Unternehmen, die heute als Webseitenbetreiber „Google Analytics“ (GA) einsetzen – und das dürfte inzwischen die Mehrzahl sein – haben bekannter Maßen datenschutzrechtliche Bestimmungen zu beachten. Über Hintergrund, Folgen und Handlungsbedarf soll nachfolgend aus gegebenem Anlass eine kurze aktuelle Zusammenfassung gegeben werden:
Beim Einsatz von GA werden personenbezogene Daten (IP-Adressen im Zusammenhang mit Nutzerverhalten) von Google für den Webseitenbetreiber verarbeitet – nach deutschem Recht stellt dies eine sog. Auftragsdatenverarbeitung im Sinne des § 11 BDSG dar, mit den entsprechend strengen Anforderung an Form und Inhalt des Vertragsverhältnisses zwischen Webseitenbetreiber (Auftraggeber) und Google (Auftragnehmer), wobei der Webseitenbetreiber „verantwortliche Stelle“ im datenschutzrechtlichen Sinne bleibt.
Der „unbehandelte“ Einsatz von GA war bzw. ist (in Fachkreisen anerkannter Maßen) ein andauernder Verstoß gegen geltendes Datenschutzrecht. Nicht zuletzt in Ermangelung einer Handlungsalternative gegenüber dem Angebot des faktischen Monopolisten Google führte dies gleichwohl in der Vergangenheit nicht zu nennenswerten rechtlichen Weiterungen (im Verhältnis Webseitenbetreiber und Nutzer bzw. Wettbewerber) – wohl aber zu heftigen und jahrelangen Diskussionen zwischen den Landesdatenschutzbeauftragten und Google, federführend durch den Hamburger Datenschutzbeauftragten. Ergebnis dieses Dialogs war insbesondere, dass seit 2011 die Webseitenbetreiber einen schriftlicher Vertrag mit Google zur Auftragsdatenverarbeitung abschließen können. Mit den entsprechenden Regelungsinhalten reagierte Google auf die wiederholten Forderungen deutscher Datenschützer. Diesen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.
Fakt ist, dass diese vergleichsweise umständliche Lösung vor dem Hintergrund der derzeitigen gesetzlicher Anforderungen als notwendig zu erachten ist, wohl aber noch nicht das letzte Wort im „Ringen“ um einen schonenden Ausgleich zwischen Datenschutz und wirtschaftlichen Realitäten im Internetzeitalter sein dürfte – insbesondere falls (was übrigens unterschiedlich bewertet wird) noch ein Umsetzungsbedarf der sog. E-Privacy-Richtlinie 2002/58/EG (im Volksmund auch „Cookie-Richtlinie“ genannt) in nationales Recht erkannt werden sollte, speziell im Zusammenhang der derzeitigen „Opt-out“ Lösung im Gegensatz zu einer ausdrücklichen vorherigen Einwilligung.
Der Abschluss dieser Vereinbarung ist zwischenzeitlich jedenfalls als ein Sorgfaltsmaßstab etabliert. Es gilt also nun zu beachten, dass die (insbesondere gewerblichen) Webseitenbetreiber eine Handlungsalternative haben – so dass im Zuge der Compliance der jeweilige Betreiber (speziell hochfrequentierter Portale) eine Entscheidung treffen kann, rechtskonform(er) zu sein – oder eben auch nicht. Der Inhalt des Vertrags mit Google ist indes nicht „verhandelbar“; wer GA zukünftig compliant nutzen will, muss also wohl oder übel diesen Vertrag schließen.
Was ist, wenn man es nicht tut?
Unternehmen dürften, wenn sie diese Möglichkeit nicht in Anspruch nehmen, derzeit vorsätzlich oder jedenfalls grob fahrlässig gegen datenschutzrechtliche Vorgaben verstoßen. Ob dies durch Wettbewerber abgemahnt werden kann („Vorsprung durch Rechtsbruch“), hängt von der Frage ab, ob denn die jeweils maßgebliche Datenschutzvorschrift nicht nur die betroffenen Nutzer, sondern auch die Rechte der Wettbewerber schützt (vgl. die schon „berühmte“ Entscheidung des Kammergericht Berlin zum „Like“-Button, Beschluss v. 29.04.2011, Az. 5 W 88/11); dabei geht es darum, ob die gesetzliche Regelung, gegen die verstoßen wurde, gerade im Interesse der Marktteilnehmer das Marktverhalten regeln soll. Wurde dies im Zusammenhang mit datenschutzrechtlichen Verstößen als solchen in Fachkreisen bislang überwiegend verneint, so wird die Frage, ob eine datenschützende Norm eine wettbewerbsbezogene Schutzfunktion innehat, offenbar zusehends von Gerichten in Deutschland unterschiedlich und fallbezogen behandelt. Es kann also auch hier nicht mehr ausgeschlossen werden, dass eine darauf gestützte Abmahnung Erfolg haben könnte.
Die betroffenen Nutzer können den Datenschutzverstoß jedenfalls als Ordnungswidrigkeit anzeigen, es drohen insoweit Bußgelder bezogen auf Verstöße gegen § 11 BDSG in einer Höhe bis zu 50.000,00 € für den Einzelfall.
Möglich ist, dass auch die Frage netzbezogener Auftragsdatenverarbeitungsprozesse im Hinblick auf ihre Rechtskonformität Relevanz bei Zertifizierungen und Bewertungen der Unternehmens-IT haben kann.
Welches Vorgehen empfiehlt sich aus anwaltlicher Sicht?
- Schließen Sie den mit den hiesigen Aufsichtsbehörden abgestimmten Vertrag zur Auftragsdatenverarbeitung ab.
- Anonymisieren Sie die IP-Adressen Ihrer Nutzer: Eben hierfür hat Google eine Erweiterung des GA-Codes zur Verfügung gestellt. Diesen erhalten Sie bestimmt bei Ihrer Agentur (falls nicht, helfen wir Ihnen weiter), es geht um eine gängige Code-Erweiterung „anonymizeIp“, bei welcher die letzten 8 Bit der IP-Adressen gelöscht werden. Bitte beachten Sie dabei unbedingt, dass von Google derzeit noch zwei verschiedene Tracking-Codes genutzt werden („Universal“ und „Klassisches Analytics“), die beide (händisch) angepasst werden müssen.
- Sie müssen gegenüber den Nutzern Ihrer Webseite des Weiteren die ausdrückliche Möglichkeit eines Widerspruchs gegen die GA-Erfassung von Nutzungsdaten einräumen. Konkret müssen Sie zum einen einen Hyperlink zum Deaktivierungs-Add-on angeben, welches verhindern soll, dass GA auf jeder besuchten Seite ausgeführt wird; zum anderen müssen Sie neuerdings ein „Opt-Out-Cookie“ setzen (ironischer Weise ein Cookie!): Denn das Add-on ist grundsätzlich nur für Desktop-Browser verfügbar, was im Zeitalter des auf mobilen Endgeräten basierenden „Social Commerce“ wiederum von Datenschützern moniert wurde. Daher hat Google die Möglichkeit geschaffen, durch den Klick eines Links in der Datenschutzerklärung (siehe hierzu gleich) dieses „Opt-Out-Cookie“ zu setzen. Dafür muss ein bestimmtes Script vor dem eigentlichen GA-Script im Quelltext eingefügt werden, welches dann das Tracking verhindert. Auch dieses Script dürfte Ihre Agentur sicher kennen; wenn nicht, helfen wir Ihnen gerne weiter.
- Zu guter Letzt müssen Sie – wie bisher – eine Datenschutzerklärung für Ihre Webseiten verwenden – entgegen anderslautender Hinweise von Kollegen aber nicht im Impressum, sondern bitte als eigenständiger Menüpunkt. Der Text sollte den vorgenannten Maßnahmen Rechnung tragen, ist also in aller Regel zu modifizieren.
- Häufig übersehen wird dann, dass (zum Leidwesen der Agenturen) wohl ein neuer GA-Account erstellt werden muss, und die Anpassungen demnach nur für neue GA-Profile greifen. Der bisherige Bestand der „Properties“ wäre aber streng genommen rechtswidrig generiert worden – und unterläge somit (mit dem alten Account) der Löschungspflicht.