Google Analytics Rechtswidrig?

Sehr geehrte/r Ratsuchende/r,

gerne beantworte ich Ihre Fragen auf Grundlage Ihrer Angaben und unter Berücksichtigung Ihres Einsatzes wie folgt:

In der Tat ist die Verwendung von Statistik- und Analysetools wie Google Analytics nicht ganz unproblematisch gewesen. Noch im November letzten Jahres haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in einem Beschluß festgelegt, welche Vorgaben aus dem Telemediengesetz (TMG) bei der Verwendung von Analysetools bei Internet-Angeboten zu beachten sind.

Siehe http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf

Danach bedarf es einer bewussten, eindeutigen Einwilligung, damit die Analyse des Nutzungsverhaltens der Webseitenbesucher unter Verwendung vollständiger IP-Adressen zulässig ist.
Dies hatte zur Folge, dass die Verwendung von Analysetools wie Google Analytics nicht zulässig war, solange nicht gesondert die vorgenannte Einwilligung eingeholt wurde. In der Praxis gestaltete sich eine Umsetzung dieser Vorgaben sehr schwierig.

Daher hat Google in diesem Bereich nachgebessert, so dass die Verwendung von Google Analytics mit einigen Anpassungen nun auch den datenschutzrechtlichen Anforderungen genügt.

Wenn Sie also Google Analytics weiterhin nutzen möchten, empfehle ich Ihnen so vorzugehen, wie Sie es selbst unter 2. beschrieben haben. Danach sollten Sie den Google Analytics Code um eine Zusatzzeile „_anonymizeIp()" erweitern und in Ihren Datenschutzerklärung auf die Erfassung der gekürzten IP-Adresse hinweisen.
Wegen der technischen Umsetzung empfehle ich Ihnen sich an die Informationen von Google zu halten http://code.google.com/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp.

Darüber hinaus rate ich Ihnen zur Lektüre folgender Informationen:

http://www.iitr.de/datenschutz-google-analytics-erfuellt-zentrale-forderung-der-datenschutz-aufsichtsbehoerden.html

http://www.google.com/intl/de/analytics/tos.html

Hinsichtlich Ihrer Aussage zur Unterwerfung von Goole unter dem „Safe Harbor" Vereinbarung, reicht es nach einem Beschluss der obersten Aufsichtsbehörden nicht, dass sich Daten exportierende Unternehmen bei Übermittlungen an Stellen in die USA nicht allein auf die Behauptung einer Safe Habor-Zertifizierung des Datenimporteurs verlassen können.

Weiterführende Informationen entnehmen Sie bitte dem Beschluss unter https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf

Abschließend hoffe ich, Ihnen einen ersten Überblick über die Rechtslage vermittelt zu haben und bedanke mich für eine positive Bewertung.