Bernhardystr. 12, 06110 Halle (Saale)
+491744027815
info@datenschutz-eprivacy.de

DSGVO & Co.: Wie nutze ich Google Analytics rechtlich sicher?

DSGVO & Co.: Wie nutze ich Google Analytics rechtlich sicher?

Nicht erst seit der Datenschutz-Grundverordnung (DSGVO) ist Monitoring eine heikle Sache im Web-Business. Deutsche Gerichte haben häufiger geurteilt und den Datenschutz dabei mehr und mehr zu einem Teil des Wettbewerbsrechts gemacht.

Abmahnungen werden teurer

Dass Datenschutz zum Wettbewerbsrecht gezählt wird heißt vor allem: Abmahnungen und Prozesse werden teurer. Im Wettbewerbsrecht werden in der Regel höhere Summen abgemahnt als beim Menschenrecht, worunter das Datenschutzrecht bis etwas Mitte der 2010er vor allem gezählt wurde.

Vor allem Google-Dienste werden hierzulande besonders stark von staatlichen Stellen wie Datenschutzbehörden kontrolliert. Das bedeutet auch, dass Angebote wie Google Analytics rechtlich sicher sein sollten.

Schritt 1: Daten im Google-Snippet anonymisieren

Seit einiger Zeit bereits bietet Alphabet für Google Analytics (immerhin der größte Anbieter im Monitoring-Segment) die Möglichkeit, die Nutzerdaten bei Google Analytics zu verschlüsseln.

Jeder Google-Analytics-Nutzer erhält nach der Anmeldung die Möglichkeit seine Website zur Analyse einzutragen. Dafür bekommt der Nutzer im Registierungsprozess einen Code, den er im Head-Bereich seiner Website im dortigen HMTL-Code einbinden muss.

Der Analytics-Code vor DSGVO-Update sieht üblicherweise so aus:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-123456789-0″></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-123456789-0‘),
</script>

Doch dieser Code ist noch nicht DSGVO-konform. Dazu muss folgender Code eingefügt werden:

Der alte Snippet-Code nach DSGVO-Update sieht so aus:

_gaq.push([‚_gat._anonymizeIp‘]);

Der neue Snippet-Code nach DSGVO-Update sieht so aus:

ga(’set‘, ‚anonymizeIp‘, true);

Fügen Sie einfach diesen Code ein und fertig.

Das Ergebniss sollte dann für den neuen Analytics-Code etwa so aussehen:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-123456789-0″></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-123456789-0‘), { ‚anonymize_ip‘: true });
</script>

Eine ausführliche Anleitung zur Anonymisierung von IPs in Analytics bietet auch Google selbst.

Warum Google Analytics anonymisieren?

Die Anonymisierung soll vor allem Ihren Seitenbesuchern dienen. Die Nutzung und allein schon der Besuch einer Website kann in Informationen über den Zugriff durch den Anbieter oder dessen Webspace-Provider resultieren, genauer:

  • Datum und Uhrzeit des Besuchs,
  • Website-Name und weitere Metadaten (Geolokalisierung usw.),
  • Meldung über erfolgreichen Abruf, Browsertyp und Version,
  • Betriebssystem des Endgeräts,
  • Dateien,
  • übertragene Datenmenge,
  • Referrer-URL (die zuvor besuchte Seite),
  • IP-Adresse (und damit verbundene Angaben wie Bildschirmauflösung),
  • der anfragende Provider
  • und so weiter

Das dabei angefertigte Protokoll wird nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes verwendet.

Der Anbieter darf die Protokolldaten nachträglich prüfen, wenn er eine rechtswidrige Nutzung aufgrund eines berechtigten Verdachts vermutet.

Anmerkung: Die Datenübertragung online, d.h. im Internet ist prinzipiell unsicher und nicht vor dem Zugriff durch Dritte geschützt.

Eine zusammenfassende Erklärung, welche Daten beim Zugriff auf eine Website anfallen, finden Sie in diesem Bildungsvideo.

Technik erklärt: Wie funktioniert das Internet? (Die Sendung mit der Maus 1999)

In meinen Seminaren und Weiterbildungen benutze ich gern dieses Video, um die Funktionsweise des Internets zu erklären. Denn obwohl wir heute mit DSL, LTE und ohne Modem auskommen, ist die Funktion noch dieselbe. „Wie funktioniert das Internet? Wenn du diesen Text hier liest, besuchst du gerade die Maus auf ihrer Homepage und nutzt dazu das Internet.

Die Anonymisierung dient vor allem dem Schutz der Besucher Ihrer Seite. Für Sie ist am Ende wichtig: Es ist rechtlich verbindend.

Datenschutzbehörden könnten Sie sonst rechtsgültig abmahnen. Außerdem empfiehlt es sich, einen Standardauftragsdatenverarbeitungsvertrag mit Google zu schließen.

Schritt 2: AV-Vertrag mit Google schließen

In Deutschland gibt es seit 1983 das Recht auf informationelle Selbstbestimmung – das höchste Datenschutzgrundrecht in Deutschland. Es erlaubt jedem Bundesbürger grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden

Bis zur Datenschutzgrundverordnung in der Europäischen Union musste ein wahres Wortmonster an Vertrag mit Google geschlossen werden, ein Standardauftragsdatenverarbeitungsvertrag. Das hat sich seit der DSGVO leicht geändert, denn inzwischen muss nur noch ein Auftragsverarbeitungsvertrag bzw. AV-Vertrag oder AVV aufgesetzt werden.

Nach deutschem Datenschutzrecht – genauer § 11 BDSG – muss ein formeller Vertrag mit der Drittpartei eingegangen werden. Dieser Vertrag beauftragt den Dritten förmlich mit der standardmäßigen Verarbeitung der Daten.

Eigentlich müssten nach BDSG und DSGVO alle Drittunternehmen, mit denen Sie Daten wechseln (also auch viele Plugin-Anbieter) solche Verträge mit Ihnen unterzeichnen. Doch Google ist als Branchenriese meist der einzige, bei dem die Datenschutzbehörden nachhaken.

Ich empfehle dennoch die Ausfertigung eines AV-Vertrags für alle Drittpartner, die für Sie Daten verarbeiten.

 

Keine Kommentare

Deinen Kommentar hinzufügen