Google Analytics datenschutzkonform einsetzen

Google AnalyticsAusgangssituation

Die Aufsichtsbehörden diskutierten bereits seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics.

Auf Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasster Datenschutzhinweis
  5. Löschung von Altdaten (bestehende Google Analytics Profile)

1. Vertrag zur Auftragsdatenverarbeitung

Da nach Ansicht der Aufsichtsbehörden Webseitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.

2. IP-Adressen anonymisieren

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung „anonymizeIp“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Aktuell werden zwei Varianten des Tracking-Codes genutzt:

  • Universal Analytics
  • Klassisches Analytics

Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden.

Datenschutz mit “Universal Analytics”:

Der datenschutzkonforme Tracking-Code für Universal Analytics könnte wie folgt aussehen:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,'//www.google-analytics.com/analytics.js’,'ga’);

ga(‘create’, ‘UA-XXXXXXX-X’, ‘website.de’);
ga(‘set’, ‘anonymizeIp‘, true);
ga(‘send’, ‘pageview’);

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

Datenschutz mit “Klassisches Analytics”:

Der datenschutzkonforme Tracking-Code für Klassisches Analytics könnte wie folgt aussehen:

<script type=”text/javascript”>

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

3. Widerspruchsrecht

Daneben ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.

Normalerweise erfolgt dies durch das Setzen eines entsprechenden Cookies. Google hat sich jedoch für einen anderen Weg entschieden und bietet ein Deaktivierungs-Add-on für Browser an, auf das auch im Datenschutzhinweis (siehe 4.) hinzuweisen ist. Durch dieses Add-on wird verhindert, dass Google Analytics auf den besuchten Webseiten ausgeführt wird. Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar, was von den Aufsichtsbehörden beanstandet wurde. Google hat nun eingelenkt und die Browser Safari sowie Opera hinzugefügt, so dass nunmehr sämtliche gängigen Browser berücksichtigt sind.

4. Angepasster Datenschutzhinweis

Die Nutzung von Google Analytics ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.

Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.

Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt) kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit den von uns vorgeschlagenen Ergänzungen versehen. Diese Ergänzungen sind rot markiert:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter http://www.google.com/intl/de/analytics/privacyoverview.html. Wir weisen Sie darauf hin, dass auf dieser Webseite Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Gerne kann unsere Formulierung unter Angabe der Quelle
www.datenschutzbeauftragter-info.de übernommen werden.

Englische Version des Datenschutzhinweises anzeigen »

This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). 
Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website (including your IP address) will be transmitted to and stored by Google on servers in the United States. 
In case of activation of the IP anonymization, Google will truncate/anonymize the last octet of the IP address for Member States of the European Union as well as for other parties to the Agreement on the European Economic Area. 
Only in exceptional cases, the full IP address is sent to and shortened by Google servers in the USA. 
On behalf of the website provider Google will use this information for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing other services relating to website activity and internet usage to the website provider. 
Google will not associate your IP address with any other data held by Google. 
You may refuse the use of cookies by selecting the appropriate settings on your browser. However, please note that if you do this, you may not be able to use the full functionality of this website. 
Furthermore you can prevent Google’s collection and use of data (cookies and IP address) by downloading and installing the browser plug-in available under https://tools.google.com/dlpage/gaoptout?hl=en-GB.

Further information concerning the terms and conditions of use and data privacy can be found at http://www.google.com/analytics/terms/gb.html or at http://www.google.com/intl/en_uk/analytics/privacyoverview.html. 
Please note that on this website, Google Analytics code is supplemented by “gat._anonymizeIp();” to ensure an anonymized collection of IP addresses (so called IP-masking).

Sollten Sie Erweiterungen von Google Analytics verwenden, um zusätzliche Daten auszuwerten, müssen Sie auch hierauf hinweisen. Für die Auswertung von Daten aus Adwords oder dem DoubleClick-Cookie können Sie z.B. folgenden Hinweistext verwenden:

Wir nutzen Google Analytics zudem dazu, Daten aus AdWords und dem Double-Click-Cookie zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

5. Löschung von Altdaten (bestehende Google Analytics Profile)

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Fazit

Die Einigung der Aufsichtsbehörden und Google zeigt, dass auch Google daran interessiert ist, Rechtsunsicherheiten beim Einsatz von Google Analytics zu beseitigen und nun einen datenschutzkonformen Einsatz zu ermöglichen. Aktuell kann jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen. Hierzu halten wir Sie auch weiterhin auf dem Laufenden.

Stand: 13.05.2013

Datenschutzbeauftragter

Über die Autoren:

Unsere Autoren sind spezialisierte Juristen mit Kompetenzen auf den Gebieten Datenschutz, Recht und IT. Jeder Einzelne verfügt über ein umfassendes Erfahrungsspektrum als Externer Datenschutzbeauftragter.

Tags:
, , , , , , ,
 

72 Kommentare zum Beitrag “Google Analytics datenschutzkonform einsetzen”

  1. Herbert Stelzenmüller schreibt:

    11. Januar 2011 um 18:43

    Ich (nahezu 85 J.) nutze Analytics Google auschließlich, um eine Einschätzung der Häufigkeit des “Besuchs” meiner 7 Websites, ausschließlich die Psychobiologie von Hans Lungwitz behandelnd, zu erlangen – zu nichts anderem. Mir ist, bislang jedenfalls, eine mögliche Rechtswidrigkeit meines (auschließlich wissenschaftlich-humanitären Zwecken dienenden) Handelns so gut wie völlig unbekannt gewesen. An wen kann man sich wenden, um etwa mit meinen in Rede stehenden ‘Arbeiten’ unliebsame Schritte insbes. juristischer Art mir gegenüber zu vermeiden? Für Aufklärung hierüber wäre ich sehr dankbar. (H.Stelzenmüller)

  2. Dr. Datenschutz schreibt:

    12. Januar 2011 um 10:43

    Sehr geehrter Herr Stelzenmüller,

    vielen Dank für Ihren Kommentar. Der Düsseldorfer Kreis hat den Einsatz von Webanalysetools im November 2009 eingehend diskutiert und schließlich Eckpunkte zum datenschutzkonformen Einsatz solcher Programme verabschiedet.

    Bereits jetzt ist der Einsatz von Google Analytics in seiner ursprünglichen Fassung (wie z.B. bei Ihnen) als nicht datenschutzkonform einzustufen. Die von Ihnen verfolgten Zwecke lassen sich ohne weiteres auch bei Einsatz der im obigen Artikel beschriebenen Maßnahmen weiterhin erreichen. Insoweit können wir Ihnen nur raten:

    • den Google Analytics-Code entsprechend anzupassen,
    • auf das bestehende Widerspruchsrecht hinzuweisen und
    • den Datenschutzhinweis anzupassen bzw. einen solchen zu erstellen!

    Denn der Einsatz von Google Analytics ist laut Nutzungsbedingungen von Google Analytics zwingend im Impressum bzw. in der Datenschutzerklärung anzugeben!

    Aktuelle Diskussion:
    Um Google Analytics wird aktuell erneut viel diskutiert und es ist zu erwarten, dass der Düsseldorfer Kreis das Thema Google Analytics demnächst auf die Tagesordnung setzen wird. Dann ist auch mit einer eindeutigen Positionierung zum „angepassten“ Einsatz von Google Analytics zu rechnen…

  3. Sebastian schreibt:

    14. Januar 2011 um 13:37

    Was ist dann eigentlich mit anderen Dienstleistungen von Google? z.B. lässt sich Google Maps als IFrame auf der eigenen Website einsetzen, und hier werden sicherlich ebenfalls Statistiken erfasst, die die vollständige IP-Adresse erfassen. Oder Google AdSense, auch hier werden bestimmt Statistiken erfasst.

    Ich verstehe auch die Problematik nicht ganz: gilt das deutsche Datenschutzgesetz nur für in Deutschland gehostete Webseiten/Services? Was ist wenn ich meine deutsche Website/Service auf einem Server in den USA hoste ? Brauche ich dann unser Datenschutzgesetz nicht einhalten? Was für ein Spaß wird das bei einer in der Cloud gehosteten Website, wenn man als Betreiber noch nicht mal mehr weiß wo der Server eigentlich steht. Oder ist nur wichtig, welchen Firmensitz der Betreiber hat?

  4. Felix schreibt:

    15. Januar 2011 um 10:11

    Hallo,

    danke für den hilfreichen Artikel.

    Allerdings wäre es gut – auch wenn dies eher eine Frage der technischen Umsetzung ist – darauf hinzuweisen, dass die oben beschriebene Anonymisierungsmethode nur im aktuellen Asynchron-Snippet von Google Analytics funktioniert. Leute, die das alte Snippet ga.js auf ihrer Website einsetzen, müssen ihren Code hingegen wie folgt anpassen:


    var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
    pageTracker._gat._anonymizeIP();
    pageTracker._trackPageview();

    (Quelle: http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html )

    Ich teile dies hier nur mit, weil es nach meiner Erfahrung immer mal vorkommt, dass unbedarftere Webseitbetreiber das alte Snippet mit:

    _gaq.push(['_gat._anonymizeIp']);

    ergänzen. Und das funktioniert nicht! Sie wiegen sich dann im falschen Glauben, dass sie sich damit um den Datenschutz genügend gekümmert hätten, und Google Analytics speichert weiterhin die vollständige IP.

    Viele Grüße
    Felix

  5. Dr. Datenschutz schreibt:

    18. Januar 2011 um 10:38

    @Felix:

    Danke für die Ergänzung!

    @Sebastian:

    Die internationale Anwendbarkeit des Bundesdatenschutzgesetz (BDSG) ist in § 1 Abs. 5 BDSG geregelt.

    Beim Cloud Computing ist die zentrale Frage stets, welches nationale Datenschutzrecht überhaupt Anwendung findet.

    · Werden Daten durch eine verantwortliche Stelle mit Sitz in einem anderen Mitgliedstaat der EU oder des EWR in Deutschland erhoben, verarbeitet oder genutzt, ist das BDSG nicht anwendbar. Ausnahme: Hat das jeweilige Unternehmen jedoch eine Niederlassung in Deutschland, gilt das BDSG weiterhin. Interessant ist in diesem Zusammenhang auch die Frage, ob ein in Deutschland betriebenes Rechenzentrum bereits als Niederlassung zu werten ist, was wohl zu bejahen ist.

    · Für Unternehmen außerhalb der EU bzw. des EWR gilt das Territorialprinzip, so dass bei einer Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium das BDSG anwendbar bleibt.

    Der Einsatz von Clouds bringt eine Vielzahl von juristischen Herausforderungen mit sich, so dass es stets der Einzelfallprüfung durch einen Experten bedarf.

  6. Markus schreibt:

    18. Januar 2011 um 12:56

    An dem Browserplugin stören sich die DSBs derzeit, man kann mit ein wenig JavaScript ein ansprechender Lösung bauen, s. http://www.econtrolling.de/datenschutz-google-analytics/

  7. Klaus Blömeke schreibt:

    20. Januar 2011 um 17:30

    Sehr geehrte Damen und Herren,

    die Diskussion verfolge ich nun schon seit einiger Zeit sporadisch. Das Problem erschließt sich mir aber an keiner Stelle.

    Zunächst einmal ist die IP nicht personenbezogen, sondern zugangsbezogen. Selbst wenn die Daten zur IP zur Verfügung stünden, könnte man aus der IP nicht zurückschließen, ob Kollege Michael vom Schreibtisch nebenan oder ich gerade über diesen Zugang eine Webseite besucht habe.

    Zweitens zeigt Google Analytics die IP-Adressen in keiner Auswertung an. D. h. über Analytics kann kein Webmaster dieser Welt IP-Adressen einsehen.

    Allerdings kann jeder Webmaster auf viel einfacherem Weg die IP-Adressen aus den Server-Logfiles seines Providers extrahieren. Alle uns bekannten Provider stellen derartige Logfiles zur Verfügung. Sollten solche Logfiles nicht mehr zur Verfügung stehen, kann sich jeder halbwegs begabter Webmaster die IP-Adressen über php in eine Datenbank schreiben, dies würde man dem Quellcode der Seite nicht einmal entnehmen können. Anders ausgedrückt: Wer die IP-Adressen haben will, kann sie sich besorgen, nur nicht über Analytics.

    Wenn die IPs nun bekannt sind, ist man noch keinen Schritt weiter. Die IP-Adressen gehören üblicherweise einem Serviceprovider, der diese automatisch und dynamisch, d. h. wechselnden Besitzern zuteilt. Wem eine bestimmte IP zu einem bestimmten Zeitpunkt zugeordnet war, bekommt man vom Provider ohne Staatsanwalt nicht mitgeteilt.

    Fazit:
    1. Die IP-Adressen sind auf verschiedenen Wegen mit extrem geringen Aufwand zu erhalten, über Google Analytics jedoch nicht.
    2. Über die IP-Adresse personenbezogene Daten zu erhalten ist extrem aufwändig und nur in Ausnahmefällen möglich.

    Also wo liegt eigentlich das Problem?

    Mit besten Grüßen,

    Klaus Blömeke

  8. Dr. Datenschutz schreibt:

    24. Januar 2011 um 16:34

    Sehr geehrter Herr Blömeke,

    ob IP-Adressen als personenbezogene Daten anzusehen sind, ist in Deutschland bislang nicht obergerichtlich entschieden. Inzwischen sind IP-Adressen jedoch in diversen europäischen Ländern als personenbezogene Daten anerkannt.

    Unserer Ansicht nach sind IP-Adressen als personenbezogene Daten anzusehen, da sie zumindest personenbeziehbar sind. Diese Auffassung teilen auch die Landesdatenschutzbehörden…

  9. Sender schreibt:

    31. Januar 2011 um 11:37

    Natürlich sind IP-Adressen personenbezogen. Aber nur unter Verwendung der temporären Zuordnung. Diese liegt wie Herr Blömeke schön darlegte beim Provider. Da man an diese Daten nur mit rechtlichen Schritten kommt, denke ich, hier sei ausreichende Datensicherheit gegeben. Im Prinzip sind dann doch auch alle KFZ-Kennzeichen nicht dem Datenschutz entsprechend und müssten anonymisiert werden. Wobei diese sich nicht täglich ändern und schon anhand des Fahrzeugtyps und der Kennung eine Zuordnung erleichtert würde. Schließlich korelliert das Kennzeichen häufig mit den ersten beiden Buchstaben des Namens sowie teilen des Geburtsdatums.

    Generell wird mir diese Abgrenzung noch nicht so ganz klar.

  10. Dr. Datenschutz schreibt:

    1. Februar 2011 um 09:38

    Infos zum Thema finden Sie unter:

    http://www.datenschutzbeauftragter-info.de/ip-adressen-personenbezogene-daten/

  11. Anonymous schreibt:

    3. Februar 2011 um 07:55

    “[...] nur bei vorheriger und ausdrücklicher Einwilligung der Betroffenen zulässig sei. Da dies in der Praxis nicht gewährleistet werden kann [...]”

    Das ist nicht richtig.

    Man kann sehr wohl vor der Nutzung der eigentlichen Website die Einwilligung einholen. Sollte diese Einwilligung verweigert werden, kann man z.B. per PHP den Google Code gar nicht erst integrieren. Somit sind auch Quereinstiege in die Website ohne Einwilligung zu regulieren.

    MfG,
    Chb

  12. Klaus Blömeke schreibt:

    10. März 2011 um 11:45

    Wie Sender schreibt, sind die IP-Daten in den allermeisten Fällen temporär vergeben. Als personenebezogen kann ich das nicht sehen, denn die IP wird einem Rechner, einem Modem oder einem Router zugeteilt, nicht einer Person. Welche Person hinter diesem Rechner sitzt ist nicht technisch nicht ermittelbar, so wie aus einem Auto-Kennzeichen nur der Halter, nicht jedoch der Fahrer zu ermitteln ist.

    Abgesehen davon identifizieren verschiedene Dienste Nutzer tatsächlich persönlich. Wenn ich bei FaceBook angemeldet bin, kann FaceBook mein Surfverhalten auf dritten Seiten verfolgen, wenn diese Social Plugins (z. B. der Like-Button) verwenden. Fraglich, ob FaceBook hier als Dritter gilt, schließlich habe ich mit FaceBook freiwillig eine Beziehung eingegangen. Ähnliches gilt für Firmen, die Partner-Programme betreiben (Amazon als populärstes Beispiel).

    Der Witz an der Sache ist, dass sich für die IP als personenbezogenes Datum kein Webmaster interessiert. Über die IP erfolgt bestenfalls eine regionale Zuordnung (“aus welcher Region kamen meine Besucher”). Das Tracking sämtlicher mir bekannten Dienste erfolgt immer über Coockies, nie über die IP (das gilt z. B. für Google Analytics, FaceBook etc.) Cookies sind aus sicht derer, die zählen wollen, der mit Abstand bessere Weg, da sie den Wechsel der IP überleben. Anhand solcher Cookies können z. B. auch Nutzer differenziert werden, die über die gleiche IP surfen. Dieses Verfahren ist
    1. mit Abstand personenbezogener
    2. für den zählenden Dienst mit Abstand zuverlässiger.

    Vor diesem Hintergrund ist aus meiner Sicht die Diskussion, ob IPs personenbezogen sind oder nicht, weltfremd und ein Nebenkriegsschauplatz. Jeglicher datenschutzrechtlich bedenkliche Unfug, den jemand über das Tracken von Besucher betreiben könnte, wird über Cookies und nicht über die IP betrieben. Nun kann man zwar argumentieren, dass jeder Nutzer selber die Coockies ausschalten könnte, das kommt aber in der Praxis so gut wie nicht vor. Die meisten Webseiten mit Login-Funktion (Onine-Banking, Webmailer, Facebook, Twitter, Onlineshops…) funktionieren mit deaktivierten Cookies nicht. Anders ausgedrückt: Natürlich kann jemand selbst entscheiden, ob er aus datenschutzrechtlichen Bedenken Cookies deaktivert, dann funktioniert eben sein Internet weitestgehend nicht mehr. Diese Argumentation ist gleich sinnvoll wie die Argumentation: Wer seine IP nicht preisgeben will, soll halt offline bleiben.

    Und nebenbei: Auch Ihre Webseite hat mich anhand von einem Cookie wiedererkannt, nicht anhand meiner IP

    Mit besten Grüßen,

    Klaus Blömeke

  13. TriffiD schreibt:

    28. Mai 2011 um 13:41

    Ich bin zwar auch der Meinung, dass das alles fürchterlich überzogen ist, aber die Argumentation von Herrn Blömeke greift sicher zu kurz. Es mag zwar sein, dass die meisten IP-Adressen temporär vergeben werden, aber man darf ja auch den Schutz der wenigen Fest-IPler nicht außer Acht lassen. Diese sind in der Tat oft leicht und direkt zuzuordnen und nur weil deren Zahl gering ist, sind sie ja nicht weniger Schutzwürdig.
    Auch der Facebook-Vergleich greift hier nicht, denn als Facebook-Nutzer hat man den Datenschutzrichtlinien von Facebook vorab explizit zugestimmt. Das ist in der Regel nicht der Fall, wenn ich irgendeinen Internet-Shop oder eine private Homepage besuche.

    Ich hoffe, dass es hier bald eine Klärung gibt, denn als Instrument zur Kontrolle der Treffsicherheit der Unternehmensseiten, die ich betreue war Analytics in der Vergangenheit unschätzbar.

  14. t3n.de/socialnews schreibt:

    12. August 2011 um 17:33

    Google Analytics datenschutzkonform einsetzen…

    Eine Klagewelle rollt durch Deutschland – es geht um Google Analytics. Wie man sich schützt und das Analysetool Datenschutzkonform einsetzt, erfährt man in diesem Bericht….

  15. webalytics schreibt:

    21. September 2011 um 05:51

    Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  16. Medina schreibt:

    24. September 2011 um 20:27

    Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  17. Dr. Datenschutz schreibt:

    26. September 2011 um 10:41

    Alternativen zu Google Analytics findet man hier:
    http://t3n.de/magazin/17-tools-website-analyse-alternativen-google-analytics-222450/
    http://www.gutestun.org/google/17-google-analytics-alternativen/

  18. digi schreibt:

    12. Oktober 2011 um 16:49

    [...] 5. Löschung von Altdaten (bestehende Google Analytics Profile)

    Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen [...]

    Heißt das jetzt wirklich, dass ALLE Google Analytics Profile gelöscht und wieder neu erstellt werden müssen???
    Wenn ja, bis zu welchem Datum sind diese als “alt” einzustufen?

  19. Dr. Datenschutz schreibt:

    12. Oktober 2011 um 17:14

    Hallo digi,

    unter Altdaten fallen sämtliche Daten, die vor dem datenschutzkonformen Einsatz erhoben wurden.

    Hierzu auch (vgl. Ziffer 4): http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf

  20. Markus825f schreibt:

    19. Oktober 2011 um 10:28

    Muß der Vertrag für Google Analytics auch von einem österreichischen Unternehmen unterschrieben werden, das in Österreich unter der top level domain “at.” eine website betreibt, welche aber von einem deutschen Unternehmen mit Sitz in München gehostet wird?

    danke im voraus

  21. Dr. Datenschutz schreibt:

    19. Oktober 2011 um 10:55

    Hallo Markus825f,

    die Anwendbarkeit des BDSG richtet sich in Ihrem Fall nach § 1 Abs. 5 Satz 1 BDSG:

    “Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.”

    Ob in Ihrem Fall das BDSG anwendbar ist, ist genau zu prüfen. Nach Ihren knappen Ausführungen erscheint mir dies jedoch nicht der Fall zu sein. Vielmehr sind das österreichische DSG sowie die in A geltenden Regelungen zum Einsatz von Webseitenanalysetools zu beachten.

  22. Annika Brinkmann schreibt:

    25. Oktober 2011 um 00:06

    Bitte bei der nächsten Runde mobile Browser berücksichtigen! Das Ziel sollte sein dass es hierfür keine Browserweiche geben muss und es auch rechtlich egal ist, auf welchem Gerät eine Seite aufgerufen wird. Hierzu am besten an die Fachgruppe Mobile des BVDW wenden.

    Außerdem wäre es interessant zu wissen, ob und in welchem Umfang der Text auch in englischen Versionen von deutschen Seiten in das Impressum mit rein muss.

    Vielen Dank,
    Annika Brinkmann

  23. Dr. Datenschutz schreibt:

    25. Oktober 2011 um 15:35

    Hallo Frau Brinkmann,

    ich stimme Ihnen zu! Bei den inzwischen verfügbaren Deaktivierungs-Add-on muss auch eine Lösung für mobile Endgeräte erarbeitet werden.

    Sofern Webseiten auch auf Englisch angeboten werden, empfiehlt es sich Datenschutzerklärung sowie Impressum mit zu übersetzen.

  24. toskka schreibt:

    24. November 2011 um 17:25

    Hallo,
    in diesem Zusammenhang stellt sich mir die Frage, ob auch eine datenschutzkonforme Möglichkeit zur Nutzung von Google Maps besteht, das wie in obigem Beispiel IP-Adressen anonymisiert. Beispiel: Firma A bietet seinen Kunden in einer Webanwendung den Maps Kartendienst zur Nutzung von Routenberechnung zu Kunden der Firma an. Google könnte doch hier aufgrund der IP Adressen ein Bewegungsprofil erstellen.

  25. Dr. Datenschutz schreibt:

    25. November 2011 um 10:14

    Technisch denkbar wäre das, allerdings bietet Google derartige Nutzerdaten für Seitenbetreiber (hier Firma A) nicht an.

  26. Andreas schreibt:

    27. November 2011 um 16:25

    Hallo,

    wie funktioniert das mit dem Newsletterpogramm Mailchimp. Mailchimp nutzt ja Google Analytics und ich kann auch sehen wer was anklickt.

    Wie könnte ich das anonymisieren? Muss ich da einen Hinweis in mein Impressum schreiben?

    Vielen Dank

    Andreas

  27. Dr. Datenschutz schreibt:

    28. November 2011 um 12:00

    So pauschal lässt sich das nicht beantworten. Entscheidend ist zunächst, was von Mailchimp an Informationen erfasst wird. Entscheidend ist hier die Frage des Personenbezugs bzw. der Personenbeziehbarkeit.

    Hier lohnt sich sicherlich eine Anfrage bei Mailchimp.

  28. Estefania schreibt:

    28. November 2011 um 18:29

    Vielen lieben Dank für die ausfürhliche Erklärung. Genau
    nach dieser Funktion hatte ich gesucht:
    _gaq.push (['_gat._anonymizeIp']); LG Estefania

  29. leser schreibt:

    5. Dezember 2011 um 09:38

    Sehr gute Darstellung, was man zu tun hat.

    Unter 4. muss der Text allerdings korrigiert werden.

    Derzeit:

    “Hierzu ist in den eine Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“) vor. “

  30. Dr. Datenschutz schreibt:

    5. Dezember 2011 um 19:07

    @leser: Danke. Ist geändert.

  31. Raik Vogtländer schreibt:

    23. Januar 2012 um 11:06

    Vielen Dank!!! Genau diese Informationen habe wir gesucht! Wir werden jetzt prüfen in wie weit uns dieses Vorgehen genügt und ob wir damit Google Analytics verwenden können.

  32. Jutta Florence Pompe schreibt:

    1. April 2012 um 16:12

    Danke für den hilfreichen Artikel, das ist im Internet noch gar nicht so richtig durchgesickert, dass man GA jetzt auf datenschutzkonform umstellen kann, ist aber ganz einfach. Grüße, J.Pompe

  33. Andreas schreibt:

    4. April 2012 um 14:29

    was mich viel mehr interessiert ist, warum google nicht von vorne herein den tracking code so umstellt, damit es passt. sind doch eigentlich zusätzliche steine, die man hier in den weg gelegt bekommt.

  34. RW schreibt:

    12. April 2012 um 16:02

    Hallo,

    sind meine Daten beim Besuch der Webseite nicht bereits bei Google Analytics vorhanden? Wenn ich das richtig verstanden habe, hat ein user die Möglichkeit (zumindest im Falle, dass er einen der unterstützten Browser nutzt) die Möglichkeit, seine Daten KÜNFTIG nicht mehr weiterzugeben. Aber was ist mit den alten Daten? Insbesondere die Daten, die durch den Aufruf des Datenschutzhinweises aufgezeichnet werden?

    Grüße R.W.

  35. Dr. Datenschutz schreibt:

    13. April 2012 um 17:09

    Hallo R.W.,
    leider ist uns nicht möglich auf diese Frage zu antworten, da die Datenschutzerklärung von Google uns darüber keine Informationen gibt. Grundsätzlich müssen die Altdaten gelöscht werden, ob dies aber auch gemacht wird, kann uns nur die Google sagen.

  36. lb schreibt:

    16. April 2012 um 15:20

    Hallo, folgendes Problem; wir haben uns dafür entschieden kein GA mehr auf unserer Seite zu nutzen und sind auf einen anderen Tracker mit Opt Out umgestiegen. Alles schön in die DS-Erklärung formuliert. Rechtsanwalt sagt alles ist i.O.
    Nun nutzen wir ein Plugin von Vimeo und schon haben wir GA wieder auf der Seite, bzw. wird von Ghostery wieder angezeigt. Wie kann man das Tracking über GA unterbinden? Wir sind ja nicht derjenige, der die Daten trackt.

  37. Michael schreibt:

    5. Mai 2012 um 22:58

    Hallo, vielen Dank für den tollen Bericht. Wir haben einen Brief von der Aufsichtsbehörde erhalten und sollen nun das Google Profil löschen, was doch einfach nicht sein kann. Es muss doch eine Möglichkeit geben die Daten bei Google nachträglich anonymisieren zu lassen. Datenschutz ist wichtig, doch anstatt alle Webseitenbetreiber zu “bestrafen” sollten sich die zuständigen Herren und Damen lieber mit Google in Verbindung setzen, dass dort an einer serverseitigen Lösung gearbeitet wird. Wenn das erfassen von IP Adressen (in voller Länge) nicht rechtmäßig ist, muss das Anbieterseitig gelöst werden und nicht dem Webseitenbetreiber auferlegt werden. Wie schwer wird es für Google schon sein, die letzten 3 Ziffern aus der IP zu löschen?! Von dem ganzen Papierkram und Briefen die unsere Behörden da wieder verschicken ganz zu schweigen. Absolute Verschwendung, zwar mit dem richtigen Ziel und trotzdem in die verkehrte Richtung!
    Ich für meinen Teil werde in keinem Fall das Profil löschen, auch wenn Daten “zu unrecht” erfasst wurden. Ich wüsste noch nichtmal ob man überhaupt IP Adressen bei Google sehen kann oder ob die nur intern Verarbeitet werden um die geografische Zuordnung zu erledigen.

  38. derPseudo schreibt:

    11. Mai 2012 um 21:43

    Hallo,
    wo liegt denn jetzt der Nutzen von Google Analytics, wenn eh alles diese AddOn installieren?
    Und lustig ist ja auch, das bis zur Installation trotzdem irgendwelche Daten gespeichert werden.

    Und was ist mit meiner Datenbank? In dieser speicher ich natürlich die IP, den Hoster und einen Zeitstempel, allein schon zu meiner Absicherung.

    Beste Grüße.
    Pseudo

  39. Rainer schreibt:

    24. Mai 2012 um 16:52

    @derPseudo:
    Zunächst einmal werden nicht ALLE gleich das Add-On installieren, wahrscheinlich aus Bequemlichkeitsgründen <10% der Nutzer.
    Ja, bis zur Einführung von "IP-Anonymize" wird natürlich die vollständige IP-Adresse weiterhin an Google übertragen, nur wird man allein damit in den wenigsten Fällen Rückschlüsse auf eine bestimmte Person ziehen können – hinter einer IP-Adresse verbirgt sich i.d.R. ein Unternehmen wie ISPs oder aber Firmen, die sich eine eigene IP reserviert haben (dann braucht es schon deren Log-Files, um auf eine bestimmte Person zu kommen). Anonymizer wie TOR einmal komplett ausgenommen.
    So lange es noch keine rechtverbindlichen Aussagen zur IP-Speicherung und Verwendung für Marketingzwecke gibt, hast Du kein Problem. Willst Du aber erst gar nicht in Probleme laufen, machst Du es wie hier beschrieben. Gruß

  40. Lars schreibt:

    4. Juni 2012 um 12:07

    Hallo zusammen,

    was hat es mit dem Vertrag aus Punkt 1 auf sich, muss dieser zwingend ausgefüllt und an Google gemailt werden?

