Der 25. Mai 2018 soll in Sachen Datenschutz in der Europäischen Union eine Zeitenwende einläuten. Denn an diesem Tag wird die neue Datenschutzgrundverordnung (DSGVO) der EU in Kraft treten. Und anders als EU-Richtlinien wird die DSGVO als Verordnung direkt zu geltendem Recht und muss nicht erst von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden.
Die DSGVO wird viele Rechtsbereiche – vom Arbeitnehmer-Datenschutz bis hin zu Videoüberwachung – betreffen und vor allem besondere Auswirkungen auf die Online Welt haben. In Folge zur DSGVO soll auch eine neue ePrivacy-Verordnung kommen, die die bisher geltende ePrivacy-Richtlinie (RL 2002/58/EG) und auch die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen soll.
Als Website Betreiber interessiert mich natürlich, wie sich die User auf den Seiten verhalten. Das gilt für alle: Betreiber von großen Online-Shops über Dienstleistungsunternehmen bis hin zu Bloggern. Woher sie kommen, was sie tun und vielleicht sogar wer sie sind? Am häufigsten wird dazu Google Analytics eingesetzt. Aber darf man das ab Mai überhaupt noch?
Google Analytics nach DSGVO erlaubt?
Die neue Datenschutzgrundverordnung ist nach dem Prinzip aufgebaut, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer wenn das Gesetz sie ausdrücklich erlaubt (sog. Verbot mit Erlaubnisvorbehalt).
Zu diesen Ausnahmen (Art. 6f, DSGVO) gehören unter anderem, wenn:
- der Nutzer seine Einwilligung zu einer Verarbeitung seiner Daten abgibt.
- eine Verarbeitung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
- eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
- eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine schutzwürdigen Interessen des Betroffenen überwiegen.
Neben der Einwilligung des Nutzers dürfte vor allem die letzte Ausnahme für die Nutzung von Google Analytics interessant sein.
Besuchertracking als berechtigtes Interesse
Ein normales Besuchertracking, also die Aufzeichnung und Verarbeitung pseudonymisierter Daten für statistische Zwecke (also Google Analytics in der Standard-Version), zählt damit wohl als „berechtigtes Interesse des Webseite Betreibers“, das von keinen schutzwürdigen Interessen der User überwogen wird. So schreibt der deutsche Datenschutz-Anwalt Dr. Thomas Schenke in seinem Blog sogar, dass „im Ergebnis […] Onlinemarketingmaßnahmen damit zulässig [sind], wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt.“
Damit man Google Analytics aber wirklich rechtssicher einsetzen kann, müssen folgende vier Punkte erfüllt sein (die auch bisher schon empfehlenswert waren, um Analytics datenschutzsicher zu nutzen).
- Auf jeden Fall muss die IP-Adresse der User anonymisiert werden. Dabei werden die letzten Stellen der IP gelöscht, bevor die Daten auf Google-Server gespeichert werden, sodass eine eindeutige Zuordnung zu einem Gerät nicht mehr möglich ist.
- In der Datenschutzerklärung müssen User über die Verwendung von Google Analytics und die Funktionsweise hingewiesen werden, aufgelistet werden, welche Arten von Daten erfasst werden. Ein Muster für eine solche Datenschutzerklärung bietet etwa die Wirtschaftskammer an: Datenschutzerklärungsmuster
- Dem User muss die Möglichkeit des Opt-Out angeboten und aufgezeigt werden.
- Weil rechtlich gesehen die Datenverarbeitung durch einen Dritten – im Fall von Google Analytics durch Google – stattfindet, muss man als Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen.