Google Analytics & die Datenschutz­grundverordnung

09. 02. 2018
|
Analytics
|

Besuchertracking als berechtigtes Interesse

Ein normales Besuchertracking, also die Aufzeichnung und Verarbeitung pseudonymisierter Daten für statistische Zwecke (also Google Analytics in der Standard-Version), zählt damit wohl als „berechtigtes Interesse des Webseite Betreibers“, das von keinen schutzwürdigen Interessen der User überwogen wird. So schreibt der deutsche Datenschutz-Anwalt Dr. Thomas Schenke in seinem Blog sogar, dass „im Ergebnis […] Onlinemarketingmaßnahmen damit zulässig [sind], wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt.“

Damit man Google Analytics aber wirklich rechtssicher einsetzen kann, müssen folgende vier Punkte erfüllt sein (die auch bisher schon empfehlenswert waren, um Analytics datenschutzsicher zu nutzen).

  1. Auf jeden Fall muss die IP-Adresse der User anonymisiert werden. Dabei werden die letzten Stellen der IP gelöscht, bevor die Daten auf Google-Servern gespeichert werden, sodass eine eindeutige Zuordnung zu einem Gerät nicht mehr möglich ist.
  2. In der Datenschutzerklärung müssen User über die Verwendung von Google Analytics und die Funktionsweise hingewiesen werden, aufgelistet werden, welche Arten von Daten erfasst werden. Ein Muster für eine solche Datenschutzerklärung bietet etwa die Wirtschaftskammer an: Datenschutzerklärungsmuster
  3. Dem User muss die Möglichkeit des Opt-Out angeboten und aufgezeigt werden.
  4. Weil rechtlich gesehen die Datenverarbeitung durch einen Dritten – im Fall von Google Analytics durch Google – stattfindet, muss man als Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen.

Google Analytics datenschutzkonform einrichten – So geht’s

Update
Google Analytics fällt nach Meinung deutscher Datenschutzbehörden wohl nicht in die Kategorie "berechtigtes Interesse"

Nachdem im Schatten der Snowden-Enthüllungen der europäische Gerichtshof im Herbst 2015 das bis dahin gültige Safe Harbor für ungültig erklärt hat, wurde im Juli 2016 das Privacy Shield Abkommen zwischen EU und USA (sowie zwischen der Schweiz und den USA) verabschiedet. Seit September 2016 ist Google gemäß dieses Abkommens zertifiziert, sodass die Übertragung von Daten auf Google Server in den USA gedeckt ist.

Diese Auftragsdatenverarbeitung wird auch nach der DSGVO zukünftig erlaubt bleiben. Das heißt, dass jeder der auf seiner Seite Google Analytics einsetzt einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen muss.
Während deutsche Websitebetreiber dazu (bisher) explizit den von Google bereitgestellten Vertrag ausdrucken, unterzeichnen und per Post nach Irland zu Google schicken müssen, reicht es in anderen EU-Ländern und der Schweiz online den „Zusatz zur Datenverarbeitung“ zu akzeptieren. Sobald die Datenschutzgrundverordnung schlagend wird, also mit 25.Mai können dann auch deutsche Websitebetreiber die elektronische Zustimmung nutzen. (Dazu einfach in der Verwaltungsansicht auf Kontoebene in den Kontoeinstellungen ganz unten auf „Zusatz anzeigen“ klicken, dann auf „Zustimmen“ und schließlich abspeichern.)

Cookies

Laut der aktuell noch heiß diskutierten ePrivacy-VO (sie dürfte wohl nicht vor 2019 schlagend werden) dürfen Cookies auf den Endgeräten der User nur noch dann gesetzt werden, wenn diese ihre ausdrückliche Einwilligung geben. Nur wenn ein Cookie technisch notwendig ist, wie etwa ein Session Cookie, das sich den Login Status merkt, darf es ohne die Einwilligung des Users gesetzt werden.

Nun setzt aber Google Analytics auch Cookies, etwa um User innerhalb einer Sitzung wiederzuerkennen und so Verhaltensmuster aufzuzeichnen. Nach der aktuellen Fassung würde die ePrivacy-Verordnung tatsächlich auch das Setzen von Cookies für Webanalyse und Reichweitenmessung, sofern diese selbst durchgeführt wird, ohne Einwilligung erlauben. Mit der Vereinbarung über eine Auftragsdatenverarbeitung (damit führt der Betreiber die Messung rechtlich selbst durch) wären damit Google Analytics Cookies erlaubt, ohne, dass der User gefragt werden müsste.

