Google Analytics und Datenschutz (DSGVO) – diese rechtlichen Anforderungen musst du erfüllen

Consent Management für Google Analytics

Das Thema Recht ist natürlich in permanenter Bewegung. Nach dem EuGH hat im Mai 2020 auch der BGH entschieden, das Webseitenbetreiber eine aktive und informierte Einwilligung (Consent) der Nutzer brauchen, um nicht notwendige Cookies bei den Nutzern zu setzen. Nicht notwendige Cookies können zum Beispiel das Facebook Cookie, Das Google Ads Conversion Cookie, aber auch das Google Analytics Tracking Cookie sein. Du willst das mal selber prüfen, dann mach einmal folgendes:

• Schritt 1: Wechsel zum Beispiel im Chrome auf den Inkognito Modus
• Schritt 2: Ruf die 121watt.de auf
• Schritt 3: In der Mitte unserer Website findest du den User-Consent Banner
• Schritt 4: Wähle im Consent Banner auf „Einstellung anpassen“
• Schritt 5: Wähle rechts oben auf „Advanced“ Einstellungen

Jetzt kannst du mal sehen, wie wir hier „funktionelle“ oder „Marketing“ Cookies definiert haben.

 

Notwendige Cookies in dieser Definition sind Cookies, die technisch für den Betrieb einer Website und deren Funktionen erforderlich sind, wie zum Beispiel eine Warenkorbfunktion etc. Das bedeutet, das du zum „Betrieb“ von Google Analytics die Zustimmung (Consent) des Nutzers brauchst, um Tracking über Google Analytics zu sammeln. Tracking ist kein notwendiges Cookie. Du willst mehr zu diesem Thema wissen, dan findest du auch hier, weitere Informationen wie die

• die Pressemitteilung des Bundesgerichtshofs
• Eine Erläuterung von E-recht24.de
• oder hier auf dem Blog unseres Referenten Martin Schirmbacher

Vertrag zur Auftragsverarbeitung mit Google

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsverarbeitung mit Google abschließt. Der alte Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG a.F. steht mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) nicht mehr zur Verfügung. Jedoch steht seit dem 25. Mai 2018 ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO bereit, der nach Art. 28 Abs. 9 DSGVO auch im elektronischen Format abgeschlossen werden kann. Den entsprechenden Hinweis findest du hier.

Google bietet dafür in den Kontoeinstellungen bereits einen Zusatz zur Datenverarbeitung an, dem du zustimmen kannst. Nähere Informationen von Google findest du hier.

Ob mit dem elektronischen Format eine qualifizierte elektronische Signatur gemeint ist, es ausreicht, den Vertrag zu unterzeichnen und einzuscannen oder eine Zustimmung mittels Klick auf einen Button genügt, ist aktuell umstritten.

Nach Ansicht der Datenschützer musst du ohne einen solchen Vertrag jeden User um seine Einwilligung bitten, seinen Besuch mittels Google Analytics zu erfassen und auszuwerten. Sicher nicht praktikabel.

 

---

121-Stunden Online-Marketing Newsletter:
Keine Google-Analytics- und Online-Marketing-News mehr verpassen!

• Aus 500 Quellen die besten Artikel übersichtlich zusammengefasst.
• Wir berichten regelmäßig über die wichtigsten Branchen-Events und aktuelle Seminare.
• Bereits mehr als 10.000 Online Marketers verfolgen mit uns die Branche.

---

Google Analytics Add-on und Opt-out-Cookie

Stelle sicher, dass du die Besucher deiner Webseite über die Nutzung von Google Analytics ausreichend informierst und ihnen die Möglichkeit gibst, dies zu unterbinden. Wo baust du eine solche Erklärung am besten ein? Der geeignete Ort hierfür ist die Datenschutzerklärung. Im Folgenden findest du eine entsprechende Erklärung – wie sie oft im Netz verwendet wird. Diese Erklärung haben wir noch um einen Abmeldungshinweis erweitert. Google stellt hier zwei Möglichkeiten zur Verfügung:

a) Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.

b) Ein Opt-Out-Cookie, dass es dem Nutzer ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst, ist hier bei Google beschrieben.

Hinweis: Hier haben wir für euch noch mehr im Detail beschrieben was eigentlich genau Cookies sind und was der Unterschied zwischen First und Third Party Cookies ist.

Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:

Google Analytics-Datenschutzerklärung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Die Benutzung erfolgt auf der Grundlage des Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite wie

• Browser-Typ/-Version,
• verwendetes Betriebssystem,
• Referrer-URL (die zuvor besuchte Seite),
• Hostname des zugreifenden Rechners (IP-Adresse),
• Uhrzeit der Serveranfrage,

werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Im Auftrag des Betreibers dieser Website wird Google diese Information benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseiten-Aktivitäten zusammenzustellen und um weitere mit der Webseiten-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Webseitenbetreiber zu erbringen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie auf diesen Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen. [Anm. Hinweise zur Einbindung des Opt-Out-Cookie finden Sie unter: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable].

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

Weitere Informationen zum Datenschutz im Zusammenhang mit Google Analytics finden Sie etwa in der Google Analytics-Hilfe (https://support.google.com/analytics/answer/6004245?hl=de).

anonymizeIp direkt im Quellcode oder über den Google Tag Manager
Denk unbedingt daran, die Funktion zur Maskierung von IP-Adressen („anonymizeIP“) zu nutzen. Dies ist eine Erweiterung des Google Analytics-Codes, die es ermöglicht, IP-Adressen zu kürzen und somit zu anonymisieren. Google löscht hier beim Erheben der Daten die letzten 8 Bit der IP-Adresse, bevor die Daten gespeichert werden. Praktisch bedeutet dies, dass das letzte Oktett auf 0 gesetzt wird. Welche Daten Google Analytics aus der IP-Adresse interpretiert, findest du hier in einem Artikel von Alexander zum Thema not set in Google Analytics. Wenn du noch den alten Tracking-Code benutzt, muss dieser Befehl bei Google Analytics wie folgt eingebaut werden:

Hast du deine Daten schon zu Universal Analytics migriert? Dann solltest du deinen Tracking-Code um die folgende Zeile erweitern. Diese Referenz von Google kannst du an deinen Entwickler geben.

Am einfachsten ist es die Anonymisierung zu machen, wenn du deinen Google Analytics Trackingcode über den Google Tag Manager (GTM) implementiert hast.
Mit Hilfe des GTM können wir die anonymizeIP-Funktion mit der Google-Analytics-Settings-Variablen einbinden. Dies funktioniert dann wie folgt:

1. Zunächst müsst ihr eine neue Variable im GTM anlegen
2. Dann gelangt ihr zu der Ansicht, wo ihr den Variablentyp auswählen könnt. Hier Bitte den Variablentyp “Google Analytics-Einstellung” auswählen
3. Im nächsten und elementaren Schritt müsst ihr die festzulegenden Felder ausfüllen. Dort tragt ihr unter Feldname “anonymizeIP ein und wählt den Wert “true” (siehe Screenshot).

Hier findest du eine umfangreiche Liste an Google Analytics und Google Tag Manager Tools, mit denen du die richtige Integration deines Google Analytics Tracking Codes überprüfen kannst.

Universal Analytics und die derzeitige rechtliche Lage

Universal Analytics ist der aktuelle Betriebsstandard von Google Analytics, es gibt also weder alte noch neue Properties, die Universal Analytics nicht verwenden. An dieser Stelle erfolgt somit der wichtige Hinweis, dass die rechtliche Lage zur Verwendung von Universal Analytics derzeit nicht ganz klar ist. Die zu Google Analytics mit den Aufsichtsbehörden abgestimmte Formulierung eines Hinweises für die Datenschutzerklärung wird häufig auch dann verwendet, wenn Universal Analytics genutzt wird.

