Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die mit den Aufsichtsbehörden abgestimmt sind. Durch die Datenschutz-Grundverordnung (DSGVO) gibt es Neuerungen zu beachten, die wir Ihnen hier aufzeigen.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt sechs Punkte, die einzuhalten sind:

  • Vertrag zur Auftragsverarbeitung abschließen
  • Tracking-Code anpassen
  • Aufbewahrungsdauer der Daten festlegen
  • Datenschutzerklärung anpassen
  • Einwilligung einholen
  • Löschung von Altdaten
  1. Vertrag zur Auftragsverarbeitung abschließen

Da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Der Abschluss eines solchen Vertrages wird ab dem 25. Mai 2018 vereinfacht: Ab dann muss der Vertrag nicht mehr ausgedruckt und ausgefüllt per Post nach Irland versendet werden, sondern es genügt, in den Google-Analytics-Einstellungen den Vertrag elektronisch zu bestätigen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“.

Hier können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.

Bis zum 25. Mai 2018 muss der Vertrag jedoch weiterhin händisch per Post verschickt werden. Eine Anleitung zum genauen Vorgehen finden Sie auf der ersten Seite des AV-Vertrages von Google.

Besteht zum Zeitpunkt der Anwendbarkeit der DSGVO schon ein Auftragsdatenverarbeitungsvertrag mit Google, ist es nicht in jedem Fall erforderlich, einen neuen Vertrag abzuschließen. Nur für den Fall, dass der Vertrag mit Google vor September 2016 abgeschlossen wurde, ist ein neuer Vertrag abzuschließen, da sich die alten ADV-Verträge von Google auf den für unwirksam erklärten Safe-Harbor-Beschluss beriefen.

  1. Tracking-Code anpassen

IP-Adressen anonymisieren

Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz, deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erstellung von Nutzungsprofilen eingeräumt wird. Google hat dafür ein Deaktivierungs-Add-on entwickelt, das aber nicht auf allen Endgeräten installierbar ist. Deshalb muss das Script erweitert werden, damit ein Opt-Out-Cookie gesetzt wird. Dieses Cookie verhindert die zukünftige Datenerfassung. Da bei Universal Analytics das Tracking geräteübergreifend erfolgt, ist es mit einem einfachen Opt-Out regelmäßig nicht getan. Der Nutzer muss seinen Widerspruch auf allen genutzten Systemen erklären, damit keine geräteübergreifende Zuordnung seiner Nutzung zu der angelegten User-ID erfolgt.

Finale Datenschutzerklärung inkl. DSGVO-Hinweise

Sie dürfen diese Formulierung verwenden.

<p>Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc, (1600 Amphitheatre Parkway Mountain View, CA 94043, USA; „Google“). Die Nutzung umfasst die Betriebsart „Universal Analytics“. Hierdurch ist es möglich, Daten, Sitzungen und Interaktionen über mehrere Geräte hinweg einer pseudonymen User-ID zuzuordnen und so die Aktivitäten eines Nutzers geräteübergreifend zu analysieren. <!-- [et_pb_line_break_holder] --><!-- [et_pb_line_break_holder] --><p>Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung. Die Rechtsgrundlage für den Einsatz von Google Analytics ist § 15 Abs. 3 TMG bzw. Art. 6 Abs. 1 lit. f DSGVO. Die von uns gesendeten und mit Cookies, Nutzerkennungen (z. B. User-ID) oder Werbe-IDs verknüpften Daten werden nach 14 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat. Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter <a href="https://www.google.com/analytics/terms/de.html" target="_blank">https://www.google.com/analytics/terms/de.html</a> bzw. unter <a href="https://policies.google.com/?hl=de" target="_blank">https://policies.google.com/?hl=de</a>.</p> <!-- [et_pb_line_break_holder] --><!-- [et_pb_line_break_holder] --><p>Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das <a href="https://tools.google.com/dlpage/gaoptout?hl=de" target="_blank">Browser-Add-on</a> herunterladen und installieren. Opt-Out-Cookies verhindern die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website. Um die Erfassung durch Universal Analytics über verschiedene Geräte hinweg zu verhindern, müssen Sie das Opt-Out auf allen genutzten Systemen durchführen. Wenn Sie hier klicken, wird das Opt-Out-Cookie gesetzt: <a href="javascript:gaOptout()"><strong>Google Analytics deaktivieren</strong></a></p>

5. Einwilligung einholen

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 26. April 2018 ein Positionspapier veröffentlicht, wonach ab dem 25.05.2018 rechtskonformes Webtracking nur mit einer vorherigen informierten Einwilligung des Nutzers möglich sein soll. Verzichtet man auf die Einholung der Einwilligung, riskiert man ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung.

Einwilligung bei Seitenaufruf

Wichtig ist, dass das Tracking erst aktiviert wird, nachdem der Nutzer eingewilligt hat und nicht vorher. Bei Aufruf der Website könnte eine entsprechende Einwilligung durch einen „Cookie-Banner“ eingeholt werden, der sich jedoch auf die Nutzung von Google Analytics bezieht. Ein Beispiel hierfür wäre:

GRAFIK

Mittlerweile gibt es viele Anbieter, die Cookie-Banner-Implementationen anbieten. Weiterführende Hinweise und eine Auflistung der Anbieter zu Cookie-Bannern finden sie hier.

Risiko eingehen und weiter auf Opt-Out setzen

Es gibt ungewohnt viele kritische Stimmen von Datenschutzexperten, die die Auslegung des DSK für unausgegoren halten. Ob das vom DSK aufgestellte Einwilligungserfordernis vor Gericht Bestand haben wird, ist unklar. Wird auf die Einholung einer Einwilligung verzichtet, ist der Einsatz von Google Analytics auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO zu stützen. Hier ist dann weiter auf die Opt-Out-Lösung zu setzen.

6. Löschung von Altdaten

Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen mittlerweile die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

Haben Se noch Fragen? Schreiben Sie mir gerne!
Für weitere Fragen nutzen Sie einfach das Chatfenster rechts in der Ecke oder die verschiedenen anderen Kontakmöglichkeiten.

Mike Peter