Google Analytics: Ist die elektronische ADV-Zustimmung erlaubt?

Fachbeitrag

Der Zusatz zur Datenverarbeitung bei Google soll es möglich machen: Den Vertrag zur Auftragsdatenverarbeitung (ADV) für die Nutzung von Google Analytics elektronisch zustimmen. Was sollten Websitebetreiber dabei datenschutzrechtlich beachten?

Zeitverlust durch ADV in Papierform

Webtracking mit Google Analytics geht unter anderem nur unter der Voraussetzung des Abschlusses eines Vertrags zur Auftragsdatenverarbeitung gemäß § 11 BDSG. Das haben die Aufsichtsbehörden mit Google so verabredet. Eine abgestimmte Vorlage steht im Netz zum Abruf bereit:

http://www.google.com/analytics/terms/de.pdf

Allerdings verliert der Websitebetreiber bis zum Eingang des gegengezeichneten Vertrags wertvolle Zeit für die Webanalyse.

Google Analytics elektronisch zustimmen geht schneller

Es liegt auf der Hand – elektronisch geht es schneller und einfacher. Auf den Zusatz zur Datenverarbeitung gelangt man mit Zugangsberechtigung nach dem Log-In im Google-Analytics-Konto einfach unter Verwaltung > Kontoeinstellungen.

Dann besteht die Möglichkeit zum Zugriff auf und den Zusatz der Datenverarbeitung (ausgedruckt 8 Seiten auf Englisch) und die Möglichkeit der elektronischen Zustimmung.

Die Art. 29-Datenschutzgruppe der EU nahm das Vorgehen der deutschen Aufsichtsbehörden mit Google zum Vorbild für eine europaweite Umsetzung der Datenschutzanforderungen für den Einsatz von Google Analytics und verabredete mit Google mitunter den Zusatz zur Datenverarbeitung mit der elektronischen Zustimmungsmöglichkeit. Dieser bezieht sich auf die europäische Datenschutzrichtlinie 95/46/EG, die den Mitgliedstaaten einen Gestaltungspielraum bei der Umsetzung der datenschutzrechtlichen Anforderungen einräumt. So haben die Mitgliedstaaten die Anforderungen an die Form des Abschlusses eines Auftragsdatenverarbeitungsvertrages teilweise unterschiedlich geregelt.

Muss die Papierform eingehalten werden?

Klärungsbedürftig ist, ob nach deutschem Datenschutzrecht die Papierform für die Datenvereinbarung mit Google zwingend vorgesehen ist oder die elektronische Zustimmung ausreicht. Unter dem Vorzeichen des BDSG und der DSGVO fallen die Ergebnisse unterschiedlich aus.

Auftragsverarbeitung unter der DSGVO

Art. 28 Abs. 9 DSGVO bestimmt, dass der Auftragsverarbeitungsvertrag auch in elektronischer Form erfolgen kann. Ab Geltung der DSGVO am 25. Mai 2018 wird die Papierform damit zur Makulatur.

Auftragsdatenverarbeitung unter dem BDSG

Hingegen reicht für den Abschluss eines Auftragsdatenverarbeitungsvertrags nach § 11 BDSG die elektronische Form nicht aus. Websitebetreiber in Deutschland wird deshalb empfohlen, bis zum 24. Mai 2018 wie gehabt einen ADV in Papierform mit Google abzuschließen.

Da haben es die Websiteanbieter, die Google Analytics einsetzen wollen, im Nachbarland Österreich besser, wo bereits nach der jetzigen Rechtslage für einen Vertrag mit den datenverarbeitenden Dienstleister die elektronische Form ausreicht.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Warum benötigt man nach Ansicht der Aufsicht einen ADV-Vertrag mit Analytics (bei gesetztem anonymize-IP-flag), wenn die erhobenen Daten nicht mehr personenbeziehbar sind?

    • Der ADV regelt mitunter, dass Google vom Auftraggeber angewiesen wird, die ursprünglich nicht gekürzte IP-Adresse der Websitebesucher um das letzte Oktett zu kürzen und damit zu anonymisieren. Für diese Weisung ist ein ADV notwendig, da die Befolgung bzw. Umsetzung der Weisung durch Google eine Verarbeitung von personenbezogenen Daten darstellt.

  2. Hallo,
    wir hatten den Google-Analytics-Vertrag bereits 2015 unterzeichnet und unterzeichnen lassen. Müssen wir jetzt einen neuen abschließen oder sind die Änderungen zum 2015er-Vertrag nicht gravierend?
    Vielen Dank im Voraus
    Beste Grüße
    Stephan Kubitza

    • Der 2015er Google-Analytics-Vertrag hat – jedenfalls bis zur Geltung der DSGVO am 25. Mai 2018 – weiter Bestand. Es empfiehlt sich für den Auftraggeber bei Google eine Kontrollabfrage durchzuführen, ob seitdem Änderungen in Bezug auf die technischen und organisatorischen Maßnahmen erfolgt sind.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.