    Vielen Dank für Eure Info.

    Gruß

  41. Dr. Datenschutz schreibt:

    4. Juni 2012 um 17:14

    @Lars:
    Ein solcher Vertrag zur Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist nach Ansicht der deutschen Aufsichtsbehörden zwingend notwendig, wenn der Betreiber einer Webseite Google Analytics verwendet. Andernfalls kann ein Bußgeld nach § 43 Absatz 1 Nr. 2b BDSG drohen.

    Die Bundesländer Bayern und Nordrhein-Westfalen überprüfen gerade verstärkt das Vorliegen solcher Verträge bei Webseiten-Betreibern, die in ihre Zuständigkeit fallen. Dies ging in letzter Zeit viel durch die Medien

    Wie jeder Vertrag, der der Schriftform bedarf, ist auch dieser von beiden Vertragspartnern – hier Google als Auftragnehmer und dem Webseiten-Betreiber als Auftraggeber – zu unterschreiben. Wenn Sie den Link zum Mustervertrag in unserem Artikel öffnen, steht auf der ersten Seite auch nochmal detailliert, wie das Dokument auszufüllen und abzusenden ist.

  42. Tobias schreibt:

    22. Juni 2012 um 12:04

    Vielen Dank für die übersichtliche Auflistung der Informationen.

    Wie verhält es sich denn, wenn man einen mehrsprachigen Auftritt für eine Webseite hat? Ich meine damit z.B. eine Seite, die eine deutsche und eine spanische Version anbietet und für beide zwei unterschiedliche Analytics-Codes verwendet. Muss man dann auch für die spanische Version die Anpassungen vornehmen, weil Sitz des Inhabers in Deutschland ist?

    Gruß

  43. Dr. Datenschutz schreibt:

    22. Juni 2012 um 16:13

    @Tobias:
    Im Datenschutz gilt das Sitzprinzip, so dass das Recht des Landes anwendbar ist, in dem die datenschutzrechtlich verantwortliche Stelle ihren Sitz hat. In Ihrem Beispiel unterfallen Sie demnach der deutschen Datenschutzaufsicht und sollten sich daher an die Vorgaben der jeweiligen Landesaufsichtsbehörden halten.

  44. Robert schreibt:

    29. Juli 2012 um 08:33

    Tolle Seite, wird alles schön erklärt, vielen Dank!

    Ich finde aber das was der Datenschutz von uns Webmastern verlangt als eine Erbsenzählerei… Ich habe noch nie irgendeinen Nutzen aus den IPs der Leute gehabt und soll nun die Trackingcodes verändern damit kein Schreiben eines Anwalts bei mir im Kasten landet…

    Nein, Danke. Ich habe vorgesorgt. Offshore Server im Ausland, anonyme IPs, kein Impressum und volles Programm bei Analytics. :)

  45. Nicolas schreibt:

    13. August 2012 um 23:04

    Danke für diese guten und wichtigen Hinweise.
    Wir werden es beherzigen!

  46. Bloggii schreibt:

    24. Oktober 2012 um 12:12

    Da zeigt mal die deutsche / EU Gesetzgebung seine beste Seite. Relevanz in der Praxis und in der Gesamtheit im Internet zwecks Datenschutz = 0! Aufwand für eine kleine Website = 100! Da hat Jemand wieder ein super Verhältnis gefunden. Naja, bei den Waisen ist noch nicht ganz angekommen, was Internet ist und wie es funktioniert. Aber in 100 Jahren vielleicht.

  47. Wurde der Vertrag zur Auftragsdatenverarbeitung jüngst von Google verändert? Der bisherige Link wurde deaktiviert! schreibt:

    7. Dezember 2012 um 11:52

    Der im Bericht (oben) genannte Link für den Download (…Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen…) ist offenbar nicht mehr gültig! Via Google Suche findet man unter http://www.google.com/analytics/terms/de.html bzw. unter http://www.google.com/analytics/terms/de.pdf einen solchen Vertrag. Aber ist diese Fassung verändert bzw. in dieser Fassung mit den Aufsichtsbehörden abgestimmt?

  48. Dr. Datenschutz schreibt:

    7. Dezember 2012 um 12:10

    Vielen Dank für den Hinweis, wir haben den Link geändert.

    Uns ist nicht bekannt, dass an dem Vertragsentwurf etwas geändert worden wäre.

  49. Jan Marschner schreibt:

    11. Dezember 2012 um 14:35

    Unter Ziffer 4 wird wie folgt ausgeführt:

    “Hierzu ist in den Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“).”

    Diese Formulierung wird in denen über den Link abrufbaren Google Analytics Bedingungen nicht mehr angegeben.

  50. Dr. Datenschutz schreibt:

    12. Dezember 2012 um 16:46

    @Jan Marschner:
    Vielen Dank für den Hinweis, wir haben den Artikel entsprechend angepasst.

  51. kburkhard schreibt:

    13. Dezember 2012 um 11:29

    Sehr geehrte Datenschützer,

    warum machen wir die Sache in Deutschland eigentlich immer so kompliziert und legen die ganze Verantwortung für die Rechtmäßigkeit von Analytics in die Hände des Endverbrauchers.

    Es wäre doch so einfach, wenn man Goggle zwingen würde, Analytics in der Grundversion so zur Verfügung zu stellen, dass der unbedarfte Websitebetreiber nicht an jeder Ecke über Fallstricke stolpern kann.
    All das, was hier empfohlen wird, was ich in meine private Website einbauen soll, könnte doch in Analytics schon so konfiguriert sein. Mich interessiert weder der Name des Besuchers, noch seine IP-Adresse. Mich interessiert nur, welcher Blog wie oft aufgerufen wird, weil ich damit sehen will, welches Thema meine Leser interessiert.

    Wer also Analytics nutzen will um persönliche Daten abzufischen, der könnte dann ja die Möglichkeit bekommen, die entsprechenden Gadgets (oder wie die Dinger heißen) in die Seite einzubauen. Dann hat er damit auch bewießen, dass er die Fachkenntnis dazu hat und trägt auch die Verantwortung dafür.

