.

Donnerstag, September 15, 2011

Datenschutzdebatte beendet – Google Analytics erhält den Segen der deutschen Datenschützer

Seitdem ich zu Beginn 2006 damals noch bei Google in Hamburg für Google Analytics in einigen Ländern zuständig war gab es diese Diskussionen. 

Seitdem zieht es sich durch – bei nahezu jedem Kundenmeeting kommt es früher  oder später auf das Thema Datenschutz und Google Analytics. 

Viel wurde in der Vergangenheit darüber geschrieben und geredet. Sämtliche Blogs und gerne auch Zeitungen und TV haben über das Datenschutzthema berichtet. 

Aus meiner Sicht entsprachen die aufgeführten Argumente nicht immer der Realität und vieles wurde zudem einfach falsch dargestellt. 

 Ich könnte noch viel zu diesem Thema schreiben – möchte aber lieber zum angenehmeren und vor allem aktuelleren kommen.

Denn ab sofort hat Google Analytics in Deutschland den Segen der deutschen Datenschützer erhalten.

D.h. war die Nutzung von Google Analytics auf der eigenen Website vielleicht rechtlicher Graubereich, so ist es nun von offizieller Seite her legal.

Androhungen von Strafzahlungen wird es nicht mehr geben und somit hoffentlich auch keine emotionalen Datenschutzdebatten.

Die Hamburger Datenschutzbehörde hat hierzu die entsprechenden Informationen hier veröffentlich.

Um auch wirklich auf der datenschutzrechtlich sicheren Seite zu sein bedarf es einigen Schritten auf Ihrer Seite (über die ich auch schon in vergangenen Posts berichtet hatte):
  • Anonymisierung der IP Adresse:
    Damit die IP Adresse bei der Ausführung des Google Analytics Tracking Codes nicht komplett, sondern um das letzte Oktett gekürzt übergeben wird bedarf es einer Anpassung innerhalb des Tracking Codes. Siehe hierzu auch meinen Blog Post aus dem letzten Jahr: Google Analytics und der Datenschutz.
  • Informieren der User:
    Die Nutzungsbedingungen von Google Analytics besagen, dass jeder User die Möglichkeit haben muss sich darüber zu informieren welches Tracking Tool eingesetzt wird. Dieser Hinweis muss auf einer dem User einfach und schnell zugänglich gemacht werden. Fügen Sie daher den entsprechenden Hinweis aus den Nutzungsbedingungen (Punkt 8.1) in Ihrem Impressum oder Ihrem Disclaimer ein.

    [Update: 16.09.2011: Der Text aus den Nutzungsbdingungen hat sich im Rahmen des nun legalen Einsatzes geändert - hier ist nun die aktuelle Version]
„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringenDie im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren http://tools.google.com/dlpage/gaoptout?hl=de“
  • Opt-Out:
    Google hat ein Plugin für diverse Browser erstellt. Mit Hilfe dieses Plugins können sich User dem Tracking durch Google Analytics entziehen. Erwähnen Sie in Ihrem Impressum oder Disclaimer, dass dieses Plugin zur Verfügung steht – mittlerweile funktioniert das Plugin in folgenden Browsern: Chrome, Internet Explorer, Firefox, Safari und Opera.
Ich freue mich darüber, dass Google und die Datenschützer miteinander gesprochen haben und dieses Thema nun hoffentlich ein für alle Mal vom ist. 

Danke an alle Beteiligten, dass es nun wieder um das eigentliche gehen kann – der Web Analyse!

Wie immer freue ich mich natürlich über zahlreiche Kommentare, Statements, Meinungen, etc.!

