Was lange währt, wird endlich besser – Google Analytics datenschutzkonform(er)!?

Gut die Hälfte derjenigen Onlinehändler, die sog. Trackingtools zum Erstellen von Statistiken für Ihren Shop verwenden, benutzt das kostenlose Google-Produkt Analytics. Gerade dieser aus der weiten Verbreitung ersichtliche Erfolg hat das Tool von Google schnell in den Fokus der deutschen Datenschützer gerückt, welche ihre datenschutzrechtlichen Bedenken mehrfach und deutlich formuliert haben.

Nun wurde in der vergangenen Woche bekanntgegeben, dass sich Google und der Hamburgische Datenschutzbeauftragte über eine Gestaltung des Dienstes ins Benehmen gesetzt haben, welche den rechtlichen Bedenken des Hanseatischen Datenschützers Rechnung trägt.

What’s your name, what’s your number?

Zum Verständnis dieser Problematik ist es hilfreich, sich die Entwicklung der Auseinandersetzung zwischen dem Suchmaschinenriesen und den Aufsichtsbehörden noch einmal zu vergegenwärtigen. Google sah sich hinsichtlich der ursprünglichen Version des Tracking-Tools einer Reihe von Vorwürfen der Datenschützer ausgesetzt:

Da war zum einen die im Rahmen des Dienstes vorgenommene Speicherung der jeweiligen IP-Adresse des Website-Besuchers. Zumindest nach Ansicht der deutschen Datenschutzbehörden sind IP-Adressen personenbezogene Daten – gleich ob sie statisch (also dauerhaft) oder dynamisch durch den Access-Provider vergeben werden. Da zumindest bei einer statischen IP-Adresse tatsächlich der jeweilige Anschlussinhaber relativ verlässlich ermittelt werden kann, sahen die Datenschützer in der ursprünglichen Gestaltung des Dienstes einen Verstoß gegen die einschlägigen Bestimmungen. Denn Google speicherte die vollständige IP-Adresse des Nutzers ohne sich in der Regel hierfür auf eine Einwilligung des Seitenbesuchers oder alternativ eine gesetzliche Erlaubnis berufen zu können. Der Suchmaschinenbetreiber berief sich zwar zur Rechtfertigung seines Dienstes auf eine Ausnahmevorschrift, welche das Erstellen von pseudonymisierten Nutzungsprofilen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Webseiten solange gestattet, bis der betroffene Nutzer widerspricht. Dies wurde jedoch deshalb nicht von den Aufsichtsbehörden akzeptiert, weil sich Google laut der Nutzungsbedingungen für seinen Dienst weiterhin vorbehalten hatte, die auf diesem Wege erhobenen Daten auch im Rahmen anderer Google-Services zu verwenden und mit weiteren Daten zusammenzuführen.

Darüber hinaus wurde Google vorgeworfen, die jeweiligen Nutzerdaten in die USA zu übertragen. Dies klingt zwar zunächst verwunderlich, weil Google ja nun einmal in den USA seinen Sitz hat. Wichtig für das Verständnis ist in diesem Zusammenhang jedoch, dass das Datenschutzniveau in den  USA aus europäischer Sicht nicht angemessen ist, weil dieses deutlich unter dem hiesigen liegt. Aus diesem Grund sieht die einschlägige Datenschutzregelung in Deutschland vor, dass entsprechende Übermittlungen dann unzulässig sind, wenn der Betroffene ein entgegenstehendes schutzwürdiges Interesse hat. Da sich dieses für Google nicht im Einzelfall überprüfen ließ, wirkt diese Vorschrift zumindest als eine faktische Grenze für eine solche Datenübermittlung.

Caspars Hausaufgaben

Google hat nun gemeinsam mit dem Hamburger Datenschutzbeauftragten Caspar eine Lösung für die vorstehenden Probleme entwickelt. Nach deren Implementierung sei der Dienst – so zumindest laut dem obersten Datenschützer der Hansestadt – datenschutzkonform nutzbar. Die wesentlichen Umsetzungsmaßnahmen, welche hierfür erforderlich sind, haben wir Ihnen kurz zusammengestellt:

Zum einen hat Google eine Möglichkeit für Webseiten-Betreiber entwickelt, die es erlaubt, eine Anonymisierung der von den Seitenbesuchern erhobenen IP-Adressen vorzunehmen. Dies geschieht durch einen entsprechenden Code, welcher hier zu finden ist. Durch Nutzung der entsprechenden „_gat._anonymizeIp()“ genannten Codezeilen wird das letzte Oktett der IP-Adressen gelöscht und somit vor der Verwendung im Analyse-Tool anonymisiert. Auch wenn trotz dieser Änderung nach wie vor eine ungefähre Lokalisierung möglich ist, wird diese Gestaltung vom Hamburger Datenschutzbeauftragten als rechtlich einwandfrei angesehen. Ferner ist es erforderlich, dass diese Anonymisierung noch innerhalb der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vorgenommen wird. Erst dann darf die gekürzte IP-Adresse in die USA übermittelt werden.

