Google Analytics – datenschutzkonforme Verwendung

Die neue Datenschutz-Grundverordnung (DSGVO) stellt u. a. viele umfangreiche Anforderungen an die Betreiber von gewerblichen Webseiten. Häufig werden zur Optimierung Analysetools, wie bspw. Google Analytics, verwendet. Bei der Verwendung von Google Analytics gibt es einige Dinge zu beachten, welche wir nun näher betrachten möchten.

Grundprinzipien, die umzusetzen bzw. zu beachten sind

Es gibt 6 grundlegende Faktoren, die von Betreibern gewerblicher Webseiten einzuhalten sind, um Google Analytics datenschutzkonform zu verwenden:

  • Auftragsverarbeitungsvertrag mit Google Analytics schließen (Sie sind „Verantwortlicher“, Google Analytics ist „Auftragsverarbeiter“)
  • Datenschutzerklärung Ihrer Webseite sollte angepasst werden
  • Einwilligungen der Webseitennutzer (Betroffenen) einholen
  • Tracking Code der Webseite sollte angepasst werden (IP-Adressen der Nutzer müssen anonymisiert verarbeitet werden)
  • Aufbewahrungsfristen für gesammelte personenbezogenen Daten müssen festgelegt werden
  • Bei nicht anonymisierter voriger Verwendung sind alte Daten zu löschen

Sehen wir uns diese, zu bewältigenden Umsetzungen, nun genauer an:

Auftragsverarbeitungsvertrag mit Google Analytics schließen (Sie sind „Verantwortlicher“, Google Analytics ist „Auftragsverarbeiter“)

Nach der Datenschutz-Grundverordnung fällt der Einsatz von Google Analytics auf Ihrer gewerblichen Webseite unter die Auftragsverarbeitung gem. Art. 28 DSGVO. Somit haben Sie als Verantwortlicher einen Auftragsdatenverarbeitungsvertrag mit Google, dem Auftragsverarbeiter, zu schließen. Dieser Vertrag kann nach der DSGVO nun glücklicherweise auch elektronisch geschlossen werden. Hierzu hat Google bereits benutzerfreundliche Vorkehrungen getroffen. Sie können sich in Google Analytics unter

Verwaltung     ->     Kontoeinstellungen     ->     Zusatz zur Datenverarbeitung

die „Details zum Zusatz zur Datenverarbeitung“ anzeigen lassen und in Folge dessen Ihre Kontaktangaben, bzw. die Kontaktangaben Ihres Unternehmens, angeben. Speichern Sie diese und schon haben Sie einen Auftragsdatenverarbeitungsvertrag mit Google, zur Verwendung von Google Analytics, geschlossen.

Datenschutzerklärung Ihrer Webseite sollte angepasst werden

Als nächstes ist es wichtig, die Datenschutzerklärung Ihrer Webseite auf die Verwendung von Google Analytics anzupassen. Da von Ihrer Webseite personenbezogene Daten der Nutzer erhoben werden, welche an Google übermittelt werden, ist es notwendig, die Nutzer detailliert über diesen Verarbeitungsvorgang zu informieren. Diese Information hat einige Dinge zu beinhalten, wie u. a.

  • Art und Umfang der verarbeiteten personenbezogenen Daten,
  • Angaben, wie die Daten verarbeitet werden bzw. was mit ihnen passiert,
  • Hinweis auf Möglichkeit zur Deaktivierung von Google Analytics,
  • Hinweis auf anonymisierte Nutzung der Daten,
  • Rechtsgrundlage der Verarbeitung von personenbezogenen Daten,
  • Speicherdauer der Daten, sowie
  • Information zum Bestehen des Widerrufsrechts.

Für eine vollständige Vorlage der Google Analytics-Einbindung in die Datenschutzerklärung, können Sie sich gern an mich wenden.

