Das Google Analytics nur unter bestimmten Voraussetzungen rechtlich zulässig ist, dürfte sich mittlerweile herumgesprochen haben. Dennoch ist das am weitesten verbreitete Analysetool in vielen Fällen weiterhin falsch eingesetzt. Insbesondere die Widerspruchmöglichkeit für mobile Endgeräte wie Smartphones oder Tablets (z.B. iPhone oder iPad) wird in der Praxis nicht beachtet, da Google hierfür keine praktikable Lösung anbietet. Dabei fordern die Aufsichtsbehörden für den Datenschutz auch hier eine funktionierende Widerspruchsoption. Da Webmaster bei mobilen Endgeräten mit dem Browser Add-On von Google nicht weiterkommen, muss eine andere Lösung her. Der folgende Beitrag liefert Ihnen eine Anleitung, wie Sie das Problem beheben.

 

Rechtliche Voraussetzungen für Google Analytics

Zunächst ein kurzer Abriss, warum Google Analytics für die Datenschutzbehörden relevant ist und somit aktiv kontrolliert wird. Da mit Hilfe des Analysetools neben vielen anderen Informationen auch Nutzerdaten (z.B. die IP-Adresse) erhoben werden, kommt das Telemediengesetz (TMG) zur Anwendung. Lange gab es Streit um die Frage, ob die Erhebung der IP-Adresse ohne Einwilligung der Nutzer zulässig sei. Im Ergebnis wurde dies durch den Düsseldorfer Kreis, einem gemeinsamen Gremium der deutschen Aufsichtsbehörden für den Datenschutz, abgelehnt. Auch zahlreiche Gerichtsentscheidungen schließen sich mittlerweile dieser Meinung an, da auch sie die Meinung vertreten, dass die IP-Adresse ein personenbezogenes Datum darstellt. Dies hat auch zur Folge, dass die IP-Adresse kein Pseudonym im Sinne des TMG darstellt, wodurch eine Verarbeitung ohne Einwilligung unzulässig ist. Aus diesem Grund muss bei Google Analytics die IP-Adresse bereits vor der Verarbeitung durch die Websitebetreiber gekürzt werden. Zudem ist laut Gesetz (vgl. § 15 Absatz 3 TMG) dem Nutzer eine Widerspruchsmöglichkeit (Opt-Out) zu ermöglichen. Auf dieser Grundlage verhandelte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, einen Kompromiss mit Google, der im Ergebnis Folgendes beinhaltet:

Nutzern muss die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt werden. Hierzu stellt Google ein Deaktivierungs-Add-On zur Verfügung, auf welches innerhalb der Datenschutzerklärung zu verlinken ist.

Websitebetreiber müssen bei der Einbindung des Google Analytics Codes auf Ihrer Website den Hinweis gat._anonymizeIp();“ in den Quelltext aufnehmen (hier eine Anleitung von Google). Auf diese Weise wird das letzte Oktett der IP-Adresse bereits vor der Speicherung durch Google gelöscht, wodurch ein Personenbezug entfällt.

zur rechtlichen Absicherung muss mit Google ein Vertrag zur Auftragsdatenverarbeitung im Sinne von § 11 Bundesdatenschutzgesetz (BDSG) geschlossen werden. Hierzu hat Google eine Vorlage für Websitebetreiber erstellt, die ohne Bedenken genutzt werden kann.

Sofern Websitebetreiber alle Anforderungen erfüllen, ist ein beanstandungsfreier Betrieb von Google Analytics möglich.

 

Eigene Widerspruchslösung für mobile Endgeräte

Bei der oben aufgezeigten Lösung wurde jedoch nicht beachtet, dass das Deaktivierungs-Add-On bei mobilen Endgeräten, beispielsweise auf dem Iphone, Ipad oder Android Geräten, keine Wirkung entfaltet. Die Hamburger Aufsichtsbehörde hatte daraufhin auch Ihre Anforderungen für Websitebetreiber angepasst; eine konkrete Anleitung wurde hingegen nicht geliefert. Google bietet mittlerweile eine recht komplizierte technische Möglichkeit für die Umsetzung, die im Folgenden erläutert wird.

1. Einbindung eines Javascript Codes
Laut dieser Anleitung muss zunächst der Quelltext um eine Javascript-Erweiterung ergänzt werden. Auf diese Weise wird Google mitgeteilt, Analytics individuell abzuschalten. Sofern Sie selbst keinen Zugriff auf den Quellcode Ihrer Website haben (was wohl der Regelfall ist), müssen Sie hierfür Ihren Programmierer ins Boot holen. Folgender Code ist vor dem eigentlichen Analytics Code einzufügen:

<script>

var gaProperty = ‘UA-XXXXXX-Y’;
var disableStr = ‘ga-disable-‘ + gaProperty;
if (document.cookie.indexOf(disableStr + ‘=true’) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‘=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/’;
window[disableStr] = true;
}

</script>

Der „UA-XXXXXX-Y’“ Code ist dabei durch den jeweiligen Google Analytics Tracking-Code (zu finden im Analytics Profil) zu ersetzen.

2. Ergänzender Hinweis in Datenschutzerklärung
In Ihrer Datenschutzerklärung muss neben den herkömmlichen Hinweisen zu Google Analytics ein gesonderter Hinweis zum Widerspruch für mobile Endgeräte erfolgen. Innerhalb dieses Hinweises setzen Sie folgenden HTML-Link:

<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Sobald ein Nutzer auf diesen Link klickt, wird ein Cookie in seinem Browser gesetzt, welches Google mitteilt, das Tracking zu unterbinden. Auf diese Weise können Nutzer auch mit mobilen Endgeräten den gesetzlich geforderten Widerspruch äußern.

 

Fazit

Die Anforderungen der Aufsichtsbehörden sind zwar lästig, jedoch dringend erforderlich, wenn man Post von der Aufsichtsbehörde oder eifrigen Abmahn-Anwälten vermeiden möchte. Dass eine fehlerhafte Datenschutzerklärung auch wettbewerbsrechtlich angegriffen werden kann, wurde bereits durch das OLG Hamburg (Urteil vom 27.06.2013 – 3 U 26/12) entschieden. Darüber hinaus prüfen auch die Aufsichtsbehörden verstärkt die von ihnen aufgestellten Anforderungen für den Einsatz von Google Analytics. Unsere Kanzlei hat hierzu selbst Fälle von Mandanten vertreten.

Ärgerlich ist jedoch weiterhin die komplizierte Umsetzung für mobile Webseiten. Google erfüllt hier zwar die Vorgaben der Aufsichtsbehörden, hat hierbei jedoch einen sehr benutzerunfreundlichen Weg gewählt. Andere Trackingdienste bieten hierzu bereits einfachere Lösungen mit Opt-Out Seiten an. Solange Google jedoch hierbei nicht einlenkt, sind Websitebetreiber auf diese Lösung angewiesen.

 


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.