Sind Google Analytics Daten nicht mehr sicher?

Die Artikel von Netzpolitik.org sowie von t3n sorgten letzten Freitag für Furore bei vielen Google Analytics Nutzern, die plötzlich um ihre Daten fürchteten.

Hintergrund hierfür ist die Mitteilung der Hamburger Datenschutzbehörde an bestimmte Google Analytics Nutzer, sie sollen ihre Google Analytics Konten löschen. Hierbei sind all jene Nutzer gemeint, die zwischen September 2015 und September 2016 ein Google Analytics Konto erstellt haben. Grund dafür ist die Aufkündigung des sog. Safe Harbor Abkommens im Herbst 2015 und das Inkrafttreten des neuen EU-US-Datentransfer-Abkommen „Privacy Shield“ im Herbst 2016 durch den Europäischen Gerichtshof (EuGH), was eine Datenschutzlücke von einem Jahr entstehen ließ.

Nicht alle Google Analytics Nutzer sind von der Datenschutzlücke betroffen

Vorab sollte geklärt werden, dass nicht alle Nutzer von der Datenschutzlücke betroffen sind. Lediglich diejenigen, die keine zusätzlichen datenschutzrechtlichen Maßnahmen vorgenommen haben, könnten davon betroffen sein. Aber auch wenn euer Konto nicht in diesem Zeitraum erstellt wurde, solltet ihr im Sinne des deutschen Datenschutzrechts (BDSG § 9) zusätzliche Vorkehrungen treffen, denn die Hamburger Datenschutzbehörde empfiehlt allen die Löschung der Daten, wenn sie nicht geschützt wurden. Somit sollten wir alle die Hinweise ernst nehmen und unsere Daten vor nicht legitimem Gebrauch im Internet schützen.

Rechtliche Hintergründe zur Datenschutz Debatte

Anlass für den Aufruhr war auch die Veröffentlichung von Daten der Hamburger Datenschutzbehörde. Diese befassten sich mit der Frage, ob der Gebrauch von Google Analytics trotz Kündigung des Safe Harbor Abkommens nach deutschen Datenschutzregeln möglich sei. Glücklicherweise ist man zu folgendem Schluss gekommen:

„Nach Abschluss der formalen Prüfung stellt der HmbBfDI für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit folgende Voraussetzungen erfüllt sind:“

Folgende Voraussetzungen sind zu beachten:

  • Die Nutzung von Google Analytics darf lediglich gem. § 15 Abs. 3 TMG zur Erstellung von pseudonymisierten (anonymen) Nutzungsprofilen erfolgen
  • Es muss ein Vertrag zur sog. Auftragsdatenverarbeitung zwischen Google Inc. und den Benutzern abgeschlossen werden
  • Bisher vorgegebene technische, rechtliche sowie organisatorische Maßnahmen sollen weiterhin umgesetzt werden

Wie ihr Google Analytics datenschutzkonform und rechtssicher einrichtet

Folgende Maßnahmen müssen zum Datenschutz umgesetzt werden:

  • Erstellt einen Hinweis in eurer Datenschutzerklärung aus dem hervorgeht, dass Daten auf eurer Website durch Google Analytics gesammelt werden und bietet zudem Widerspruchsmöglichkeiten für Webseitenbesucher
  • Implementiert eine sog. Opt-out-Funktion auf eurer Webseite (bezüglich Newsletter und Datenspeicherung von Besuchern)
  • Passt den Google Analytics Code an und benutzt eine IP-Anonymisierung
  • Löscht alte Kontos/Daten, die unrechtmäßig erhoben wurden

Es können in Zukunft Änderungen bezüglich Datenschutz, ePrivacy & DSGVO aufkommen

Auch wenn dieses Mal nicht viele von der Gefahr des Privacy Verlustes getroffen wurden, sollte man die Entwicklung dieser rechtlichen Vorgaben im Auge behalten, da bereits im März 2018 die sog. EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft tritt. Diese wird neue ePrivacy-Richtlinien beinhalten und somit die digitale Kommunikation & Webanalyse erneut neu definieren. Eine frühzeitige Rechtsberatung wird ebenfalls von Experten empfohlen, da ab Mai 2018 schwere Strafen für Verstöße drohen, die jedes Unternehmen betreffen könnten.