Google Analytics: Aufsichtsbehörde macht Ernst
Das Bayerische Landesamt für Datenschutzaufsicht hat nach einer Pressemeldung über 13.000 Websites bayerischer Webseitenbetreiber auf den Prüfstand gestellt und die rechtskonforme Einbindung von Analyse-Tools zur Reichweitenmessung von Webseiten geprüft. Damit wird deutlich, dass Tools zur Reichweitenmessung weiterhin im Fokus der Datenschutzaufsichtsbehörden stehen. Die bayerische Datenschutzaufsichtsbehörde hat dabei festgestellt, dass bei 2.449 Websites Analyse-Tools eingesetzt werden. Allerdings – und das ist die entscheidende Erkenntnis – werden nur von einem verschwindend geringen Anteil – nämlich nur 3 Prozent – dieser Webseiten die Vorgaben der Datenschutzbehörden zur Reichweitenmessung eingehalten.
Hintergrund: Beschlüsse des Düsseldorfer Kreises
Eine Vielzahl von Webseitenbetreibern verfolgt und analysiert das „Surf-Verhalten“ der Internetnutzer, insbesondere zu Werbezwecken oder zur bedarfsgerechten Ausgestaltung des Angebotes. Bei einer solchen Reichweitenmessung werden Profile über die individuelle Nutzung erstellt. Hierfür werden Softwareanalyse-Tools wie beispielsweise Google Analytics eingesetzt.
Der Düsseldorfer Kreis bestehend aus den obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich hat am 26./27.11.2009 unter dem Titel „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ Leitlinie zur datenschutzkonformen Reichweitenmessung beschlossen. Danach können Analyse-Tools legal eingesetzt werden, sofern bestimmte datenschutzrechtliche Anforderungen eingehalten sind.
Die Erstellung personenbezogener Nutzungsprofile ist nur mit Einwilligung des Betroffenen zulässig, was beim „Ansurfen“ einer Webseite nur schwer zu realisieren ist. Die Erstellung pseudonymer Nutzungsprofile ist hingegen ohne Einwilligung zulässig, wenn bestimmte datenschutzrechtliche Vorgaben des TMG umgesetzt werden. Anzumerken ist dabei, dass nach Ansicht des Düsseldorfer Kreises die bloße Verwendung der IP-Adresse (anstatt bspw. eines Klarnamens) noch keine Pseudonymisierung darstellt.
Zur IP-Adresse führt der Düsseldorfer Kreis zusätzlich aus, dass das Nutzungsverhalten unter Verwendung vollständiger IP-Adressen nur mit bewusster, eindeutiger Einwilligung des Betroffenen analysiert werden darf. Ohne Einwilligung muss die IP-Adresse vor jeglicher Auswertung so gekürzt werden, dass die Personenbeziehbarkeit ausgeschlossen ist. Als Voraussetzung für die Zulässigkeit bei Verwendung von Pseudonymen fordert der Düsseldorfer Kreis des Weiteren:
- Auf die Erstellung der Nutzungsprofile sind die Nutzer in der Datenschutzerklärung auf der Internetseite des Anbieters deutlich hinzuweisen.
- Die Webseitennutzer müssen die Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen erhalten. Auf die Widerspruchsmöglichkeit muss in der Datenschutzerklärung auf der Internetseite des Anbieters ebenfalls deutlich hingewiesen werden. Etwaige Widersprüche sind wirksam umzusetzen.
- Die Zusammenführung der pseudonymisierten Nutzungsdaten mit Daten über den Träger des Pseudonyms ist unzulässig. Die Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder wenn der Nutzer dies verlangt.
- Gegebenenfalls, nämlich wenn Nutzungsprofile durch einen Auftragnehmer erstellt werden, müssen die Anbieter darüber hinaus die datenschutzrechtlichen Vorgaben zur Auftragsdatenverarbeitung einhalten.
Hieran anschließend hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im September 2011 spezielle Hinweise für die Verwendung von Google Analytics veröffentlicht. Diese Hinweise richten sich zwar explizit nur an „Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen“. Sie sollen jedoch den Konsens der deutschen Aufsichtsbehörden widerspiegeln. Für den beanstandungsfreien Betrieb von Google Analytics müssen Webseitenbetreiber – vereinfachend zusammengefasst – mindestens folgende Maßnahmen umsetzen:
- In den Datenschutzhinweisen müssen die Webseitenbetreiber über die Verarbeitung personenbezogener Daten aufklären und auf die Widerspruchsmöglichkeit gegen die Datenerfassung hinweisen. Ferner ist auf das Deaktivierungs-Add-On hinzuweisen, welches Google bereitstellt.
- Die Webseitenbetreiber müssen Google durch Vornahme entsprechender Einstellungen im Programmcode mit der Kürzung der IP-Adresse beauftragen, so dass keine Identifizierung des Nutzers mehr möglich ist.
- Jeder Webseitenbetreiber muss mit Google einen schriftlichen Vertrag über die Auftragsdatenverarbeitung schließen
Daraus folgt, dass (insbesondere auch) Google Analytics grundsätzlich rechtskonform eingesetzt werden kann, sofern bestimmte Datenschutzvorgaben eingehalten werden.
Praktische Bedeutung für die betroffenen Webseiten
Diejenigen Webseitenbetreiber, die von dem Bayerischen Landesamt für Datenschutzaufsicht im Rahmen der jüngsten Kontrollmaßnahmen „entdeckt“ wurden, weil sie die Vorgaben zum datenschutzkonformen Einsatz von Tools zur Reichweitenmessung nicht befolgt haben, werden nun zunächst aufgefordert, ihre Seiten rechtskonform zu gestalten. Bei Verweigerung sollen auch Bußgelder verhängt werden. Diese können im äußersten Fall bis zu 50.000,00 Euro betragen.
Es wäre allerdings ein Irrglaube, davon auszugehen, dass auch zukünftig Datenschutzaufsichtsbehörden nur zu datenschutzrechtskonformem Verhalten auffordern und nicht direkt Bußgelder verhängen. Dies gilt gerade auch deshalb, weil nun einmal mehr eine Datenschutzaufsichtsbehörde auf den Rechtsrahmen hingewiesen hat.
Fazit
Das Vorgehen der bayerischen Datenschutzaufsichtsbehörde macht deutlich, dass über das Thema Reichweitenmessung auf Webseiten kein „Gras gewachsen“ ist. Es ist gerade vor dem Hintergrund der aktuellen Prüfung anzuraten, den Einsatz von Tools zu Reichweitenmessungen auf ihre datenschutzrechtliche Zulässigkeit zu prüfen und erforderlichenfalls die Anforderungen des Düsseldorfer Kreises nachträglich umzusetzen.
Hintergrund: Beschlüsse des Düsseldorfer Kreises
Eine Vielzahl von Webseitenbetreibern verfolgt und analysiert das „Surf-Verhalten“ der Internetnutzer, insbesondere zu Werbezwecken oder zur bedarfsgerechten Ausgestaltung des Angebotes. Bei einer solchen Reichweitenmessung werden Profile über die individuelle Nutzung erstellt. Hierfür werden Softwareanalyse-Tools wie beispielsweise Google Analytics eingesetzt.
Der Düsseldorfer Kreis bestehend aus den obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich hat am 26./27.11.2009 unter dem Titel „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ Leitlinie zur datenschutzkonformen Reichweitenmessung beschlossen. Danach können Analyse-Tools legal eingesetzt werden, sofern bestimmte datenschutzrechtliche Anforderungen eingehalten sind.
Die Erstellung personenbezogener Nutzungsprofile ist nur mit Einwilligung des Betroffenen zulässig, was beim „Ansurfen“ einer Webseite nur schwer zu realisieren ist. Die Erstellung pseudonymer Nutzungsprofile ist hingegen ohne Einwilligung zulässig, wenn bestimmte datenschutzrechtliche Vorgaben des TMG umgesetzt werden. Anzumerken ist dabei, dass nach Ansicht des Düsseldorfer Kreises die bloße Verwendung der IP-Adresse (anstatt bspw. eines Klarnamens) noch keine Pseudonymisierung darstellt.
