Bayerns Datenschützer beteiligen sich jetzt auch am Datenschutztheater um Google Analytics
Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf 78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.
Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:
- der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
- die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,- die Anonymisierungsfunktion im Quellcode eingebunden ist und,
- falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.
Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.
Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist. Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.
Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.
Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.
Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden, dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.
Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.
Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70’er und 80’er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.
Nur 78 Websites (d.h. 3%) verwenden GA in datenschutzkonformer Art und Weise? Ich musste feststellen, dass die Datenschützer eine rechtskonforme Datenschutzerklärung, die im Impressum unter der Überschrift (fett) „Datenschutzerklärung“ eingepflegt ist, gar nicht „gefunden“ haben. Das Impressum ist von allen Seiten aus erreichbar, für die Datenschützer aber „nicht leicht auffindbar“. Alle geforderten Codes sind enthalten, seit diese gefordert wurden. Die oben genannten 3% können meines Erachtens nicht stimmen.
Comment by Ramona — 7.05, 2012 @ 21:21
Wenn die Erkennungsrate so mies ist, sind die Zahlen natürlich mit Vorsicht zu genießen. Es dürfte dennoch genügend „alte“ Analytics Einbindungen geben, alleine schon von den Sites, die es GA vor den Vorgaben des Düsseldorfer Kreis installiert haben.
Comment by Markus — 8.05, 2012 @ 08:51
Hallo Herr Stadler,
danke für diese lesenswerte juristische Klarstellung!
Interessant wäre noch zu wissen, wie die Datenschutzbehörde es geschafft hat, mit Hilfe „einer selbst entwickelten Software“ zu überprüfen, ob man einen Vertrag im Sinne des §11 BDSG mit Google abgeschlossen hat oder gar „ein bisher bestehendes Google-Analytics-Profil []schließen wird“. Immerhin zwei Punkte aus der Liste, die sich nach meinem Kenntnisstand durch eine Analyse des Webseiten-Quellcodes kaum feststellen lassen.
Unter dem Aspekt sind die von der Behörde veröffentlichten Zahlen wohl vorsichtig als „optimiert“ zu betrachten.
Gruß
Axel Amthor
Comment by Axel Amthor — 8.05, 2012 @ 11:30
Ich mag „falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.“ besonders. Weil man ja auch so wunderbar unaggregierte und IP-spezifische Daten aus Google Analytics rauszieht, jeden Tag.
Comment by Kristian Köhntopp — 8.05, 2012 @ 12:23
Wenn der Amtsschimmel wiehert, bleibt kein Auge trocken!
Und der Experte, der die „mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe“ geschrieben hat, war wahrscheinlich der Neffe der Sektretärin?
m(
Comment by Frank Schenk — 8.05, 2012 @ 14:19
ich hätte da noch zwei Fragen: Wie wird eigentlich überprüft, ob der Vertrag zur uftragsdatenverarbeitung mit Google abgeschlossen wurde – und ob eine Extrapunkt „Datenschutz“ Pflicht oder Kür ist.
Hier ist die Fragestellung auch erörtert (ganz am Ende) http://tinyurl.com/c8nh8r7
Comment by Eva — 8.05, 2012 @ 15:22
Der Websitebetreiber entscheidet natürlich über die Art und den Umfang der erhobenen Daten (und damit auch über die Nutzung), da er entscheidet welche Seiten von Analytics überwacht werden und welchen Projekten sie zugeordnet werden.
Es ist nicht so, dass der Websitebetreiber Google seine komplette Website übergibt und sagt „macht mal“ (was dann eine Funktionsübertragung wäre).
Bei jedem Aufruf einer Webseite sagt er Google: Speichere das unter dieser Id und diesem Projekt. Er hat sogar die komplette Kontrolle ob er bestimmte Besucher ausnehmen will, indem er bei diesen den Tracking-Code nicht auslöst.
Auf die Überprüfung der TOMs kann verzichtet werden, wenn eine entsprechende Zertifizierung des Auftragsnehmers vorliegt.
Woher haben Sie die Information, dass die Verarbeitung der Daten in den USA stattfindet?
Wenn ich mir anschaue, wo meine die Daten landen würden (hätte ich sie nicht geblockt) dann kommt bei mir gerade muc03s01-in-f6.1e100.net heraus. Das Peering am inxs.google.com und die Laufzeiten von 14ms lassen eher daruf schliessen, dass die Daten eben gerade nicht in den USA landen, sondern im RZ hier in München.
Eine generelle Ungültigkeit des § 11 BDSG ausserhalb der EU sehe ich auch nicht. Ausserhalb der EU (und einigen anderen Ländern wie der Schweiz, die in Datenschutzbelangen wie die EU zu behandeln ist) verlangen nur weitergehende Pflichten. Für einen Austausch mit den USA wurde deshalb das Safe Harbor Abkommen geschlossen, dem sich Google verpflichtet hat.
