsetzung auf der oben genannten Website an, die verwendet werden kann, um Ihren Nutzern die Möglichkeit für ein Google Analytics Opt Out zu geben. Dieses Beispiel muss insbesondere in Hinblick auf den erläuternden Text des Widerspruchs-Links von Ihnen geeignet angepasst werden.
  4. Sie müssen durch entsprechende Einstellungen im Google Analytics- Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()" zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite „https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
    " entnommen werden.
  5. (Dieser Hinweis gilt nicht bei bereits bestehenden Altverträgen) Haben Sie schon bisher Google Analytics in Ihre Webseiten eingebunden, ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen gelöscht werden. Google bietet nach unserer Kenntnis hierfür nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Wie unter 1. ersichtlich, gehört zu den Voraussetzungen, dass der Website-Betreiber als datenschutzrechtlich verantwortliche Stelle mit Google Inc. einen Auftragsdatenverarbeitungsvertrag abschließt.

Durch Implementierung des von Google Inc. zur Verfügung gestellten Tools „Google Analytics" auf der eigenen Website bewirkt der Website-Betreiber, dass Nutzungsdaten der Website-Besucher nicht nur auf „seinem" Server anfallen, sondern auch auf denen von Google Inc. Google Inc. analysiert im Rahmen des Tools „Google Analytics" - vereinfacht gesagt - diese Nutzungsdaten und meldet die Ergebnisse zurück an den Website-Betreiber. Auch wenn es merkwürdig erscheint, einen Konzern wie Google Inc. als weisungsgebundenen Auftragnehmer eines - z.B. - deutschen Kleingewerbetreibenden zu betrachten, sind die Voraussetzungen gegeben: Verantwortlicher ist, wer allein oder gemeinsam mit anderen (Verantwortlichen) die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmt. Der Website-Betreiber bestimmt den Zweck - nämlich Analyse des „Publikums" seiner Website - und die Mittel - nämlich Einsatz des Tools „Google Analytics". Er implementiert das Tool und bekommt von Google Inc. die gewünschten Analyse-Ergebnisse. Diese Datenverarbeitung durch Google Inc. erfolgt mithin im Auftrag des Website-Betreibers. Liegt ein solches Auftragsverarbeitungsverhältnis faktisch vor, muss nach § 11 Abs. 2 S. 2 BDSG auch schriftlich ein Auftrag erteilt (d.h. ein Auftragsdatenverarbeitungsvertrag geschlossen) werden. Der Vertrag muss den Anforderungen des § 11 Abs. 2 S. 2 Ziff. 1-10 BDSG genügen.

Durch Implementierung des von Google Inc. zur Verfügung gestellten Tools „Google Analytics" auf der eigenen Website bewirkt der Website-Betreiber, dass Nutzungsdaten der Website-Besucher nicht nur auf „seinem" Server anfallen, sondern auch auf denen von Google Inc. Google Inc. analysiert im Rahmen des Tools „Google Analytics" - vereinfacht gesagt - diese Nutzungsdaten und meldet die Ergebnisse zurück an den Website-Betreiber. Auch wenn es merkwürdig erscheint, einen Konzern wie Google Inc. als weisungsgebundenen Auftragnehmer eines - z.B. - deutschen Kleingewerbetreibenden zu betrachten, sind die Voraussetzungen gegeben: Verantwortlicher ist, wer allein oder gemeinsam mit anderen (Verantwortlichen) die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmt. Der Website-Betreiber bestimmt den Zweck - nämlich Analyse des „Publikums" seiner Website - und die Mittel - nämlich Einsatz des Tools „Google Analytics". Er implementiert das Tool und bekommt von Google Inc. die gewünschten Analyse-Ergebnisse. Diese Datenverarbeitung durch Google Inc. erfolgt mithin im Auftrag des Website-Betreibers. Liegt ein solches Auftragsverarbeitungsverhältnis faktisch vor, muss nach § 11 Abs. 2 S. 2 BDSG auch schriftlich ein Auftrag erteilt (d.h. ein Auftragsdatenverarbeitungsvertrag geschlossen) werden. Der Vertrag muss den Anforderungen des § 11 Abs. 2 S. 2 Ziff. 1-10 BDSG genügen.

Google Inc. bietet einen entsprechenden Formvertrag an. In der ursprünglichen Fassung des Vertrags wurde die Übermittlung personenbezogener Daten in die USA, wo die Server der Google Inc. stationiert sind, auf das sog. „Safe-Harbor-Abkommen" gestützt. Dieses wurde jedoch durch den EuGH mit Urteil vom 06.10.2015 (Rechtssache C-362/14- Schrems) für ungültig erklärt und stellte fortan keine wirksame Übermittelungsgrundlage mehr dar. In der Folge erklärten die deutschen Datenschutzaufsichtsbehörden den Einsatz von Google Analytics auf deutschen Websites für illegal.

Mittlerweile hat Google Inc. sich jedoch nach dem „EU-U.S.-Privacy Shield" zertifizieren lassen (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und seinen Formvertrag zur Auftragsdatenverarbeitung im Rahmen von Google Analytics entsprechend angepasst.

Sofern Website-Betreiber also den aktualisierten Vertrag mit Google Inc. abschließen, wird ein beanstandungsfreier Einsatz von Google Analytics wieder möglich. Die Landesbeauftragte für den Datenschutz Niedersachsen schließt sich insofern den Ausführungen des Hamburger Beauftragten für den Datenschutz und die Informationsfreiheit an https://www.datenschutz-hamburg.de/news/detail/article/google-analytics-hinweise-fuer-webseitenbetreiber-in-hamburg.html


(Stand Februar 2017).



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
Datenschutzinfos
zum Seitenanfang
zur mobilen Ansicht wechseln