27 Kommentare:

  1. "Denn ab sofort hat Google Analytics in Deutschland den Segen der deutschen Datenschützer erhalten" - gibt's da auch eine Quelle zu? :)

    AntwortenLöschen
  2. Ja, gibt es: http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html?tx_ttnews%5BbackPid%5D=170&cHash=09e1cbe956f62edb1e9f0386b4ca78f5

    Wurde auch echt langsam Zeit. Jetzt können sich die Herren vom Düsseldorfer Kreis mal richtig um Facebook und Google+ kümmern ;)

    AntwortenLöschen
  3. Jap - die Quelle habe ich nun auch im Text eingefügt.

    AntwortenLöschen
  4. und was sagt der Kieler Kollege Thilo Weichert vom ULD dazu, der sonst immer Bedenken hat?

    Immer, wenn ich bisher dachte: "Ein Glück, das Thema ist durch", kam irgendein anderer Landesbeauftragter und war der neue Bedenkenträger....

    AntwortenLöschen
  5. fragt sich jetzt nur, wie sich das verhält zur anstehenden Cookie Richtlinie der EU....da fordern einige Länder, wie die Niederlande,ein Opt-In.

    Wenn jetzt für den legalen Einsatz von GA:
    - ein Opt-Out (impliziert ja ich habe vorher nicht widersprochen=zugestimmt),
    - Kürzung des letzten Oktetts und
    - Hinweis womit getrackt wird

    reicht, frage ich mich warum diese Cookie-Richtlinie überhaupt noch kommen soll ?

    AntwortenLöschen
  6. Hallo,

    ich frage mich gerade: Müssen denn jetzt nicht eigentlich auch alle Google Analytics nutzenden Websitebetreiber in Deutschland den schriftlichen Vertrag mit Google schließen, der in den Nutzungsbedingungen verlinkt ist, um wirklich allen Anforderungen gerecht zu werden?

    Und- viel übler - dann auch streng genommen (wie in den PDF-Hinweisen des Herrn Caspar beschrieben) auf alle Altdaten verzichten und neue Profile anlegen, wenn man z. B. schon vor der Einführung der Anonymisierungsfunktion bereits ein Analytics-Profil betrieben hat?

    Das wäre dann ja schon zumindest ein gewisser Aufwand, den bisher wohl kaum jemand betrieben hat (->Vertrag) und für viele Nutzer angesichts des Verzichts auf Altdaten auch ein herber Verlust, oder?

    AntwortenLöschen
  7. @David: Die Meldung bezieht sich auf ganz Deutschland und nicht nur Hamburg - es haben auch sämtliche anderen Datenschutzbeauftragten zugestimmt, somit auch Schleswig-Holstein.

    @hendrik: Richtig, man kann natürlich immer wieder ein neues Fass aufmachen und damit vermeiden irgendwelche Tools zu nutzen. Bisher wurde die Cookie Richtlinie in keinem Land umgesetzt, da bislang alle festgestellt haben, dass sie nicht umsetzbar ist! Auch in den UK wurde sie eingeführt und nicht umgesetzt, so dass es hier keine wirklichen News gibt. Sollte man aber jetzt etwas nicht machen weil vielleicht irgendwann in der Zukunft irgendetwas neues kommen könnte?

    @Markus Baersch: Tja - da ist die Frage ob dieses ganze Prozedere wirklich kontrollierbar ist?

    AntwortenLöschen
  8. Hallo Timo,

    zum Thema "Altdaten": Theoretisch könnte man ja allein schon an der Profil-ID (kleine Kontonummer + 1 als Profilnummer = alte Daten) erkennen, wer sich nicht die Mühe gemacht hat, auf ein neues Profil zu setzen, in dem ausschließlich Daten mit anonymisierter IP (tun wir mal so, als wäre die IP tatsächlich vor der Übertragung schon gekürzt worden) zu finden sind. Damit muss man wohl, wie ich das im Moment verstehe, auf jeden Fall diesen Schritt gehen, um wirklich keine Angriffsfläche zu bieten. Aber ich muss zugeben, dass ich da für Nägel mit Köpfen (noch) zu unsicher bin, um wirklich die ganze Historie der bestehenden Profile in die Tonne zu werfen... Wirklich sicher, was ich z. B. Kunden nun zu diesem Thema sagen soll, bin ich ehrlich gesagt aktuell noch nicht. Der Vertrag ist da jedenfalls das kleinere Übel und mit deutlich weniger Aufwand verbunden.

    Als letzter Hinweis: Das Zitat mit dem Hinweistext aus der GA-TOS scheint mir noch aus der alten Fassung zu sein. Aktuell liest sich 8.1 in diesem Abschnitt (weitaus umfangreicher) so:

    „Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren [Link hier einfügen. Der aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de].“

    AntwortenLöschen
  9. Man merkt leider, dass das Thema Datenschutz für Sie scheinbar keinerlei Relevanz hat. Schade, dass hier nicht einmal ansatzeweise differenziert berichtet wird und der Aspekt der umfassenden Profilbildung durch Google außer Acht gelassen wird. Dabei geht es doch überhaupt nicht um "emotionale" Datenschutzdebatten und um irgendwelche Überreaktionen von der einen oder der anderen Seite (zu denen ich im Übrigen auch Bußgeldandrohungen durch Datenschutzbehörden zähle), sondern um die berechtigte Frage, wie viel der überwiegend unwissende Internetnutzer Google denn (noch) anvertrauen kann/will/sollte, welche Gründe für ein Vertrauen in Google sprechen, welchen Preis Unternehmen und Privatleute für die "kostenlose" Nutzung von Google Analytics zu bezahlen haben, welches Google sicherlich nicht aus reiner Nächstenliebe kostenfrei offeriert. Und hier hätte ich mir von einem Xoogler schon ein bisschen mehr erwartet, als Freude darüber, dass das Thema (in Ihren Augen) nun "vom ...ist".

    AntwortenLöschen
  10. @Anonym: Schade, dass Sie Anonym kommentiert haben, da ich Sie gern persönlich angesprochen habe. Natürlich respektiere ich das Thema Datenschutz und respektiere deswegen natürlich auch anonym abgegebene Kommentare. Aber zum Thema: Das Thema Datenschutz ist absolut wichtig und ich nehme es überaust ernst! Daran gibt es nichts zu diskutieren - sinnvoller Datenschutz ist absolut wichtig und nicht zu vernachlässigen.
    Nur sollte die Debatte wie Sie ja auch schreiben nicht emotional geführt werden. Wenn es bspw. um Google Analytics geht, so haben Sie als Analytics Kunde die Möglichkeit zu entscheiden, ob Google die erhobenen Daten nutzen darf oder nicht. Mit Hilfe der Datenfreigabe können Sie definieren und festlegen, dass Google mit den erhobenen Daten nichts (!) macht, außer sie zu speichern wie es jedes andere Web Analyse Tool auch macht. Diese Einstellungen gibt es seit langem und auf diesem Blog habe ich damals eine Serie zu dem Thema geschrieben (http://www.timoaden.de/2008/03/benchmarking-und-datenfreigabe-update.html).
    Wenn Sie hier also definieren, dass Google keine Daten teilen darf, so geschieht dies auch nicht (klare Aussage auch von Google!). Also, keine Profilbildung! Keine unserösen Dinge, keine illegalen Dinge! (Abgesehen davon, dass sich Google auch gar nicht erlauben könnte!).
    Und gerade als Xoogler bin ich in Bezug auf Google Analytics verhältnismäßig entspannt, da ich weiß wie Google tickt und wie die internen Abläufe sind. Was definitiv nicht (!) heißt, dass ich das Thema Datenschutz auf die leichte Schulter nehme - alles andere als das.
    Wie können gern die Diskussion fortsetzen, wenn Sie sich mir zu erkennen geben. Abgesehen davon bin ich in der Tat froh, dass das Thema erstmal vom Tisch ist!

    AntwortenLöschen
  11. @Markus Baersch: Du hast Recht - den Text habe ich angepasst (das kommt davon, wenn man den Post schon vorschreibt ;-)
    Zu der UA Nummer. Korrekt, sehr spitzfindige Leute könnte daraus eine Ableitung treffen, aber nicht unbedingt. Ich könnte ja auch früher Daten in UA-xxxx-2 getrackt haben und UA-xxx-a nie genutzt haben um nun damit anzufangen...
    Sollte jemand sehr sehr sehr korrekt sein wollen bleibt ihm nichts anderes übrig den Vertrag zu unterschreiben und ein neues Analytics Konto zu eröffnen, das alte zu löschen und damit auf die Altdaten zu verzichten...korrekte Antwort hierzu ist also ja, genauso läuft es.
    Im Zweifel kann man den Kunden aber mal fragen, ob er derartige Verträge für alle anderen externen Pixel die auf seiner Seite eingebaut sind unterschrieben hat...

    AntwortenLöschen
  12. Hallo Timo,

    das sehe ich natürlich genauso, aber ich ringe seit gestern mit der genauen Formulierung dessen, was ich nun unseren Kunden genau raten soll. Denn die aktuelle Änderung ist ja schon ein guter Anlass, mal wieder daran zu erinnern, dass man auch vorher schon den Nutzungsbedingungen entsprechen und die Besucher der Site informieren muss - soweit zwar nicht neu, aber dennoch für die meisten Websites, die ich so beim Surfen sehe, offenbar unbekannt. Wenn man dann also jetzt ohnehin den Kunden eine Nachbesserung empfiehlt, sollte das zwar vollständig sein, aber auch nicht nach so viel Arbeit aussehen, dass sich wieder keiner dran macht ;)

    Schon enie gewisse Zwickmühle. Ich selbst habe für unsere eigenen Sites jedenfalls entschieden, nach Eintreffen des abgeschlossenen Vertrags (das ist ja wirklich kein Staatsakt) für die bestehenenden Sites neue Profile zu verwenden und die alten erst einmal "stillzulegen", ohne direkt zwingend mit der Brechstange alle alten Daten zu löschen. Am Ende des Tages muss wohl jeder selbst entscheiden, wie Anforderungen, Aufwand und Konsequenzen hier genau zusammenspielen ;)

    AntwortenLöschen
  13. Muss man den Vertrag mit Google eigentlich Domainspezifisch, Kontenspezifisch oder Unternehmensspezifisch abschliessen?

    AntwortenLöschen
  14. Endlich hat der Hickhack mal ruhe ich kann Analytics wieder in meine Webseite einbauen. Danke.

    AntwortenLöschen
  15. Super, danke, anonym war es bei uns schon seit Jahren, der Vertrag ist unterschrieben und geht gleich noch zur Post. Vielen Dank für die Zusammenfassung.
    Gruß Daniel

    AntwortenLöschen
  16. Der Kommentar wurde von einem Blog-Administrator entfernt.

    AntwortenLöschen
  17. I’m not that much of a online reader to be honest but your blogs really nice, keep it up! I’ll go ahead and bookmark your website to come back later. All the best

    AntwortenLöschen
  18. Meine Frage nach "Muss man den Vertrag mit Google eigentlich Domainspezifisch, Kontenspezifisch oder Unternehmensspezifisch abschliessen?" ist leider noch immer unbeantwortet. Man soll ja im Vertrag "falls bekannt" die Google-Analytics Kontonummer angeben. Wenn ich diese nicht angeben, kann ich dann davon ausgehen alle meine Konten abgedeckt zu haben?

    AntwortenLöschen
  19. Gibt es diesen Datenschutzhinweis mit den neuen Änderungen irgendwo in Englisch? Ich finde nur die "alte" englische Version.