Ein personenbezogene Datenübermittlung findet auch mit dem „Anonymisierer“ statt, denn von irgendwoher muss der Benutzer das ganze Javascript ja laden, das dann das Tracking realisiert und dieser Abruf erfolgt ebenfalls von Google-Analytics und diesmal mit voller IP-Adresse.
Und wenn ich einen Vertrag mit Google Deutschland schliesse, dann ist Google Deutschland der Einhaltung des BDSG verpflichtet und muss entsprechende Vereinbarungen haben, wenn es die Daten an die Google Inc. weitergibt. Ansonsten verletzen sie das BDSG und sind damit haftbar.
Comment by Markus Stumpf — 9.05, 2012 @ 03:17
In den Antworten hier wird immer davon ausgegangen, das eine IP Adresse Personenbezogen ist. Das ist zumindest von einem Verwaltungsgericht in Deutschland noch nie bestätigt worden.
Auch zivilrechtlich wurde die Frage immer verneint, wenn es sich nicht gerade um einen Provider oder das BKA gehandelt hat.
Comment by Native — 9.05, 2012 @ 10:09
Leider muss auch ich feststellen, dass die „selbstentwickelte Software“ wohl nicht taugte – wir setzen auf einer „abgemahnten“ Seite schon seit einiger Zeit den anonymisierten Code ein.
Ich zweifle die Ergebnisse des LDA daher an und geben zu bedenken, dass Bußgelder – ob juristisch sinnvoll, erlaubt und gerechtfertigt – jedenfalls nicht auf einer fehlerhaften Analyse seitens des Bußgeldstellers basieren können – das würde jeden Rechtsstaatsgedanken ad absurdum führen…
Comment by Jörn Heller — 11.05, 2012 @ 09:52
Vielen Dank für den Artikel, was schlagt ihr vor zu tun? Habe keine große Lust die Statistik zu löschen. Zeit ist bis zum 31. Mai. Anonymizelp funktionierte bei uns nicht und das tool funktioniert auch nicht.
Comment by herwig Danzer — 11.05, 2012 @ 10:06
Vielen Dank für den Artikel, was schlagt ihr vor zu tun? Habe keine große Lust die Statistik zu löschen. Zeit ist bis zum 31. Mai.
Comment by herwig Danzer — 11.05, 2012 @ 10:27
Ich hab das jetzt so gelöst, dass ich den Code von der angeschriebenen Seite gelöscht habe und bei den noch nicht geprüften Seiten die Vorgaben umgesetzt habe, so dass diese bei einer Prüfung durch den Prüfungs-Robot wohl nicht beanstandet werden. Den Vertrag mit Google werde ich nicht abschliessen, da mir das – einfach gesagt – zu doof ist mich durch 12 Seiten Juristerei zu quälen, die ich dann eh nicht versteh.
Comment by Peter Liebernicht — 12.05, 2012 @ 10:47
Der Hinweis in diesem Artikel (wie auch in dem früheren Artikel zur Hamburger Stellungnahme), dass mit dem Anonymisieren der IP-Adresse im Google-Script keine personenbezogenen Daten mehr erhoben werden, ist m.E. nicht korrekt.
Wie bereits zuvor kommentiert wurde, verschwindet zwar das letzte Oktett der IP-Adresse beim Analytics-Skripaufruf, Google erhält aber auf den üblichen Website-Wegen trotzdem die vollständige IP-Adresse und kann mit ihr quasi anstellen, was es will.
Weiterhin landen durch das normale Surfen neben den Google-Analytics-Skripten und -Cookies viele weitere Cookies auf den Besucher-PCs, die von Google zur eindeutigen Identifikation benutzt werden können – nicht nur, aber insbesondere gerade dann, wenn man ein Google-Nutzerkonto hat oder Google-Software (Toolbars, Chrome, Earth, …) einsetzt.
Daher wäre es aus meiner technikorientierten Sicht natürlich notwendig, neben dem Anonymisieren der IP-Adresse im Script ZUSÄTZLICH durch einen Vertrag abzusichern, dass mit Aufruf der eigenen Website keine anderen personenbezogenen Datenverknüpfungen gespeichert werden (sofern das in dem Vertrag gemacht wird?).
Zu glauben, dass das Anonymisieren der IP in dem einen kleinen Analytics-Skript ausreicht, um den gläsernen User gänzlich abzuschaffen, halte ich für etwas kurzsichtig. Einen Vertrag zum Datenschutz abzuschließen ist wäre meines Erachtens dringender notwendig als die „Pseudoanonymisierung“, die Google eh wieder aushebeln könnte, wenn sie es wollte. Ein „datenschutzrechtliches Schilda“ kann ich also nicht erkennen. Ich bin aber auch kein Jurist.
Comment by Wolfgang — 21.05, 2012 @ 11:28