Tatsächlich unterscheidet sich Universal Analytics jedoch durch die Möglichkeit, Cross-Device-Tracking zu betreiben. Dies geschieht durch den Einsatz einer User-ID, die etwa bei einem Login dem Nutzer zugeordnet wird. Die User-ID fungiert dabei als Pseudonym und eine Identifizierung des dahinterstehenden Nutzers soll ausgeschlossen sein. Nach der DSGVO sind Pseudonyme aber nicht mehr privilegiert. Die User-ID ist somit als Online-Kennung ein personenbezogenes Datum. Für die Verarbeitung ist daher eine gesetzliche Erlaubnis oder eine Einwilligung erforderlich. Als Werbender hast du grundsätzlich kein berechtigtes Interesse daran, das Nutzerverhalten geräteübergreifend zu analysieren: Dies widerspricht den vernünftigen Erwartungen der Nutzer. Ebenso ist es nicht praktikabel, von jedem Nutzer eine Einwilligung einzuholen. Unter diesen Gesichtspunkten ist der Einsatz der User-ID bei Universal Analytics nicht zulässig.

Die gute Nachricht ist, dass Google dich nicht zwingt, die User-ID zu nutzen. Vielmehr muss die Funktion zunächst im Analytics-Konto aktiviert und anschließend auch im Tracking-Code implementiert werden. Ohne die Aktivierung kannst du Google Analytics weiterhin nutzen.

Wichtig Update April 2017: Aktuelle Informationen zum Thema Datenschutz (Privacy Shield und Safe Harbor)

Wie man in den letzten Wochen und Monaten gesehen hat, gibt es immer wieder Änderungen zum Thema Google Analytics und Datenschutz. So wurde unlängst noch mal eine intensive Debatte (Feb 17) darüber geführt, welche Auswirkung das neue Privacy Shield versus Safe Harbor für den datenschutzkonformen Einsatz von Google Analytics hat. Hier die Stellungnahme (Feb 2017) der Hamburger Datenschutzbehörde. Weiterhin hat die Behörde auch noch Hinweise für den datenschutzkonformen Einbau zur Verfügung gestellt.

Google Analytics und die Datenschutzgrundverordnung (DSGVO)

Auch die Europäische Datenschutzverordnung (EU-DSGVO), die im Mai 2018 in Kraft getreten ist, hat das Thema der Datenerhebung in Web Analyse Systemen verändert. Hier der Hinweis auf die entsprechende Verordnung. Dabei werden die Strafen, die hier bei Verstößen verhängt werden können, deutlich höher sein als die bisherigen Sanktionen in Höhe von 300.000€. Mit Eintreten der (EU-DSGVO) werden Bussgelder bis in Höhe von 20.000.000€ bzw. 4% des Umsatz möglich sein (zu finden unter Artikel 83 & 84 hier).

Google Analytics und die Verarbeitung personenbezogener Daten

Die neue Datenschutzgrundverordnung regelt in Europa den Umgang mit personenbezogenen Daten. Somit stellt sich erst einmal die grundsätzliche Frage, was personenbezogene Daten im Zusammenhang mit Google Analytics sind? Abseits des unbeabsichtigten oder beabsichtigten Sammelns personenbezogener Daten, zum Beispiel wenn ihr in Google Analytics Kreditkarteninformationen sammelt oder versehentlich bei Kontaktformularen Daten über die URL übergebt und damit sammelt, war die immer entscheidende Frage, ob die IP Adresse ein personenbezogenes Datum ist. Nach den letzten Entscheidungen und mit der DSGVO ist klar, dass IP-Adressen in der ungekürzten Variante als personenbezogenes Datum ausgelegt werden können.

Somit müssen auch, wie es bisher Praxis war, die IP-Adressen in Google Analytics anonymisiert werden, wie weiter oben beschrieben. Solltet ihr versehentlich oder beabsichtigt personenbezogene Daten in Google Analytics sammeln, verstoßt Ihr sowieso gegen die Datenverarbeitungsbedingungen von Google, was zu einer Kündigung seitens Google Analytics führen kann.

