Hamburgischer Datenschutzbeauftragter: Google Analytics ab sofort datenschutzgemäß. Oder: Neuigkeiten zur Auftragsdatenverwaltung

16.09.2011

Dem Hamburgischen Datenschutzbeauftragten Johannes Caspar ist etwas gelungen, was kaum jemand für möglich gehalten hat: Er hat in die verfahrene Situation, ob Google Analytics nun gegen geltendes Datenschutzrecht verstößt oder nicht, einen (scheinbaren) Schlussstrich gezogen. Zusammen mit dem Suchmaschinen-Riesen hat der Hamburger Datenschützer Google Analytics so umgestaltet, dass der Dienst nun - nach eigener Bekundung - rechtmäßig ist: 

"Durch konstruktive Gespräche ist es gelungen, sich gemeinsam auf zentrale Punkte zu einigen und diese umzusetzen. Insbesondere hat Google das Verfahren dahingehend geändert, dass

- den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivierungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
- auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
- mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll."

Technisch funktioniert die neue Variante wie folgt: Auf Servern in Europa speichert Google weiterhin die vollständige IP-Adresse. Bevor die Daten jedoch in die USA übertragen werden, wird das letzte Oktett der IP-Adresse gelöscht, so dass in jedem Fall keine personenbezogenen Daten mehr vorliegen.

EInziger Wehrmutstropfen: Jeder Webseiten-Betreiber muss mit Google eine Vereinbarung über eine sogenannte Auftragsdatenverwaltung abschließen. Google hat bereits eine solche Mustererklärung ins Netz gestellt.

Wer sich nun fragt, was es eigentlich mit dieser komischen Auftragsdatenverwaltung auf sich hat, dem empfehlen wir unser jüngstes Video "Die datenschutzrechtliche Auftragsdatenverwaltung".

Mit diesem aktuellen Kompromiss beweist Caspar damit erneut Fingerspitzengefühl und Praxisnähe. Dinge, die man von Datenschutzbehörden anderer Länder leider nicht häufig sagen kann. Das, was wir bereits Anfang diesen Jahres geschrieben hatten, gilt auch noch heute:

"Während andere Landesdatenschutzbeauftragte in Sachen Google Analytics eindeutig auf Krawall und Medienwirksamkeit gebürstet sind und bereits zahlreiche Aufforderungsschreiben verschickt haben, fährt Hamburg hier vielmehr einen konstruktiven Kooperationskurs. Nicht nur in Sachen Analytics, sondern auch bei zahlreichen sonstigen datenschutzrechtlichen Maßnahmen. Dies zeigt, dass man sich in der Hamburger Behörde der Zwiespältigkeit der deutschen Regelungen sehr wohl bewusst ist und entsprechend umsichtig reagiert. Und sich nicht - wie andernorts - wie die Axt im Walde benimmt und versucht, die absolut realitätsfernen Anforderungen mit der Brechstange durchzusetzen."

Sehr aufschlussreich ist übrigens der von Google vorgelegte Mustervertrag über die Auftragsdatenverwaltung. Formal-juristisch erfüllt diese Erklärung an mehreren Stellen nicht die gesetzlich Anforderungen.

Ein Beispiel: § 11 Abs.2 S.4 BDSG bestimmt nämlich:

"Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."

Diese Bestimmung ist zum 01.09.2009 ins Gesetz gekommen und war den damaligen Datenschutzskandalen geschuldet. Der Gesetzgeber wollte, dass ein Unternehmer sich nicht "einfach herausreden" und auf einen beauftragten Dritten verweisen kann, wenn etwas schief läuft.

Nun hat Google in seiner Mustervereinbarung dazu nachfolgende Regelung:

"Um Ihnen eine Auftragskontrolle und insbesondere eine Überprüfung der bei Google getroffenen technischen und organisatorischen Maßnahmen vor Beginn und regelmäßig während der Datenverarbeitung zu ermöglichen, wird Google einen von einem unabhängigen Wirtschaftsprüfer erstellten Prüfbericht bereithalten und Ihnen auf entsprechende Anfrage das jeweils aktuellste Exemplar zur Verfügung stellen. Der Prüfbericht wird mindestens alle 24 Monate erneuert."

Eine ähnliche Ausgestaltung kam damals beim Inkrafttreten der BDSG-Reform vom Deutschen Dialogmarketing Verband (DDV). Vorgeschlagen war er für die Direktmarketing-Branche. Der Vorschlag bzw. das Angebot wurde damals unisono von Seiten der Datenschützer als klar nicht ausreichend bezeichnet.

Jedenfalls der Hamburgische Datenschutzebauftragte sieht dies (nun) anders: Demnach soll offenbar ausreichen, wenn der Unternehmer einen neutralen Dritten mit der Kontrolle beauftragt. Die Regelung geht sogar noch weiter: Nach der Mustererklärung muss noch nicht einmal der Webseiten-Betreiber der Auftraggeber sein. Es reicht vielmehr aus, wenn Google selbst den Dritten beauftragt. So jedenfalls liest sich die o.g. Vertragsklausel.

Mit dem Wortlaut der Norm und der Entstehungsgeschichte des Gesetzes ist eine solche Interpretation kaum vereinbar. Jedoch glänzt sie durch außerordenliche Praxisnähe. 

Sollte sich diese Ansicht bei allen Datenschützern durchsetzen, dürfte es bald einen neuen Trend hin zu Prüfgesellschaften geben, die den jeweiligen Unternehmen ihre Dieste als unabhänige Stelle anbieten.