WEB-Compliance

Ist Google Analytics DSGVO-konform einsetzbar?

Die 6 Punkte Checkliste zur datenschutzkonformen Nutzung

17. Januar 2022

Inhalt der Seite

    Die Frage, ob Google Analytics unter bestimmten Voraussetzungen der DSGVO entsprechend genutzt werden kann, beschäftigt viele Webseitenbetreiber schon lange. Das kostenlose Tool ist auf vielen Seiten integriert und liefert dort wertvolle Statistiken zur Nutzung. Das Europäische Zentrum für digitale Rechte (NOYB) hat in allen europäischen Staaten eine Klage gegen die Einbindung von Google Analytics angestrengt. Nun ist hierzu ein erster aktueller Bescheid der österreichischen Datenschutzbehörde ergangen, dessen Grundaussage wohl auch in anderen Ländern ähnlich zu erwarten ist.

    Die österreichische Datenschutzbehörde stellt zunächst fest, dass für die Nutzung von Google Analytics zum Klagezeitpunkt 2020 personenbezogene Daten direkt an Google in den USA übermittelt wurden. Die Standarddatenschutzklauseln in der Auftragsverarbeitervereinbarung zwischen der Webseitenbetreiberin und Google Analytics hätten hierfür kein angemessenes Schutzniveau gemäß Art. 44 DSGVO geboten, da sie die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht ausgeschlossen hätten.

    Das Bestimmungsdrittland gewährleiste nach Maßgabe des Unionsrechts keinen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten, in diesem Fall vor allem eine dem Nutzer von Google zugeordnete, identifizierbare Kennnummer sowie Browserdaten und die IP-Adresse. Diese können von den US-Nachrichtendienten genutzt und auch aktiv angefordert werden.

    joerg-ter-beek-circle-2

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 95 20 37 - 40

    Nachricht schreiben
    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 95 20 37 - 40
    [email protected]

    Kontaktieren Sie uns

    Ihr Datenschutzbeauftragter

    Jörg ter Beek

    • zehnjährige Praxiserfahrung
    • TÜV-zertifizierter Datenschutzbeauftragter
    • ISMS-Auditor
    • Expertise in Datenschutzberatung und IT-Security

    Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

    Die österreichische Datenschutzbehörde stellt fest, dass die Webseitenbetreiberin als Datenexporteurin an ein US-Unternehmen tätig geworden ist, ohne hierauf in der Datenschutzerklärung der Webseite hinzuweisen. Die Datenübermittlung lässt sich nicht durch Artikel 45 DSGVO rechtfertigen, da die Standarddatenschutzklauseln solcher Verträge die Datenverarbeitung personenbezogener Daten durch Behörden nicht abdecken bzw. ausschließen.

    Google Analytics gab im Verfahren zu, dass es selbst Zugriff auf die Daten hat und durch die US-Gesetzgebung verpflichtet ist, diese auch im Klartext an Behörden herauszugeben. Hier wären weitere technische und organisatorische Maßnahmen zu ergreifen, um ein Datenschutzniveau herzustellen, das dem in den DSGVO definierten Niveau entspricht. In der gegenwärtigen Konstellation sind die Schutzmaßnahmen unzureichend, befand die Behörde.

    info

    Hinweis zum Klagefall

    Im hier verhandelten konkreten Fall waren die Daten direkt in die USA übermittelt worden. Die Behörde hat sich ausdrücklich nicht mit der aktuellen Konstellation, dass Google inzwischen eine europäische Tochter in Irland betreibt, sowie mit den Zugriffsrechten von US-Behörden auf die dort verarbeiteten Daten beschäftigt.

    Einsicht in den Bescheid der österreichischen Datenschutzbehörde finden Sie auf den Seiten von NOYB.

    Nach diesem Bescheid liegt Aufgabe, auf die Datenübermittlung in ein nicht sicheres Drittland hinzuweisen, eindeutig und ausschließlich beim Webseitenbetreiber, auf dessen Seiten Analysetools wie hier Google Analytics eingesetzt und die Datenübermittlungen konfiguriert werden.

