Analytics Summit 2016:
Google Analytics aus datenschutzrechtlicher Sicht
Diejenigen Summit-Teilnehmer, die sich von dem Titel des Vortrags und der daraus drohenden Anzahl an Paragraphen nicht abschrecken haben lassen, wurden dafür mehr als belohnt. Dr. Frank Eickmeier – Rechtsanwalt bei UNVERZAGT VON HAVE – ist es gelungen seinen Zuhörern mit einfachen Worten und insgesamt nur drei Paragraphen die aktuellen und künftigen rechtlichen Grundlagen für den Einsatz von Google Analytics zu erklären.
Dr. Eickmeier stellt zunächst die geltenden Gesetze und Quellen vor, welche die Nutzer von Google Analytics kennen sollten. Dazu gehören das Bundesdatenschutzgesetz (BSDG), das Telemediengesetzt (TMG), das Telekommunikationsgesetz (TKG), die Cookie-Richtlinie der EU, die Beschlüsse des Düsseldorfer Kreises und die Beschlüsse der Art. 29 Datenschutzgruppe.
Darauf folgend beschreibt Dr. Eickmeier die unterschiedlichen Datenarten und die dazu jeweils anzuwendenden Bestimmungen. Personenbezogene Daten sind dabei nicht zu handeln, denn es gelten die Regelungen des BDSG (§ 3 Abs. 6 BDSG). Sind die erhobenen Daten jedoch anonymisiert, so entsteht eine Gesetzeslücke im BDSG, welche die Branche für sich nutzt. Die dritte Gruppe der Datenarten bilden pseudoanonyme Daten. Mit diesem Opt-out gilt in Deutschland (und nur hier) ein Sonderrecht. Sofern Website-Nutzer einen Hinweis erhalten (§ 15 III TMG), können anonyme Nutzerprofile gespeichert werden. Die Bedingungen hierfür sind gegeben, wenn niemand einen Datensatz rückauflösen kann oder wenn die Rückauflösung einen unverhältnismäßigen Aufwand verursacht. Hieraus ergeben sich drei To-do’s für Website-Betreiber:
- Zwischen Google und dem Unternehmen, welches Google Analytics nutzt, muss ein Vertrag zur Auftragsdatenverarbeitung (ADV) abgeschlossen werden.
- Die Nutzer müssen darauf hingewiesen werden, dass man Google Analytics bzw. Universal Analytics nutzt (Datenschutzerklärung). Sobald weitere Tools Daten erheben, müssen diese in dem Hinweis inkludiert sein.
- Die IP-Adressen der User müssen anonymisiert werden, was durch das Löschen der letzten 8 Bit geschieht.
Nützlich ist sicher der Hinweis, dass für jeden bestehenden Account ein ADV abgeschlossen werden muss. Ebenso betont Dr. Eickmeier, dass diese Bestimmungen auch für die mobile Nutzung von Google Analytics gelten. Werden diese Voraussetzungen der Datenerhebung nicht geschaffen, so handelt man rechtswidrig. Aufsichtsbehörden könne Verfahren einleiten; aber auch Mitbewerber, gehen hier vor und mahnen (über Anwälte) die fehlerhafte Nutzung an.
Ebenso geht Dr. Eickmeier auf das Privacy-Shield ein, welches nunmehr Save-Habor ersetzt. Google hat sich zur Einhaltung der Privacy-Shields verpflichtet, womit die Datenübertragung an Google Analytics problemlos möglich ist.
All die beschriebenen Regelungen gelten ab Mai 2018 nicht mehr. Sie werden durch die neue EU Datenschutzgrundverordnung (DSGVO) ersetzt. Diese neue Verordnung wird in Europa, und somit auch in Deutschland, automatisch gelten. Neu ist dann, dass Online-Identifier (d. h. auch IP-Adressen) immer als personenbezogene Daten eingestuft werden. Aber, eine Datenverarbeitung ist dennoch zulässig wenn ein „berechtigtes Interesse des Verantwortlichen oder eines Dritten“ besteht (Art. 6 f DSGVO). Und dieses berechtigte Interesse ist seitens der Werbungtreibenden gegeben. Diese Argumentation wird künftig den Platz bieten, auf dem die rechtlichen Möglichkeiten der Nutzung von Google Analytics diskutiert werden.