Als Marktführer im Bereich des Nutzer-Tracking ist Google Analytics unter Webseitenbetreibern in aller Munde. Und das nicht zu Unrecht: Schließlich liefert Googles Tracking-Dienst wichtige Informationen über das Verhalten von Nutzern, die detaillierte Aussagen darüber ermöglichen, ob Maßnahmen Wirkung zeigen und welche Bereiche der Seite optimierungsbedürftig sind.
Bezüglich des Datenschutzes hingegen richtet Dr. Michael Metzner, der sich als Fachanwalt für Medienrecht mit der Thematik befasst, ein warnendes Wort an Seitenbetreiber: Wer Google Analytics unsachgemäß verwendet, gerät schnell ins Visier der europäischen Datenschutzbehörden. In diesem Gastbeitrag gibt er Tipps, wie Seitenbetreiber dies vermeiden können.
Google Analytics überträgt Daten in die USA – und das kann zum Problem werden
Ein wesentlicher Kritikpunkt, auf den Dr. Metzner hinweist, besteht in der Übertragung von Daten auf Google-Server in den USA. Die Bestimmungen der Datenschutzgrundsatzverordnung (DSGVO) gelten dort nicht; überträgt Google Analytics Daten dorthin, gelten für diese die US-Datenschutzgesetze. Experten sehen darin ein Potenzial für den Missbrauch von Daten, für den schlimmstenfalls auch Seitenbetreiber zur Rechenschaft gezogen werden können, die Google Ads verwenden – so auch Dr. Metzner.
Er empfiehlt deshalb von vornherein die Zustimmung zur Datenverarbeitung einzuholen. Ein Consent-Tool, das auf die Erhebung von Daten hinweist und Nutzern die Möglichkeit zum Opt-out bietet, schafft bereits Rechtssicherheit, erklärt er.
Ergänzend dazu sind Seitenbetreiber verpflichtet, eine Datenschutzerklärung zu erstellen, die für jeden Seitenbesucher einsehbar sein muss. Diese muss stets die aktuellen Informationen darüber enthalten, welche Daten die Seite erhebt und wem diese übermittelt werden. Aktualisiert ein Partner seine Bedingungen, sollten Seitenbetreiber die Bewandtnis dieser Änderung unverzüglich prüfen und gegebenenfalls die Datenschutzerklärung aktualisieren.
Anonymität von Nutzern wahren
Auch die Speicherung von IP-Adressen durch Google Analytics sieht Dr. Metzner kritisch. Diese erlauben die Identifikation individueller Nutzer; ein Tracking-Dienstleister könnte durch Zusammenführung von Tracking-Daten detaillierte Nutzerprofile erstellen. Er weist daher auf die Option hin, IP-Adressen anonymisiert zu übertragen. Dieses Feature ist bereits in Google Analytics implementiert und muss nur aktiviert werden, erklärt er.
Da Google Analytics die übertragenen Daten im Auftrag des Seitenbetreibers verarbeitet, ist dieser zudem verpflichtet, einen Auftragsverarbeitungsvertrag mit Google zu schließen. Dieser regelt klar, welche Daten durch Google Analytics erhoben werden dürfen und wie der Google-Konzern diese verwenden darf. Google stellt zu diesem Zweck online einen Mustervertrag zur Verfügung, den Nutzer in ihrem Google-Analytics-Konto prüfen und unterzeichnen können.
Mit Rechtsberatung durch den Datenschutz-Dschungel
Die Datenschutzgesetze befinden sich im ständigen Wandel. Bereits jetzt laufen Verhandlungen über ein transatlantisches Datenschutzabkommen; eine E-Privacy-Verordnung als Ergänzung zur DSGVO ist wahrscheinlich. Um mit diesen Entwicklungen Schritt halten zu können, müssen sich auch Seitenbetreiber fortlaufend mit der Thematik befassen. Dr. Metzner empfiehlt dafür die Unterstützung durch einen Fachanwalt, der Seitenbetreibern in Rechtsfragen zur Seite steht.