Skip to content

6 Punkte Checklist: Google Analytics DSGVO-konform einsetzen

Google Analytics – das Trackingtool der Google LLC, das der Datenverkehrsanalyse von Webseiten dient – nach dem letzten Urteil des EuGHs und der Pressemitteilung der Aufsichtsbehörde für Datenschutz nun nur noch mit Einwilligung zulässig.

Somit sind für den datenschutzkonformen Einsatz von Google Analytics, laut Aufsichtsbehörde, weitere Vorgaben zu beachten. Wir haben Ihnen eine Checkliste erstellt, mit der Sie Google Analytics kinderleicht datenschutzkonform nutzen können:

6 Punkte Checklist – Google Analytics datenschutzkonform nutzen

  1. Abschluss eines AVVs

Wenn Webseitenbetreiber Google Analytics verwenden, nehmen diese laut Aufsichtsbehörden die Rolle des Auftragnehmers ein. Somit ist ein Vertrag zur Auftragsverarbeitung abzuschließen.

Doch wie macht man das?

  • Scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“
  • Klicken Sie auf „Zusatz anzeigen“
  • bestätigen Sie den Auftragsverarbeitungsvertrag
  • Geben Sie Ihre Firmen- bzw. Kontaktdaten unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ ein
  • Bestätigen Sie Ihre Angaben, indem Sie auf „Speichern“ drücken

Ich habe schon einen Vertrag abgeschlossen – was ist zu beachten?

Wenn Sie zum Zeitpunkt der Anwendbarkeit der DSGVO bereits einen Auftragsverarbeitungsvertrag mit Google geschlossen haben, muss nicht zwingend ein neuer Vertrag abgeschlossen werden. Falls Sie Ihren Vertrag jedoch vor September 2016 geschlossen haben, müssen Sie einen neuen Vertrag mit Google abschließen.

  1. Anpassung des Tracking-Codes

Anonymisieren Sie zuerst die IP-Adressen

Da der von Google vorgegebene Tracking Code die Anforderungen der DSGVO erfüllt, müssen Sie den jeweiligen Tracking-Code eigenhändig anpassen. Durch die Code-Erweiterung „anonymizeIp“ wird eine datenschutzkonforme Nutzung von Google Analytics ermöglicht. Denn so werden die letzten 8 Bit der IP-Adresse gelöscht und eine Zuordnung der Daten ist nicht mehr möglich – die IP-Adresse kann lediglich grob lokalisiert werden.

Räumen Sie ein Widerspruchsrecht ein 

Um das Widerspruchsrecht zu erfüllen, müssen Sie den Betroffenen die Möglichkeit bieten, gegen die Erstellung eines Nutzerprofils widersprechen zu können. Ein von Google entwickeltes Deaktivierungs-Add-on kann Abhilfe schaffen. Das Problem hierbei: das Add-on ist nicht auf allen Endgeräten installierbar. Deshalb muss das Skript ergänzt werden, um sicher Opt-Out-Cookies setzen zu können. Durch diese Cookies haben die Nutzer die Möglichkeit, eine zukünftige Datenerfassung zu verhindern.

Ein einfaches Opt-Out ist jedoch nicht die generelle Lösung. Da Universal Analytics geräteübergreifend trackt, muss der Nutzer seinen Widerspruch auf allen genutzten Systemen äußern. Denn nur so wird die geräteübergreifende Zuordnung der Nutzer zu einer angelegten User-ID verhindert.

  1. Festlegung der Aufbewahrungsdauer der Daten

Seit Mai 2018 bietet Google zusätzliche Steuerelemente zur Datenaufbewahrung an. Die Aufbewahrungsdauer gilt jedoch nur für die Daten, die auf Nutzer- und Ereignisebene mit Cookies, User IDs oder Werbe-IDs verknüpft sind – aggregierte Daten zählen nicht dazu.

