ACHTUNG, dieser Artikel ist auf dem Stand 2020 und berücksichtigt nicht die neuen Regelungen des TTDSG und die zwischenzeitlichen Verfahren der Datenschutzbehörden. Hauptproblem heutzutage ist die Datenweitergabe trotz Anonymisierung in die USA.
Wer einigermaßen professionell seine Website betreiben möchte, wird nicht auf Analysetools verzichten können. Das wohl bekannteste ist hier Google Analytics.
Wer nun ohne weiter Modifikation einfach Google Analytics auf seine Website einbindet, riskiert gegen geltendes Datenschutzrecht zu verstoßen.
Hier daher eine kurze Anleitung, wie man Google Analytics DSGVO-konform einsetzt:
1. Account anlegen und AV-Vertrag mit Google schließen
Das erste, was Sie nach dem eröffenen Ihres Google-Analytics-Accounts machen müssen, ist innerhalb Ihres Accounts über „Verwaltung -> Kontoeinstellungen“ den Bereich „Zusatz zur Datenverarbeitung“ aufrufen. Dort lassen Sie sich über das Feld [Zusatz anzeigen] den Vertrag zur Auftragsverarbeitung generieren, nachdem Sie über den dort angezeigten Link [DETAILS ZUM ZUSATZ ZUR DATENVERAREITUNG VERWALTEN] Ihre Unternehmensdaten eingetragen und dann gespeichert haben.
Diesen Vertrag drucken Sie dann idealerweise aus und nehmen diesen zu Ihren Datenschutz-Unterlagen. Damit haben Sie dann die erste Hürde zur DSGVO-konformen Google Analytics Nutzung genommen.
2. Trackingcode erstellen und anpassen
Nun können Sie in Ihrem Account den Trackingcode und das dazugehörige in Ihre Website einzubindende Skript generieren, über welchen Sie Google Analytics von Ihrer Website aus ansprechen können. Wenn Sie Skript nun jedoch nicht modifizieren, fehlt die Anonymisierung und das Widerspruchsrecht.
In der Vergangenheit gab es bereits Abmahnungen wegen der nicht anonymisierten Datenweitergabe an Google.
Hierzu ist es notwendig, dass Sie das Skript um „anonymizeIp“ erweitern und dies auf „true“ setzen. Hierdurch werden die letzten Stellen der an Google übermittelten IP-Adresse maskiert, so dass die Daten anonymisiert sind. Da jedoch nicht sichergestellt ist, ob dies technisch bei Ihnen oder erst bei Google erfolgt, bleibt Google Analytics ein umstrittener Dienst, so dass vor allem deswegen auch der vorstehend benannte AV-Vertrag erforderlich ist, obwohl die Daten eigentlich nur anonymisiert weitergegeben werden.
Des Weiteren muss der Nutzer Ihrer Website die Chance besitzen der Datenanalysierung zu widersprechen. Hierzu gibt es zwar entsprechende Deaktivierungs-Add-ons von Google, aber diese sind nicht unbedingt auf allen potentiellen Endgeräten installierbar. Daher sollte bis zu einer tatsächlichen vollständigen Kompatibilität des Deaktivierungs-Add-ons zusätzlich der Trackingcode um ein Opt-Out-Cookie ergänzt werden, damit die zukünftige Datenerfassung verhindert wird.
Das vollständige modifizierte Skript sollte dann folgendermaßen aussehen (da ich nur Jurist und nicht Webentwickler bin, übernehme ich für die Funtion den nachfolgenden Skripten keine Gewähr. Und auch zu Fragen der Einbindung setzen Sie sich bitte mit Ihrem Webentwickler in Verbindung):
<script>
var gaProperty = 'XX-XXXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; }
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'XX-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview'); </script>
Die XX-XXXXXXXX-X ersetzen Sie natürlich durch Ihren individuellen Trackingcode.
