Seit Anfang des Jahres setzt Google eine umfassende Erweiterung von Google Analytics um und erweitert damit die bisherigen Möglichkeiten zur Bildung von Nutzungsprofilen erheblich. Mit Google Universal Analytics vollzieht Google den Wandel von der bisherigen gerätespezifischen Analyse hin zu einer zusätzlichen nutzerspezifischen Analyse. Zudem bietet die neue Trackinglösung Schnittstellen zur Verknüpfung des Onlineverhaltens eines Nutzers mit seinem Offlineverhalten im Ladengeschäft (z.B. über eine Bonuskarte). Daraus ergeb sich jedoch geänderte Anforderungen an die Datenschutzerklärung des Seitenbetreibers

Funktionsweise

Bei Universal Analytics wird neben der bisher in einem Cookie abgelegten Client-ID zusätzlich eine User-ID eingesetzt. Letztere ist nicht einem bestimmten Endgerät zugewiesen, sondern einem konkreten Nutzer. Dadurch kann das Verhalten des jeweiligen Nutzers auf unterschiedlichen Endgeräten (Smartphone, Tablet, Notebook etc.) erfasst werden. Die Zuweisung der User-ID zu einem Nutzer erfordert, dass der Seitenbetreiber den Nutzer eindeutig identifiziert. Dies ist in der Regel nur dann möglich, wenn ein personalisierter Bereich angeboten wird (z.B. Login-Bereich in einem Online-Shop). Sobald sich ein Nutzer erstmalig einloggt, wird ihm die eindeutige User-ID vom Seitenbetreiber zugewiesen.

Bei der User-ID selbst handelt es sich um eine einzigartige, dauerhafte und nicht personalisierte Zeichenfolge. Diese User-ID wird im Zusammenhang mit Google Universal Analytics als Pseudonym gegenüber Google benutzt. Das bedeutet, Google erhält lediglich die User-ID und nicht die Informationen aus dem damit verknüpften Profil. Fortan werden sodann das Onlineverhalten und die User-ID zusammen an Google übergeben und dort zu Profilen verknüpft. Die so erstellten Nutzungsprofile werden dem Shopbetreiber in zusammengefasster Form zur Verfügung gestellt.

Vorgaben für Google Analytics beachten

Bei Google Universal Analytics handelt es sich um eine relativ neue Trackinglösung, die bisher wenig eine gesonderte rechtliche Beachtung gefunden hat. Da Universal Analytics auch die Möglichkeiten von Google Analytic beinhaltet, ist zumindest eine Beachtung der zwischen Google und dem Hamburger Datenschutzbeauftragten abgestimmten Hinweisen zur Nutzung von Google Analytics sinnvoll. Hierzu gehört etwa der Einsatz der Funktion „anonymizeIP“, weil die vollständige IP-Adresse von den Datenschuzubehörden als personenbezogenes Datum angesehen wird.

Besonderheiten bei Universal Analytics

Google selbst meint, dass sich bezüglich des Datenschutzes die Sachlage durch Google Universal Analytics nicht ändert. Vielmehr gibt Google an, dass sogar weniger Daten gesammelt bzw. weniger Cookies verwendet werden. Zumal die Möglichkeit besteht beim Tracking auf die Verwendung von Cookies völlig zu verzichten.

Google Universal Analytics ermöglicht jedoch eben nicht nur die gerätespezifische, sondern auch die nutzerspezifische Analyse des Onlineverhaltens. Insofern ändert sich auch die Sachlage, die ein gesonderte rechtliche Bewertung erfordert.

Pseudonyme Profilbildung

Nach § 15 Abs. 3 Satz 1 TMG ist es zulässig Nutzungsprofile bei Verwendung von Pseudonyme zu erstellen, ohne eine entsprechende vorherigen Einwilligung des Nutzers abzufragen. Die Norm gilt jedoch nur innerhalb des Anwendungsbereichs des TMG. Eine entsprechende Regelung für den Offlinebereich existiert nicht. Dies lässt den Schluss zu, dass eine Erstellung von Nutzungsprofilen aus Offline-Informationen ohne Einwilligung nicht zulässig ist. Dies gilt auch für die Verknüpfung von Offline-Verhalten mit Online-Verhalten. Daher empfiehlt es sich in jedem Fall, auf eine Verwendung von Schnittstellen zum Offline-Verhalten des Nutzers zu verzichten.

