Webstatistiken wie Google Analytics geraten immer wieder ins Visier von Datenschutz – Aufsichtsbehörden. Darum sollten Websitebetreiber, die Google Analytics einsetzen, einige wichtige Punkte beachten, um den gesetzlichen Vorgaben möglichst zu entsprechen.
1. IP-Adressen anonymisieren
Setzen Websitebetreiber Google Analytics ein, werden die erhobenen Nutzerdaten einschließlich der IP-Adresse an einen Google Server in den USA übertragen, dort gespeichert und verarbeitet. Aus diesem Grund war und ist der kostenlose Dienst bei Datenschützern umstritten.
Laut dem Telemediengesetz (TMG) sind Werbeanalysen und Marktforschung nur dann erlaubt, wenn die Daten pseudonymisiert respektive anonymisiert verwendet werden. Datenschützer definieren die IP-Adresse allerdings als personenbezogen. Da diese einer Person zugeordnet werden kann, gilt sie nicht als pseudonym beziehungsweise anonym. Websitebetreiber dürfen sie daher nur mit Einverständnis der Nutzer erfassen. Liegt dieses nicht vor, muss die IP-Adresse anonymisiert werden – mittels der Funktion „anonymizeIp“. Durch die Einbindung der Codezeile aus dem Google Hilfecenter „anonymizeip“ werden die 8Bit der IP-Adresse nicht ins Tracking Log aufegnommen und somit anonymisiert. Die Anonymisierung erfolgt jedoch nicht automatisch. Der Websitebetreiber muss diese Funktion selbst einbinden, das heißt, den Trackingcode anpassen.
Zwei Varianten des Trackingcodes sind aktuell gebräuchlich:
• Asynchron:
• Klassisch/Synchron:
Bei neuen Analytics – Profilen ist die asynchrone Variante mittlerweile Standard. Die Funktion „anonymizeIp“ kann aber beiden Codes hinzugefügt werden. Der Websitebetreiber muss die Funktion „anonymizeIp“ auf allen Seiten im Analytics-Trackingcode anpassen.
Die eingefügte Codezeile übersendet dem Trackingcode den Parameter „aip=1“. Dadurch erkennt Google Analytics, dass die IP-Adresse nicht vollständig verarbeitet werden soll.
Der Knackpunkt dabei: Erst nach der Übertragung zu Google wird die IP-Adresse gekürzt. Sollen die IP-Daten gar nicht erst zu Google gelangen, kann ein Proxyscript oder Proxyserver verwendet werden. Dabei wird die Anfrage über einen dritten Server geleitet, bevor sie bei Google ankommt.
2. Widerspruchsrecht ermöglichen
Laut TMG muss dem Nutzer auch die Möglichkeit eingeräumt werden, der Erstellung seiner Nutzungsprofile, also dem Tracking, widersprechen zu können. Hierfür dient ein von Google erstelltes Browser-Plugin. Installiert der Nutzer dieses Plugin, unterbindet er das Google Tracking – auf jeder besuchten Website. Das Plugin ist jedoch nicht mit den Browsern Opera sowie Safari kompatibel.
3. Angepasster Datenschutzhinweis
Werden von Webstatistik Tools Nutzerprofile erstellt, muss der Nutzer laut TMG darüber informiert werden. Setzen Websitebetreiber Google Analytics ein, müssen sie die Nutzung zwingend in der Datenschutzerklärung beziehungsweise im Impressum angeben. Dazu gibt Google die Verwendung eines speziellen Textes, der in den Google Analytics AGBs angegeben ist, vor. Siehe dazu:
Dieser Text informiert jedoch nicht über die Anonymisierung und Widerspruchsmöglichkeit. Dieser Passus ist vom Websitebetreiber selbst zu ergänzen. Zusätzlich soll auf die Möglichkeit zur Deaktivierung mittels Browser-Plugin hingewiesen werden.
5 Punkte Datenschutz – Check:
1. Tracking – Code mit der Funktion „anonymizeIp“ ergänzen
2. Datenschutzhinweis anpassen
3. Diesen um Möglichkeit der Anonymisierung und Widerspruchsrecht ergänzen
4. Auf Google Browser-Plugin hinweisen
5. Stellungnahmen der Datenschützer verfolgen
This post was last modified on 14. April 2018