Am 15. September 2011 verständigte sich Google mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Rahmenbedingungen, die zu einem beanstandungsfreien Betrieb von Google Analytics führen. Die Hamburgische Datenschutzbehörde handelte dabei im Auftrag des Düsseldorfer Kreises, so dass davon auszugehen ist, dass andere Landesdatenschutzbehörden die gefundene Lösung ebenfalls akzeptieren werden.
Webseitenbetreiber, die Google Analytics einsetzen und damit als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG) behandelt werden, sollten nach Ansicht der Hamburgischen Datenschutzbehörde die folgenden vier Schritte umsetzen:
- Abschluss einer Auftragsdatenvereinbarung (gemäß § 11 BDSG) mit Google. Ein entsprechender Entwurf wird von Google angeboten.
- Hinweis der Webseitenbenutzer in der Datenschutzerklärung auf die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics und Hinweis auf die bestehenden Widerspruchsmöglichkeiten. Dabei empfehlen die Hamburgischen Datenschutzbehörden eine Verlinkung auf eine von Google angebotene Hinweisseite.
- Einstellung im Google Analytics-Programmcode, dass die IP-Adresse mittels der Funktion "_anonymizeIp()" auf jeder Seite mit Analytics-Einbindung um die letzen acht Stellen vor der jeglicher Speicherung und noch innerhalb Europas gelöscht werden.
- Löschung der unrechtmäßig erhobenen Altdaten. Dies ist zum aktuellen Zeitpunkt nur über eine Schließung des bestehenden Google-Analytics-Profils und eine hierauf folgende Eröffnung eines neuen Profils möglich.
Google Analytics war in der Vergangenheit verstärkt ins Visier der Datenschutzaufsicht geraten. Kritisiert wurde insbesondere, dass
- über das Analyse-Tool personenbezogene Daten (zu denen nach inzwischen gefestigter Ansicht die IP-Adresse zählt) ohne die erforderliche Information der Betroffenen erhoben wurden;
- die personenbezogenen Daten ohne die dafür erforderliche Einwilligung der Betroffenen in die USA übermittelt wurden; und
- die zwischen den Webseitenbetreibern und Google geschlossenen Vereinbarungen nicht den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung entsprachen, da für die Webseitenbetreiber insbesondere nicht die Möglichkeit bestand, die Datenverarbeitung von Google wirksam zu kontrollieren.
Aus diesen Gründen bewerteten verschiedene Landesdatenschutzbehörden den Einsatz von Google Analytics in der damaligen Fassung als nicht datenschutzkonform.
Nach Verhandlungen mit der Hamburgischen Datenschutzbehörde, die bis in den November 2009 zurückreichen, wurde nunmehr ein Konsens zwischen Google und der Hamburgischen Datenschutzbehörde erzielt. Die Hamburgische Datenschutzbehörde führte die Verhandlungen mit Google im Auftrag des Düsseldorfer Kreises, d.h. der informellen Vereinigung der obersten deutschen Datenschutz-Aufsichtsbehörden. Damit ist davon auszugehen, dass die im Düsseldorfer Kreis zusammengeschlossenen Landesdatenschutzbehörden die gefundene Lösung als ebenfalls als datenschutzkonform ansehen werden. In dem gefundenen Konsens erklärte Google sich zum einen bereit, Änderungen in der internen Verarbeitungspraxis von Google Analytics vorzunehmen, auf welche die Betreiber von Webseiten mit Google Analytics mit den eingangs genannten vier Schritten eingehen sollten. Zum anderen werden potentiellen Betroffenen weitergehende Einflussmöglichkeiten durch geänderte Browsereinstellungen zugebilligt. Webseitennutzer haben nunmehr die Möglichkeit, der Erfassung von Nutzungsdaten zu widersprechen. Dafür stellt Google ein so genanntes Deaktivierungs-Add-On zur Verfügung. Dieses Add-On ist für alle gängigen Browser (Internet Explorer, Firefox, Google Chrome, Safari und Opera) verfügbar.