Sie möchten über die Aktivitäten und den Traffic auf Ihrer Website informiert werden und nutzen dazu Google Analytics? Damit befinden Sie sich in bester Gesellschaft, denn dieses Analysetool gehört zu den beliebtesten und am häufigsten verwendeten weltweit. Bei der Verwendung sind jedoch einige Dinge wie bspw. datenschutzrechtliche Anforderungen zu beachten. Um welche Anforderungen es im Speziellen geht und worauf Sie ansonsten noch achten sollten, erfahren Sie in diesem Beitrag.
Die ONMA Online Marketing GmbH ist Spezialist für Online Marketing du unterstützt Sie gerne bei der Programmierung, Gestaltung und Suchmaschinenoptimierung von Websites. Gerne berät Sie unser Team auch zu datenschutzrechtlichen Aspekten beim Einsatz von Google Analytics.
Warum ist die Beachtung des Datenschutzes bei Google Analytics so wichtig?
Sie möchten mit Ihrer Website eine möglichst große Anzahl an Internetnutzern erreichen und diese mit Ihren Leistungen überzeugen. Ganz klar, dass Sie den Erfolg dieser Maßnahmen auch evaluieren möchten – dazu ist das Tool Google Analytics bestens geeignet, da sich hiermit der Traffic und viele andere Parameter messen lassen. Seit 15.09.2011 darf Google Analytics auf jeder Website einwandfrei eingesetzt werden, wenn bestimmte rechtliche Aspekte beachtet werden. Besonders im Hinblick auf den Datenschutz muss der Betrieb des Analysetools explizit gekennzeichnet werden. So muss der Website-Betreiber auf jeden Fall dafür sorgen, die Homepage-Besucher über die Anwendung von Google Analytics zu informieren, der richtige Platz hierfür ist die Datenschutzerklärung der Website. Diese muss übrigens von jeder Seite des Auftritts mit maximal einem Klick erreichbar sein. Welche rechtlichen Anforderungen an dieser Stelle zusätzlich erfüllt werden müssen, erfahren Sie im weiteren Verlauf. Gerne beraten wir von der ONMA Online Marketing GmbH Sie auch zu ergänzenden Fragen rund um den Einsatz von Google Analytics.Wir klären Sie über folgende Fragestellungen bzgl. des datenschutzkonformen Einsatzes von Google Analytics auf:
- Wie wird der Datenschutz zwischen Google und mir als Verantwortlichem geregelt?
- Wie erfolgt die Nutzerinformation über den Betrieb von Google Analytics?
- Erhalte ich technische Unterstützung um die rechtlichen Anforderungen an den Datenschutz zu erfüllen?
- Ist die Bereitstellung von Add-Ons für die Seitenbesucher nötig?
- Was gilt es datenschutzrechtlich noch zu beachten?
Der erste Schritt: Der Datenschutzvertrag mit Google
Natürlich ist auch Google beim Angebot seiner Dienste darauf bedacht, die Datenschutzrichtlinien einzuhalten und die Nutzer darüber aufzuklären. Hierfür ist es, als ersten Schritt, notwendig einen sog. Vertrag zur Datenverarbeitung mit Google abzuschließen. Dieser ist im Bundesdatenschutzgesetz (BDSG) in § 11 vorgeschrieben und dort auch umfassend geregelt. Ein entsprechendes Formular wird auf der Internetseite von Google bereitgestellt – diese Vorlage wurde gemeinsam mit der Hamburgischen Aufsichtsbehörde für den Datenschutz erarbeitet.Bei Abschluss des Vertrages müssen Sie folgende Dinge beachten:
- Jeweils auf der ersten Seite und nach der ersten Anlage müssen fehlende Angaben ausgefüllt und unterschrieben werden
- Zweifacher Ausdruck des Vertrags
- Senden Sie diesen Vertrag bitte nach Irland an den Standort von Google
- Adresse: Contract Administration Department, Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland
- Nach Eingang beider Vertragsexemplare bei Google, werden diese dort unterzeichnet und Sie erhalten eine Version wieder zurück
- Wichtig: Bitte legen Sie der Postsendung einen Umschlag mit Ihrer Adresse bei, sodass das der Vertrag auch unkompliziert an Sie zurückgeschickt werden kann