Damit das Widerspruchsrecht auch über Ihre Datenschutzerklärung angesprochen werden kann, müssen Sie dort noch einen Onclick-Link einbinden. Dies könnte wie folgt aussehen:
Sie können die Erfassung Ihrer Daten durch Google Analytics darüber hinaus verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: <a onclick="Alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()"Google Analytics deaktivieren</a> Natürlich benötigen Sie in der Datenschutzerklärung noch deutlich mehr Angaben (auch zu Google Analytics). Gern können wir Ihnen eine individuelle Datenschutzerklärung erstellen, in welcher dann auch dieser Passus enthalten ist.
3. Aufbewahrungsfrist definieren
Damit der DSGVO auch ein Recht auf Vergessen eingeführt wurde, haben Sie sicherzustellen, dass die über Google-Analytics erhobenen Daten nicht ewig aufbewahrt werden. Voreingestellt ist hier durch Google eine Aufbewahrung von 26 Monaten für Nutzer- und Ereignisdaten.
Soweit keine zwingenden Gründen in Ihrem Unternehmen dagegensprechen, sollten Sie hier die datensparsamste Einstellung nutzen und die Aufbewahrungszeit auf einen deutlich kürzeren Zeitraum festlegen und auch den Button [Bei neuer Aktivität zurücksetzen] deaktiveren.
4. Cookie Banner
Das nervigste für Nutzer und das Webdesigns ist schließlich der erforderliche Cookie-Banner, über welchen Sie sich die ausdrückliche Einwilligung des Websitenutzers einholen müssen.
Die Datenschutzbehörden haben in der Vergangenheit bereits betont, dass jede Art von Tracking der Nutzer nur mit ausdrücklicher Einwilligung zulässig ist. Die Wirtschaft und viele Rechtsberater haben dem entgegen damit argumentiert, dass hier das berechtigte Interesse des Websitebetreibers (Art. 6 Abs. 1 f DSGVO) die Beeinträchtigung der Interessen der Nutzer überwiegen würde und daher eine ausdrückliche Einwilligung nicht erforderlich wäre.
Zwar sitzen die Datenschutzbehörden an einem längeren Hebel, aber man ging davon aus, dass deren strenge Sichtweise durch die Gerichte auf ein wirtschaftlich vertretbares Maß abgeschwächt würde. Nun hat aber der EuGH im Jahr 2019 entschieden, dass wohl kaum ein Cookie von einer Website gesetzt werden darf, wenn nicht der Nutzer zuvor nicht nur belehrt, sondern auch eingewilligt hat. Dieses höchste Gericht Europas, hat somit die strenge Ansicht der Datenschutzbehörden bestätigt.
Wichtig ist hierbei, dass es nicht nur ein „informierendes“ Cookie-Banner ist, sondern, dass Sie den Nutzer aktiv die Einwilligung geben lassen. Z.B. durch eine Checkbox oder ähnliches. Da nach der DSGVO der Grundsatz des Datenschutz by default und des Datenschutz by Design gilt, haben Sie das Cookie-Banner auch so zu gestalten, dass der Nutzer nicht „manipuliert“ wird um die Einwilligung zu geben.
Und wichtig ist auch, den Nutzer transparent zu informieren, wozu er Ihnen die Einwilligung überhaupt geben soll. Denn erst wenn er alle wesentlichen Informationen vorliegen hat, kann er überhaupt in eine Verwendung von Google-Analytics einwilligen. Mein Tipp ist, dass Sie zunächst in groben Zügen z.B. in einem Banner benennen, dass Sie das Google-Analytics nutzen wollen und wofür dies gut sein soll. Zugleich sollten Sie einen Link angeben, über welchen die Nutzer weitere Informationen über Google-Analytics (z.B. in Ihrer Datenschutzerklärung) erhalten können.
Achten Sie bitte auch darauf, dass unabhängig von dem gewählten Browser und Endgerät dieser Banner niemals die Links zum Impressum oder der Datenschutzerklärung überdeckt.
In Sachen Cookie-Banner empfehle ich auch die kurz Darstellung der Rechtslage unter Cookies und die DSGVO.