Blog

DSGVO

Google Analytics datenschutzkonform einsetzen

HINWEIS: Dies ist keine Rechtsberatung. Keine Gewährleistung für Korrektheit, Aktualität und Vollumfänglichkeit. Juristische Absicherung kann Ihnen nur ein Fachanwalt geben.

Ab dem 25. Mai 2018 tritt die neue DSGVO (Datenschutzgrundverordnung) in Kraft. Dabei gibt es einige Änderungen im Bezug auf Google Analytics. Es wird allgemein empfohlen folgende Änderungen durchzuführen:

  1. ADV abschließen - Vertrag zur Auftragsverarbeitung
  2. Trackingcode anpassen (Anonymize IP)
  3. Aufbewahrung der Daten bestimmen
  4. Datenschutzerklärung anpassen
  5. Ggf. Altdaten löschen
  6. Streitthema: Opt-In

 


 

1. ADV abschließen - Vertrag zur Auftragsverarbeitung

ADV abschließen

Im Backend von Google Analytics kann man unter der Kontoverwaltung einen ADV (Auftragsdatenvereinbarung) mit Google direkt elektronisch abschließen.

 

2. Trackingcode anpassen (Anonymize IP)

Der Trackingcode von Google Analytics sollte unbedingt die Anonymisierung von IP Adressen aktiv haben:

Mehr Infos: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

ga('set', 'anonymizeIp', true);

 

Ebenfalls muss dem Nutzer eine Möglichkeit zum "Opt-Out" gegeben werden:

Mehr Infos: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

 

Code mit IP Anonymisierung und Opt-Out:

<script>
var gaProperty = 'UA-XXXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; }

function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; alert('Das Tracking ist jetzt deaktiviert'); }

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview'); </script>

 

 

3. Aufbewahrung der Daten bestimmen

Aufbewahrung der Daten

Google bietet ab dem 25. Mai 2018 die neue Möglichkeit an, die Aufbewahrung der erhobenen Daten zu steuern. Im Standard sind 26 Monate voreingestellt und außerdem ist der Button "Bei neuer Aktivität zurücksetzen" standardmäßig aktiv. Es wird jedoch nahegelegt, die Daten auf den kleinstmöglichen Zeitraum (14 Monate) zu beschränken und den die Schaltfläche "Bei neuer Aktivität zurücksetzen" deaktivieren.

Diese Einstellungen sind unter: "Verwaltung" > Property > Tracking-Informationen > Datenaufbewahrung

 

4. Datenschutzerklärung anpassen

Bei Verwendung von Google Analytics muss die Verwendung in der Datenschutzerklärung aufgeführt sein. Für die Erstellung einer Datenschutzerklärung verwenden wir entweder avalex oder erecht24.

Außerdem müssen folgende Hinweise in die Datenschutzerklärung:

  • Hinweis zu anonymize IP
  • Info zur Deaktivierung von Google Analytics / Opt-Out
  • Informationen zu Datenerhebung, Auskunft uvm. anhand der Artikel der DSGVO

 

5. Ggf. Altdaten löschen

Hat man Google Analytics ohne anonymizeIP verwendet, sollten diese Daten gelöscht werden. Hierzu muss man Properties, bzw. Datenansichten "in den Papierkorb verschieben", wodurch sie anschließend gelöscht werden.

 

6. Streitthema: Opt-In

Bei einem Punkt sind sich viele Experten unklar: Benötigt man einen Opt-In - also eine aktive Einwilligung der Nutzer VOR der Verwendung und Datenerfassung durch Google Analytics? Das würde bedeuten, dass dies vor dem Betreten einer Webseite abgeprüft werden müsste...

Art. 4 DSGVO: https://dsgvo-gesetz.de/art-4-dsgvo/ (Begriffsbestimmungen)
Art. 6 DSGVO: https://dsgvo-gesetz.de/art-6-dsgvo/ (Rechtmäßigkeit der Verarbeitung)

Vor allem im Absatz 1 des Artikel 6 der DSGVO findet man die entscheidenden Stellen:

"berechtigtes Interesse" - dies wird spannend sein in der wirklich konkreten Rechtssprechung und Auslegung... Wann ist es eben berechtigtes Interesse im Ecommerce oder auf Webseiten die Besucher zu "analysieren"?

Erwägungsgründe für berechtigtes Interesse: https://dsgvo-gesetz.de/erwaegungsgruende/nr-47/

 

Zitat: "Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden."

Problem ist hier die leider offene/schwammige Formulierung, sodass es immer im Einzelfall entschieden werden muss, oder bis es Rechtsurteile zu konkreten Szenarien geben wird.

Ist Google Analytics nun ein berechtigtes Interesse zum Zwecke der Direktwerbung???

 

Nochmals der HINWEIS: Dies ist keine Rechtsberatung. Keine Gewährleistung für Korrektheit, Aktualität und Vollumfänglichkeit. Juristische Absicherung kann Ihnen nur ein Fachanwalt geben.

Zurück

Über den Autor

Marco Zinsmeister ist 30 Jahre jung und hat eine große Leidenschaft für SEO & Webdesign. Seit mehr als 10 Jahren ist er selbstständig und Geschäftsführer von zwei Firmen: profimedien:net GmbH und Quiveo GmbH. Er betreut klein- und mittelständische Unternehmen/Kunden, hat eigene Projekte, hält Vorträge/Workshops und ist viel auf Konferenzen anzutreffen.