Das Thema „Einsatz von Google Analytics“ geistert nach wie vor (regelmäßig mit schlechtem Gewissen behaftet) herum. Und nach wie vor besteht eine große Unsicherheit, ob es nun unzulässig oder zulässig ist.
Tatsächlich ist es ein Mittelding: Der Einsatz von Google Analytics ist datenschutzrechtlich zulässig – aber nur bei Beachtung bestimmter Bedingungen.
Eine quasi amtliche Übersicht zum datenschutzkonformen Einsatz von Google Analytics finden Sie HIER auf den Seiten des Hamburger Datenschutzbeauftragten. Die Vorgaben sind zwar grundsätzlich für Hamburg formuliert, dies liegt aber daran, dass sie vom Hamburger Landesdatenschutzbeauftragten bereit gestellt werden. Inhaltlich entsprechen sie dem Beschluss des Zusammenschlusses aller Landesdatenschutzbeauftragten und können daher auch an der HU angewandt werden. Wem die Beschreibung zu knapp ist, wird vielleicht HIER oder HIER fündig.
Zu den Vorgaben gehören insbesondere der Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google (Formular findet sich HIER) sowie der Einsatz einer Widerspruchsfunktion (hierfür hält Google mittlerweile ein AddOn bereit) und einer Anonymsierungsfunktion, welche das letzte Oktett der IP anonymisiert. Altdaten, die mitels Google Analytics, aber ohne diese Maßgaben erhoben wurden, müssen gelöscht werden. Hinzuzufügen ist zudem eine ausreichende Erweiterung der Datenschutzerklärung. Ein erläuterndes Beispiel, wie so etwas klingen könnte, findet sich u.a. HIER.
Ohne all diese Maßnahmen ist Google Analytics nach derzeitigem Stand nicht datenschutzkonform und darf nicht eingesetzt werden! Mittlerweile gibt es automatisierte Verfahren, mit denen Websites überprüft werden können, was auch geschieht.
Eine Alternative zur Analyse bei Google bietet z.B. Tool Piwik. Auch hierzu sind jedoch bestimmte Bedingungen für einen datenschutzkonformen Einsatz zu beachten. Aus Datenschutzsicht spricht für Piwik, dass die Daten von vorneherein lokal bleiben.