Nach einer Mitteilung des Hamburgischen Beauftragten für Datenschutz, Johannes Caspar, ist ab sofort der rechtskonforme Betrieb von Googles Analysetool offiziell möglich. Die Behörde konnte mit Google Bedingungen verhandeln, die einen beanstandungsfreien Einsatz des Analyseverfahrens gestatten.

Der wichtigste Punkt der Änderungen ist, dass dem Besucher einer Webseite die Möglichkeit eingeräumt wird, der Erfassung seiner Daten zu widersprechen. Google stellt zu diesem Zweck für alle gängigen Browser ein Plugin bereit, das der Nutzer installieren kann. Der Webseitenbetreiber muss in seinen Datenschutzhinweisen den Download-Link zu diesem Tool angeben.

Der Betreiber der Webseite muss nun auch einen Vertrag zur Auftragsdatenverarbeitung gemäß dem Bundesdatenschutzgesetz schließen. Damit wird eine rechtliche Grundlage dafür geschaffen, dass Google Analytics eingesetzt werden darf. Der Betreiber der Webseite ist als Auftraggeber verpflichtet, den Vertrag abzuschließen. Für Google andererseits stellt er die Grundlage dafür dar, die Daten überhaupt verarbeiten zu dürfen. Google stellt einen vorformulierten Vertrag zum Download zur Verfügung. Sie erhalten ihn hier als Pdf. Diesen Vertrag müssen Sie zusammen mit einem frankierten Rückumschlag ausgefüllt an Google schicken. Erst wenn Sie den Vertrag unterschrieben von Google zurück erhalten haben, besteht eine Rechtsgrundlage für die Nutzung des Dienstes.

In den Datenschutzhinweise Ihrer Webseite muss folgende Passage enthalten sein, die dem Nutzer das Vorgehen erläutert:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringenDie im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.“

Außerdem muss der Quelltext der Seite so geändert werden, dass ein Teil der IP-Adresse vor jeglicher Speicherung gelöscht wird und so eine Identifizierung des Users über die IP-Adresse unmöglich wird. Diese Regelung gilt nach Angaben von Caspar innerhalb Europas.

Für die Anpassung gibt es zwei Varianten:

Der neue, asynchrone Tracking-Code von Google kann folgendermaßen angepasst werden:

var _gaq = _gaq || [];
_gaq.push ([‚_setAccount‘, ‚UA-XXXXXXX-YY‘]);
_gaq.push ([‚_gat._anonymizeIp‘]);
_gaq.push ([‚_trackPageview‘]);

Wer noch den alten Google Analytics Tracking Code verwendet, kann die Zeile „_gat._anonymizeIp();“ einfügen.

Das kann folgendermaßen aussehen – die UA-ID muss individuell eingefügt werden:

<script type=”text/javascript”>
var gaJsHost = ((“https:” == document.location.protocol) ? “https://ssl.” : “http://www.”);
document.write(unescape(“%3Cscript src=’” + gaJsHost + “google-analytics.com/ga.js’ type=’text/javascript’%3E%3C/script%3E”));
</script>
<script type=”text/javascript”>
try{
var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
_gat._anonymizeIp();
pageTracker._trackPageview();
} catch(err) {}</script>

Die Hamburger Datenschutz-Aufsichtsbehörde weist zudem darauf hin, dass bislang über Google Analytics erhobene Altdaten gelöscht werden müssen. Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor