Heute ein Artikel zum Thema Google Analytics und wie sicher ich mich ab dem Inkrafttreten der DSGVO am 25. Mai 2018 richtig ab. Info: Dieser Beitrag soll nur ein kurzer Einstieg in das Thema sein und kann natürlich keinen Anwalt ersetzen!
Google Analytics, als das meistgenutzte Tracking-Tool, stellt Webseitenbetreiber und Administratoren regelmäßig vor Herausforderungen in Sachen Datenschutz. Zwar resultieren aus der EU-Datenschutz-Grundverordnung (DSGVO) in Deutschland keine wesentlichen Zusatzanforderungen. Doch das, mit dieser neuen Rechtslage verbundene, finanzielle Risiko geht deutlich über das bisherige hinaus.
Inkrafttreten, Konsequenzen und Geltungsbereich der DSGVO
Als EU-Verordnung bedarf die Datenschutz-Grundverordnung anders als EU-Richtlinien keiner zusätzlichen gesetzgeberischen Maßnahmen in den Mitgliedsländern, sondern wirkt unmittelbar. Mit ihrem Inkrafttreten am 25. Mai 2018 steigen die Bußgelder für Datenschutzverstöße erheblich, bis auf 20 Millionen Euro beziehungsweise auf bis zu vier Prozent des welt- und konzernweiten Jahresumsatzes. Aufgrund des Marktortprinzips betrifft sie auch Anbieter, die außerhalb der EU ansässig sind.
Webtracking und Datenschutz
Bei der Vorbereitung auf die neue Gesetzeslage zählt die Analyse aller Datenverarbeitungsprozesse im Unternehmen zu den wesentlichen Schritten. Eine wichtige Datenquelle für die Auswertung des Nutzerverhaltens im Online-Marketing sind die IP-Adressen der Webseitenbesucher. Da die IP-Adressen als personenbezogene Daten gelten, sind beim Einsatz von Web-Tracking-Tools juristische Vorgaben zu beachten. Dass die Nutzung von Google-Diensten nicht ohne die Datenübermittlung in Drittstaaten außerhalb der EU möglich ist, wird aus datenschutzrechtlicher Perspektive als kritisch bewertet. Wer nicht auf datenschutzfreundliche Alternativen umsteigt, sollte beim Einsatz von Analyse-Werkzeugen einige Punkte berücksichtigen.
Vertrag zur Auftragsverarbeitung (“ADV”)
Neben den allgemeinen Erlaubnistatbeständen der Datenverarbeitung gemäß Artikel 6 ist für die rechtssichere Datenweitergabe an Partner eine vertragliche Grundlage erforderlich. Statt des Begriffs “Auftragsdatenverarbeitung” (ADV) wird in der DSGVO “Auftragsverarbeitung” verwendet. Auftragsverarbeitung liegt vor, wenn personenbezogene Daten durch einen Dienstleister im Auftrag des Verantwortlichen verarbeitet werden. Dabei ist der Abschluss eines Vertrags unabdingbar. Die erforderlichen Vertragsinhalte listet Artikel 28 Absatz 3 der Verordnung. Wenn Webseiten-Betreiber Google Analytics ohne einen Vertrag zur Auftragsverarbeitung einsetzten, gehen sie das Risiko drastischer Geldbußen ein. Vorgesehen sind in bei Verstößen gegen Artikel 28 bis zu 10 Millionen Euro beziehungsweise bis zu 2 Prozent des Vorjahresumsatzes. Zusätzlich besteht für Betroffene ein Anspruch auf Schadenersatz. Eine Änderung betrifft die Haftung: Eine Funktionsübertragung mit voller Verantwortlichkeit des Auftragnehmers analog des alten Bundesdatenschutzgesetzes kennt die europäische Verordnung nicht.
