DSGVO-konforme Nutzung von Google Analytics – 2022 überhaupt noch möglich?

PROTECT YOUR DATA PROPERLY.

GOOGLE ANALYTICS DATENSCHUTZKONFORM NUTZEN.

Bei der Nutzung von Google Analytics zur Web-Analyse ist der Websitebetreibende verantwortlich für Verwendung, Zugriff, Aufbewahrung und Löschen der Daten von User:innen. Deshalb ist es wichtig für Sie zu wissen, worauf zu achten ist, um mögliche Strafen und Bußgelder zu vermeiden.

Trotz seiner weiten Verbreitung als Analysewerkzeug für Websitezugriffe und Nutzerverhalten wird der Einsatz von Google Analytics in EU-Ländern immer kritischer betrachtet. Die österreichische Datenschutzbehörde erklärt im Januar 2022 als erstes EU-Land die Nutzung von Google Analytics als rechtswidrig. Hauptargument dafür ist die Verletzung des Art. 44 DSGVO, indem die Weitergabe von Nutzerdaten in die USA untersagt wird. Auch Frankreich sieht die Nutzung von Google Analytics nicht als vereinbar mit der DSGVO an. Es ist zu erwarten, dass ähnliche Beschlüsse weiterer Datenschutzbehörden der EU folgen.

Auch in Deutschland wird vor allem die Übermittlung von persönlichen Daten in ein Drittland (die USA) kritisiert. Dadurch wird Druck auf die Unternehmen erzeugt, besonders auf die Konformität des Einsatzes von Google Analytics zu achten oder auf eine sichere Alternative umzusteigen.

Die oberste Priorität bei der Nutzung von Google Analytics bleibt nach wie vor: Die aktive Einwilligung des Users zum Tracking durch Drittanbieter sowie eine genauso unkomplizierte Möglichkeit zum Widerspruch.

Im Folgenden finden Sie als Websitebetreibender eine Checkliste, worauf bei der Nutzung von Google Analytics unbedingt zu achten ist. Außerdem stellen wir Ihnen kurz Google Analytics 4 vor und geben einen Ausblick um einen möglichst angenehmen Umstieg für Sie zu ermöglichen.

AT A GLANCE.

CHECKLISTE FÜR EINE DSGVO-KONFORME NUTZUNG VON GOOGLE ANALYTICS.

Für den datenschutzkonformen Einsatz des Analysetools Google Analytics sollten Sie diese 6 Punkte beachten:

  1. Einwilligung durch die User:innen
  2. Widerspruchsmöglichkeit für die Nutzer:innen
  3. Anpassung des Tracking-Codes
  4. Abschließen eines Vertrags zur Auftragsverarbeitung
  5. Aktualisieren der Datenschutzerklärung
  6. Festlegung der Aufbewahrungsdauer der Daten

1. Einwilligung durch die User:innen

Transparency for the User

Schaffen Sie möglichst viel Klarheit in Sachen Datenschutz und Richtlinien für die Nutzenden!
Mit dem neuen TTDSG, welches am 01.12.2021 in Kraft getreten ist, gibt es neue Regelungen für die Nutzung von Cookies, welche vor allem die Notwendigkeit des Einverständnisses seitens der User:innen verschärfen. Damit die Nutzung von Google Analytics gesetzeskonform ist, bedarf es einer aktiven Einwilligung, sobald die Website geöffnet wird. Hierfür gibt es Consent Management Plattformen („CMP“), mit deren Hilfe Opt-In-Banner erstellt werden können.

Cookie Banner

Cookie Consent Manager

Diese Cookie Consent Manager zur Einholung der Einwilligung sind essentiell. Allerdings müssen auch diese, was die rechtliche Situation betrifft, mit Vorsicht betrachtet werden. Es gibt nämlich deutliche Unterschiede in der Datenverarbeitung: Hierbei lassen sich beispielsweise automatisierte Prozesse anwenden, jedoch werden hier meist die Kundendaten in die USA, also an ein Drittland, weitergeleitet, was aus datenschutzrechtlicher Sicht eher nicht zu empfehlen ist. Alternativ hat der Websitebetreibende die Möglichkeit die Nutzerdaten auf dem eigenen Server zu speichern und jede Cookie-Aktualisierung händisch einzupflegen und zu aktualisieren. Das kann allerdings mit großem Aufwand verbunden sein, sowie mit der Gefahr Aktualisierungen zu vergessen, weil nicht nur einer, sondern mehrere Cookies durch Google gesetzt werden. Das Risiko ist hoch, das falsche oder fehlerhafte Angaben bei der manuellen Pflege gemacht werden. Zudem müssen die Cookies immer aktuell gehalten werden.

