Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die mit den Aufsichtsbehörden abgestimmt sind. Durch die Datenschutz-Grundverordnung (DSGVO) gibt es Neuerungen zu beachten, die wir Ihnen hier aufzeigen.
Was ist zu tun?
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt sechs Punkte, die einzuhalten sind:
- Vertrag zur Auftragsverarbeitung abschließen
- Tracking-Code anpassen
- Aufbewahrungsdauer der Daten festlegen
- Datenschutzerklärung anpassen
- Einwilligung einholen
- Löschung von Altdaten
- Vertrag zur Auftragsverarbeitung abschließen
Da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Der Abschluss eines solchen Vertrages wird ab dem 25. Mai 2018 vereinfacht: Ab dann muss der Vertrag nicht mehr ausgedruckt und ausgefüllt per Post nach Irland versendet werden, sondern es genügt, in den Google-Analytics-Einstellungen den Vertrag elektronisch zu bestätigen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“.
Hier können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.
Bis zum 25. Mai 2018 muss der Vertrag jedoch weiterhin händisch per Post verschickt werden. Eine Anleitung zum genauen Vorgehen finden Sie auf der ersten Seite des AV-Vertrages von Google.
Besteht zum Zeitpunkt der Anwendbarkeit der DSGVO schon ein Auftragsdatenverarbeitungsvertrag mit Google, ist es nicht in jedem Fall erforderlich, einen neuen Vertrag abzuschließen. Nur für den Fall, dass der Vertrag mit Google vor September 2016 abgeschlossen wurde, ist ein neuer Vertrag abzuschließen, da sich die alten ADV-Verträge von Google auf den für unwirksam erklärten Safe-Harbor-Beschluss beriefen.
- Tracking-Code anpassen
IP-Adressen anonymisieren
Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz, deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.
Widerspruchsrecht
Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erstellung von Nutzungsprofilen eingeräumt wird. Google hat dafür ein Deaktivierungs-Add-on entwickelt, das aber nicht auf allen Endgeräten installierbar ist. Deshalb muss das Script erweitert werden, damit ein Opt-Out-Cookie gesetzt wird. Dieses Cookie verhindert die zukünftige Datenerfassung. Da bei Universal Analytics das Tracking geräteübergreifend erfolgt, ist es mit einem einfachen Opt-Out regelmäßig nicht getan. Der Nutzer muss seinen Widerspruch auf allen genutzten Systemen erklären, damit keine geräteübergreifende Zuordnung seiner Nutzung zu der angelegten User-ID erfolgt.
Finale Datenschutzerklärung inkl. DSGVO-Hinweise
Sie dürfen diese Formulierung verwenden.
5. Einwilligung einholen
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 26. April 2018 ein Positionspapier veröffentlicht, wonach ab dem 25.05.2018 rechtskonformes Webtracking nur mit einer vorherigen informierten Einwilligung des Nutzers möglich sein soll. Verzichtet man auf die Einholung der Einwilligung, riskiert man ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung.
Einwilligung bei Seitenaufruf
Wichtig ist, dass das Tracking erst aktiviert wird, nachdem der Nutzer eingewilligt hat und nicht vorher. Bei Aufruf der Website könnte eine entsprechende Einwilligung durch einen „Cookie-Banner“ eingeholt werden, der sich jedoch auf die Nutzung von Google Analytics bezieht. Ein Beispiel hierfür wäre:
GRAFIK
Mittlerweile gibt es viele Anbieter, die Cookie-Banner-Implementationen anbieten. Weiterführende Hinweise und eine Auflistung der Anbieter zu Cookie-Bannern finden sie hier.
Risiko eingehen und weiter auf Opt-Out setzen
Es gibt ungewohnt viele kritische Stimmen von Datenschutzexperten, die die Auslegung des DSK für unausgegoren halten. Ob das vom DSK aufgestellte Einwilligungserfordernis vor Gericht Bestand haben wird, ist unklar. Wird auf die Einholung einer Einwilligung verzichtet, ist der Einsatz von Google Analytics auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO zu stützen. Hier ist dann weiter auf die Opt-Out-Lösung zu setzen.
6. Löschung von Altdaten
Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen mittlerweile die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.
Mike Peter