Aufregung zum letzten Wochenende
Am letzten Freitag sorgte Netzpolitik.org mit dem Artikel “Hamburger Datenschützer: Manche Nutzer von Google Analytics müssen Konten und Daten löschen” für Aufsehen und damit gleichzeitig für Unruhe bei allen Nutzern von Google Analytics. Auch t3n griff daraufhin am gleichen Tag noch das Thema auf und berichtete: “Datenschutz: Warum manche Nutzer jetzt ihr Google-Analytics-Konto löschen sollten“.
Sie schreiben ähnlich wie Netzpolitik.org, dass die Hamburger Datenschutzbehörde Nutzer, die zwischen September 2015 und September 2016 ein neues Google Analytics Konto gestartet und mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben, auffordert, dieses wieder zu löschen, da die Daten aufgrund der Aufkündigung des Safe Harbor Abkommens im Herbst 2015 womöglich nicht rechtmäßig erhoben wurden. Das neue EU-US-Datentransfer-Abkommen Privacy Shield trat erst im Juli 2016 in Kraft und im September 2016 erhielt Google hierfür die Zertifizierung. So entstand eine Datenschutz-Lücke von einem Jahr.
Nicht alle Google-Analytics-Nutzer automatisch von Datenschutz-Lücke betroffen
Bevor wir ausführlich die Hintergründe erklären und einordnen, möchten wir vorab aufklären, dass nur der Teil dieser Nutzergruppe betroffen ist, der keine weiteren datenschutzrechtlichen Maßnahmen vorgenommen hat, wie sie auch bereits allen anderen Nutzern empfohlen wird, um gültiges, deutsches Datenschutzrecht anzuwenden (BDSG). Desweiteren betrifft die Löschaufforderung bzw. Empfehlung somit auch indirekt alle Google-Analytics-Konten, die das Tracking nicht datenschutzkonform einrichten und Widerspruchsmöglichkeiten auf Ihrer Website nicht setzen. Daher lest den Artikel bis zum Ende, auch wenn euer Vertrag mit Google nicht in den genannten Zeitraum fällt. Eine datenschutzrechtliche Absicherung des Dienstes ist für alle gleichermaßen relevant.
Die Berichterstattung hat somit nur eine kleine Gruppe von Google Analytics Nutzern identifiziert, die zum Handeln aufgefordert werden. Aber eigentlich sollten wir alle die Hinweise ernst nehmen und unser Handeln und unsere Daten diesbezüglich überprüfen. Die rechtlichen Maßnahmen haben sich nicht signifikant geändert. Überprüft dennoch, ob ihr euer Konto nach diesen Prinzipien datenschutzkonform eingerichtet habt.
Was war passiert?
Anlass der Berichterstattung von Netzpolitik.org und t3n war die Veröffentlichung der Ergebnisse der Hamburger Datenschutzbehörde, ob die Nutzung von Google Analytics nach der Aufkündigung des Safe Harbor Abkommens im September 2015 weiterhin in Deutschland datenschutzkonform durchgeführt werden kann. Gemeinsam mit anderen deutschen Aufsichtsbehörden hat die Behörde den Einsatz von Google Analytics datenschutzrechtlich überprüft und sich besonders auf die Klausel im ADV-Vertrag konzentriert, der sich auf Safe Harbor bezog. Daraufhin hat die Hamburger Datenschutzbehörde (HmbBfDI) jetzt im Februar 2017 die Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics aktualisiert und als PDF zum Download zur Verfügung gestellt.
Hinweise zur Anwendung des Datenschutzes für alle Google Analytics Nutzer hilfreich
Diese Hinweise sind im Verantwortungsbereich der Behörde gültig, können aber jederzeit auch von anderen Datenschutzbehörden der Länder übernommen und angewandt werden. Diese Hinweise helfen, um Google Analytics im Einklang mit dem Bundesdatenschutzgesetzen (BDSG) einzusetzen. Es empfiehlt sich, dass sich jeder Websitebetreiber an diesen Hinweisen orientiert und danach handelt. Dann ist eine sichere Nutzung gewährleistet.
Die Hinweise der Hamburger Datenschutzbehörde betreffen nur Google Analytics. Aussagen zum rechtlichen Einsatz von Google AdSense oder Remarketing über Google AdWords und andere Dienste wurden nicht in die Überprüfung einbezogen. Welche Auswirkungen die neue EU-DSGVO und ePrivacy-Richtlinie hat, ließen die Datenschützer an dieser Stelle ebenfalls offen und muss gesondert betrachtet werden.
