Datenschutz ist eine heikle Sache im Web-Business. Mehrere deutsche Gerichte urteilten bereits in eine Richtung, dass der Datenschutz Teil des Wettbewerbsrechts sei. Das wäre ein Novum, auf das sich Unternehmen einstellen müssen. Vor allem Google-Dienste werden hier besonders stark von staatlicher Seite kontrolliert, weswegen speziell datensammelnde Angebote wie Google Analytics rechtlich sicher sein sollten.
Tipp 1: Daten anonymisieren – So geht’s
Google – als der größte Anbieter in diesem Segment – bietet seit einiger Zeit bereits die Möglichkeit, die Nutzerdaten bei Google Analytics zu verschlüsseln. Doch dazu muss der in der Website eingefügte Code geändert werden.
Für das alte Layout bei Google Analytics
_gaq.push([‚_gat._anonymizeIp‘]);
Für das neue Layout bei Google Analytics
ga(’set‘, ‚anonymizeIp‘, true);
Fügen Sie einfach diesen Code ein und fertig. Eine ausführliche Anleitung zur Anonymisierung von IPs in Analytics bietet auch Google selbst.
Das dient vor allem dem Schutz der Besucher Ihrer Seite. Für Sie ist am Ende wichtig: Es ist rechtlich verbindend.
Datenschutzbehörden könnten Sie sonst rechtsgültig abmahnen. Außerdem empfiehlt es sich, einen Standardauftragsdatenverarbeitungsvertrag mit Google zu schließen.
Tipp 2: Standardauftragsdatenverarbeitungsvertrag mit Google schließen
Das Recht auf informationelle Selbstbestimmung – das höchste Datenschutzrecht in Deutschland – erlaubt es dem Nutzer, selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden.
Besonders seit einigen Monaten sieht man auf immer mehr Websites – auch auf meiner – Cookie-Erklärungen. Sie sind nötig, weil ein Nutzer, so die Auslegung vieler Gerichte, nicht wissen kann, wer alles seine Nutzerdaten (IP-Adresse etc.) abgreift, also muss er darüber aufgeklärt werden.
So verhält es sich auch mit Statistikprogrammen wie Google Analytics. Doch weil hier ein Dritter (Google) die Daten des Nutzers (Erster) verarbeitet, muss der Seitenanbieter (Zweiter) den Nutzer einmal darüber aufklären.
Außerdem muss nach deutschem Datenschutzrecht – genauer § 11 BDSG – ein formeller Vertrag mit der Drittpartei eingegangen werden. Dieser Vertrag beauftragt den Dritten förmlich mit der standardmäßigen Verarbeitung der Daten – daher auch der Name:
Standard-Auftragsdatenverarbeitungsvertrag.
Ein ziemliches Wortmonster, zugegeben.
Google bietet glücklicherweise eine Formvorlage zum Standard-Auftragsdatenverarbeitungsvertrag als Download an. Doch nicht nur mit Google muss ein solcher Vertrag geschlossen werden: Eigentlich müssten alle Drittunternehmen, mit denen Sie Daten wechseln (also auch viele Plugin-Anbieter) auch solche Verträge mit Ihnen unterzeichnen. Doch Google ist als Branchenriese meist der einzige, bei dem die Datenschutzbehörden nachhaken.
Beachten Sie diese Tipps und sichern Sie Ihre Online-Aktivitäten rechtlich ab. Das ist kein ultimativer Schutz, aber das Mindestmaß, damit Sie, Ihre Kunden und Dritte keine schlaflosen Nächte haben.
Und wer darf nachprüfen, ob ein solcher Auftragsdatenverarbeitungsvertrag abgeschlossen wurde? Sprich, wer darf bei wem dazu Auskunft einholen?