Ferner hat Google die bereits bestehende Möglichkeit, die Erfassung der durch ein Cookie erzeugten und auf die Nutzung der jeweiligen Webseite bezogenen Daten (inkl. der IP-Adresse) sowie die Verarbeitung dieser Daten durch Installation eines Browser-Plugins zu verhindern, auf zwei weitere weit verbreitete Browser ausgebaut, namentlich die Programme Opera und Safari. Das Browser-Add-On ist hier abrufbar.

Darüber hinaus ist es notwendig, die jeweils verwendete Datenschutzerklärung des Webseitenbetreibers zum einen um den Hinweis auf das Add-On und zum anderen auf die Anonymisierung zu ergänzen. Eine entsprechende Mustererklärung finden Sie im dem auf der Webseite des Händlerbundes veröffentlichten Hinweisblatt zu diesem Thema, welches alle nötigen Schritte nochmals zusammenfasst.

Des Weiteren gilt es zu beachten, dass die soeben beschriebenen Anpassungen naturgemäß nur für zukünftige Datenerhebungen gelten können. Aus diesem Grund ist es dringend anzuraten, sich ein neues Analytics-Konto zu erstellen, da die bisher erstellten Profile nach Ansicht der Datenschützer unrechtmäßig erstellt wurden und künftig nicht mehr verwendet werden dürfen.

Zu guter Letzt wird für den datenschutzkonformen Betrieb des Dienstes verlangt, dass jeder Nutzer von Google-Analytics einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google abschließt. Ein entsprechendes Formular hat Google bereits an dieser Stelle zur Verfügung stellt. Dieses muss ausgedruckt und unterschrieben an Google übersandt werden, um die vom Hamburger Datenschutzbeauftragten aufgestellten Voraussetzungen zu erfüllen.

Freifahrtschein für die Datenautobahn?

So weit, so gut. Die nun gefundene Regelung kann jedoch keinesfalls restlos überzeugen. Obgleich der Hamburger Datenschutzbeauftragte zwar für den deutschen Ableger von Google örtlich zuständig ist, ist die Kontrolle der Einhaltung der Datenschutzbestimmungen durch die jeweiligen Webseitenbetreiber und Onlinehändler selbst wiederum Sache der zuständigen Aufsichtsbehörden im jeweiligen Bundesland. Die Aussage des Datenschutzbeauftragten der Hansestadt bindet dessen Kollegen in den anderen Ländern jedenfalls nicht. Diese können nach wie vor ihr eigenes Süppchen kochen – und so manchem Onlinehändler die seine ggf. versalzen.

Ferner begegnet die Hamburger Lösung aber auch inhaltlichen Bedenken.

Zum einen ist das Browser-Add-On jetzt zwar für ca. 90 % der Computernutzer kompatibel, wenn man auf die zusammengerechneten Marktanteile der Browser Firefox, Internet Explorer, Chrome, Safari und Opera abstellt. Allerdings fehlt nach wie vor eine Lösung für Smartphones und andere mobile Endgeräte.

Darüber hinaus ist anzumerken, dass der aktuelle IP-Adressen-Standard IPv4, für den die Verkürzungslösung entwickelt wurde, ein Auslaufmodell ist. Bei dem bereits von einigen Access-Providern alternativ verwendeten Standard IPv6 ist es zumindest aus technischer Sicht möglich, deutlich mehr Informationen aus der IP-Adresse zu entnehmen. Insbesondere einzelne Geräte, welche zwar über den gleichen Anschluss betrieben werden, sind durch die Verwendung dieses Standards wahrscheinlich als solche identifizierbar - und damit ggf. auch deren Nutzer, wenn sie diese allein verwenden. Die flächendeckende Einführung von IPv6 wird zumindest eine zeitnahe Anpassung der nun gefundenen Lösung erforderlich machen.