    Die österreichische Datenschutzbehörde - der Teilbescheid

    Die DSGVO-konforme Konfiguraton von Google Analytics

    Google Analytics – das Trackingtool der Google LLC, das der Datenverkehrsanalyse von Webseiten dient ist nach dem letzten Urteil des EuGHs und der Pressemitteilung der Aufsichtsbehörde für Datenschutz nun nur noch mit Einwilligung zulässig.

    Somit sind für den datenschutzkonformen Einsatz von Google Analytics, laut Aufsichtsbehörde, weitere Vorgaben zu beachten. Wir haben Ihnen eine Checkliste erstellt, mit der Sie Google Analytics kinderleicht datenschutzkonform nutzen können:

    6 Punkte Checkliste - Google Analytics datenschutzkonform nutzen

    1. Abschluss eines AVV

    Wenn Webseitenbetreiber Google Analytics verwenden, nehmen diese laut Aufsichtsbehörden die Rolle des Auftragnehmers ein. Somit ist ein Vertrag zur Auftragsverarbeitung abzuschließen.

    Doch wie macht man das?

    • 1 Scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“
    • 2 Klicken Sie auf „Zusatz anzeigen“
    • 3 bestätigen Sie den Auftragsverarbeitungsvertrag
    • 4 Geben Sie Ihre Firmen- bzw. Kontaktdaten unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ ein
    • 5 Bestätigen Sie Ihre Angaben, indem Sie auf „Speichern“ drücken

    Ich habe schon einen Vertrag abgeschlossen – was ist zu beachten?

    Wenn Sie zum Zeitpunkt der Anwendbarkeit der DSGVO bereits einen Auftragsverarbeitungsvertrag mit Google geschlossen haben, muss nicht zwingend ein neuer Vertrag abgeschlossen werden. Falls Sie Ihren Vertrag jedoch vor September 2016 geschlossen haben, müssen Sie einen neuen Vertrag mit Google abschließen.

     

    2. Anpassung der Tracking-Codes

    Anonymisieren Sie zuerst die IP-Adressen

    Da der von Google vorgegebene Tracking Code die Anforderungen der DSGVO erfüllt, müssen Sie den jeweiligen Tracking-Code eigenhändig anpassen. Durch die Code-Erweiterung „anonymizeIp“ wird eine datenschutzkonforme Nutzung von Google Analytics ermöglicht. Denn so werden die letzten 8 Bit der IP-Adresse gelöscht und eine Zuordnung der Daten ist nicht mehr möglich – die IP-Adresse kann lediglich grob lokalisiert werden.

    Räumen Sie ein Widerspruchsrecht ein

    Um das Widerspruchsrecht zu erfüllen, müssen Sie den Betroffenen die Möglichkeit bieten, gegen die Erstellung eines Nutzerprofils widersprechen zu können. Ein von Google entwickeltes Deaktivierungs-Add-on kann Abhilfe schaffen. Das Problem hierbei: das Add-on ist nicht auf allen Endgeräten installierbar. Deshalb muss das Skript ergänzt werden, um sicher Opt-Out-Cookies setzen zu können. Durch diese Cookies haben die Nutzer die Möglichkeit, eine zukünftige Datenerfassung zu verhindern.

    Ein einfaches Opt-Out ist jedoch nicht die generelle Lösung. Da Universal Analytics geräteübergreifend trackt, muss der Nutzer seinen Widerspruch auf allen genutzten Systemen äußern. Denn nur so wird die geräteübergreifende Zuordnung der Nutzer zu einer angelegten User-ID verhindert.

    3. Festlegung der Aufbewahrungsdauer der Daten

    Seit Mai 2018 bietet Google zusätzliche Steuerelemente zur Datenaufbewahrung an. Die Aufbewahrungsdauer gilt jedoch nur für die Daten, die auf Nutzer- und Ereignisebene mit Cookies, User IDs oder Werbe-IDs verknüpft sind – aggregierte Daten zählen nicht dazu.

    26 Monate lang dürfen die Nutzer- und Ereignisdaten nach den Voreinstellungen gespeichert werden. Dabei ist der Button „bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Um den Auflagen der DSGVO zu entsprechen, die eine maximale Speicherdauer von 14 Monaten vorsieht, sollten Sie die Speicherdauer ändern.