26 Monate lang dürfen die Nutzer- und Ereignisdaten nach den Voreinstellungen gespeichert werden. Dabei ist der Button „bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Um den Auflagen der DSGVO zu entsprechen, die eine maximale Speicherdauer von 14 Monaten vorsieht, sollten Sie die Speicherdauer ändern.

Wie ändere ich die Aufbewahrungsdauer?

  • Unter „Verwaltung“ wählen Sie die Property aus, die sie ändern möchten
  • Klicken Sie in der Spalte „Property“ auf „Tracking-Informationen > Datenaufbewahrung“
  • Unter dem Punkt „Aufbewahrung von Nutzer- und Ereignisdaten“ lässt sich die Speicherdauer manuell einstellen
  • Stellen Sie die Speicherdauer auf 14 Monate
  • Deaktivieren Sie den Button „Bei neuer Aktivität zurücksetzen“
  • Speichern Sie die neuen Angaben

 

  1. Anpassung der Datenschutzerklärung

Falls Sie Google Analytics nutzen, müssen Sie dies in Ihrer Datenschutzerklärung angeben. Früher hat Google Analytics eine Vorlage angegeben, die Sie einfach in Ihre Datenschutzerklärung kopieren konnten. Diese wird heute nicht mehr angeboten. Falls Sie die alte Version jedoch noch verwenden, müssen Sie diese mit einigen Aspekten ergänzen, um datenschutzkonform zu sein:

  • Umfang der Datenerhebung, Art. 12 und 13 DSGVO
  • Rechtsgrundlage, Art. 13 DSGVO
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 13 Abs. 2 lit. a DSGVO
  • Widerrufsrecht, Art. 7 Abs. 3 DSGVO
  • Hinweis zum Deaktivierungs-Add-on und Opt-Out-Cookie
  • Hinweis zu anonymizeIp

Falls Sie diese Datenschutzerklärung jedoch nicht verwenden möchten oder sich unsicher sind, ob Ihre Version den Ansprüchen der DSGVO gerecht wird, kontaktieren Sie uns gerne und wir erstellen Ihnen eine garantiert DSGVO-konforme Datenschutzerklärung.

Oder nutzen Sie Cookiebox.pro und erhalten Sie die Datenschutzerklärung-as-a-Service.

  1. Einholung der Einwilligung

Webtracking soll nach dem Positionspapier der DSK nur noch mit einer vorherigen und informierten Einwilligung des Nutzers möglich sein. Sollten Sie die Einwilligung vorher nicht einholen, riskieren Sie Bußgelder oder eine Abmahnung durch Aufsichtsbehörden.

Beachten Sie: aktivieren Sie Tracking Cookies erst nach der Zustimmung des Nutzers. Dies lässt sich durch ein Cookie-Consent-Tool beim Aufruf der Seite kinderleicht erledigen.

  1. Löschung von Altdaten

Falls Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt hat, müssen Sie diese Daten umgehend löschen.

So löschen Sie die Altdaten:

  • Wählen Sie in den Einstellungen den Menüpunkt „Verwaltung“
  • Gehen Sie auf die Property-Einstellungen und Drücken Sie „In Papierkorb verschieben“
  • Wurden die Daten in den Papierkorb verschoben, werden diese nach 35 Tagen gelöscht

 

Fazit

Ein datenschutzkonformer Einsatz von Analyse-Tools ist somit möglich. Beachten Sie jedoch, dass sich die Rechtslage hierzu jederzeit ändern kann. So kann die datenschutzkonforme Nutzung eines Analyse-Tools heute in einem Monat schon rechtswidrig sein. Ruhen Sie sich deshalb nicht auf einmal ausgewählten Einstellungen oder einer einmal erstellten Datenschutzerklärung aus. Möglicherweise sind zukünftig weitere Änderungen erforderlich.

Kontaktieren Sie uns, um im Thema Datenschutz jederzeit auf dem neuesten Stand zu sein. Wir beraten Sie gerne oder erstellen Ihnen eine Datenschutzerklärung, die garantiert jederzeit datenschutzkonform ist!

Angebot anfordern 0251 29794740 Remote-Desktop download