Die beste Lösung sind Consent Management Plattformen, deren Server sich in Deutschland befinden und einen automatisierten Prozess ermöglichen. Das vermeidet Gefahren in Bezug auf eine Datenweiterleitung in ein Drittland und verhindert Fehler, die bei der manuellen Einpflege von Cookies entstehen können. Wir selbst nutzen hierfür den CCM19 Manager, mit dem wir sehr zufrieden sind und welchen wir Ihnen weiterempfehlen können. Sollten Sie Hilfe bei der Einrichtung und Konfiguration benötigen, unterstützen wir Sie gerne dabei.

Die gesetzliche Lage sowie die allgemeinen Empfehlungen befinden sich in einem ständigen Wandel. Wir prüfen natürlich laufend die aktuell konformsten Tools und können Ihnen so die bestmögliche Lösung empfehlen. Wenn Sie professionelle Beratung und Empfehlungen zum Thema Cookie Consent Management benötigen, sind also unsere Experten die perfekten Ansprechpartner.

Visibility

Bei den Opt-In-Bannern gilt zu beachten: Die Schaltfläche zum Ablehnen der Cookies sollte im Idealfall genauso wahrnehmbar sein, wie die Zustimmungsfläche. Diese Banner müssen folgende Fragen aus dem Weg schaffen:

Welche Art von Cookies wird verwendet? Der Nutzende muss darüber informiert werden, welche Art von Daten verwendet werden und zu welchem Zweck das geschieht. Aufgeführt werden kann das in der Datenschutzerklärung. Eine Erläuterung der Cookie Gruppen sollte jedoch schon im Cookie-Banner stattfinden. Ohne Einwilligung dürfen nach wie vor First-Party-Cookies, wie z.B. Sprach- und Länderauswahl, Warenkorb-Cookies, Speichern der Cookie-Einwilligung, etc. verwendet werden. Diese Daten werden auf dem Rechner des Nutzers gespeichert.

Wie lange beträgt die Lebensdauer dieser Cookies? Den Vorgaben der DSGVO entsprechend sollte es sich hierbei um 14 Monate handeln.

Wer verarbeitet die Cookies? Am besten benennen Sie den Dienstleister schon im Cookie-Banner und fügen einen Link zu dessen Datenschutzerklärung an.

2. Widerspruchsmöglichkeit für die Nutzer:innen

Wie können Nutzer:innen Widerspruch einlegen? Der Widerspruch muss den Nutzer:innen genauso leicht fallen, wie die Einwilligung zur Nutzung der Daten. Dasselbe gilt für die Ablehnung der Cookies, was von großer Wichtigkeit bei der Gestaltung des Banners ist (Gefahr der versehentlichen Zustimmung aus dem Weg schaffen, etc.).

3. Anpassung des Tracking-Codes

Da der Tracking-Code von Google Analytics nicht die Datenschutzanforderungen erfüllt, muss dieser händisch angepasst werden. Denn nur mit der Code-Erweiterung „anonymizeIp“ ist die datenschutzkonforme Nutzung von Google Analytics möglich.
Die Code-Erweiterung sorgt für die Löschung der letzten 8 Bit der IP-Adressen und bewirkt so eine Anonymisierung. Haben Sie Nutzerprofile ohne IP-Anonymisierung erhoben sind diese rechtswidrig erhoben und müssen gelöscht werden. Sollte Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellen, müssen Sie diese löschen. (Menüpunkt Verwaltung; Property-Einstellungen; In den Papierkorb verschieben. Dort werden die Daten nach 35 Tagen gelöscht)

Anonymisierung mit Google Tag Manager

Wenn Sie Google Analytics über den Google Tag Manager integrieren, müssen Sie die Variable „Google Analytics-Einstellung“ einfach um den Feldnamen anonymizeIp mit dem Wert „true“ ergänzen.

4. Abschließen eines Vertrags zur Auftragsverarbeitung

Die DSGVO schreibt einen Vertrag zur Auftragsverarbeitung vor. Hierin muss geklärt werden, welche Nutzerdaten Google speichert, wie lange Google diese Daten speichert, zu welchem Zweck Google die Daten verarbeitet und welche sonstigen Rechte und Pflichten beide Parteien haben. Wählen Sie hierfür in ihrem Google Analytics Konto unter Verwaltung > Kontoeinstellungen die Rubrik Zusatz zur Datenverarbeitung (ganz unten), dann bestätigen Sie unter Zusatz anzeigen den Auftragsverarbeitungsvertrag und füllen Sie Ihre Firmen- bzw. Kontaktdaten aus (Details zum Zusatz zur Datenverarbeitung verwalten) und bestätigen Sie über Speichern.