Widerspruchsmöglichkeit

Die Erstellung pseudonymer Nutzungsprofile ist gemäß § 15 Abs. 3 Satz 1 TMG jedoch nur soweit zulässig, als der Nutzer dem nicht widersprochen hat. Der Nutzer ist über die Widerspruchsmöglichkeiten aufzuklären. Die für Google Analytics verfügbaren technischen Möglichkeiten, dem Nutzer die Ausübung des Widerspruchsrecht mittels Browser-Add-on beziehungsweise einem Opt-Out-Cookie zu ermöglichen, sind für Google Universal Analytics nicht ausreichend. Diese technischen Möglichkeiten erlauben lediglich einen gerätespezifischen Widerspruch. Im Rahmen von Google Universal Analytics muss ein Widerspruch auf einem Endgerät jedoch auch für alle sonstigen EndgeräteWirkung entfalten können. Derzeit werden von Google keine technischen Lösungen angeboten, die dieser Anforderung gerecht wird.

Daher muss eine eigenen (manuelle) Lösung eingesetzt werden. Denkbar wäre etwa die Bereitstellung einer E-Mail-Adresse, an die ein entsprechender Widerruf gerichtet werden kann. Geschieht dies, muss die User-ID des Nutzer umgehend (notfalls manuell) gelöscht werden oder zumindest eine Weitergabe von Daten zu dieser User-ID an Google unterbunden werden.

Keine Zusammenführung der User-ID mit den Nutzungsdaten

Des Weiteren dürfen gemäß § 15 Abs. 3 Satz 3 TMG die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Daraus ergibt sich zunächst die Verpflichtung des Seitenbetreibers, an Google neben der User-ID keine weiteren personenbezogenen Daten zu übermitteln, aus denen sich eine Identifizierung des Nutzers ergeben könnte. Das gleiche gilt für Google, die vor der Zurverfügungstellung der Nutzerprofile die User-ID entfernen müssen. Außerdem dürfen die Nutzerprofile nicht derart umfangreich und detailliert sein, dass sich daraus ein Rückschluss auf eine bestimmte Person ergibt.

Vertrags zur Auftragsdatenverarbeitung

Stellt man sich auf den Standpunkt, dass es für die datenschutzrechtlich zulässig Nutzung von Google Analytics eines Vertrages über eine Auftragsdatenverarbeitung bedarf, muss dies auch für Universal Analytics gelten. Die derzeit von Google bereit gestellte Vorlage wurde lediglich im Hinblick auf Google Analytics abgestimmt. Das diese unverändert auf Universal Analytics angewendet werden kann, liegt zumindest nicht auf der Hand. Eindeutige Stellungnahmen der Datenschutzbehörden zu dieser Frage sind nicht bekannt. In der Praxis bleibt mangels Alternative letztlich nur die Verwendung der derzeit verfügbaren – und nicht mit Google verhandelbaren – Vorlage.

Einsatz von Cookies

Unklar ist derzeit ein wenig die Rechtslage im Hinblick auf den Einsatz von Cookies, nachdem Anfang des Jahres bekannt wurde, dass sowohl Kommission wie auch Bundesregierung davon ausgehen, dass die ePrivacy-Richtlinie in deutsches Recht umgesetzt ist. Unabhängig von den sich hieraus ergebenden Folgen, ist in jedem Fall auf den Einsatz von Cookies in der Datenschutzerklärung hinzuweisen. Was anders gilt nur dann, wenn auf Cookies für Universal Analytic verzichtet wird und auch sonst keine Cookies eingesetzt werden.

Fazit

Der Einsatz von Universal Analytics ist mit einigen Unwägbarkeiten verbunden. Wer jedoch die Hinweise beachtet, die für den Einsatz von Google Analytics abgestimmt wurden und zudem einige Besonderheiten berücksichtigt, kann die nutzerspezifische Tracking-Lösung mit überschaubarem Risiko einsetzen. Stimmen, die grundsätzlich hiervon abraten, sehe ich eher in der Kategorie „Pauschalkritik an der Datenkrake“.