Google Analytics, Datenschutz und DSGVO – passt das zusammen?
Die Frage nach der datenschutzkonformen Anwendung von Website-Analyse-Diensten wie z.B. Google Analytics, Matomo oder eTracker beschäftigt derzeit ein Großteil der Unternehmen als auch viele Privatpersonen als Nutzer von Webseiten oder Anwender von Apps.
Auch wir als Internetagentur sehen uns in der Pflicht uns mit diesem Thema auseinanderzusetzen – egal ob es um die eigene Website, den Webauftritt unserer Kunden oder ganz allgemein um die Erhebung und Verarbeitung von personenbezogenen Daten geht.
Im Mai 2018 ist die Datenschutz-Grundverordnung – kurz DSGVO – in Kraft getreten und beschäftigt seither nicht nur Privatpersonen, sondern auch Kleinunternehmer, mittelständische Unternehmen und große Konzerne gleichermaßen. Für Bürger in der EU mag die neue Verordnung immense datenschutzrechtliche Vorteile bringen. Für Unternehmen wie auch im Onlinemarketing jedoch birgt es durch die fehlende Klarheit der datenschutzrechtlichen Vorgaben massive Herausforderungen und bedeutet großen Aufwand: Viele Verantwortliche wissen nicht so recht, wie sie sich zu verhalten haben und welche Vorgaben konkret einzuhalten sind. Zudem drohen bei Verstößen u.a. hohe Bußgelder oder wettbewerbsrechtliche Abmahnungen.
Selbst Experten sind sich mit der Erhebung und dem richtigen Umgang mit personenbezogenen Daten nicht einig. Hier gilt: viele Experten – viele Meinungen.
Starke Verunsicherung durch die Datenschutz-Grundverordnung
Einer Umfrage des Bundesverbandes Digitale Wirtschaft zum Thema DSGVO zufolge, rechnen 28 % der 277 befragten Unternehmen mit Abmahnungen, die sich auf die DSGVO berufen. Sogar die Hälfte der Unternehmen denkt, dass sich die neue Datenschutzverordnung zukünftig negativ auf die Entwicklung ihres Umsatzes auswirken wird und 5 % haben bereits Abmahnungen erhalten. Gründe dafür sind u.a. nicht vorhandene Datenschutzerklärungen, fehlende Verschlüsselungen der eigenen Webseiten oder eine fehlerhafte Einbindung des Google Analytics Codes.
Google Analytics und die DSGVO
Tools wie Google Analytics helfen Unternehmen auf Basis analytischer Datenerhebung, Aktivitäten auf der eigenen Website oder dem Online-Shop zu analysieren und für ihre Nutzer zu optimieren. Schon vor Einführung der DSGVO wurde das aus den USA stammende Trackingtool von Datenschutzrechtlern kritisch beäugt und die neue Datenschutzverordnung hat nicht zur Besserung beigetragen – im Gegenteil.
Dieser Blog-Artikel soll veranschaulichen, wie Sie als (Marketing-)Verantwortlicher oder Anwender Google Analytics auf Ihrer Website datenschutzkonform einsetzen können. An dieser Stelle möchten wir betonen, dass wir als Internetagentur keine Rechtsberatung erteilen und auch keine Datenschutzexperten sind. Mit unserem Blog-Beitrag möchten wir Ihnen einen Einstieg in die Thematik verschaffen und das eigene Bewusstsein dafür etwas schärfen. Aber eben keine rechtsverbindlichen Auskünfte erteilen und schon gar nicht Haftung für die hier getroffenen Aussagen übernehmen. Wer eine genauere Auskunft benötigt, sollte einen Experten oder IT-Fachanwalt zur Beratung heranziehen.
Worum geht es bei der Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung (DSGVO) dient grundsätzlich dem Schutz von personenbezogenen bzw. personenbeziehbaren Daten. Bei Unternehmen können das z.B. Daten von Mitarbeitern und Kunden sein – Name, E-Mail-Adresse, Anschrift, Bankverbindung oder auch die IP-Adresse.
