Die Datenschutz-Posse um Google-Analytics geht weiter: Premiere von “Wir machen uns die (Datenschutz-)Welt, wie sie uns gefällt” nun auch in Ansbach…

Nachdem vor einiger Zeit schon die amtlichen Datenschützer am Ort des deutschen Sitzes von  Google (Hamburg) öffentlichkeitswirksam zu dem erstaunlichen Ergebnis kamen, man habe dem US-Konzern entscheidende Änderungen abgerungen, die künftig eine mit dem deutschen Datenschutzrecht konforme Nutzung des Reichweiten-Analysetools Google Analytics ermöglichen würden, haben sich nun auch die bayerischen Kollegen vom dortigen Landesamt für Datenschutzaufsicht in den gleichen Zug gesetzt:

Von dort wird heute das Ergebnis einer durch das Amt vorgenommenen Überprüfung bayerischer Internetseiten vermeldet:

“Das BayLDA hat nun in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. [...].

Die Prüfung hatte zum Ergebnis, dass [...] bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen.”

Bewertungsgrundlage der mit Hilfe einer selbst entworfenen Software automatisiert durchgeführten Prüfung waren dabei die wesentlichen von den Hamburger Kollegen bereits im vergangenen Spätsommer postulierten Anforderungen an einen (angeblich) rechtskonformen Einsatz des Tools:

Google Analytics dürfen nach Auffassung des BayLDA eingesetzt werden, wenn

  • der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
  • die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
  • die Anonymisierungsfunktion im Quellcode eingebunden ist und,
  • ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen, sofern diese Anonymisierungsfunktion bisher nicht eingesetzt war.

Damit machen sich die bayerischen Datenschützer die gleichen rechtlichen “Systemfehler” zu eigen, die bereits den Hamburger Kollegen unterlaufen sind:

Denn die rechtlichen Voraussetzungen einer Auftragsdatenverarbeitung wie sie durch § 11 BDSG gesetzlich geregelt sind, sind in dem hier zu beurteilenden Sachverhalt schlicht und ergreifend nicht erfüllt:

Insbesondere die in § 11 Abs. 3 BDSG vorgesehene Weisungshoheit des Auftraggebers läßt sich in Person des Tool-Nutzers gegenüber Google vernünftigerweise kaum bejahen. Ebensowenig stehen ersterem tatsächlich ernsthafte Kontrollrechte (vgl. etwa § 11 Abs. 2 S. 4 BDSG) oder konkrete Einflußmöglichkeiten auf den Vertragspartner Google zu.

Wenn jedoch der Verwender von Google Analytics gar keine echten Weisungs- und/oder Einflußmöglichkeiten bezüglich der Datenverwendung durch Google hat und tatsächlich also gar nicht “Herr der Daten” ist, fehlt es bereits am prägenden Element einer durch § 11 BDSG gerechtfertigten Datenverarbeitung durch den Dritten (Google).

Der von Google im Zusammenhang mit der Nutzung von Google Analytics “mitgelieferte” Vertrag zur Auftragsdatenverarbeitung kann – unbeschadet aller sonstigen inhaltlichen Bedenken – daher schon grundsätzlich nicht dazu führen, dass die fraglichen Datenübermittlungen plötzlich rechtmässig werden.

Wenn man jedenfalls wie die Datenschutzbehörden davon ausgeht, dass hier das BDSG tatsächlich einschlägig ist, weil bei der Nutzung von Google Analytics eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten i.S.d. § 3 Abs. 1 BDSG stattfindet, muß man auch den § 11 BDSG ernst nehmen.

Und nur weil die – zugegebenermassen für die Bundeslandesdatenschützer uncharmante – Alternative hier u.U. erzwungene Untätigkeit der Ordnungsbehörde wäre, kann man bei der fraglichen Norm nicht plötzlich andere (weichere) Maßstäbe anlegen, als man sie ansonsten regelmässig bei der Beurteilung einer ordnungsgemässen Auftragsdatenverarbeitung im Rahmen des § 11 BDSG zur Pflicht macht.

Ist den Datenschutz(aufsichts)behörden eigentlich nicht klar, dass sie mit derart widersprüchlichem und rechtlich fragwürdigem Aktionismus nur die Axt an den Baum legen, auf dem sie sitzen?!

Nähere Einzelheiten und weitergehende Kritik – u.a. den naheliegenden Einwand, weshalb denn eigentlich noch das BDSG einschlägig sein soll, wenn vor der Übermittlung an Google schon anonymisiert wird – beim Kollegen Thomas Stadler, bereits hier sowie aktuell dort.

3 Responses to “Die Datenschutz-Posse um Google-Analytics geht weiter: Premiere von “Wir machen uns die (Datenschutz-)Welt, wie sie uns gefällt” nun auch in Ansbach…”