Einwilligungen der Webseitennutzer (Betroffenen) einholen

Um Google Analytics DSGVO-konform zu verwenden ist es zudem notwendig, dass Google Analytics erst nachdem der Webseitennutzer in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, aktiviert wird. Zumindest wurde dies in einem Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) festgelegt, welches am 26. April 2018 veröffentlicht wurde. Somit sollte jeder gewerbliche Webseitenbetreiber, der Google Analytics nutzt, bspw. ein Cookiebanner, mittels dem der Nutzer der Verarbeitung seiner personenbezogenen Daten durch Google Analytics zustimmen kann, verwenden. Folglich kann jeder Nutzer selbst darüber entscheiden, ob Google seine Daten verarbeiten darf oder nicht.

Die meisten Webseitenbetreiber verwenden derzeit einen Link in ihrer Datenschutzerklärung, durch den Google Analytics deaktiviert werden kann. Somit wird ein Opt-Out Verfahren verwendet. Da jedoch bei dieser Methode schon zuvor personenbezogene Daten der Nutzer gespeichert werden, ist dieses Verfahren umstritten und als nicht DSGVO-konform einzustufen.

Tracking Code der Webseite sollte angepasst werden (IP-Adressen der Nutzer müssen anonymisiert verarbeitet und Wiederwerden)

Um nicht gegen die Anforderungen der Datenschutz-Grundverordnung zu verstoßen, sollten zum einen die IP-Adressen der Nutzer teilweise anonymisiert verarbeitet werden. Dies erreichen Sie recht einfach durch eine bestimmte Erweiterung der Tracking-Codes von Google Analytics. Die benötigte Erweiterung nennt sich „anonymizeip“.

Zum anderen sollte die Möglichkeit auf Widerspruch der Verwendung bzw. Nutzung der Daten von Google gegeben werden. Hierzu kann ein Opt-Out-Cookie gesetzt werden, welcher, nach Klick auf einen in der Datenschutzerklärung angegebenen Link, die Verarbeitung der Daten verhindert. Wie Sie die Opt-Out-Funktionalität auf Ihrer Webseite einbinden können, erfahren sie bspw. hier.

Aufbewahrungsfristen für gesammelte personenbezogenen Daten festlegen

Grundsätzlich speichert Google Ihre mittels Google Analytics gesammelten Daten für 26 Monate. Es gibt jedoch die Möglichkeit, diese Speicherfrist auf 14 Monate zu senken. Diese Umstellung kann in Google Analytics schnell vollzogen werden. Unter

Verwaltung     ->     Property    ->     Tracking-Informationen     ->     Datenaufbewahrung

können Sie die Aufbewahrung von Nutzer- und Ereignisdaten auf 14 Monate begrenzen. Achten Sie darauf, dass die Option „Bei neuer Aktivität zurücksetzen“ ausgeschaltet ist.

Bei nicht anonymisierter voriger Verwendung sind alte Daten zu löschen

Sofern Sie Google Analytics schon vor Anonymisierung der IP-Adressen verwendet haben, sollten Sie dafür sorgen, dass die zuvor verarbeiteten Daten vernichtet bzw. gelöscht werden. Dies kann in den Einstellungen von Google Analytics vorgenommen werden. Unter

Verwaltung    ->     Property-Einstellungen     ->     In den Papierkorb verschieben     ->     Papierkorb

löschen Sie die bisher erhobenen Daten. Wenn alle der bisher erwähnten Punkte umgesetzt wurden, nutzen Sie Google Analytics nun datenschutzkonform.

Fazit

Wie wir gesehen haben, ist es möglich, jedoch mit etwas Arbeit verbunden, Google Analytics DSGVO-konform zu verwenden. Es ist nicht auszuschließen, dass sich diese Regelungen zur Verwendung von Google Analytics in den nächsten Monaten stetig ändern. Daher sollte sich regelmäßig über die aktuelle Rechtslage informiert werden.

Benötigen Sie Unterstützung bei der Umstellung auf die datenschutzkonforme Verwendung von Google Analytics? – Zögern Sie nicht und fragen Sie gern.

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular. Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Von |2018-06-07T10:37:41+00:00Juni 7th, 2018|Allgemein|0 Kommentare

Hinterlassen Sie einen Kommentar