Der Streit um Google Analytics scheint beigelegt. Wie der "Düsseldorfer Kreis" heute erklärte, kann das Tool jetzt auch in Deutschland rechtskonform eingesetzt werden, wenn einige "Kleinigkeiten" beachtet werden.
Google hat laut dem Datenschutzbeauftragten der Stadt Hamburg Johannes Caspar Änderungen an dem Webanalyse-Produkt Google Analytics vorgenommen.
Deshalb sei es ab sofort datenschutzrechtlich "beanstandungsfrei" einsetzbar, wenn folgende Bedingungen erfüllt sind:
- Mit Google muss ein schriftlicher Vertrag über die Auftragsdatenverarbeitung geschlossen werden. Der Vertrag besteht aus 15 Seiten purem Juristendeutsch, aber es spricht wohl nichts dagegen.
- Im Rahmen der Datenschutzerklärung der Website muss über die Verarbeitung personenbezogener Daten aufgeklärt und auf die Widerspruchsmöglichkeiten hiergegen informiert werden. Das ist einfach. (Bei den Websites unserer Kunden passiert das schon, seit es diese Möglichkeit gibt.)
- Google Analytics muss so eingestellt werden, dass die erhobenen IP-Adressen gekürzt gespeichert werden. Diese Anforderung ist ebenfalls leicht erfüllbar (und auch das geschieht bei den Websites unserer Kunden bereits, seit es diese Möglichkeit gibt).
- Den Website-Besuchern muss auf mindestens 3 Wegen die Gelegenheit geboten werden, das Tracking durch Google-Analytics auszuschliessen: über das Ablehnen von Cookies, über ein spezielles Plugin oder (seit UniversalAnalytics im jahr 2014) über ein spezielles Opt-Out-Cookie,
- Die letzte Anforderung ist bitter: es ist erforderlich, alle bisher "rechtswidrig" gesammelten Daten zu löschen. Eine derartige Funktion bietet Google Analytics aber überhaupt nicht an. Ergo muss man sein bestehendes Google-Analytics-Profil löschen und einen neuen Account anlegen. Doch das beendet in Wahrheit nur den Zugriff des bisherigen Analytics-Nutzers auf die auf seiner eigenen Website gesammelten Daten Selbstverständlich hat Google selbst aber weiterhin darauf Zugriff und Verfügungsgewalt. Was daran nun die bisher angeblich rechtswidrig gesammelten Daten rechtskonformer machen soll, bleibt schleierhaft.
Eine Veränderung an Google Analytics selbst ist das aber gar nicht - die Widerspruchsmöglichkeit und die IP-Kürzung gibt es bereits seit 2009. Seriöse Webagenturen haben diese Bedingungen schon erfüllt, seit sie existieren. Bleiben noch der Vertrag und das nötige Löschen bisheriger Acounts- interact!multimedia hat seine deutschen Kunden bereits informiert und empfiehlt sicherheitshalber auch allen österreichischen Website-Betreibern, die erforderlichen Schritte zu unternehmen, denn über kurz oder lang könnten die Regelungen auch in Österreich gelten. Wäre nicht das erste Mal, dass sich die österreichsiche Justiiz eigene Gedanken rerspart und einfach eine deutsche Regelung auch für uns gültig erklärt.
Datenschutz ist wichtig, aber...
Zuletzt schränken die deutschen Datenschützer die allgemeine Gültigkeit ihrer Aussagen aber gleich wieder ein, indem "angedroht" wird, dass sich "künftig jederzeit weitere Anforderungen ergeben können".
Man scheint als Internetnutzer also der sprichwörtlichen Willkür unterbeschäftigter Beamter ausgesetzt...
In Vorratsdatenspeicherung oder dem Facebook-Like-Button sieht man aber offenbar in Deutschland keinerlei datenschutzrechtlich bedenkliche Entwicklungen - jedenfalls sind uns dazu keine so eifrigen Arbeiten bekannt.