5. Aktualisieren der Datenschutzerklärung

Wer Google Analytics datenschutzkonform einbinden will, muss den Einsatz in der Datenschutzerklärung zwingend angeben. Vorlagen und Inspiration für eine rechtskonforme Datenschutzerklärung finden Sie zum Beispiel bei E-Recht24. Wie bereits erwähnt müssen auch Angaben zur Nutzung des Consent Tools in der Datenschutzerklärung gemacht werden - Umfang der Datenerhebung, Rechtsgrundlage, Speicherdauer, Hinweis auf das Widerrufsrecht, etc.

6. Festlegung der Aufbewahrungsdauer der Daten

Neben der Anpassung der Datenschutzerklärung Ihrer Website muss die Speicherdauer der Daten in den Einstellungen Ihres Google Analytics Kontos angepasst werden. Hierbei beträgt die Standardeinstellung 26 Monate. Um den Vorgaben der DSGVO zu entsprechen, sollten Sie dies allerdings auf 14 Monate ändern.

Außerdem sollten Sie deaktivieren, dass die Daten der Nutzer:innen bei neuer Aktivität zurückgesetzt werden sollen. Lassen Sie diese Option aktiv, wird die Aufbewahrungsdauer der Daten bei jedem neuen Ereignis zurückgesetzt, was im Hinblick auf Art. 25 DSGVO kritisch zu betrachten ist.

THE NEW GENERATION. GOOGLE ANALYTICS 4.

WAS IST NEU IN DER VERSION.

Die neue Generation von Google Analytics (Google Analytics 4) bietet sowohl grafische als auch technische Neuerungen. Zum Seitenaufruf als Standardinteraktion der Nutzer:innen kommen weitere Nutzerinteraktionen bzw. Ereignisse hinzu, die gemessen werden: Scrolls, Klicks auf externe Links, websiteinterne Suchanfragen, Engagement mit eingebetteten YouTube-Videos und Dateidownloads. Im Hinblick auf den Datenschutz sind Websitebetreibende sicherer aufgestellt. Das Tracking findet über Cookies und jetzt zusätzlich auch “cookieless Tracking” statt und es wird eine standardisierte Anonymisierung der IP-Adressen vorgenommen. Dieser Schritt wird für Sie also mit dem Umstieg wegfallen. Die maximale Aufbewahrungsdauer der Daten wurde auf 14 Monate reduziert, was den Vorgaben der DSGVO entspricht. Alternativ können Sie eine Aufbewahrungsdauer von 2 Monaten wählen.

Wir empfehlen an dieser Stelle den Umstieg auf Google Analytics 4 parallel zu gestalten, solange die Vorgängerversion noch nutzbar ist. Die standardmäßigen Universal-Analytics-Eigenschaften werden nach Angaben seitens Google ab 1. Juli 2023 keine neuen Treffer mehr verarbeiten, Universal-Analytics 360-Eigenschaften werden bis zum 1. Oktober 2023 weitergeführt.

Da die Datenerfassung der beiden Analytics Generationen sich stark voneinander unterscheidet, wird es schwerfallen, die Universal Analytics Daten aus dem Vorjahr mit den Google Analytics 4 Daten aus dem Folgejahr zu vergleichen. Eine parallele Nutzung beider Systeme im Übergangsjahr ermöglicht die Sicherstellung anschaulicher Vergleichsdaten zum jeweiligen Vorjahr. Gleichzeitig können Sie sich vorbereitend mit dem Umgang mit der neuen Analytics Generation bekannt machen, solange man trotzdem noch die vertraute Datenverarbeitung nutzen kann. Falls Sie mit Universal Analytics vertraut sind, werden Sie möglicherweise zunächst enttäuscht von Google Analytics 4 sein. Der Umfang an möglichen Auswertungen ist aktuell deutlich geringer. Auch bei neuen Websites und Onlineshops ist es somit sinnvoller die beiden Programme noch parallel laufen zu lassen.

OUR CONCLUSION.

RECHTSSICHER DURCH PROFI-HILFE.

In Anbetracht des ständigen rechtlichen Wandels zum Thema Tracking und Webanalyse ist es wichtig, stets auf dem Laufenden zu bleiben. Dafür ist es essentiell in ständigem Austausch mit Ihrem zuständigen Datenschutzbeauftragten zu sein. Bei einer Beratung zu möglichen Alternativen, im Umgang mit Consent Management Plattformen, sowie dem Umstieg von Universal Analytics auf Google Analytics 4 stehen wir Ihnen mit unserem Fachwissen zur Seite und unterstützen Sie bei der korrekten und datenschutzkonformen Einbindung in Ihre Website! Wir nehmen hierbei keine Rechtsberatung vor.