Der 25. Mai 2018 soll in Sachen Datenschutz in der Europäischen Union eine Zeitenwende einläuten. Denn an diesem Tag wird die neue Datenschutzgrundverordnung (DSGVO) der EU in Kraft treten. Und anders als EU-Richtlinien wird die DSGVO als Verordnung direkt zu geltendem Recht und muss nicht erst von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden.
Die DSGVO wird viele Rechtsbereiche – vom Arbeitnehmer-Datenschutz bis hin zu Videoüberwachung – betreffen und vor allem besondere Auswirkungen auf die Online Welt haben. In Folge zur DSGVO soll auch eine neue ePrivacy-Verordnung kommen, die die bisher geltende ePrivacy-Richtlinie (RL 2002/58/EG) und auch die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen soll.
Als Website Betreiber interessiert mich natürlich, wie sich die User auf den Seiten verhalten. Das gilt für alle: Betreiber von großen Online-Shops über Dienstleistungsunternehmen bis hin zu Bloggern. Woher sie kommen, was sie tun und vielleicht sogar wer sie sind? Am häufigsten wird dazu Google Analytics eingesetzt. Aber darf man das ab Mai überhaupt noch?
Google Analytics nach DSGVO erlaubt?
Die neue Datenschutzgrundverordnung ist nach dem Prinzip aufgebaut, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer wenn das Gesetz sie ausdrücklich erlaubt (sog. Verbot mit Erlaubnisvorbehalt).
Zu diesen Ausnahmen (Art. 6f, DSGVO) gehören unter anderem, wenn:
- der Nutzer seine Einwilligung zu einer Verarbeitung seiner Daten abgibt.
- eine Verarbeitung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
- eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
- eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine schutzwürdigen Interessen des Betroffenen überwiegen.
Neben der Einwilligung des Nutzers dürfte vor allem die letzte Ausnahme für die Nutzung von Google Analytics interessant sein.
Besuchertracking als berechtigtes Interesse
Ein normales Besuchertracking, also die Aufzeichnung und Verarbeitung pseudonymisierter Daten für statistische Zwecke (also Google Analytics in der Standard-Version), zählt damit wohl als „berechtigtes Interesse des Webseite Betreibers“, das von keinen schutzwürdigen Interessen der User überwogen wird. So schreibt der deutsche Datenschutz-Anwalt Dr. Thomas Schenke in seinem Blog sogar, dass „im Ergebnis […] Onlinemarketingmaßnahmen damit zulässig [sind], wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt.“
Damit man Google Analytics aber wirklich rechtssicher einsetzen kann, müssen folgende vier Punkte erfüllt sein (die auch bisher schon empfehlenswert waren, um Analytics datenschutzsicher zu nutzen).
- Auf jeden Fall muss die IP-Adresse der User anonymisiert werden. Dabei werden die letzten Stellen der IP gelöscht, bevor die Daten auf Google-Server gespeichert werden, sodass eine eindeutige Zuordnung zu einem Gerät nicht mehr möglich ist.
- In der Datenschutzerklärung müssen User über die Verwendung von Google Analytics und die Funktionsweise hingewiesen werden, aufgelistet werden, welche Arten von Daten erfasst werden. Ein Muster für eine solche Datenschutzerklärung bietet etwa die Wirtschaftskammer an: Datenschutzerklärungsmuster
- Dem User muss die Möglichkeit des Opt-Out angeboten und aufgezeigt werden.
- Weil rechtlich gesehen die Datenverarbeitung durch einen Dritten – im Fall von Google Analytics durch Google – stattfindet, muss man als Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen.
Google Analytics datenschutzkonform einrichten – So geht’s
Nachdem im Schatten der Snowden-Enthüllungen der europäische Gerichtshof im Herbst 2015 das bis dahin gültige Safe Harbor für ungültig erklärt hat, wurde im Juli 2016 das Privacy Shield Abkommen zwischen EU und USA (sowie zwischen der Schweiz und den USA) verabschiedet. Seit September 2016 ist Google gemäß dieses Abkommens zertifiziert, sodass die Übertragung von Daten auf Google Server in den USA gedeckt ist.
Diese Auftragsdatenverarbeitung wird auch nach der Datenschutzgrundverordnung zukünftig erlaubt bleiben. Das heißt, dass jeder der auf seiner Seite Google Analytics einsetzt einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen muss.
Während deutsche Websitebetreiber dazu (bisher) explizit den von Google bereitgestellten Vertrag ausdrucken, unterzeichnen und per Post nach Irland zu Google schicken müssen, reicht es in Österreich und anderen EU-Ländern (sowie der Schweiz) online den „Zusatz zur Datenverarbeitung“ zu akzeptieren.
Dazu einfach in der Verwaltungsansicht auf Kontoebene in den Kontoeinstellungen ganz unten auf „Zusatz anzeigen“ klicken, dann auf „Zustimmen“ und schließlich abspeichern.
Cookies
Laut der aktuell noch heiß diskutierten ePrivacy-VO (sie dürfte wohl nicht vor 2019 schlagend werden) dürfen Cookies auf den Endgeräten der User nur noch dann gesetzt werden, wenn diese ihre ausdrückliche Einwilligung geben. Nur wenn ein Cookie technisch notwendig ist, wie etwa ein Session Cookie, das sich den Login Status merkt, darf es ohne die Einwilligung des Users gesetzt werden.
Nun setzt aber Google Analytics auch Cookies, etwa um User innerhalb einer Sitzung wiederzuerkennen und so Verhaltensmuster aufzuzeichnen. Nach der aktuellen Fassung würde die ePrivacy-Verordnung tatsächlich auch das Setzen von Cookies für Webanalyse und Reichweitenmessung, sofern diese selbst durchgeführt wird, ohne Einwilligung erlauben. Mit der Vereinbarung über eine Auftragsdatenverarbeitung (damit führt der Betreiber die Messung rechtlich selbst durch) wären damit Google Analytics Cookies erlaubt, ohne, dass der User gefragt werden müsste.