Update – 13.4.2018:  Mit 12.April launchte Google eine Steueroption zur Datenaufbewahrung ( Data Retention Control). Damit kann man als Webmaster festlegen, nach welcher Zeit Nutzerdaten automatisch von den Google Servern gelöscht werden sollen. Per default scheint dieser Wert auf 26 Monate gesetzt zu sein.

Außerdem wurde ein Tool angekündigt, um in Zukunft alle Daten, die einem einzelnen User zugeordnet werden können aus Analytics zu löschen.

Disclaimer: Achtung! Wir haben diesen Artikel nach ausgiebiger Recherche und Gesprächen mit Spezialisten nach besten Wissen und Gewissen geschrieben, sind aber keine Rechtsanwälte. Wir übernehmen keine Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Blogs. Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder allgemeinen datenschutzrechtlichen Fragen sollten Sie einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen.

4 Kommentare
  • Chris
    14. Februar 2018

    Hallo,

    >> Dabei werden die letzten Stellen der IP gelöscht, bevor die Daten an Google-Server übertragen werden
    Es sei der Hinweis erlaubt, das es technisch absolut unmöglich ist die IP VOR der Übertragung an Google-Server zu verkürzen. Diese Information wird für die Übertragung der Antwort technisch zwingend benötigt. Die IP kann erst AUF einem Google-Server verkürzt gespeichert werden.

    … nur falls für jemanden interessant 😉

    Viele Grüße,

    Antworten
  • RA Roman Pusep
    10. November 2018

    Nach meiner Praxis-Erfahrung sind Google Analytics bzw. Matomo/Piwik meist nach der DS-GVO unzulässig und zwingend abzuschalten, weil sie eingesetzt aber nicht genutzt werden!

    Die Datenverarbeitung kann Art. 6 Abs. 1 S. 1 lit. f) DS-GVO zwar zulässig sein. Das nach dieser Norm erforderliche berechtigte Interesse des Websitebetreibers liegt wohl darin, dass der Websitebetreiber wissen muss, wie der Wensitebesucher sich auf der Website verhält, damit die Website angepasst werden kann.

    ABER: Meist wurde Google Analytics oder Piwik/Matomo als „cooles Feature“ des Programmierers eingebunden und wird nicht benutzt; geschweige denn als Erkenntnisquelle für stetige Entwicklung der Website. Damit gibt es aber auch das berechtigte Interesse NICHT (mehr); ein AV-Vertrag nützt nix.

    Ergebnis: Google Analytics oder Piwik/Matomo darf man einsetzen, aber nur, wenn man die Erkenntnisse auch auswertet und wenigstens es in Erwägung zieht, die Website gegebenenfalls anzupassen. Als reine „Neugier-Befriedigungs-Quelle“ oder als ein „Programmierer-Spielzeug“ sind beide unzulässig.

    Gruß, RA Roman Pusep

    Antworten
    • Daniel Marx
      12. November 2018

      Wenn es lediglich als reines „cooles Feature“ eingesetzt wird, ist die Argumentation sicherlich richtig.

      Bezüglich der „aktiven Anpassung der Website“ könnte man auch argumentieren, dass das Berechtigte Interesse darin besteht tatsächliche Trafficquellen zu identifizieren, um Optimierungen ABSEITS der eigenen Seite durchzuführen. Also woher kommen meine Besucher und weshalb kommen sie auf meine Seite?
      Aha, der Gastbeitrag auf dieser Plattform hat gut funktioniert. Ich sollte in Zukunft öfter auf dieser Plattform / über dieses Thema kommunizieren,…

      Auch für den Fall, dass eine Trafficquelle plötzlich wegbricht (bsp. Google Rankings brechen ein), könnte ein berechtiges Interesse, Daten aus GA, Piwik/Matomo,… zu erheben und sie in einem Vorher-Nachher-Vergleich auszuwerten, argumentiert werden. Solche Daten nicht zu erheben und nicht zu wissen, ob denn vielleicht weniger Besucher auf die Seite kommen, woher weniger Besucher kommen und ob je mehr Besucher auf der Website waren, wäre aus geschäftlicher Sicht wohl fahrlässig.

      Antworten

Kommentar verfassen

Kommentar verfassen