Über die Inhalte der Stellungnahmen informierten wir Sie in unserem Blogbeitrag: „Entscheidung der österreichischen Datenschutzaufsichtsbehörde – Datenübermittlung durch Google Analytics rechtswidrig“. In Anlehnung an unser YouTube Video "10 datenschutzrechtliche Problemstellungen und Lösungsmöglichkeiten bei Google Analytics" betrachten wir im folgenden Blogbeitrag die Problematik mit der Einbindung von Google Analytics aus technischer Sicht.
Die gängige Praxis, um Google Analytics möglichst datenschutzfreundlich einzusetzen, ist das Einholen einer Einwilligung des Seitenbesuchers und die Aktivierung der IP-Anonymisierung. Problematisch hierbei ist, dass die IP-Anonymisierung erst bei Google stattfindet und somit, anders als der Name vermuten lässt, nicht anonymisierte Daten an Google übermittelt werden. Es findet eine Datenverarbeitung mit ungekürzten IP-Adressen der Betroffenen auf den europäischen Servern statt, worauf der US-Mutterkonzern jedoch zugreifen kann. Hinzu kommt, dass an Google eine große Anzahl weiterer technischer Daten geht, die den Betroffenen für Google identifizierbar machen.
Als Möglichkeit dieses Problem zu umgehen, empfiehlt die französische Datenschutzbehörde CNIL Google Analytics nicht direkt einzubinden, sondern die Verbindung über einen Proxy-Server herzustellen.
Ein Proxy-Server dient als Vermittler in einem Netzwerk, der Anfragen entgegennimmt und sie stellvertretend weiterleitet. Die Kommunikation findet also nicht mehr zwischen dem Browser des Betroffenen und dem Google Server statt, sondern über eine Verbindungsbrücke. Damit erlangt der Verantwortliche die Kontrolle über die Daten seiner Betroffenen zurück. Das schafft Rechtssicherheit für den Verantwortlichen und Transparenz gegenüber den Betroffenen.
Um über den eingesetzten Proxy-Server, den datenschutzkonformen Einsatz von Google Analytics zu erreichen, muss bei der Konfiguration einiges beachtet werden.
Der Verantwortliche hat bei der Konfiguration des Proxy-Servers zu beachten, dass unter keinen Umständen Parameter zu Identifizierung der Betroffenen an Google übermittelt werden. Die IP-Adresse sowie Geräteinformationen dürfen nicht übermittelt werden und Benutzerkennungen müssen durch den Proxy-Server ersetzt werden. Alle Informationen, die einem digitalen Fingerabdruck gleichkommen, müssen so aufbereitet werden, dass keine Identifizierung der Betroffenen mehr möglich ist. Die Informationen, die eine Re-Identifizierung ermöglichen, sind zu löschen.
Aus datenschutzrechtlicher Sicht und aus Perspektive des Betroffenen bietet das beschriebene Vorgehen einige Vorteile. Aus rein unternehmerischer Sicht entstehen jedoch auch Nachteile bei dieser Form der Implementierung. Für das Hosting und die richtige Konfiguration des Servers ist zum einen Fachkenntnis erforderlich und zum anderen entsteht ein finanzieller Aufwand. Nutzen und Aufwand können hier vor allem bei kleineren Website-Betreibern in einem Ungleichgewicht stehen.
Auch aus Marketingsicht sind die Ergebnisse aus gewonnen Analysen weniger wertvoll als zuvor. Dadurch, dass erst bei Google die individuellen Nutzerprofile erstellt werden und dorthin weniger Daten gelangen, sind diese weniger genau und realitätsgetreu.
Benötigen Sie Unterstützungsleistungen zu den Themen Datenschutz und Informationssicherheit? Dann kontaktieren Sie uns:
Zentrale Hutthurm - Tel.: +49 (0) 8505 91927 – 0
Niederlassung München - Tel.: +49 (0) 89 413 2943 – 0
Oder nutzen Sie unser Kontaktformular.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).