Ist Google Analytics datenschutzwidrig (DSGVO Update)

Ist Google Analytics datenschutzwidrig (DSGVO Update)

Vor einigen Monaten berichteten deutsche Medien, dass die Verwendung von Google Analytics auf Websites gegen geltendes deutsches Datenschutzrecht verstößt. Damals wurde Bundesjustizministerin Brigitte Zypries öffentlich mit bis zu 6 Monaten Haft oder der Zahlung von bis zu 250.000 Euro bedroht, wenn die Webseiten des Bundes weiterhin IP-Adressen von Web-Nutzern speichern.

Was ist die gesetzliche Vorgabe

Diese Informationspflicht ergibt sich auf der Grundlage des §13 Absatz 1 Telemediengesetz (TMG)

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Geltungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2 Im Falle eines automatisierten Verfahrens, das eine spätere Identifizierung des Benutzers ermöglicht und die Erhebung oder Verwendung von Personendaten vorbereitet, ist der Benutzer zu Beginn dieses Verfahrens zu informieren. 3 Der Inhalt der Benachrichtigung muss dem Benutzer jederzeit zugänglich sein.

Analytics

Nun ist Google mit seinem Tool Analytics wieder im Visier der Datenschutzbehörden in Deutschland.
Mit Google Analytics können Besuche von Internetseiten durch den Betreiber der Website untersucht werden – unter anderem um festzustellen, wer sich wo, wann und wie lange auf den entsprechenden Seiten aufgehalten hat.
Voraussetzung für den Einsatz von Google Analytics ist ein JavaScript-Codeschnipsel, der in jede Seite der Website integriert wird.

Bis zu diesem Zeitpunkt ist noch alles kein Problem. Aber: Google Analytics wird von vielen Website-Betreibern in Deutschland eingesetzt – und das ohne Wissen des Website-Besuchers!
Die meisten Analytics-Nutzer in Deutschland weisen weder im Impressum noch in den gesetzlich vorgeschriebenen Datenschutzbestimmungen auf die Nutzung des Besuchertracking-Systems hin. Damit verstoßen die Unternehmen gegen geltendes deutsches Datenschutzrecht.

In der Praxis gehören zu den Analytics-Nutzern Unternehmen aus verschiedenen Branchen sowie Behörden wie Parteien oder Universitäten.

Thilo Weichert, der Datenschutzbeauftragte des Landes Schleswig-Holstein, ist jetzt in die Offensive gegangen. Mehrere Seiten wurden angeschrieben
Dem Schreiben ist ein Fragenkatalog beigefügt, den sowohl Google als auch die betroffenen Betreiber bis Ende Juli beantworten müssen.

Neben der Beantwortung des Fragenkatalogs bittet Herr Weichert auch um die Vorlage der Ernennungsurkunde des betrieblichen Datenschutzbeauftragten nach § 4f BDSG. Dies könnte für einige – vor allem kleinere – Unternehmen ein weiteres Problem darstellen. Schließlich ist auch die verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten noch nicht allgemein bekannt geworden.

Das oben erwähnte Beispiel von Bundesjustizministerin Zypries hat bereits gezeigt, dass ein Verstoß gegen das Bundesdatenschutzgesetz (BDSG) zu recht drakonischen Strafen führen kann.

Gleiches gilt daher für alle Nutzer von Google Analytics und ähnlichen Besucherverfolgungssystemen: Sobald z.B. durch den Einsatz eines Besucheranalysesystems personenbezogene Daten erhoben oder weiterverwendet werden, müssen die Nutzer der Website ausreichend informiert werden.
Ein entsprechender Hinweis in den Datenschutzbestimmungen der jeweiligen Website ist – ebenso wie ein gesetzeskonformes Impressum – obligatorisch!

Update: Das gleiche Spiel lässt sich heute mit der DSGVO spielen.