- Noch wichtiger: Der Vertrag darf nur in der bereitgestellten Form verwendet werden. Inhaltliche Änderungen sind nicht zulässig. Die Tatsache, dass Sie keinerlei Änderungen am Vertragsformular vornehmen, müssen Sie schriftlich mit Ihrer Unterschrift bestätigen
Alte Daten müssen gelöscht werden
Wichtig: Da dieser Vertrag in der Vergangenheit nicht existierte, wird die Erhebung aller Daten bis zum rechtkräftigen Abschluss des Auftragsdatenverarbeitungsvertrags von den Aufsichtsbehörden als unrechtmäßig angesehen. Daher fordern diese auch, diese alten Datenbestände zu löschen. Die Meinungen darüber, wie diese Daten tatsächlich gelöscht werden können, gehen auseinander. Ganz sicher sein, kann man vermutlich nur, wenn eine neue ID erzeugt wird. Lediglich eine neue Property zu erzeugen und die alte zu löschen, reicht vermutlich nicht aus.Wie müssen die Website-Besucher über den Einsatz von Analyse-Tools informiert werden?
Dass Sie die Besucher Ihrer Website über den Einsatz von Google Analytics informieren müssen, hatten wir oben bereits erwähnt. Vielleicht stellen Sie sich die Frage, welche Optionen sich hier anbieten und wo Sie eine solche Information am besten unterbringen. Natürlich ist hier die Datenschutzerklärung der beste Ort um die Website-Nutzer entsprechend zu informieren und aufzuklären. Diese müssen Sie nicht selbst formulieren – wir stellen Ihnen gerne eine entsprechende Vorlage zur Verfügung, die wir für alle unsere Kunden verwenden. Da es natürlich auch Kunden gibt, die der Informationsverarbeitung von Google nicht zustimmen – gibt es auch hier zwei Möglichkeiten, dies einzurichten. Google stellt zu diesem Zweck ein Add-On zur Verfügung, welches die Verarbeitung von personenbezogenen Daten verhindert. Dies kann in der Regel für alle Betriebssysteme und Browser genutzt werden. Zum anderen können Internet-User die Datenerfassung von Google Analytics durch einen sog. Opt-Out-Cookie unterbinden. Dies ist vor allem bei mobil optimierten Websites notwendig, da hier Add-Ons nicht greifen. Sie haben noch Fragen zu Add-Ons oder Opt-Out-Cookies? Kommen Sie gerne auf uns zu, wir beraten Sie gerne!Datenschutz – das sind die technischen Möglichkeiten
Der Datenschutz ist besonders im Internet und bei der Nutzung von Websites wichtig – um dies auch rechtlich einwandfrei nutzen zu können, gibt es auch technische Unterstützung. Um Google Analytics datenschutzkonform einzusetzen, müssen Sie die von Google Analytics bereitgestellte Funktion „anonymizeIP“ nuten. Diese sorgt dafür, dass die IP-Adressen der Nutzer anonymisiert werden. Dieses wird erreicht, indem der letzte Teil der IP-Adresse gelöscht und somit maskiert wird. Damit ist über den verbleibenden Rest der IP-Adresse der Nutzer nicht mehr identifizierbar.Der neue Betriebsstandard – Universal Analytics
Universal Analytics ist der neue Betriebsstandard von Google Analytics, der seit 2014 verpflichtend für alle Nutzer ist. Bei Universal Analytics kommt sog. Cross-Device-Tracking zum Einsatz. Es wird also geräteübergreifend ein Profil gebildet und damit noch umfangreichere Daten gesammelt. Dabei wird zwar jedem Nutzer eine User-ID zugeordnet, die als Pseudonym fungiert und die wahre Identität verfremdet, letztlich führt Google die erfassten Daten aber mit allen anderen zur Person erfassten Daten zu einem Profil zusammen. Es ist also abhängig davon, welche und wie viele Dienste von Google sonst noch genutzt werden. Wird beispielsweise der Kalender oder Google-Mail genutzt, kann zusammen mit den gesammelten Daten aus Universal Analytics ein ausgesprochen umfassendes Profil des Nutzers erstellt werden. Die Verwendung dieses Mechanismus muss zwingend in Ihre Datenschutzerklärung aufgenommen werden. Gerne berät Sie unser Team von der ONMA Online Marketing GmbH ausführlich zu diesem Thema.IP-Adressen anonymisieren – Warum ist das wichtig?
