Google Analytics ist datenschutzkonform nutzbar!?

Es ist eine kleine, jedenfalls unerwartete Sensation. Der Hamburgische Datenschutzbeauftragte Caspar bestätigt, dass Google Analytics nach weiteren Anpassungen datenschutzkonform nutzbar ist. Damit geht ein langes Ringen zwischen Google und den Datenschützern zu ende.

Was war der Vorwurf und wie ist er nun gelöst worden?

Google Analytics wurden drei Dinge vorgeworfen: Einerseits IP-Adressen ohne die nach Ansicht der Aufsichtsbehörden erforderlichen Einwilligung in die USA zu übermitteln. Andererseits war der Vorwurf, Google würde Profile im Sinne von § 15 Abs. 3 TMG erstellen ohne eine ausreichende Widerrufsmöglichkeit zu bieten. Schließlich sei Google Analytics ein klassischer Fall der Auftragsdatenverarbeitung der den Anforderungen des § 11 BDSG nicht genüge.

Bereits vor einigen Monaten hatte Google nachgebessert und ein Opt-Out Plugin sowie eine Anonymisierungsmöglichkeit vorgestellt. Beide waren jedoch weiterhin als unzureichend angesehen worden, da einerseits nicht alle Browser erfasst wurden und die IP-Adressen erst nach Übermittlung in die USA anonymisiert wurden.

Nun hat Google anscheinend drei Dinge geändert:

  1. Google bietet nun für alle gängigen Browser AddOns an
  2. Die Daten werden in Europa anonymisiert
  3. Google schließt mit Kunden eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung nach § 11 BDSG

Das klingt alles schön und gut. Der reinen Lehre folgend wid man sich jedenfalls hinsichtlich der ersten Lösung verwundert die Augen reiben. Sowohl Google als auch der Landesdatenschutzbeauftragte geben zu, dass alle gängigen Desktop-Browser eine Opt-Out Lösung bieten (IE, Firefox, Chrome, Safari und Opera). Da weder Spartenbrowser noch Smartphones und TabletPCs hiervon erfasst sind, ist jedenfalls mit solchen Geräten ein Widerspruch nach § 15 Abs. 3 TMG weiterhin nicht möglich. Erstaunlich, dass dies jedoch hier als vernachlässigbar angesehen wird.

Die Vereinbarung zur Auftragsdatenverarbeitung ist zudem ein noch nie dagewesenes Novum. Wie Kollege Ferner schreibt, bleibt abzuwarten, ob dies eine abschreckende Hürde für Nutzer darstellt.

Update 13:40: Der Kollege Stadler hat sich bereits die Zeit genommen, die Vereinbarung zur Auftragsdatenverarbeitung genau anzuschauen und auch deren Erforderlichkeit hinterfragt. Da eine Anonymisierung allerdings erst NACH einer Übermittlung an Google (unklar bleibt ob Google Deutschland, Google Inc. oder eine andere Gesellschaft des Konzerns gemeint ist) erfolgt, ist insoweit weiterhin eine Datenschutzerklärung und wohl auch die Vereinbarung zur Auftragsdatenverarbeitung erforderlich.

 

Update: Einer vertieften Analyse habe ich einen gesonderten Blogpost gewidmet.

4 Kommentare Schreibe einen Kommentar

  1. Das ist mir jetzt zu undifferenziert. Wer ist Google (DE oder US)?

    Wenn die Daten tatsächlich in Europa anonymisiert werden, dann stellt sich schon die Frage, welche Daten Google (USA) im Auftrag noch verarbeiten soll, zumal Caspar ja sagt, die Anonymisierung würde vor jeder Speicherung der IP-Adressen stattfinden.

    Da passt einiges nicht zusammen

    • Das da einiges nicht zusammenpasst ist mir durchaus bewußt. Ich denke nur, dass weiterhin eine Datenübermittlung stattfindet (ich sehe jedenfalls keine Änderung am anonymize Code).

      Ich habe die ADV bislang nur überflogen. Hatte aber auch den Eindruck, dass da einiges nicht passt.

  2. Pingback: Keine Bedenken mehr gegen Google Analytics | Recht und Netz

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.


Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>