Datenschutz: Adobe Analytics auf dem Prüfstand

16.10.2013558 Mal gelesen
Im Rahmen der Diskussion um den rechtmäßigen Einsatz von Analyse-Tools hat das bayerische Landesamt für Datenschutzaufsicht das Programm Adobe Analytics unter datenschutzrechtlichen Gesichtspunkten geprüft und Anwendungshinweise für Datenschützer herausgegeben. Im folgendem werden das Ergebnis und Vorschläge der Datenschutzbehörde kurz umrissen.

Was ist Adobe Analytics?

Bei Adobe Analytics handelt es sich um ein Programm, welches Unternehmen ermöglicht, durch das systematische Auswerten und Sammeln von Nutzerdaten, die eigene Website zu kontrollieren und zu optimieren. Der Einsatz ist aus Datenschutzgründen jedoch umstritten. Mehrere deutsche Datenschutzbehörden haben in der Vergangenheit den Einsatz solcher Analyse Tools als rechtswidrig eingestuft, unter anderem den Marktführer „Google-Analytics“.

Vereinbarkeit mit deutschem Datenschutzrecht?

Aufgrund dieser Entscheidung hat das Bayerische Landesamt für Datenschutzaufsicht die Vereinbarkeit von Adobe Analytics geprüft und ist zu folgendem Ergebnis gekommen: Adobe Analytics ist zwar grundsätzlich mit deutschem Datenschutzrecht vereinbar, weist jedoch zahlreiche Lücken auf. Im Ergebnis kann Adobe die Analyse-Tools in Deutschland rechtskonform einsetzen, wenn es weitere Voraussetzungen erfüllt. Nach Gesprächen hat sich Adobe bereit erklärt, Änderungen vorzunehmen.

Anwendungshinweise für Verwender von Analyse-Tools

Zunächst hat der Verwender den Besucher auf die Nutzung solcher Tools hinzuweisen und dem Besucher die Möglichkeit einzuräumen diese Funktion auszuschalten. Diesen Hinweis kann der Benutzer in seiner Datenschutzerklärung deutlich sichtbar platzieren. Dabei kann der Website-Betreiber dem Besucher schon im Rahmen der Registrierung die Möglichkeit einräumen (z.B. durch Setzten eines Häkchens) diese Funktion ein- oder auszuschalten.

Serverseitig ist die IP-Adresse des Besuchers vor der Verarbeitung zu anonymisieren. Dabei ist die Einstellung „Bevor Geo-Lookup: Replace visitors`s last IP octet with „0“ zu aktivieren und die Einstellung „Obfuscate IP-Removed“ vorzunehmen.

Zudem hat der Verwender die Laufzeit der Cookies auf ein notwendiges Mindestmaß zu reduzieren. Als Richtwert kann hier die Obergrenze von 20 Monate gesehen werden.