Ergänzung zu unserem Artikel Google Analytics: Einigung beim Datenschutz.
Für einen datenschutzkonformen Einsatz von Google Analytics sollten nach den aktuellen Vorgaben der Aufsichtsbehörden folgende Punkte eingehalten werden:
- Es muss ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden (§ 11 BDSG);
- Es dürfen nur gekürzte und somit anonymisierte IP-Adressen erfasst werden;
- Es muss ein ausführlicher Datenschutzhinweis bereit gehalten werden;
- In dem Datenschutzhinweis muss auch auf die Anonymisierung sowie das jederzeitige Widerspruchsrecht bzw. die Möglichkeit zur Deaktivierung hingewiesen werden;
- Altdaten, die unter Nichteinhaltung der vorstehend genannten Vorgaben gesammelt wurden, müssen gelöscht werden.
Für den schriftlichen Vertrag zur Auftragsdatenverarbeitung hat Google einen entsprechenden Vordruck zur Verfügung gestellt, siehe Einleitung der Google Analytics Bedingungen.
Damit die IP-Adressen nicht vollständig verarbeitet und somit lediglich anonymisiert erfasst werden, muss die Erweiterung „anonymizeIP“ im Tracking-Code eingebunden werden. Eine Anleitung zur Einbindung der Erweiterung hält Google hier bereit.
In der Datenschutzerklärung muss ein ausführlicher Datenschutzhinweis ergänzt werden. Hierzu gibt Google in seinen Bedingungen eine entsprechende Formulierung vor, siehe Ziffer 8.1 der Google Analytics Bedingungen. Der dort genannte Text muss jedoch unter Berücksichtigung der oben genannten Vorgaben noch um einen Hinweis auf die Anonymisierungsfunktion ergänzt werden. Die Ergänzung könnte beispielsweise lauten:
„Wir verwenden Google Analytics mit der Erweiterung „_gat._anonymizeIp()“. Die IP-Adressen werden daher nur gekürzt weiterverarbeitet und gespeichert, so dass eine direkte Personenbeziehbarkeit ausgeschlossen ist.“