Wie kann ich Google Analytics DSGVO-konform verwenden?
Verwenden auch Sie, wie zahlreiche Websitebetreiber, das Tracking Tool Google Analytics? Dann sollten Sie weiterlesen. Denn die Frage, wie Sie das Tool auch DSGVO-rechtskonform nutzen können, hat schon einige Jahre die Gerichte beschäftigt.
Was ist Google Analytics?
Google Analytics sammelt Daten über Besucher einer Homepage. Als Websitebetreiber können Sie entscheiden, welche Daten nach welchen Einstellungen erhoben werden und zum Beispiel die Aufrufe Ihrer Seite, das Nutzerverhalten und die Verweildauer auszuwerten. Wie und welche Nutzer sich einen Newsletter bestellen, ein Whitepaper herunterladen oder eine bestimmte Dienstleistung anfordern, können Sie mithilfe von Google Analytics ebenfalls nachvollziehen.
Problem mit der DSGVO: Echte Einwilligung am sichersten
Problematisch ist, dass Google Analytics große Datenmengen speichert und vollständige IP-Adressen an Google in den USA übermittelt. Google selbst klärt in den eigenen Datenschutzbestimmungen nicht hinreichend darüber auf, welche Daten konkret verarbeitet werden. Somit müssen auch Nutzer des Dienstes in Sorge sein, ob sie das Tool rechtskonform verwenden. Datenschutzbehörden drohten den Nutzern in der Vergangenheit hohe Bußgelder an.
Was aber kann man tun, um Google Analytics rechtskonform zu verwenden?
Es reicht nicht aus,
- einen AV-Vertrag mit Google Analytics zu schließen
- Die IP-Adressen zu anonymisieren
- Alte Daten zu löschen
- Google Analytics in die Datenschutzerklärung aufzunehmen
- Ein berechtigtes Interesse an der Datenverarbeitung geltend zu machen, das die Interessen am Schutz der personenbezogenen Daten überwiegt
Und damit greift der Grundsatz: echte Einwilligung einholen.
Die Lösung: Consent Tool
Eine echte Einwilligung können Sie mit einem Consent Tool einholen: Hier muss der Nutzer aktiv bestätigen, dass er der Datenverarbeitung, -speicherung und -übertragung zustimmt. Erteilt der Nutzer keine Zustimmung, unterdrückt dieses Tool die Datenflüsse.
Es gibt einige Consent Tools, die am Markt angeboten werden. Hier eine Auswahl:
Tool | Was ist enthalten? | Wo bekomme ich es? |
Cookie Consent mit Usercentrics
|
Individuelle Profi-Lösung, funktioniert mit jedem CMS, setzt die wichtigsten 50 Tools um (unter anderem Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager)
|
Exklusiv in eRecht24 Premium enthalten; auch für Webseiten von Kunden nutzbar |
Cookie Consent Tool von Borlabs Cookie | Leicht zu bedienendes Plugin für WordPress; keine Programmierung notwendig | Rabatt von 45% für eRecht24 Premium Nutzer; Rabatt auch für Websites von Kunden nutzbar |
Consent Management Provider | Funktioniert unabhängig von einem bestimmten CMS (keine Beschränkung auf WordPress), leicht integrierbar durch Cookie Crawler, Design selbst gestalten, an CI anpassen möglich | Rabatt von 25 % auf kostenpflichtige Version für eRecht24 Premium Nutzer, kostenlose Variante ist auf 10.000 Page Views im Monat beschränkt |
Es gibt noch weitere Tools, mit denen Sie eine Einwilligung einholen können. Möchten Sie sich selbst darüber informieren? Dann achten Sie bei Ihrer Recherche bitte auf folgende Punkte:
- Die Einwilligung muss der Nutzer aktiv setzen. Die Checkbox darf nicht schon per default angekreuzt sein.
- Das Tool muss vor der Einwilligung alle Cookies blockieren. Ausnahme: das eigene Cookie des Consent Tools.
- Erst Einwilligung, dann Setzen von Cookies. Werden vorher Cookies gesetzt, ist das Tool unbrauchbar.
- In der Einwilligungsbox muss jedes Tool einzeln aufgeführt und benannt sein.
- Die Einwilligungen können aktuell in Gruppen zusammengefasst sein. Sie müssen nicht für jedes Tool einzeln erklärt werden.
- Ihr Consent Tool selbst muss natürlich auch in Ihrer Datenschutzerklärung aufgeführt werden.
Mit der Einwilligung allein ist es nicht getan
Mit der Einbindung eines Consent Tools ist jedoch noch nicht alles getan. Genauso wichtig: Zusätzlich zur Einholung der Einwilligung müssen Sie:
1) Einen Vertrag zur Auftragsverarbeitung mit Google abschließen
Google bietet über das Google Analytics Konto die Möglichkeit, auf elektronischem Weg einen AV-Vertrag abzuschließen. Dieser vorgefertigte Vertrag enthält Regelungen zur Auftragsdatenverarbeitung sowie technische und organisatorische Maßnahmen. Früher war es nur möglich, den Vertrag auszudrucken und per Post an Google zu senden.