    Gruß
    Michael

    AntwortenLöschen
  20. @Sascha Ballweg: Im Zweifel sollte die UA Nummer in dem Vertrag angegeben werden - damit ist man auf der sicheren Seite. D.h. dann u.U. auch, dass man einige Verträge unterzeichnen muss...
    @Michael: Die neue Version gibt es nur auf deutsch, da die Engländer sich nicht so anstellen wie die Deutschen ;-) Im Ernst, Google Analytics hat hier sozusagen einen Sonderweg für Deutschland eingeschlagen...

    AntwortenLöschen
  21. Hallo!

    Ich habe mal eine simple Frage bzgl. Anonymisierung der IP-Adresse: wenn ich den Code eingefügt habe, kann dann GA trotzdem noch meine eigene IP erkennen und von der Zählung ausschließen? Bzw.: wie genau bleibt dadurch die Erfassung der Herkunft meiner Besucher?

    Hintergrund: bin Anwender aus Hamburg und habe im Sommer eine neues Portal gestartet. Von Anfang an war eine kleine 40.000 Seelen Stadt im Sauerland auf Platz 1 der Herkunftsstädte und ich frage mich, woran das liegen kann. Da meine Kollegen und ich recht regelmäßig die eigene Seite besuchen, war der IP-Ausschluss immer die beste Wahl. Doch so langsam stelle ich mir die Frage, ob durch die Anonymisierung nicht einfach dieses Städtchen (zu fast 100%) für unser Büro steht :)

    AntwortenLöschen
  22. Wir haben jetzt auch den "neuen" Analytic Code eingebaut. Hatte aber schon ziemlich lange gedauert bis wir den Vertrag von google zurück gesendet bekommen haben.
    @timo: Ich bin ganz deiner Meinung das sich die Deutschen ziemlich schräg in Sachen Datenschutz anstellen.

    AntwortenLöschen
  23. Vielen Dank für die oben stehenden Informationen. Ich bin gerade dabei die Datenschutzrichtlinien auch auf meiner Webseite umzusetzen.
    Bisher sind die noch nicht anonymisiert im Zusammenhang mit Google Analytics. Aber das kommt jetzt im Rahmen des Internet Management.
    Schönen Gruß aus Hamburg

    AntwortenLöschen
  24. Hihi. Unten im Disclaimer steht der Original-Fehler aus dem GA-TOS-pdf: [...] Websitebetreiber zu erbringenDie im Rahmen von [...].
    Vielleicht mal korrigieren und diesen Kommentar gern löschen. Beste Grüße, Thomas.

    AntwortenLöschen
  25. Vielen Dank für diesen wunderbaren Artikel. Google Analytics hat wirklich echt viele Funktionen, da ist es wirklich kaum möglich immer am Ball zu bleiben. Daher kam dieser Artikel für mich genau richtig. Ich hab jetzt wieder den Ueberblick, jedenfalls mehr als vorher :=) Man darf gespannt sein was für Features bei Google Analytics im 2012 dazukommen !

    AntwortenLöschen
  26. Hallo Timo,

    mir liegt ein Schreiben mit Datum vom 28.03.2012 vor, in dem ein Unternehmen aufgefordert wird, seine Datenerhebung mit Google Analytics gemäß der Vorgabe HmbBfDI vom September 2011 umzustellen. Auszug: "Wir behalten uns vor, nach einer Karenszeit durch stichprobenartige Kontrollen zu überprüfen, ob die in Berlin ansässigen Nutzer von Google Analytics ihren gesetzlichen Verpflichtungen nachgekommen sind".

    Ist das ein Einzellfall oder sind mehr Websitebetreiber in Berlin betroffen? Von einem großen Rundumschlag habe ich noch nichts gelesen. Weißt Du mehr?

    Viele Grüße
    Markus

    AntwortenLöschen
  27. This starts a series of newly published studies of the vitamin's oxidative ejaculation increase properties. I lost over 150lbs.

    Have a look at my homepage; Penis Enhancement

    AntwortenLöschen

 
Google