Wie Sie bereits in einem der vorherigen Absätze erfahren haben, gibt es im Hinblick auf den Datenschutz die Möglichkeit (und die Verpflichtung) IP-Adressen zu anonymisieren. Aber warum ist dies wichtig? Über die IP-Adresse kann ermittelt werden, von welchem Rechner, bzw. von welchem DSL-Anschluss die Aufrufe von Webseiten erfolgt sind. Daher handelt es sich bei der IP-Adresse um ein personenbezogenes Datum.Die Rolle des Bundesdatenschutzgesetzes
Natürlich spielt auch das Bundesdatenschutzgesetz eine wesentliche Rolle bei der rechtlich konformen Verwendung von Google Analytics. Als verantwortliche Stelle mit Sitz in Deutschland unterliegen Sie dem deutschen Datenschutzrecht in jedem Fall. Den sich daraus ergebenden Verpflichtungen können Sie auch durch eine Verlagerung Ihrer Website auf einen im Ausland befindlichen Server nicht entgehen. Solange Ihr Unternehmen einen Sitz in Deutschland hat unterliegt dieses auch dem Bundesdatenschutzgesetz.Wie wird die Einhaltung des Datenschutzes bei der Verwendung von Google Analytics geprüft?
Grundsätzlich vorab: In jedem Bundesland gibt es eine eigene Aufsichtsbehörde für den Datenschutz. Diese darf anlasslos alle verantwortlichen Stellen (das sind alle Unternehmen, Vereine, Behörden und auch Einzelpersonen, die personenbezogene Daten geschäftsmäßig verarbeiten) anlasslos prüfen. In den letzten Jahren haben diese Behörden kräftig „aufgerüstet“. So gibt bspw. die Aufsichtsbehörde in Bayern an, ein Überprüfungstool für solche Zwecke zu nutzen. Hierbei werden unterschiedliche Dinge getestet:- Einbindung des Google Analytics Trackingcodes in die Website
- Richtige Implementierung des Codes mit anonymizeIP
- Leichte Auffindbarkeit der Datenschutzerklärung
- Erfüllt die Datenschutzerklärung die Anforderungen
Sie bestehen die Prüfung nicht – was nun?
Sollte der Fall eintreten, dass Sie eine solche Prüfung nicht bestehen, erwartet Sie seitens der Aufsichtsbehörde nicht sofort ein Bußgeld. Im ersten Schritt wird diese sich an Sie wenden und sowohl zur Stellungnahme als auch zur Behebung des Missstands auffordern. Erst wenn Sie die Missstände nach Aufforderung nicht beseitigt haben wird die Aufsichtsbehörde ein Bußgeld verhängen. Diese Angaben kommen von der zuständigen Stelle in Bayern – in anderen Bundesländern kann das natürlich variieren.Ihre Checkliste für die rechtlich sichere Anwendung von Google Analytics
- Abschluss des Vertrags zur Datenverarbeitung im Auftrag mit Google
- Löschen aller vor Abschluss des Auftragsdatenverarbeitungsvertrags erhobenen Daten
- Information der Website-Besucher über die Nutzung von Google Analytics in der Datenschutzerklärung
- Zurverfügungstellung eines Add-Ons oder Opt-Out Cookie für die Nutzer, die von der Datenerhebung ausgeschlossen werden wollen
- Integration der IP-Adressen Anonymisierung in die Website
- Funktionstest der IP-Adressen Anonymisierung