Blog
DSGVO
Google Analytics datenschutzkonform einsetzen
HINWEIS: Dies ist keine Rechtsberatung. Keine Gewährleistung für Korrektheit, Aktualität und Vollumfänglichkeit. Juristische Absicherung kann Ihnen nur ein Fachanwalt geben.
Ab dem 25. Mai 2018 tritt die neue DSGVO (Datenschutzgrundverordnung) in Kraft. Dabei gibt es einige Änderungen im Bezug auf Google Analytics. Es wird allgemein empfohlen folgende Änderungen durchzuführen:
- ADV abschließen - Vertrag zur Auftragsverarbeitung
- Trackingcode anpassen (Anonymize IP)
- Aufbewahrung der Daten bestimmen
- Datenschutzerklärung anpassen
- Ggf. Altdaten löschen
- Streitthema: Opt-In
1. ADV abschließen - Vertrag zur Auftragsverarbeitung
Im Backend von Google Analytics kann man unter der Kontoverwaltung einen ADV (Auftragsdatenvereinbarung) mit Google direkt elektronisch abschließen.
2. Trackingcode anpassen (Anonymize IP)
Der Trackingcode von Google Analytics sollte unbedingt die Anonymisierung von IP Adressen aktiv haben:
Mehr Infos: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
ga('set', 'anonymizeIp', true);
Ebenfalls muss dem Nutzer eine Möglichkeit zum "Opt-Out" gegeben werden:
Mehr Infos: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable
Code mit IP Anonymisierung und Opt-Out:
<script>
var gaProperty = 'UA-XXXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; }
function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; alert('Das Tracking ist jetzt deaktiviert'); }
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview'); </script>
3. Aufbewahrung der Daten bestimmen
Google bietet ab dem 25. Mai 2018 die neue Möglichkeit an, die Aufbewahrung der erhobenen Daten zu steuern. Im Standard sind 26 Monate voreingestellt und außerdem ist der Button "Bei neuer Aktivität zurücksetzen" standardmäßig aktiv. Es wird jedoch nahegelegt, die Daten auf den kleinstmöglichen Zeitraum (14 Monate) zu beschränken und den die Schaltfläche "Bei neuer Aktivität zurücksetzen" deaktivieren.
Diese Einstellungen sind unter: "Verwaltung" > Property > Tracking-Informationen > Datenaufbewahrung
4. Datenschutzerklärung anpassen
Bei Verwendung von Google Analytics muss die Verwendung in der Datenschutzerklärung aufgeführt sein. Für die Erstellung einer Datenschutzerklärung verwenden wir entweder avalex oder erecht24.
Außerdem müssen folgende Hinweise in die Datenschutzerklärung:
- Hinweis zu anonymize IP
- Info zur Deaktivierung von Google Analytics / Opt-Out
- Informationen zu Datenerhebung, Auskunft uvm. anhand der Artikel der DSGVO
5. Ggf. Altdaten löschen
Hat man Google Analytics ohne anonymizeIP verwendet, sollten diese Daten gelöscht werden. Hierzu muss man Properties, bzw. Datenansichten "in den Papierkorb verschieben", wodurch sie anschließend gelöscht werden.
6. Streitthema: Opt-In
Bei einem Punkt sind sich viele Experten unklar: Benötigt man einen Opt-In - also eine aktive Einwilligung der Nutzer VOR der Verwendung und Datenerfassung durch Google Analytics? Das würde bedeuten, dass dies vor dem Betreten einer Webseite abgeprüft werden müsste...
Art. 4 DSGVO: https://dsgvo-gesetz.de/art-4-dsgvo/ (Begriffsbestimmungen)
Art. 6 DSGVO: https://dsgvo-gesetz.de/art-6-dsgvo/ (Rechtmäßigkeit der Verarbeitung)
Vor allem im Absatz 1 des Artikel 6 der DSGVO findet man die entscheidenden Stellen:
"berechtigtes Interesse" - dies wird spannend sein in der wirklich konkreten Rechtssprechung und Auslegung... Wann ist es eben berechtigtes Interesse im Ecommerce oder auf Webseiten die Besucher zu "analysieren"?
Erwägungsgründe für berechtigtes Interesse: https://dsgvo-gesetz.de/erwaegungsgruende/nr-47/
Zitat: "Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden."
Problem ist hier die leider offene/schwammige Formulierung, sodass es immer im Einzelfall entschieden werden muss, oder bis es Rechtsurteile zu konkreten Szenarien geben wird.
Ist Google Analytics nun ein berechtigtes Interesse zum Zwecke der Direktwerbung???
Nochmals der HINWEIS: Dies ist keine Rechtsberatung. Keine Gewährleistung für Korrektheit, Aktualität und Vollumfänglichkeit. Juristische Absicherung kann Ihnen nur ein Fachanwalt geben.