Bayerische Datenschützer prüfen Websites auf Datenschutzverstöße

Das Tracking-Tool Google Analytics stand lange Zeit in der Kritik der deutschen Datenschutzbehörden. Im September 2011 wurde dann bekannt gegeben, dass dieses Tool bei Einhaltung bestimmter Voraussetzungen rechtskonform einsetzbar sei. Nun hat das Bayerische Landesamt für Datenschutzaufsicht mehrere tausend Webseiten überprüft.

Lesen Sie mehr zum Ergebnis der Untersuchung.

Das Bayerische Landesamt für Datenschutzaufsicht hat insgesamt 13.404 Websites geprüft. Hiervon nutzten 2.449 den Analysedienst Google Analytics. Allerdings wurde dieser von nur 3% der Nutzer - also gerade einmal von 78 Betreibern - datenschutzkonform eingesetzt.

Die Datenschützer werden die übrigen Webseiten-Betreiber nun auffordern, sich an das geltende Datenschutzrecht zu halten und kündigten für Ende Mai bereits den zweiten Prüfdurchgang an.

Vollständige Pressemitteilung

Hierzu hat das BayLDA am 7. Mai 2012 folgende Pressemitteilung auf seiner Website veröffentlicht:

Zahlreiche Webseitenbetreiber setzen auf ihren Homepages Programme ein, die das Verhalten der Nutzer erfassen (sog. Tracking-Programme). Durch diese Programme zur Reichweitenmessung können die Webseitenbetreiber in gewissem Umfang das Surfverhalten ihrer Webseitenbesucher analysieren und u.a. erkennen, wie viele Nutzer ihre Seite besuchen, wo sie herkommen und in welche Zielgruppen sie eingeordnet werden können. Ein sehr weit verbreitetes Programm, das von der Fa. Google für die Webseitenbetreiber kostenlos angeboten wird, ist das Programm Google Analytics. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bei 13.404 Webseitenanbietern geprüft, ob das Programm Google Analytics datenschutzkonform eingesetzt wird.

1. Grundlegende Entscheidung der Aufsichtsbehörden

Im November 2009 hatte sich der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, zu den Voraussetzungen für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert (siehe www.lda.bayern.de/onlinepruefung/Beschluss_Reichweitenmessung.pdf - Beschluss vom 26./27.11.2009). Auf dieser Grundlage hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit federführend für die Aufsichtsbehörden in Deutschland Verhandlungen mit der Firma Google geführt und sich darüber verständigt, wie das Produkt angepasst werden muss, damit es die deutschen Nutzer datenschutzkonform einsetzen können. Als Ergebnis dieser Gespräche hat Google das Verfahren im Jahr 2011 dahingehend geändert, dass

  • Google ein Deaktivierungs-Add-On ( http://tools.google.com/dlpage/gaoptout?hl=de) zur Verfügung gestellt hat, auf das die Webseitenbetreiber die Nutzer hinzuweisen haben und das die Nutzer auf ihrem Rechner installieren können, um von ihrem Recht auf Widerspruch gegen die Erfassung von Nutzungsdaten Gebrauch zu machen,
  • auf Anforderung des Webseitenbetreibers Google das letzte Oktett der IP-Adresse des Nutzers vor jeglicher Speicherung schon innerhalb von Europa gelöscht wird, so dass insoweit keine Daten in die USA fließen und keine Identifizierung des Nutzers mehr möglich ist und,
  • Google mit den Webseitenbetreibern, die Google Analytics einsetzen wollen, zur Sicherstellung des ordnungsgemäßen Umgangs mit den Daten der Nutzer einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließt.

2. Anforderungen an den datenschutzkonformen Einsatz von Google Analytics

Die Anpassungen von Google ermöglichen es deutschen Webseitenbetreibern, das Analysetool Google Analytics datenschutzkonform einzusetzen. Konkret ist jeder einzelne Webseitenbetreiber in der Pflicht, Google Analytics nur einzusetzen, wenn

  • der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
  • die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
    Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
  • die Anonymisierungsfunktion im Quellcode eingebunden ist und,
  • falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

3. Ergebnis der Prüfung durch das BayLDA

Das BayLDA hat nun in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. Hierfür hat es eine eigene Software entwickelt, mit der automatisiert festgestellt werden kann, ob Google Analytics entsprechend den o.g. Vorgaben eingesetzt wird. Geplant ist, in absehbarer Zeit auch die datenschutzkonforme Nutzung anderer Programme zur Reichweitenmessung zu überprüfen.

Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen. Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.

"Die Webseitenbetreiber in Bayern, die noch Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben aufweisen, werden von uns angeschrieben und in einem ersten Schritt aufgefordert, diese zu beheben. Wir sehen dies als Beitrag zur Qualitätssicherung für die Unternehmen einerseits und Sicherstellung des Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer andererseits an“ so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

4. Angebot an bayerische Webseitenbetreiber

Das BayLDA bietet allen bayerischen Webseitenbetreibern aus dem nicht-öffentlichen Bereich an, ihren Internetauftritt im Hinblick auf den datenschutzkonformen Einsatz von Google Analytics, d.h. auf die o.g. Kriterien hin überprüfen zu lassen. Hierzu genügt eine e-mail mit Angabe der jeweiligen URL in der Betreffzeile an onlinepruefung@lda.bayern.de. Ende Mai 2012 plant das BayLDA dann einen zweiten Prüfdurchgang mit den neu hinzugekommenen Internetadressen durchführen. „Ziel dieser Aktion ist es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund wird das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.“ so Thomas Kranig weiter.

Über das weitere Verfahren der bayrischen Datenschützer werden wir Sie auf dem Laufenden halten.

Lesen Sie mehr zum Thema Tracking:

08.05.12
Lars Klatte

Lars Klatte