Update – 13.4.2018: Mit 12.April launchte Google eine Steueroption zur Datenaufbewahrung ( Data Retention Control). Damit kann man als Webmaster festlegen, nach welcher Zeit Nutzerdaten automatisch von den Google Servern gelöscht werden sollen. Per default scheint dieser Wert auf 26 Monate gesetzt zu sein.
Außerdem wurde ein Tool angekündigt, um in Zukunft alle Daten, die einem einzelnen User zugeordnet werden können aus Analytics zu löschen.
Disclaimer: Achtung! Wir haben diesen Artikel nach ausgiebiger Recherche und Gesprächen mit Spezialisten nach besten Wissen und Gewissen geschrieben, sind aber keine Rechtsanwälte. Wir übernehmen keine Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Blogs. Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder allgemeinen datenschutzrechtlichen Fragen sollten Sie einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen.
Bildnachweis: Photo by Scott Webb on Unsplash
Besten Dank für den tollen Beitrag. Da muss ich mein Google-Analytic auch noch kontrollieren, damit er ‘regelkomform’ ist.
Beste Grüsse,
Cornelia
Hallo mein Lieber :) Also, ich hab bei googleanalytics jetzt dem Zusatz zugestimmt. Als Österreicher, sollte das ja so passen, aber da steht nun: Wenn Ihr Unternehmen in einem Mitgliedsstaat des europäischen Wirtschaftsraums oder der Schweiz ansässig ist oder Sie dem räumlichen Geltungsbereich der EU-Datenschutz-Grundverordnung unterliegen, können Sie den Datenverarbeitungsbedingungen von Google Anzeigen unter der Voraussetzung zustimmen, dass Sie einen Direktkundenvertrag mit Google zur Verwendung von Google Analytics abgeschlossen haben.
Muss ich also doch noch einen Direktvertrag abschließen? Freue mich über deine Antwort…
Hallo Yvonne,
so wie ich das verstehe, heißt “Direktkundenvertrag”, dass du dich selbst direkt bei Google Analytics angemeldet hast und nicht die Google 360 Suite über einen Vertriebspartner gekauft hast.
Siehe: “Hinweis: Google Analytics 360-Vertriebspartner und Kunden, die Google Analytics 360 über einen Vertriebspartner erwerben (“Reseller-Kunden”), können den Datenverarbeitungsbedingungen für Google Anzeigen nicht zustimmen und müssen stattdessen gesonderte Datenverarbeitungsbedingungen mit Google bzw. dem Vertriebspartner vereinbaren.” – https://support.google.com/analytics/answer/3379636?hl=de
Den Direktvertrag hast du aus meiner Sicht also bereits abgeschlossen, indem du dich bei Google Analytics angemeldet hast.
Darf man Analytics noch nutzen, ohne einen in der EU niedergelassenen Vertreter zu beauftragen?
Als Schweizer sitze ich zwar inmitten der EU, aber nicht in einem Mitgliedsstaat. Somit verpflichtet mich die DSGVO, ein EU-Anwaltsbüro oder dergleichen als „Vertreter von nicht in der Union niedergelassenen Verantwortlichen“ zu beauftragen. Da dies für meine kleine, überwiegend nichtkommerzielle Website (Patienten-Selbsthilfegruppierung) nicht erschwinglich ist, muss ich dies unbedingt vermeiden. Von der Pflicht eines EU-Vertreters ausgenommen ist man aber nur, wenn die Datenverarbeitung:
1) nur gelegentlich erfolgt UND
2) nicht in größerem Umfang besonders schützenswerte Daten bearbeitet werden UND
3) wenn die betreffende Datenbearbeitung nur geringe Datenschutzrisiken birgt.
Google Analytics verarbeitet aber nicht nur gelegentlich, sondern ständig Daten, weil meine Websitebesucher auf Schritt und Tritt verfolgt werden (tausende Seitenaufrufe pro Tag). Damit wäre bereits das erste der drei kumulativ zu erfüllenden Kriterien wahrscheinlich nicht erfüllt. Bietet folglich die EU-DSGVO gar keine Möglichkeit mehr, Google Analytics legal einzusetzen, wenn man ausserhalb der EU-Grenzen wohnt und sich keinen rechtlichen Vertreter in der EU leisten kann?
Wie sieht es aus, wenn ich in Google Analytics zusätzlich die Datenerfassung für Werbefunktionen (also Remarketing usw) aktiviert habe?
Zählt das dann auch noch als berechtigtes Interesse (Also das eine Verwendung von GA ohne explizites zustimmen des Users möglich ist)?
Da gilt wohl das klassische “es kommt darauf an”. Ein berechtigtes Interesse kann man versuchen geltend zu machen “sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen”.
Diese Abwägung ist natürlich von Fall zu Fall zu treffen und wird wohl, sollte es zu einer Klage kommen, vom Gericht zu entscheiden sein.
Google selbst verlangt von Usern, die die Werbefunktionen von GA nutzen, ein Opt-In für eben diese Werbefunktionen: https://www.google.com/about/company/user-consent-policy.html. Allerdings setzt Google das nicht aktiv durch und die Fomulierung dürfte vor allem dafür sein, die Verwantwortung auf die User abzuwiegeln.
Siehe auch: https://drschwenke.de/dsgvo-tracking-cookies-online-marketing-gluecksspiel/
Danke für die Rückmeldung!
Grüße
Patrick