In letzter Zeit ist vermehrt von der Erweiterung von Google Analytics die Rede, die die bisherigen Möglichkeiten zur Bildung von Nutzungsprofilen intensiviert. Mit Google Universal Analytics vollzieht Google den Wandel von der bisherigen gerätespezifischen Analyse hin zu einer zusätzlichen nutzerspezifischen Analyse. Zudem bietet die neue Trackinglösung Schnittstellen zur Verknüpfung des Onlineverhaltens eines Nutzers mit seinem Offlineverhalten im Ladengeschäft (z.B. über eine Bonuskarte).
Daraus ergeben sich geänderte Anforderungen an die Datenschutzerklärung des Seitenbetreibers, um die es im weiteren gehen soll:
Universal Analytics – Wie funktioniert’s?
Bei Universal Analytics wird neben der bisher in einem Cookie abgelegten Client-ID zusätzlich eine User-ID eingesetzt. Letztere ist nicht einem bestimmten Endgerät zugewiesen, sondern einem konkreten Nutzer. Dadurch kann das Verhalten des jeweiligen Nutzers auf unterschiedlichen Endgeräten (Smartphone, Tablet, Notebook etc.) erfasst werden. Die Zuweisung der User-ID zu einem Nutzer erfordert, dass der Seitenbetreiber den Nutzer eindeutig identifiziert. Dies ist in der Regel nur dann möglich, wenn ein personalisierter Bereich angeboten wird (z.B. Login-Bereich in einem Online-Shop). Sobald sich ein Nutzer erstmalig einloggt, wird ihm die eindeutige User-ID vom Seitenbetreiber zugewiesen.
Bei der User-ID selbst handelt es sich um eine einzigartige, dauerhafte und nicht personalisierte Zeichenfolge. Diese User-ID wird im Zusammenhang mit Google Universal Analytics als Pseudonym gegenüber Google benutzt. Das bedeutet, Google erhält lediglich die User-ID und nicht die Informationen aus dem damit verknüpften Profil. Fortan werden sodann das Onlineverhalten und die User-ID zusammen an Google übergeben und dort zu Profilen verknüpft. Die so erstellten Nutzungsprofile werden dem Shopbetreiber in zusammengefasster Form zur Verfügung gestellt.
Rechtliche Vorgaben für Google Analytics gelten weiter
Bei Google Universal Analytics handelt es sich um eine relativ neue Trackinglösung, die bisher wenig eine gesonderte rechtliche Beachtung gefunden hat. Da Universal Analytics auch die Möglichkeiten von Google Analytic beinhaltet, ist zumindest eine Beachtung der zwischen Google und dem Hamburger Datenschutzbeauftragten abgestimmten Hinweisen zur Nutzung von Google Analytics sinnvoll. Hierzu gehört etwa der Einsatz der Funktion “anonymizeIP”, weil die vollständige IP-Adresse von den Datenschuzubehörden als personenbezogenes Datum angesehen wird.
Zusätzliche Anforderungen an Universal Analytics
Google meint, dass sich bezüglich des Datenschutzes die Sachlage durch Google Universal Analytics nicht ändert. Vielmehr gibt Google an, dass sogar weniger Daten gesammelt bzw. weniger Cookies verwendet werden. Zumal die Möglichkeit besteht, beim Tracking auf die Verwendung von Cookies vollständig zu verzichten.
Google Universal Analytics ermöglicht jedoch nicht nur die gerätespezifische, sondern auch eine nutzerspezifische Analyse des Onlineverhaltens. Insofern ändert sich auch die Sachlage, die ein gesonderte rechtliche Bewertung erfordert.
Bildung pseudonymer Profile
Gemäß § 15 Abs. 3 Satz 1 TMG ist es zulässig, Nutzungsprofile bei der Verwendung von Pseudonyme zu erstellen, ohne eine entsprechende vorherigen Einwilligung des Nutzers einzuholen. Die Norm gilt aber nur innerhalb des Anwendungsbereichs des TMG. Eine entsprechende Regelung für den Offlinebereich existiert nicht. Dies lässt den Schluss zu, dass eine Erstellung von Nutzungsprofilen aus Offline-Informationen ohne Einwilligung nicht zulässig ist. Dies gilt auch für die Verknüpfung von Offline-Verhalten mit Online-Verhalten. Daher empfiehlt es sich, auf eine Verwendung von Schnittstellen zum Offline-Verhalten des Nutzers zu verzichten.