Zur IP-Adresse führt der Düsseldorfer Kreis zusätzlich aus, dass das Nutzungsverhalten unter Verwendung vollständiger IP-Adressen nur mit bewusster, eindeutiger Einwilligung des Betroffenen analysiert werden darf. Ohne Einwilligung muss die IP-Adresse vor jeglicher Auswertung so gekürzt werden, dass die Personenbeziehbarkeit ausgeschlossen ist. Als Voraussetzung für die Zulässigkeit bei Verwendung von Pseudonymen fordert der Düsseldorfer Kreis des Weiteren:
- Auf die Erstellung der Nutzungsprofile sind die Nutzer in der Datenschutzerklärung auf der Internetseite des Anbieters deutlich hinzuweisen.
- Die Webseitennutzer müssen die Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen erhalten. Auf die Widerspruchsmöglichkeit muss in der Datenschutzerklärung auf der Internetseite des Anbieters ebenfalls deutlich hingewiesen werden. Etwaige Widersprüche sind wirksam umzusetzen.
- Die Zusammenführung der pseudonymisierten Nutzungsdaten mit Daten über den Träger des Pseudonyms ist unzulässig. Die Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder wenn der Nutzer dies verlangt.
- Gegebenenfalls, nämlich wenn Nutzungsprofile durch einen Auftragnehmer erstellt werden, müssen die Anbieter darüber hinaus die datenschutzrechtlichen Vorgaben zur Auftragsdatenverarbeitung einhalten.
Hieran anschließend hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im September 2011 spezielle Hinweise für die Verwendung von Google Analytics veröffentlicht. Diese Hinweise richten sich zwar explizit nur an „Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen“. Sie sollen jedoch den Konsens der deutschen Aufsichtsbehörden widerspiegeln. Für den beanstandungsfreien Betrieb von Google Analytics müssen Webseitenbetreiber – vereinfachend zusammengefasst – mindestens folgende Maßnahmen umsetzen:
- In den Datenschutzhinweisen müssen die Webseitenbetreiber über die Verarbeitung personenbezogener Daten aufklären und auf die Widerspruchsmöglichkeit gegen die Datenerfassung hinweisen. Ferner ist auf das Deaktivierungs-Add-On hinzuweisen, welches Google bereitstellt.
- Die Webseitenbetreiber müssen Google durch Vornahme entsprechender Einstellungen im Programmcode mit der Kürzung der IP-Adresse beauftragen, so dass keine Identifizierung des Nutzers mehr möglich ist.
- Jeder Webseitenbetreiber muss mit Google einen schriftlichen Vertrag über die Auftragsdatenverarbeitung schließen
Daraus folgt, dass (insbesondere auch) Google Analytics grundsätzlich rechtskonform eingesetzt werden kann, sofern bestimmte Datenschutzvorgaben eingehalten werden.
Praktische Bedeutung für die betroffenen Webseiten
Diejenigen Webseitenbetreiber, die von dem Bayerischen Landesamt für Datenschutzaufsicht im Rahmen der jüngsten Kontrollmaßnahmen „entdeckt“ wurden, weil sie die Vorgaben zum datenschutzkonformen Einsatz von Tools zur Reichweitenmessung nicht befolgt haben, werden nun zunächst aufgefordert, ihre Seiten rechtskonform zu gestalten. Bei Verweigerung sollen auch Bußgelder verhängt werden. Diese können im äußersten Fall bis zu 50.000,00 Euro betragen.
Es wäre allerdings ein Irrglaube, davon auszugehen, dass auch zukünftig Datenschutzaufsichtsbehörden nur zu datenschutzrechtskonformem Verhalten auffordern und nicht direkt Bußgelder verhängen. Dies gilt gerade auch deshalb, weil nun einmal mehr eine Datenschutzaufsichtsbehörde auf den Rechtsrahmen hingewiesen hat.
Fazit
Das Vorgehen der bayerischen Datenschutzaufsichtsbehörde macht deutlich, dass über das Thema Reichweitenmessung auf Webseiten kein „Gras gewachsen“ ist. Es ist gerade vor dem Hintergrund der aktuellen Prüfung anzuraten, den Einsatz von Tools zu Reichweitenmessungen auf ihre datenschutzrechtliche Zulässigkeit zu prüfen und erforderlichenfalls die Anforderungen des Düsseldorfer Kreises nachträglich umzusetzen.