    Wie ändere ich die Aufbewahrungsdauer?

    • 1 Unter „Verwaltung“ wählen Sie die Property aus, die sie ändern möchten
    • 2 Klicken Sie in der Spalte „Property“ auf „Tracking-Informationen > Datenaufbewahrung“
    • 3 Unter dem Punkt „Aufbewahrung von Nutzer- und Ereignisdaten“ lässt sich die Speicherdauer manuell einstellen
    • 4 Stellen Sie die Speicherdauer auf 14 Monate
    • 5 Deaktivieren Sie den Button „Bei neuer Aktivität zurücksetzen“
    • 6 Speichern Sie die neuen Angaben
    AUCH INTERESSANT:

    Wie Sie YouTube Videos DSGVO-konfom einbinden

    Worauf Sie achten müssen, wenn Sie nicht in die Datenschutzfalle tappen wollen

    4. Anpassung der Datenschutzerklärung

    Falls Sie Google Analytics nutzen, müssen Sie dies in Ihrer Datenschutzerklärung angeben. Früher hat Google Analytics eine Vorlage angegeben, die Sie einfach in Ihre Datenschutzerklärung kopieren konnten. Diese wird heute nicht mehr angeboten. Falls Sie die alte Version jedoch noch verwenden, müssen Sie diese mit einigen Aspekten ergänzen, um datenschutzkonform zu sein:

    • Umfang der Datenerhebung, Art. 12 und 13 DSGVO
    • Rechtsgrundlage, Art. 13 DSGVO
    • Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 13 Abs. 2 lit. a DSGVO
    • Widerrufsrecht, Art. 7 Abs. 3 DSGVO
    • Hinweis zum Deaktivierungs-Add-on und Opt-Out-Cookie
    • Hinweis zu anonymizeIp

    Falls Sie diese Datenschutzerklärung jedoch nicht verwenden möchten oder sich unsicher sind, ob Ihre Version den Ansprüchen der DSGVO gerecht wird, kontaktieren Sie uns gerne und wir erstellen Ihnen eine garantiert DSGVO-konforme Datenschutzerklärung.

    Oder nutzen Sie Cookiebox.pro und erhalten Sie die Datenschutzerklärung-as-a-Service.

    5. Einholung der Einwilligung

    Webtracking soll nach dem Positionspapier der DSK nur noch mit einer vorherigen und informierten Einwilligung des Nutzers möglich sein. Sollten Sie die Einwilligung vorher nicht einholen, riskieren Sie Bußgelder oder eine Abmahnung durch Aufsichtsbehörden.

    Beachten Sie: aktivieren Sie Tracking Cookies erst nach der Zustimmung des Nutzers. Dies lässt sich durch ein Cookie-Consent-Tool beim Aufruf der Seite kinderleicht erledigen.

    6. Löschung von alten Daten

    Falls Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt hat, müssen Sie diese Daten umgehend löschen.

    So löschen Sie die Altdaten:

    • 1 Wählen Sie in den Einstellungen den Menüpunkt „Verwaltung“
    • 2 Gehen Sie auf die Property-Einstellungen und Drücken Sie „In Papierkorb verschieben“
    • 3 Wurden die Daten in den Papierkorb verschoben, werden diese nach 35 Tagen gelöscht

    Fazit

    Was Sie nach dieser Checkliste beachten sollten:

    Ein datenschutzkonformer Einsatz von Analyse-Tools ist somit möglich. Beachten Sie jedoch, dass sich die Rechtslage hierzu jederzeit ändern kann. So kann die datenschutzkonforme Nutzung eines Analyse-Tools heute in einem Monat schon rechtswidrig sein. Ruhen Sie sich deshalb nicht auf einmal ausgewählten Einstellungen oder einer einmal erstellten Datenschutzerklärung aus. Möglicherweise sind zukünftig weitere Änderungen erforderlich.

    Kontaktieren Sie uns, um im Thema Datenschutz jederzeit auf dem neuesten Stand zu sein. Wir beraten Sie gerne oder erstellen Ihnen eine Datenschutzerklärung, die garantiert jederzeit datenschutzkonform ist!

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte

    Autoren-Profil aufrufen