Hinweis auf eine Widerspruchsmöglichkeit
Die Erstellung pseudonymer Nutzungsprofile ist gemäß § 15 Abs. 3 Satz 1 TMG nur zulässig, wenn der Nutzer dem nicht widersprochen hat. Der Nutzer ist über die Widerspruchsmöglichkeiten aufzuklären. Die für Google Analytics verfügbaren technischen Möglichkeiten, dem Nutzer die Ausübung des Widerspruchsrecht mittels Browser-Add-on beziehungsweise einem Opt-Out-Cookie zu ermöglichen, sind für Google Universal Analytics nicht ausreichend. Diese technischen Möglichkeiten erlauben lediglich einen gerätespezifischen Widerspruch. Im Rahmen von Google Universal Analytics muss ein Widerspruch auf einem Endgerät jedoch auch für alle sonstigen Endgeräte Wirkung entfalten können. Derzeit werden von Google keine technischen Lösungen angeboten, die dieser Anforderung gerecht werden.
Daher muss eine eigene (manuelle) Lösung eingesetzt werden. Denkbar wäre etwa die Bereitstellung einer E-Mail-Adresse, an die ein entsprechender Widerruf gerichtet werden kann. Geschieht dies, muss die User-ID des Nutzer umgehend (notfalls manuell) gelöscht werden oder zumindest eine Weitergabe von Daten zu dieser User-ID an Google unterbunden werden.
Keine Zusammenführung der User-ID mit den Nutzungsdaten
Des Weiteren dürfen gemäß § 15 Abs. 3 Satz 3 TMG die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Daraus ergibt sich zunächst die Verpflichtung des Seitenbetreibers, an Google neben der User-ID keine weiteren personenbezogenen Daten zu übermitteln, aus denen sich eine Identifizierung des Nutzers ergeben könnte. Das gleiche gilt für Google, die vor der Zurverfügungstellung der Nutzerprofile die User-ID entfernen müssen. Außerdem dürfen die Nutzerprofile nicht derart umfangreich und detailliert sein, dass sich daraus ein Rückschluss auf eine bestimmte Person ergibt.
Abschluss eines Auftragsdatenverarbeitungsvertrages
Stellt man sich auf den Standpunkt, dass es für die datenschutzrechtlich zulässige Nutzung von Google Analytics eines Vertrages über eine Auftragsdatenverarbeitung bedarf, muss dies auch für Universal Analytics gelten. Die derzeit von Google bereit gestellte Vorlage wurde auf Google Analytics abgestimmt. Dass diese unverändert auf Universal Analytics angewendet werden kann, liegt zumindest nicht auf der Hand. Eindeutige Stellungnahmen der Datenschutzbehörden zu dieser Frage sind nicht bekannt. In der Praxis bleibt mangels Alternative letztlich nur die Verwendung der derzeit verfügbaren – und nicht mit Google verhandelbaren – Vorlage.
Einsatz von Cookies
Weiterhin unklar ist die Rechtslage im Hinblick auf den Einsatz von Cookies, nachdem Anfang des Jahres bekannt wurde, dass sowohl EU-Kommission als auch die Bundesregierung davon ausgehen, dass die ePrivacy-Richtlinie in deutsches Recht umgesetzt ist. Unabhängig von den sich hieraus ergebenden Folgen, ist in jedem Fall auf den Einsatz von Cookies in der Datenschutzerklärung hinzuweisen. Etwas anders gilt nur dann, wenn auf Cookies für Universal Analytic verzichtet wird und auch sonst keine Cookies eingesetzt werden.
Fazit
Der Einsatz von Universal Analytics ist mit einigen Unwägbarkeiten verbunden. Wer jedoch die Hinweise beachtet, die für den Einsatz von Google Analytics abgestimmt wurden und zudem einige Besonderheiten berücksichtigt, kann die nutzerspezifische Tracking-Lösung mit überschaubarem Risiko einsetzen. Stimmen, die grundsätzlich hiervon abraten, sehe ich eher in der Kategorie “Pauschalkritik an der Datenkrake”.
Zuerst erschienen im PinG-Blog