Vertragsabschluss mit Google
Im Anschluss an das Log-in besteht im Nutzerkonto bei Google unter “Verwaltung” und “Kontoeinstellung” die Möglichkeit zur elektronischen Zustimmung zum Zusatz zur Datenverarbeitung. Zusätzlich stellt Google in Anlehnung an die Empfehlungen der Artikel-29-Datenschutzgruppe ein Vertragsformular im Internet zur Verfügung: http://www.google.com/analytics/terms/de.pdf. Nach § 62 des zeitgleich mit der EU-Verordnung in Kraft tretenden neuen Bundesdatenschutzgesetzes (BDSG) kann der Vertrag zur Auftragsverarbeitung schriftlich oder elektronisch abgefasst sein. Bis zum 25. Mai 2018 gilt in Deutschland jedoch das Schriftformerfordernis aus § 11 BDSG (alt). Bis dahin ist der vollständig ausgefüllte und unterschriebene Vertrag in zweifacher Ausfertigung per Post an die Google Ireland Ltd. in Dublin per Post zu versenden. Das von Google gegengezeichnete Exemplar ist dem Verzeichnis der Verarbeitungstätigkeiten anzufügen.
Zusätzliche Achtungspunkte
Für eine rechtssichere Verwendung von Google Analytics sind darüber hinaus weitere Maßnahmen erforderlich. Bereits vor der Datenübertragung ist dem Nutzer eine Widerspruchsmöglichkeit gegen das Tracking aufzuzeigen. Realisierbar ist das über das Setzen eines Opt-out-Cookies. Dies kann direkt via Javascript umgesetzt werden. Zum anderen bietet Google ein Browser Plug-in an, das ein Opt-out-Cookie setzt. Dieses Add-on ist jedoch nicht für alle auf mobilen Geräten genutzten Browser verfügbar. Ergänzend ist die Anonymisierung von IP-Adressen sicherzustellen. Dazu eignet sich die Maskierung der letzten Ziffern, beispielsweise mittels der Funktion anonymizeIP(). Die Kürzung der IP-Adresse sollte bereits vor der Datenübermittlung an Google auf dem eigenen Server stattfinden. Da nicht-anonymisierte, vollständige IP-Adressen als rechtswidrig erhobene personenbezogene Daten gelten, sind diese umgehend zu löschen. Ferner gilt es die Passagen zur Nutzerdatenanalyse in der Datenschutzerklärung der Webseite zu überprüfen und gegebenenfalls zu ergänzen. Zu den neuen Informationspflichten aus der Datenschutz-Grundverordnung zählt unter anderem die Nennung von Rechtsgrundlage und Speicherfristen sowie die Formulierung in klarer und einfacher Sprache. Darüber hinaus gilt es, zukünftige Entwicklungen hinsichtlich Rechtsprechung, Standardvertragsklauseln und der neuen ePrivacy-Verordnung im Blick zu behalten. Gleiches gilt für Neuerungen seitens der Anbieter wie Google.
Ich habe aus meinen Blogs Google Analytics entfernt, ist mir ehrlich gesagt zu heiß die ganze Sache. Das mit der ADV verstehe ich nicht ganz. Vielleicht können Sie mir da ein bisschen weiterhelfen. Wenn ich eine Affiliate Seite betreibe als Partner nehmen wir mal Amazon, benötige Ich dafür auch eine ADV? Und wenn ich Sie erstellt habe muss ich Sie amazon zukommen lassen? Wäre dankbar für eine Antwort
Hallo Patrick, es gibt zu dem Thema Auftragsdatenverarbeitung (ADV) bzw. nach DSGVO Auftragsverarbeitung (AV oder AVV) einen guten, verständlichen Beitrag bei e-recht24.de. Wenn folgende Bedingung bei z. B. Amazon zutrifft: Charakteristisch für die Auftragsdatenverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Wenn dem so ist, dann benötigst du eine ADV. Ich würde hier aber sicherheitshalber einen Anwalt fragen oder frage mal in der Facebook-Gruppe lawlikes (wenn du einen Facebook-Account hast). Hier gibt es schon sehr viele Hinweise, Tipps, Ratschläge, etc. zur DSGVO.