2) Die IP-Adresse anonymisieren
Wegen der datenschutzrechtlichen Diskussion hat Google die Funktion anonymizeIP eingeführt. Hiermit wird die IP-Adresse anonymisiert und nicht mehr komplett gespeichert. Mit Google Universal Analytics (siehe unten) können Sie den Code selbstständig in Ihren Googel Analytics Code einbauen.
3) Opt Out Cookies sowie einen Link zum Browser Plugin setzen.
Mit einem Consent Tool können Ihre Nutzer Datenübertragungen erlauben und die Einwilligung auch widerrufen.
4) Zudem müssen Sie Ihren Nutzern die Möglichkeit geben, die Speicherung der Daten zu verhindern.
a) Desktop oder Notebook
In Ihre Datenschutzerklärung müssen Sie dafür einen Link auf ein Browser Plugin installieren (https://tools.google.com/dlpage/gaoptout? hl=de ). Dieses Plugin können Ihre Nutzer verwenden, wenn sie Ihre Seite über den Desktop oder das Notebook aufrufen. Es unterbindet die Speicherung der Daten und setzt einen Opt Out Cookie.
b) Smartphone
Für die Nutzung auf Smartphones hingegen müssen Sie selbst auch noch aktiv werden. Gehen Sie in zwei Schritten vor:
-
- Sie müssen vor Ihrem Google Analytics Tracking Code einen html-Code mit Javascript einbauen.
- Haben Sie das getan, müssen Sie Ihre Nutzer darauf hinweisen, dass diese einen Link klicken können, mit dem sie die Erfassung der Daten bei zukünftigen Besuchen der Webseite verhindern.
5) Einen Passus zu Google Analytics in Ihre Datenschutzerklärung aufnehmen
Das Vorgehen müssen Sie zuletzt in Ihrer Datenschutzerklärung aufnehmen. Hier weisen Sie bitte auf die Speicherung und Verarbeitung der Nutzer-Daten im Rahmen von Google Analytics hin. Zudem informieren Sie Nutzer bitte über die Auftragsdatenverarbeitung, die Anonymisierung über anonymizeIP und auf die Widerspruchsmöglichkeit (Opt Out Cookie, Browserplugin) mit dem vollständigen Code.
Unklar: Google Universal Analytics
Etwas anders sieht es mit der Datenverarbeitung bei Google Universal Analytics aus. Im Unterschied zu Google Analytics können Sie mit diesem Tool nicht nur Daten von Webseiten, sondern auch von anderen Geräten auswerten. Das betrifft Smartphones, Tablets und Spielekonsolen genauso wie Telefonate mit Kunden und Besuche im Geschäft vor Ort. Sie müssen dafür einen Tracking Code per Java-Script einbauen.
Laut Google gilt für den Datenschutz:
- IP-Adresse kann, wie beim normalen Google Analytics, per Code im Tracker anonymisiert werden
- Auch opt out per Browser Add On ist genauso möglich
- Bei Google Universal Analytics werden weniger Daten und Cookies gespeichert als bei Google Analytics
- Mit Universal Analytics kann man völlig ohne Cookies tracken, wenn man Google Analytics verwendet
Was ist nun aber mit dem Datenschutz? Google macht es sich einfach: Sie nehmen die Websitebetreiber selbst in die Pflicht und fordern sie auf, ihre Nutzer hinzuweisen, dass und wie ein Opt out möglich ist. Zudem sollen Sie als Nutzer beim Einsatz von Google Analytics keine persönlichen Daten wie Namen oder E-Mail-Adressen einspielen und beruft sich dabei auf deutsche Rechtsvorschriften.
Das Dilemma für Sie als Websitebetreiber: Unklar ist, ob Sie dafür eine ausdrückliche Einwilligung des Nutzers brauchen oder ob es reicht, einen Hinweis und die Widerspruchsmöglichkeit in der Datenschutzerklärung aufzunehmen.
Für Sie bedeutet das: Sie sollten auf Nummer Sicher gehen. Nutzen Sie dafür am besten eRecht24 Premium.
Checkliste: So verwenden Sie Google Analytics richtig
Denken Sie also immer an folgende Schritte, wenn Sie Google Analytics auf Ihrer Website einbinden:
- Verwenden Sie ein Consent Tool oder holen Sie die Einwilligung Ihrer Nutzer auf andere Wege ein.
- Schließen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google (online möglich über Google Analytics Account)
- Bauen Sie den anonymizeIP-Code ein.
- Binden Sie das Browser Plugin für Desktop und den Opt Out Cookie für Smartphone ein.
- Passen Sie Ihre Datenschutzerklärung an.