Aufatmen bei allen Google Analytics Betreibern
Die wichtigste Aussage in der aktualisierten Fassung lautet:
»Nach Abschluss der formalen Prüfung stellt der HmbBfDI für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit folgende Voraussetzungen erfüllt sind:«
Die Voraussetzungen lauten:
- Nutzung von Google Analytics ausschließlich zur Erstellung pseudonymisierter Nutzungsprofile unter Beachtung der in § 15 Abs. 3 TMG beschriebenen Zwecke und der dort genannten datenschutzrechtlichen Rahmenbedingungen.
- Abschlusses eines Auftragsdatenverarbeitungsvertrages zwischen der Google Inc. und den jeweiligen Verwendern.
- Die bisher anzuwenden rechtlichen, technischen und organisatorischen Maßnahmen sind weiterhin umzusetzen bzw. zu ergreifen.
Alle bereits bestehenden Verträge sind weiterhin gültig. Nur der Verweis auf die Safe-Harbor-Regelung ist nichtig. Alle anderen vertraglichen Bedingungen sind rechtmäßig, solange sie in Einklang mit geltenden datenschutzrechtlichen Vorgaben stehen. Hier gibt es seitens der Hamburger Datenschutzbehörde keine Beanstandungen. Ein Abschluss eines neuen Vertrages oder eine Ergänzung im Hinblick auf das Privacy Shield wird im Hinweisblatt nicht erwähnt oder empfohlen.
Google Analytics weiterhin datenschutzkonform einsetzbar
Um Google Analytics weiterhin datenschutzkonform einzusetzen, müsst ihr folgende Maßnahmen vornehmen:
- Schriftlicher Vertrag mit Google zur Auftragsdatenverarbeitung.
- Hinweis in eurer Datenschutzerklärung über den Einsatz von Google Analytics zur Erfassung personenbezogener Daten auf der Website und Widerspruchsmöglichkeit für die Websitebesucher.
- Eigene Opt-out-Funktion auf der Website implementieren, wenn für das Webangebot die reguläre Widerspruchsmöglichkeit nicht verfügbar ist (z.B. mobile Browser von Smartphones).
- Google Analytics Code manuell anpassen und IP-Anonymisierung implementieren.
- NEU: Löschung des Kontos bzw. der Daten, die unrechtmäßig erhoben wurden.
Auszug aus dem PDF:
"Hinweis Nr. 5: (Dieser Hinweis gilt nicht bei bereits bestehenden Altverträgen) Haben Sie schon bisher Google Analytics in Ihre Webseiten eingebunden, ist davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen gelöscht werden."
Dieser Hinweis lies Netzpolitik.org aufhorchen und man interpretierte ihn als klare Löschaufforderung für Verträge während der Datenschutz-Lücke. Im Hinweisblatt gibt es aber keine einzige deutliche Aussage, dass alle Verträge zwischen September 2015 bis September 2016 nichtig sind und deshalb alle Daten gelöscht werden müssten. Außerdem geben sie keine Einschätzung oder Erklärung ab, wie die Datenspeicherung und Erhebung in dem Zeitraum für alle Google-Analytics-Konten bewertet werden muss.
Eine andere Interpretation für “Altverträge” könnte somit sein, dass vor Start der Analyse, ein bestehender Vertrag vorhanden sein muss und dann keine Löschung vorzunehmen ist. Dieser neue Hinweis mag dann an all diejenigen gerichtet sein, die vor Abschluss eines gültigen Vertrags das Tracking bereits aktivierten und somit unrechtmäßig Daten erhoben. Dann wird eine Löschung zwingend notwendig.
Update: Die Datenschutzbehörde hat geantwortet und bestätigt, dass der neue 5. Zusatz sich allgemein darauf bezieht, dass wenn ein Websitebetreiber bereits Google Analytics Daten erhoben hat, bevor der ADV-Vertrag mit Google geschlossen wurde, dass diese Daten nicht rechtmäßig erhoben wurden und gelöscht werden müssten. Dies galt bisher auch und wurde nun noch einmal explizit aufgenommen. Die Datenschutzbehörde wird die Formulierung noch einmal anpassen, damit es zu keiner Irritation kommt. Die Hinweise zur Nutzung von Google Analytics bewerten nicht die Rechtslage zwischen Aufkündigung Safe Harbor und in Kraft treten des Privacy Shields inklusive der Zertifizierung seitens Google. Safe Harbor war nur der Anlass, den aktuellen Vertrag zu überprüfen und die Hinweise zu aktualisieren. Wer bisher seine Hausaufgaben in Sachen Datenschutz gemacht hat, handelt entsprechend rechtssicher.
