Google-Analytics: Aufsichtsbehörde wird tätig
Aufsichtsbehörde schreibt Unternehmen wegen google-analytics an
Erst vor kurzem berichteten wir über neues zum Datenschutz im Bereich des Webtracking (Analyse des Nutzerverhaltens auf Internetseiten). Gegenstand unserer Meldung war der Abbruch der Gespräche über den Tracking-Dienst Google-Analytics. Der hamburgische Datenschutzbeauftragte Johannes Caspar wollte die Gespräche mit dem amerikanischen Internetdienstanbieter nicht mehr weiterführen. Seine Begründung: Google gebe sich nicht ausreichend Mühe, um die deutschen Rechtsvorschriften zum Datenschutz einzuhalten: „Was Google anbietet, reicht nicht“ (Johannes Caspar in einem Interview mit der Frankfurter Allgemeinen Zeitung).
Die rechtliche Problematik von Tracking-Diensten war den Behörden schon geraume Zeit bekannt. Weit verbreitete Web-Analyse-Lösungen entsprechen nicht den deutschen Rechtsvorschriften, weil personenbezogene Daten ohne die hierfür erforderliche Rechtsgrundlage erhoben und verarbeitet werden und weil die hier geltenden besonderen Bestimmungen nicht eingehalten werden.
Trotz intensiver Berichterstattung und obwohl Datenschutzexperten schon seit langem auf dieses Problem hingewiesen haben, tat sich bei den betroffenen Unternehmen bislang wenig. Möglicherweise war die Möglichkeit der kostenlosen Nutzung nicht den inländischen Rechtsvorschriften entsprechender Dienste doch zu verlockend.
400 Websites untersucht
Dies scheint sich nun zu ändern: der rheinland-pfälzische Landesbeauftragte für Datenschutz (und damit Aufsichtsbehörde für den Bereich der Telemedien im Bundesland Rheinland-Pfalz) hat 25 der 100 größten Unternehmen in Rheinland-Pfalz angeschrieben und zu einer Stellungnahme über die Nutzung von Google-Analytics aufgefordert.
Nach Einschätzung der Aufsichtsbehörde verstoßen Nutzer dieses Tracking-Dienstes gegen geltende Rechtsvorschriften:
Bei beinahe 60 % der 400 von der Aufsichtsbehörde untersuchten Internetseiten, bei denen Google Analytics zum Einsatz kommt, fehlte bereits die für die Datenerhebung notwendige Einwilligung.
Verstoß gegen Vorschriften zur Auftragsdatenverarbeitung
Die der Nutzung von Google-Analytics zu Grunde liegende Vereinbarung gewähre den Anwendern des Tracking-Dienstes außerdem nicht die nach deutschem Recht erforderlichen Kontrollrechte und entspreche daher nicht den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung.
Dies zeige „wieder einmal, dass Internet-Angebote in weiten Teilen ohne die nötige Sensibilität für den Datenschutz und die Rechte der Nutzer betrieben werden. Es kann nicht sein, dass sich Anbieter von Webseiten mit Verweis auf Dienstleister wie Google aus ihrer datenschutzrechtlichen Verantwortung stehlen!“ (So die Verlautbarung in der Pressemitteilung der Datenschutzaufsichtsbehörde)
Dringender der Handlungsbedarf
Die nunmehr erfolgten ersten Schritte der Aufsichtsbehörde waren vorhersehbar. Die Einschätzung des Landesdatenschutzbeauftragten Rheinland-Pfalz und die Begründung seines Einschreitens entsprechen der von uns bereits vor Wochen veröffentlichten Einschätzung: qualifiziert man IP-Adressen als personenbezogene Daten, müssen die Vorschriften des Bundesdatenschutzgesetzes und des Telemediengesetzes eingehalten werden. Bei einer solchen Auftragsdatenverarbeitung (der Trackingdienst-Anbieter verarbeitet Daten für den Websitebetreiber) ist der Auftraggeber für die Einhaltung der gesetzlichen Vorschriften verantwortlich. Er muss daher die Möglichkeit haben, die Auftragsdatenverarbeitung effektiv zu kontrollieren und zu steuern. Darüber hinaus müssen die gesetzlichen Sondervorschriften für solche Datenverarbeitungen eingehalten werden (§11 BDSG).
Betreiber von Internetseiten tun gut daran, ihren Dienst umgehend auf die Einhaltung der inländischen Datenschutzvorschriften zu überprüfen und etwaige Lücken zu schließen. Eine rechtliche Auseinandersetzung mit den Aufsichtsbehörden kostet nicht nur Zeit und Nerven. Am Ende kann eine Untersagungsverfügung oder ein Ordnungsgeld stehen.
Die (meist durchaus überschaubaren) Kosten einer rechtskonformen Lösung können hierbei kein Argument für die Auswahl rechtlich unsicherer Dienste sein. Es geht nicht „nur“ um die Einhaltung von Gesetzen, sondern um das wertvollste, was ein E-Commerce-Anbieter zu verlieren hat: das Vertrauen seiner Nutzer und seinen guten Ruf.
Auch BBS nutzt daher keine Analysedienste, die intransparente Datenübermittlungen ins Ausland erfordern. Die Einhaltung geltender Rechtsvorschriften ist für uns eine Selbstverständlichkeit. Wir sind aber auch der Meinung, dass insbesondere die Internetseiten eines Rechtsanwalts einen besonders vertrauensvollen Umgang mit personenbezogenen Daten gewährleisten müssen.
Auf unseren Internetseiten kommt daher der Dienst des Hamburger Anbieters etracker zum Einsatz, der eine rechtskonforme Auswertung des Nutzungsverhaltens ermöglicht. Dies ergab auch eine Prüfung des Dienstes durch den Hamburgischen Datenschutzbeauftragten.
Sie haben Fragen zum Datenschutz? Sie möchten Ihren Internetauftritt rechtssicher gestalten? Und wir bieten praxisorientierte und kaufmännisch sinnvolle Lösungen für eine rechtssichere Gestaltung. Dabei verstehen wir nicht nur etwas von den Rechtsgrundlagen. Wir begleiten seit Jahren als Rechtsanwälte Projekte im Bereich Datenschutz und Informationstechnologie und sind daher auch mit den technischen Hintergründen vertraut. Was können wir für Sie tun?