DSGVO und die Benutzung von Google Analytics: Geht das?



Ob Online-Shop, Dienstleistungsunternehmen oder Blogger: als Websitebetreiber interessiert euch natürlich, wie sich die User auf euren Seiten verhalten. Woher sie kommen, was sie tun und vielleicht sogar wer sie sind? Um das herauszufinden bedarf es im digitalen Zeitalter keiner Zauberei, sondern lediglich Google Analytics. Aber darf man das Tool seit Inkrafttreten der DSGVO eigentlich noch benutzen?

Google Analytics seit DSGVO noch erlaubt?

Kaum ist die Datenschutzgrundverordnung (DSGVO) in Kraft, flattern auch schon die ersten Abmahnungen ein. Der derzeit häufigste Abmahngrund ist die falsche Verwendung des Trackingtools Google-Analytics.

Der Einsatz von Google Analytics ist seit jeher aus datenschutzrechtlicher Sicht problematisch und umstritten. Denn praktisch kann Google mit seinem Tool ein umfassendes Nutzerprofil von Webseiten-Besuchern anlegen. Wird ein anmeldungspflichtiger Google-Dienst von den Besuchern verwendet, so kann dieses Nutzerprofil auch bestimmten Personen zugeordnet werden. Das passt nicht so ganz zur neuen DSGVO. Denn die Datenschutzgrundverordnung ist nach dem Prinzip aufgebaut, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer wenn das Gesetz sie ausdrücklich erlaubt.

Zu diesen Ausnahmen gehören unter anderem solche Situationen, wenn:

  • der Nutzer seine Einwilligung zu einer Verarbeitung seiner Daten abgibt.
  • eine Verarbeitung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
  • eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
  • eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine schutzwürdigen Interessen des Betroffenen überwiegen.

Neben der Einwilligung des Nutzers dürfte vor allem die letzte Ausnahme für die Nutzung von Google Analytics interessant sein.

Darf ich Google Analytics nun nicht mehr nutzen?

Per se ist die Benutzung des Analyse-Tools nicht gesetzwidrig. Bei der Verwendung solltet ihr allerdings einige Punkte beachten. Um Google Analytics möglichst rechtssicher zu verwenden, befolgt die folgenden 7 Schritte:

Schritt 1 –  Schließt einen Auftragsverarbeitungsvertrag mit Google ab

Verwendet ihr Google Analytics, stellen die durch Google hierdurch vollzogenen Datenverarbeitungsvorgänge eine Verarbeitung in eurem Auftrag dar. Daher seid ihr gehalten, mit Google einen Vertrag über die Auftragsverarbeitung abzuschließen. Hierzu scrollt ihr in Google Analytics unter „Verwaltung > Kontoeinstellungen“ bis zur Rubrik „Zusatz zur Datenverarbeitung“ hinunter. Dort könnt ihr auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen.

Google Analytics
Geht in den Verwaltungsbereich (1.), dort in eure Kontoeinstellungen (2.), lest den Zusatz zur Datenverarbeitung , schließt ihn ab (3.) und tragt die Daten zum Verantwortlichen, Kontaktmöglichkeit und soweit vorhanden, dem Datenschutzbeauftragten ein (4.). (Quelle: Google Analytics)

Schritt 2 – Aktiviert den „_anonymizeIp()“ Tracking-Code

Durch den Einsatz von Google Analytics wird mitunter die vollständige IP-Adresse des Seitenbesuchers an einen Dritten (Google) übermittelt, sofern nicht der „_anonymizeIp()“ Tracking-Code durch den Nutzer von Google Analytics aktiviert wird. Dieser Code verschleiert einen Teil der IP-Adresse des Nutzers und verhindert eine personenbezogene Rückverfolgbarkeit.