    Auf diese Weise wäre auch gleich der Nährboden für dubiose Abmahnanwälte entzogen, denn der private Website-Betreiber könnte gar nichts falsch machen.
    Aber leider ist es auch hier wie im richtigen Leben, der unbedarfte Endverbraucher ist am Ende der Dumme. Wer also nicht die entsprechenden Fachkenntnisse hat (und wer hat die schon) dem bleibt nichts anderes übrig, als einen Spezialisten zu engagieren und viel Geld für nichts auszugeben, oder in Unwissenheit auf die nächste Abmahnung zu warten.

    Mit freundlichen Grüßen

    Klaus Burkhard

  52. Mr. imwebsein schreibt:

    13. Dezember 2012 um 22:14

    Nun jetzt bin ich verwwirt, Das alte PDF ist nicht mehr abrufbar, ohne das Google da ne Umleitung etc einrichtet oder sich äußert, Es schwirren neue aber abgeänderte Pdfs umher. Haben die nun noch Bestand  oder nicht?

  53. Dr. Datenschutz schreibt:

    17. Dezember 2012 um 14:33

    @ Mr. Imwebsein:

    Die derzeit aktuelle PDF haben wir unter Punkt 1 dieses Artikels verlinkt. Bestand dürfte allein das von Google unter unserem Link zu Verfügung gestellte Dokument haben.

  54. Thomas schreibt:

    18. Januar 2013 um 17:06

    Ich frage mich immer, ob die Leute die solche Gesetze entwerfen überhaupt eine Ahnung haben, wie das Internet funktioniert. Sobald ich ins Internet gehe, muss meine IP auch gespeichert werden. Einfach mal die Architektur von einem Server anschauen oder von einem kleinen Netzwerk und im Internet ist dies in einem großen Rahmen vorhanden. 

    Ich wäre für folgenden Vorschlag: Wenn man ein Auto kauft, muss man mit dem Bundesverkehrsministerium einen Vertrag aufsetzen, dass man sich über die tödlichen Folgen im klaren ist, welche mit dem Kauf existieren. Immerhin sind die schlechten Straßen ja nicht ungefährlich. Zusätzlich sollen Schilder aufgestellt werden, sobald ich in eine Straße fahre. Ideal wäre ein iPad, wo man schriftlich bestätigt, dass man vor dem befahren der öffentlichen Straße aufgeklärt wurde, dass die Straße eventuell gefährlich ist und NICHT erst, wenn ich auf der Straße bin. Eine Art Double-Opt-In

  55. Project Manager EU schreibt:

    4. Februar 2013 um 09:50

    Sehr geehrte Datenschutzbeauftragte,

    gibt es eine EU Richtlinie (/Gesetzesgrundlage?), die die Verpflichtung der Angabe bei Verwendung von Google Analytics abdeckt? Ich habe im Internet bereits über die sogenannte “Cookie-Richtlinie” gelesen, ich brauche jedoch die genaue Angabe hierzu.

    Wie muss generell das Impressum einer EU-Webiste (z.B. Website eines EU-Projekts) aussehen?

    Vielen Dank,
    ihr EU-Projektmanager

  56. Dr. Datenschutz schreibt:

    4. Februar 2013 um 18:12

    @Project Manager EU:

    Zwingende Verpflichtungen ergeben sich aus Richtlinien grundsätzlich nicht. Sie bedürfen erst der Umsetzung in nationales Recht. Es sind daher die jeweiligen nationalen Vorgaben zu beachten.

    Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische
    Kommunikation (Richtlinie 2002/58/EG) sieht die Information über eingesetzte Analysetools vor. Eine Stellungnahme der Artikel 29 Gruppe ist unter hier abrufbar.

    Angaben zum Inhalt eines Impressums enthät u.a. Artikel 5 der E-Commerce Richtlinie (Richtlinie 2000/31/EG).

  57. Stefan W schreibt:

    5. Februar 2013 um 16:29

    Wie setzt man in Analytics das Widerspruchsrecht des TMG 13 auf mobilen Endgeräten um? Das Google Plugin ist z.B. nicht für iOS Geräte verfügbar. Ist das nicht ein Verstoß gegen das TMG?

  58. Dr. Datenschutz schreibt:

    6. Februar 2013 um 17:43

    @ Stefan W:
    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar hat im Auftrag für den Düsseldorfer Kreis den Einsatz von Google Analytics unter den oben beschriebenen Voraussetzungen für beanstandungsfrei erklärt.

    Ihm war zu diesem Zeitpunkt bereits die fehlende Opt-Out Möglichkeit für Smartphone-Nutzer bekannt. Der Handlungsbedarf wurde somit im September 2011 gesehen. Passiert ist leider bis heute nichts. Der Nutzer eines Smartphones hat de facto keine Möglichkeit sein Widerspruchsrecht nach § 13 TMG geltend zu machen.

  59. Ms. H. schreibt:

    8. Februar 2013 um 13:58

    Sehr geehrter Dr. Datenschutz,
    ich habe bereits einen Google Analytics Account und möchte diesen jetzt auf einen datenschutzkonformen Account umstellen. Ihren Artikel und Ihre Zusatzinformationen finde ich klasse. Vielen Dank! 
    Was ist der beste Weg um den alten Account zu löschen? Einen komplett neuen Account mit neuer Emailadresse bei Google anlegen und den alten löschen? Oder gibt es eine Möglichkeit, die Altdaten innerhalb des bestehenden Accounts zu löschen?
    Danke und herzliche Grüße
    Ms. H.

  60. Dr. Datenschutz schreibt:

    8. Februar 2013 um 16:07

    @ Ms. H.:
    Es ist richtig, dass Sie die bereits erhobenen Daten löschen müssen, denn diese sind unrechtmäßig von Ihnen erhoben worden.
    Eine komplette Löschung des Accounts ist nicht notwenig. Google bietet die Möglichkeit, Profile zu löschen (http://support.google.com/analytics/bin/answer.py?hl=de&answer=1009621). Google erklärt, dass hierdurch alle Daten gelöscht werden. Sie können danach ein neues Profil mit neuer Tracking-ID anlegen, welche Sie dann im Tracking-Code Ihrer Webseite ändern müssen.