Die DSGVO betrifft also diejenigen, die solche Daten erheben oder verarbeiten.
Zudem schafft sie eine EU-einheitliche Datenschutzregelung, welche nicht nur in der Europäischen Union ansässige Unternehmen betrifft, sondern auch Unternehmen, die ihre Angebote, Services oder Dienstleistungen Nutzern oder Kunden in der EU anbieten – z.B. Facebook oder Google.
Welche Anforderungen müssen Websites erfüllen, damit diese den Datenschutz-Richtlinien entsprechen?
Um Verstöße und somit Bußgelder oder wettbewerbsrechtliche Abmahnungen zu vermeiden, müssen bestimmte Kriterien erfüllt werden, damit die Sicherheit personenbezogener Daten gewährleisten ist:
Auftragsdatenverarbeitung mit Google vereinbaren
Zunächst sollte ein Auftragsverarbeitungsvertrag (AVV) für Google Analytics abgeschlossen werden oder erneuert werden, da Google als externer Dienstleister auf personenbezogene Daten zugreifen kann. Dieser Vertrag kann entweder mit der Post an Google verschickt oder auch – seit neuestem – elektronisch eingereicht werden.
IP-Adresse anonymisieren
Um zu vermeiden, dass die vollständige IP-Adresse des Users an Dritte (also an Google) weitergegeben wird, muss diese durch die Anpassung des Tracking Codes anonymisiert werden. So wird der hintere Teil der IP-Adresse verschleiert und kann nicht mehr zurückverfolgt werden. Falls Daten zuvor ohne IP-Anonymisierung mit Google Analytics erhoben und gespeichert wurden, sind diese zu löschen, um nicht gegen die DSGVO-Vorschriften zu verstoßen. Auf dieser Website stellt Google weitere Informationen zum Thema Anonymisierung der IP-Adresse bereit.
Universal Analytics mit User ID abstellen
Viele Juristen sehen die Nutzung einer User ID kritisch, da von Website-Besuchern durch das sogenannte “Cross-Device-Tracking” weitaus mehr Informationen gesammelt werden können. Dennoch ist es Ihnen selbst überlassen, ob Sie das Risiko der Verwendung eingehen möchten oder nicht.
Remarketing-Zielgruppen abstellen
Eine weitere Unsicherheit besteht in der Zielgruppen-Funktion, die Google Analytics als Hilfestellung zur Zielgruppendefinition von Werbeanzeigen in Google Ads anbietet. Auch hier stellt sich für Sie die Frage, ob die Nutzung dieser Funktion das Risiko wert ist.
Speicherdauer der Nutzerdaten verkürzen
Ein neu eingeführtes Tool erlaubt es Anwendern von Google-Analytics die Dauer der Speicherung von Nutzer- und Ereignisdaten festzulegen. Nach Ablauf des jeweiligen Zeitraums werden die Daten DSGVO-konform gelöscht. Empfohlen wird der kürzeste Zeitraum von 14 Monaten.
Google Analytics in die Datenschutzerklärung aufnehmen
Besucher der jeweiligen Website müssen darüber informiert werden, dass ihre Daten erhoben werden, wie lange diese gespeichert werden und für welchen Zweck sie gebraucht werden. Dies geschieht in Form eines Hinweises in der Datenschutzerklärung. Außerdem muss die Nutzung von Google Analytics kenntlich gemacht werden, indem zusätzlich alle Anpassungen aufgeführt sind.
Widerspruchsmöglichkeit installieren
Dem Besucher einer Website muss zusätzlich die Möglichkeit gegeben werden, der Aufzeichnung seiner Daten zu widersprechen. Das kann technisch mithilfe eines Opt-In oder Opt-Out Verfahrens geschehen.
Wer die Anforderungen nicht umsetzt, muss u.U. mit empfindlichen Strafen rechnen. Bei besonders schwerwiegenden Verstößen können Bußgelder bis zu einer Höhe von 20 Millionen Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes des vorherigen Geschäftsjahr – je nachdem was höher ist – verhängt werden.
