Google Analytics gesetzeskonform einsetzen

Sie verwenden Google Analytics, um die Besucherströme auf Ihrer Homepage auszuwerten? Dann können Sie jetzt etwas für Ihr datenschutzrechtliches Gewissen tun: Google habe sein Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten datenschutzkonformen ausgestaltet, teilte der Hamburger Datenschutzbeauftragte Johannes Caspar kürzlich mit. Damit sei der „beanstandungsfreie Betrieb von Google Analytics ab sofort möglich“.

Sie müssen beim Einsatz von Google Analytics nur folgendes beachten:

Update siehe ~~Google Analytics datenschutzkonform einsetzen – Stand 2014~~ Google Analytics und der Datenschutz – Stand 2018

Verwenden Sie Google Analytics mit anonymisierter IP (hier meine Anleitung).
Weisen Sie Ihre Nutzer in Ihrer Datenschutzerklärung darauf hin, dass sie die Möglichkeit haben, sich der Verarbeitung ihrer personenbezogener Daten zu entziehen – z.B. indem sie das entsprechende Browser Add-on von Google verwenden.
Schließen Sie mit Google einen Vertrag zur Auftragsdatenverarbeitung. Einfach das PDF ausdrucken, unterschreiben und an Google senden. Wer will, kann sich das vorher noch durchlesen.
Löschen Sie ggf. Altdaten, die unrechtmäßig erhoben wurden. D. h. löschen Sie Ihren Google Analytics Account und legen Sie einen neuen an.

Das Löschen der Altdaten ist sicherlich der Punkt, der am schwersten fällt. Wer verzichtet schon gerne auf die gesamte Historie der Entwicklung seiner Besucherzahlen?

Über die Sinnhaftigkeit der erforderlichen Maßnahmen kann man ohnehin streiten. Kollege Marc Störing kritisiert auf spielrecht.de:

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen. Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Ich werde das trotzdem umsetzen. Jedenfalls die Punkte 1 bis 3. Und Punkt 4? Da muss ich mich mal noch ein bisschen einlesen.

I.Speiser says:

vor 14 Jahren

Sollte hier nicht die Anonymisierung der Altdaten ausreichen? Auf der eigenen Seite sicher ja, denn schließlich gilt die „fruit of the poisenous tree“-Doktin nicht im Datenschutzrecht. Das Problem dürfte eher sein, dass es keine Möglichkeiten der nachträglichen Anonymisierung der Daten bei Google gibt.
Ich würde daher folgende datenschutzkonforme Lösung vorschlagen: Export der Daten aus GA, falls erforderlich nachträgliche Anonymisierung und anschließend Löschung der Daten bei Google durch Löschung des Accounts – wobei ich mal hoffen will, dass Google das auch tatsächlich tut – die Erfahrungen von Max Schremp bei Facebook lassen durchaus auch andere Vermutungen zu.