Schritt 3 – Bestellt das Universal Analytics mit User ID ab

Die einheitliche User ID erlaubt es, Google Nutzer viel effektiver zu tracken, insbesondere auf unterschiedlichen Geräten. Dieses so genannte „Cross-Device-Tracking“ wird von vielen Juristen als Grenze zu einer Opt-In-Pflicht betrachtet. Wenn ihr deren Überschreitung nicht riskieren möchtet, dann solltet ihr Google Analytics nicht als Universal Analytics mit einer User ID nutzen.

Google Analytics
Im Verwaltungsbereich der Property, müsst ihr im Menüpunkt „Trackinginformationen“, die „User ID“ auswählen (1.) und dann prüfen, ob die User ID abgeschaltet ist. (Quelle: Google Analytics)

Schritt 4 – Verkürzt die Speicherdauer der Nutzerdaten

Neu ist die Möglichkeit, die Speicherdauer der Nutzerdaten zu begrenzen. Ihr solltet dabei die kürzeste Dauer von 14 Monaten wählen.

Google Analytics
Setzt die Aufbewahrungsdauer für personenbezogene Nutzerdaten auf 14 Monate, außer ihr habt Gründe, die Daten länger aufzubewahren. (Quelle: Google Analytics)

Feste Vorgaben gibt es nicht, dem Gesetz nach dürft ihr die Daten solange speichern, wie dies für eure Zwecke erforderlich ist. Zudem müssen eure Zwecke die Interessen der Nutzer an der zeitnahen Löschung eurer Daten überwiegen. Solange ihr diese beiden Voraussetzungen nicht begründen könnt, bleibt besser bei 14 Monaten Speicherdauer.

Schritt 5 – Ergänzt eure Datenschutzerklärung

In jedem Fall müsst ihr eine Datenschutzerklärung anbieten, in der ihr die Nutzer auf die Art der Nutzung von Google Analytics (z.B. ob mit oder ohne User ID) hinweisen müsst. Was die Datenschutzerklärung neben dem Hinweis zu Google Analytics noch beinhalten sollte, lest ihr hier.

Schritt 6 – Erstellt eine Widerspruchsmöglichkeit

Die Verwendung von Google Analytics ermöglicht die Aufzeichnung personenbezogener Besucherdaten und ist nur zulässig, wenn hinreichende Möglichkeiten bereitstehen, mit denen die Nutzer der Anwendung des Dienstes widersprechen können. Hierbei ist im Rahmen der Datenschutzklausel zu Google Analytics zum einen über das Opt-Out Browser Add-On zu informieren. Ergänzend muss über den Opt-Out-Cookie informiert werden. Den mobilen Seitenbesuchern muss eine effektive Widerspruchslösung eingeräumt werden, da die Lösung über das Widerspruchs-Add-On im mobilen Bereich nicht funktioniert.

Schritt 7 – Löscht (rechtswidrige) Altdaten

Habt ihr mit Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und müssen umgehend gelöscht werden.

Und nun bin ich rechtlich sicher?

Ganz so einfach ist das leider nicht. Die Auslegung der Gesetze im Datenschutzrecht ist nicht einheitlich und auch die Ansichten der Datenschutzbehörden sind kein Gesetz, sondern eben Ansichten. Das führt dazu, dass die Frage, ob eine hinreichende rechtliche Sicherheit gewahrt ist, sehr häufig eine Risikoeinschätzung ist. Nutzt ihr Produkte von Google, so achtet also darauf, ob ihr oder Google in der Vertragsbeziehung als Verantwortlicher fungiert und trefft entsprechende Maßnahmen zum Datenschutz.

Schlussendlich lässt sich sagen, dass ihr nur dann hundertprozentig sicher seid, wenn ihr Google Analytics nicht benutzen würdet. Eine abschließende Einschätzung lässt sich somit nur im Einzelfall treffen. Im Zweifel sollte man einen Rechtsanwalt zu Rate ziehen.

Einen detaillierteren Überblick zu den Themen Datenschutz im Unternehmen, Datenschutzerklärung inklusive Muster, Datenschutzbeauftragter und DSGVO findet ihr auf Für-Gründer.de. Plus: Diese Start-ups helfen bei der Umsetzung der DSGVO.