Eine gute Dokumentation der datenschutzrechtlichen Maßnahmen schützt vor Abmahnungen
Generell ist eine gute Dokumentation der Vorgehensweise von hoher Bedeutung für den richtigen Umgang sowie die Verarbeitung von personenbezogenen/personenbeziehbaren Daten. Dazu gehören sowohl der Nachweis von Fortbildungsmaßnahmen oder Schulungen der eigenen Mitarbeiter bzw. des Datenschutzbeauftragten, welcher ab zehn Mitarbeitern ernannt werden muss, technische und organisatorische Handlungen als auch die Auflistung von Verträgen mit Dienstleistern. So kann auch bei Verstößen oder einem Datenleck das Strafmaß verringert oder im besten Fall davon abgesehen werden.
Opt-In oder Opt-Out – Cookies ja oder nein?
Besonders bei dieser Frage gehen die Expertenmeinungen weit auseinander und reichen von der Meinung, dass Opt-Out und Pseudonymisierung vollkommen ausreichen bis hin, dass Onlinetracking und Cookiesetzung Opt-In bedarf. Die strengere Opt-In-Variante wird von den meisten Anwälten empfohlen.
Jedoch sträubt sich der Großteil der Webseitenbetreiber vor der Einführung des Opt-In-Verfahrens, da u.U. wichtige nutzerbezogene Informationen verloren gehen können. Besucher einer Website können also nur von Analyse-Tools getrackt werden, wenn diese den Opt-In bestätigen. Wiederkehrende Besucher können ebenfalls nur dann erkannt werden, wenn sie den Opt-In erneut zugelassen haben und auch Cookies können erst nach Zustimmung vergeben werden.
Die Opt-Out-Lösung zeichnet die Aktivitäten des Users von Anfang an auf. Sprich, es gehen weniger Informationen über Nutzer verloren. Erst wenn der User den Opt-Out bestätigt, werden die Aufzeichnungen unterbunden.
Bei unseren Kollegen SEM-Deutschland aus Hannover finden Sie eine kleine Untersuchung zu Opt-Out bzw. Opt-In und wie sich diese Varianten auf die von Google Analytics erfassten Besucherdaten der Website auswirkt.
Fazit: unsere Meinung zur DSGVO als Internetagentur
Selbst ein paar Monate nach Einführung der Datenschutz-Grundverordnung ist der datenschutzkonforme Umgang noch immer nicht klar. Auch unsere Kunden treffen unterschiedliche Maßnahmen zur Einhaltung – u.a. aufgrund sehr unterschiedlicher Anweisungen der eigens bestellten Datenschutzbeauftragten.
Klar ist, dass die Datenschutz-Grundverordnung (DSGVO) sehr viel Interpretationsspielraum zulässt und momentan noch eher einem Balanceakt gleicht. Aus diesem Grund ist es umso wichtiger, verschiedene Anhaltspunkte zu vergleichen und auf Basis dieser Erkenntnisse eine fundierte Entscheidung zu treffen – oder eben einen Experten hinzuzuziehen. Einen kleinen Überblick über die datenschutzgerechte Nutzung von Tracking-Diensten für Websites und Apps verschafft der Anbieter etracker mit einer Orientierungshilfe – natürlich auch zum eigenen Vorteil.
Spannend wird es noch einmal, wenn im nächsten Jahr tatsächlich die ePrivacy-Verordnung (ePV) in Kraft treten sollte. Sie soll die DSGVO ergänzen und vor allem im Online-Bereich mehr Klarheit schaffen. Wie sich die ePV beispielsweise auf Privatpersonen, KMU, Konzerne oder Organisationen auswirken wird, wird letztendlich nur die Zeit offenbaren.
Wir bleiben informiert und geben unser Wissen gerne an Sie weiter.
Update: seit 2019 gilt grundsätzlich nur noch die Opt-In-Variante. Eine Voreinstellung in sogenannten Cookie Consent-Tools ist nicht zulässig und wurde hier in der Pressemitteilung “Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers” bekanntgegeben. Das setzen von Cookies erfordert also die aktive Einwilligung des Nutzers.