  61. Schilda schreibt:

    11. Februar 2013 um 17:49

    “Es ist richtig, dass Sie die bereits erhobenen Daten löschen müssen, denn diese sind unrechtmäßig von Ihnen erhoben worden.”
    Vollkommen Sinnfrei – oder was ist die Begründung hierfür?
    Deutsche Provider speichern die IP Adressen ihrer Kunden von 7 Tagen bis zu 6 Monaten. Danach werden sie gelöscht.
    Folglich ist danach keine Zuordnung von IP zu Anschlußnehmer mehr möglich.
    Ist jetzt der Schutz der Bevölkerung oder eine kopflose Schnellreaktion die Ursache für diesen Schildbürgerstreich?

  62. Dr. Datenschutz schreibt:

    12. Februar 2013 um 17:27

    @Schilda:
    Bei der ursprünglichen Version von Google Analytics wurde die komplette IP-Adressen erhoben, gespeichert und an Google übermittelt. Diese Daten werden bei Google frühestens nach neun Monaten gelöscht. Ob es sich bei IP-Adressen um personenbezogene Daten handelt, ist umstritten. Lesen Sie hierzu unseren Beitrag IP-Adressen – personenbezogene Daten.
    Die Landesdatenschutzbehörden vertreten die Ansicht, dass IP-Adressen personenbezogene Daten sind. Folglich ist für die Verwendung eine gesetzliche Erlaubnis oder eine Einwilligung notwendig, die aber für Altdaten gerade nicht vorhanden sind. Die Erhebung erfolgte damit unrechtmäßig, daher sind die Daten zu löschen.

    Zu beachten ist im Fall Google Analytics, dass Google anhand von Cookie-Daten die IP-Adressen bestimmten Nutzern zuordnen kann. Noch leichter ist die Identifikation eines eingeloggten Google-Dienst-Nutzers. Google behält sich nämlich die Möglichkeit der Zusammenführung der Daten aus den verschieden Diensten in ihrer Datenschutzerklärung vor. Die Möglichkeit des Missbrauchs ist somit hoch.

  63. Ms. H. schreibt:

    22. Februar 2013 um 13:02

    Danke für Ihre hilfreiche Antwort und Darstellung!

  64. Speedyletti schreibt:

    17. April 2013 um 15:28

    Gelten diese Anforderungen auch wenn der Server der Webseite.de in der Schweiz betrieben wird?

  65. Erdbeerit schreibt:

    10. Mai 2013 um 14:14

    Wo finde ich den die Datenschutzerklärung für Google Analytics auf Spanisch? Es geht um eine Seite, die deutsche, englische und spanische Inhalte anbietet – die englische Übersetzung habe ich bereits gefunden, aber leider keine spanische.

    Kann mir da jemand weiterhelfen? Oder reicht eine deutsche Datenschutzerklärung aus, wenn es an sich eine deutsche Webseite ist?

  66. Tom schreibt:

    12. Mai 2013 um 13:55

    @Dr. Datenschutz
    Die im Artikel oben angegebenen Tracking-Codes stimmen strukturell und inhaltlich nicht mehr mit dem von Analytics ausgegebenen Tracking-Code meiner Analytics-Neuanmeldung überein. Wäre es für euch eine Option, den aktuellen Analytics-Code ergänzt um die IP-Kürzung oben zusätzlich einzubauen? Danke:-)

  67. Dr. Datenschutz schreibt:

    13. Mai 2013 um 18:43

    @Tom:
    Wir haben den Artikel entsprechend erweitert. Vielen Dank für den Hinweis.

  68. Ms. H. schreibt:

    14. Mai 2013 um 18:32

    Hallo Herr Dr. Datenschutz,
    ich habe mir den Vertrag von Google angesehen. Dort wird auch auf Pflichten des Vertragspartners, also Webseitenbetreibers, hingewiesen. z.B. Absatz

    “3. Ihre Rechte und Pflichten und Umfang der Weisungsbefugnisse3.1 Sie sind für die Bewertung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten sowie für den Schutz der Rechte der betroffenen Person verantwortlich.”

    Daher kam mir die Frage, ob ich mich durch Abschluss des Vertrages evtl. schlechter stelle als vorher und eher in die Haftung genommen werden kann als ohne Vertrag. Können Sie dazu etwas sagen?

    Danke schon mal
    Ms. H.

  69. Dr. Datenschutz schreibt:

    16. Mai 2013 um 15:48

    @ Ms. H.

    Beim Einsatz von Google Analytics werden von den Besuchern Ihrer Webseite personenbezogene Daten erhoben und an Google weitergeleitet. Sie sind die verantwortliche Stelle für diese Daten. Eine Weiterleitung der personenbezogenen Daten an Google ist nur mit einer Einwilligung des Betroffenen oder aufgrund einer Erlaubnisnorm gestattet (weitere Infos).

    Mit Abschluss des Vertrages zur Auftragsdatenverarbeitung ist die Weiterleitung der Daten an Google nach § 11 BDSG erlaubt. Zwar bleiben Sie bei der Auftragsdatenverarbeitung nach der Übermittlung der Daten für diese verantwortlich und haften somit auch für mögliche Verstöße von Google, aber nur so ist die Weiterleitung der Daten an Google datenschutzkonform.

  70. peter müller schreibt:

    16. Juni 2013 um 09:36

    Sie schreiben unter den zu beachtenden Punkten:

    3. Widerspruchsrecht der Betroffenen

    WO, BITTE, KANN ICH HIER AUF IHRER WEBSEITE WIDERSPRECHEN?
    Laut Ghostery nutzt die Seite “http://www.datenschutzbeauftragter-info.de/ “ Google Analytics
    Ich will in keienr Form durch Google getrackt werden und die NSA mit  meinen Daten beglücken.

    Besten Dank für Ihre Auskunft, gerne auch per Mail

  71. peter müller schreibt:

    17. Juni 2013 um 17:49

    Ihr Kommentar wartet auf Freischaltung

    wie lange wartet so ein beitrag auf freischaltung?

  72. Dr. Datenschutz schreibt:

    18. Juni 2013 um 15:08

    @peter müller

    Sie können die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.. Darauf haben wir Sie auch in unseren Datenschutzbestimmungen hingewiesen (http://www.datenschutzbeauftragter-info.de/datenschutzerklaerung/).

Jetzt kommentieren


Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.