Bereitet den Einsatz von Google Analytics vor
Bevor ihr mit Google Analytics startet und den manuell erweiterten Tracking Code inklusive IP-Anonymisierung in die Website einbindet, solltet ihr immer erst einen rechtsgültigen ADV mit Google abschließen, eure Datenschutzerklärung entsprechend ergänzen und eine Opt-out-Möglichkeit implementieren. Wenn ihr den Vertrag von Google zurückerhalten habt und die anderen Maßnahmen vorbereitet sind, könnt ihr live gehen und das Tracking rechtmäßig starten.
Überprüft den datenschutzrechtlichen Umgang mit Google Analytics
Wenn ihr die bisher geltenden Richtlinien und Maßnahmen in Verbindung mit der Erfassung und Speicherung von Daten mittels Google Analytics berücksichtigt habt (IP-Anonymisierung, Widerspruchsmöglichkeit usw.), kann euch nichts passieren und ihr seid rechtlich auf der sicheren Seite. Wenn ihr Zweifel habt oder sogar wisst, dass in der Vergangenheit nicht alle Punkte berücksichtigt wurden, solltet ihr überlegen, das Konto zu schließen und die Daten nicht mehr zu verwenden. Wenn ihr beispielsweise die IP-Anonymisierung nicht integriert habt, könnt ihr in Google Analytics nicht nachträglich die IP-Adressen um das letzte Oktett kürzen. Da man einzelne Datenzeiträume nicht aus dem aktuellen Konto löschen kann, ist ein Wechsel auf ein neues Konto notwendig. Hier müssen dann eine neue Property und ein neuer Trackingcode in die Website implementiert werden.
Informiert euch regelmäßig über Datenschutz, Privacy Shield, ePrivacy-Richtlinie & DSGVO
Die rechtlichen Aspekte der Nutzung von Google Analytics muss man immer im Auge behalten. Auch das neue Privacy Shield steht weiter unter Beobachtung und es kann zu Änderungen oder gar zur Aufkündigung kommen. Auch im Zuge der EU-Datenschutzgrundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt und der neuen ePrivacy-Richtlinie, die die digitale Kommunikation regelt, gibt es Änderungen, die die Webanalyse betreffen. Bleibt hier immer am Ball und scheut auch keine Rechtsberatung. Es ist wichtig, datenschutzrechtlich seine Hausaufgaben zu machen. Es drohen ab Mai 2018 horrende Strafen für Verstöße und diese betreffen jedes Unternehmen jeder Größe.
Google Analytics Alternativen: self-hosted Analytics-Software bietet Vorteile
Um eure Webanalyse rechtlich auf sichere Füße zu stellen und euch voll und ganz auf die Interpretation der Daten zu konzentrieren, wäre eine sinnvolle Alternative eine self-hosted Analytics-Software wie zum Beispiel Piwik. Die Daten werden auf euren eigenen Servern gespeichert und müssen nicht in die USA transferiert werden. Somit unterliegen sie nicht dem Privacy Shield und ihr genießt weitere datenschutzrechtliche Vorteile ohne manuelles Eingreifen in die Software. Wenn ihr euch selbst nicht um das Hosting und die Wartung des Systems kümmern wollt oder könnt und ähnlich bequem wie mit Google Analytics über das Browser-Interface die Analyse und das Reporting vornehmen möchtet, solltet ihr euch Services wie Piwik PRO näher anschauen. Eine Demo der Software findet ihr im Netz sowie einen ausführlichen Vergleich zur Open-Source Version Piwik.
Fazit
Datenschutz in Verbindung mit Analytics geht uns alle an und betrifft nicht nur die Anwender, die innerhalb der Datenschutz-Lücke zwischen Safe Harbor und Privacy Shield begonnen haben. Die Berichterstattung sollten wir alle als Weckruf wahrnehmen, nochmals unseren eigenen Umgang mit dem Thema zu überprüfen und unsere Systeme sicher zu gestalten. Es ist natürlich nicht unser Lieblingsthema, aber um up to date zu bleiben, empfehlen wir Fachmagazine, Blogs und Rechtsanwälte, die es verstehen, auch für Nicht-Juristen die derzeitige Lage und neue Gesetze verständlich zu erklären.
Weiterführende Quellen:
Datenschutz-Notizen
Datenschutzbeauftragter-Info
Blog von Rechtsanwalt Thomas Schwenke
Blog von Rechtsanwalt Christian Solmecke (Kanzlei Wilde Beuger Solmecke)
Blog von Rechtsanwalt Niklas Plutte