Auch kann nicht ausgeschlossen werden, dass sich durch die Umsetzung der auf EU-Ebene erlassenen „Cookie-Richtlinie“ in Deutschland weitere Erfordernisse ergeben werden, die erneute Anpassungen erforderlich machen.

Ferner begegnet die Lösung mit der Auftragsdatenverarbeitung rechtlichen Bedenken: Zwar wird durch den Abschluss des von Google entworfenen Mustervertrages dem für solche Konstellationen vorgesehenen Schriftformerfordernis aus dem Bundesdatenschutzgesetz (BDSG) Rechnung getragen. Allerdings genügt der Vertrag nicht sämtlichen inhaltlichen Anforderungen der einschlägigen Datenschutzbestimmungen, sodass nach wie vor Bußgelder drohen. Denn das BDSG sanktioniert auch den Abschluss eines Auftragsdatenverarbeitungsvertrages, der nicht mit dem vom Gesetz vorgeschriebenen Inhalt abgeschlossen wird. Eine zumindest bedenkliche Regelung in dem Google-Mustervertrag ist zum Beispiel diejenige, welche die Kontrollmöglichkeiten des Webseitenbetreibers darauf reduziert, lediglich einen durch einen Wirtschaftsprüfer erstellten Bericht über die Maßnahmen von Google einsehen zu dürfen. Dies dürfte den sich aus § 11 BDSG ergebenden Anforderungen für den Auftraggeber (also den Webseitenbetreiber), konkrete Kontrollen vorzunehmen, nicht ohne Weiteres genügen.

Auch wenn dies Spekulation ist: Die mit der Auftragsdatenverarbeitung gewählte Lösung ist aus Googles Sicht evtl. auch deshalb nötig, weil sich der Suchmaschinenbetreiber ein Hintertürchen für bestimmte Datenübertragungen offenhalten wollte. Denn in Punkt 8.1 der mit Stand von heute bei Google abrufbaren Analytics-Bedingungen heißt es in der vorgeschlagenen Passage für die Datenschutzerklärung der Nutzer: „Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.“  Ein Schelm, der böses dabei denkt…

Fazit:
Bei allen aufgezeigten Bedenken ist zumindest der kooperative Ansatz des Hamburger Datenschutzbeauftragten zu begrüßen. Anders als sein Schleswig-Holsteinischer Kollege Weichert hat Herr Caspar im Dialog mit der Wirtschaft Lösungen entwickelt und sich darum bemüht, im Rahmen seiner Möglichkeiten ein Stück weit für Rechtssicherheit zu sorgen. Dennoch sollten Onlinehändler sich nicht ohne Weiteres darauf verlassen, dass die nun vorgeschlagene Lösung wirklich alle rechtlichen Zweifel beseitigt. Losgelöst von der Möglichkeit eines Bußgeldes, welches nur die Datenschutzbehörden verhängen können, droht auch die Gefahr einer Abmahnung durch Konkurrenten ober Verbände. Diese Gefahr wird bestärkt durch die Aussage eines Mitarbeiters des Schleswig-Holsteinischen Unabhängigen Landeszentrums für Datenschutz (ULD), Dr. Moritz Karg. Dieser hat in einem Interview mit jurafunk geäußert, dass entsprechende Verstöße aus seiner Sicht zu einem Marktvorteil des jeweiligen Webseitenbetreibers führen könnten und damit wohl abmahnfähig sein könnten. Auch wenn Herr Karg dies gleich relativiert und sich diese Ansicht tatsächlich noch nicht durchgesetzt hat, könnte sich ein Gericht sehr wohl dieser Meinung anschließen. Für Onlinehändler ist es daher auf jeden Fall anzuraten, sämtliche Punkte der nun vorgeschlagenen Lösung umzusetzen. Der Einsatz anderer Tracking-Tools ist nunmehr zumindest deshalb nachteilig, weil deren Datenschutzkonformität im Vergleich zu Google Analytics bisher noch nicht eingehend erörtert wurde und daher ggf. noch größere Unsicherheiten bestehen. Zumindest sollte man beim Einsatz entsprechender Software darauf achten, dass die aufgeführten Voraussetzungen auch bei diesen erfüllt sind. Hilfreich – wenngleich nicht verbindlich – sind zum Beispiel auch Äußerungen der Datenschutzaufsichtsbehörden zur Zulässigkeit bestimmter Produkte, so wie dies für den Anbieter Piwik durch das ULD geschehen ist.

Sollten sie zu diesem Thema weitere Fragen haben, stehen wir Ihnen selbstverständlich gern zur Verfügung.