Tipp: Hier gibt es von Markus Baersch ein sehr interessantes Tool, damit ihr mal überprüfen könnt, ob ihr (un)beabsichtigt personenbezogene Daten wie Emailadressen, IBAN-Nummern oder Adressen in Google Analytics sammelt. Die Verwendung dieses Tools geschieht natürlich auf euer eigenes Risiko, da ihr hier Zugang zu Euren Analytics Implementierungen erlaubt: Tool Datenschutzprobleme in Google Analytics analysieren

Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder zu Tracking

Update Mai 2018: Die deutschen Datenschutzbehörden haben am 26. April eine gemeinsame Erklärung zum Tracking beziehungsweise ein Positionspapier zum Einsatz von Trackingtechnologien verfasst. Das Positionspapier findet ihr hier und eine Bewertung dieses Positionspapier hier. Da die neue Datenschutz-Grundverordnung  (DSGVO) viel Interpretationsspielraum zulässt, ist es meines Erachtens nach wichtig, die verschiedenen Auffassungen und Positionen zu analysieren, zu bewerten und auf dieser Basis eine informierte Entscheidung zu treffen.

Zusatz zur Datenverarbeitung in Google Analytics

Wenn ihr über einen direkten Kundenvertrag mit Google Analytics verfügt, müsst ihr dem Zusatz zur Auftragsdatenverarbeitung in eurem Administrationsbereich unter Kontoeinstellungen zustimmen.
Achtung hier wird das Datum eurer Zustimmung mitprotokolliert. Mehr dazu findet ihr auch hier.

In einem nächsten Schritt könnt ihr jetzt in Google Analytics euren Zusatz zur Auftragsdatenverarbeitung verwalten. Dazu müsst ihr zum Beispiel eine juristische Person hinterlegen und diese dann als Zusatzinformationen mit eurem Google+ Profil verbinden. Wie das aussieht seht ihr im nächsten Screenshot:

Jetzt solltet ihr in Google Analytics „Suite Home“ aufrufen und eure Organisation verknüpfen. Dazu solltet ihr eure Google+ Adresse hinterlegen und die entsprechenden Konten, hier zum Beispiel unser Google Analytics und unser Google Tag Manager Konto, verbinden:

Datenaufbewahrung in Google Analytics

Google rüstet sich weiterhin für die am 25. Mai erschienene Datenschutzgrundverordung (DSGVO) und passt Google Analytics an die europäischen Vorgaben an. Vor ein paar Tagen hat Google die Option für das Löschen der erhobenen Daten ins Leben gerufen, worüber ihr den Aufbewahrungszeitraum der erhobenen Nutzer- und Ereignisdaten auf den Servern bestimmen könnt. Diese Option findet ihr unter der Verwaltung und wählt im nächsten Schritt die gewünschte Property aus. Daraufhin klickt ihr auf “Tracking-Informationen” und ihr gelangt zu der neuen Funktion “Datenaufbewahrung”.

Hier bietet Google verschiedene Zeiträume an, damit ihr die Speicherdauer der erhobenen Daten bestimmen könnt: Aktuell liegen folgende Optionen vor:

• 14 Monate
• 26 Monate
• 38 Monate
• 50 Monate
• keine Löschung der erhobenen Daten

Eure gewählte Einstellung wird dann am 25. Mai 2018 durch Google aktiviert und die Aufbewahrungsfrist ist eingestellt. Die automatische Löschung der Daten wird dann einmal pro Monat durchgeführt, bei denen das Ende der gewählten Aufbewahrungsdauer erreicht ist. Nehmt ihr dann eine Änderung an der Speicherdauer vor, so wird diese neu gewählte Dauer innerhalb von 24 Stunden durch Google Analytics übernommen.

Wichtiger Hinweis von Google: In diesen 24 Stunden könnt ihr diese Änderung wieder rückgängig machen und die Daten werden nicht gelöscht.

Liegt der neu gewählte Zeitraum unter dem davor genannten Zeitraum, so werden alle betroffenen Daten im folgenden Monat gelöscht. Wenn du zum Beispiel die zuvor festgelegte Aufbewahrungsdauer von 38 Monaten auf 14 Monaten abänderst, werden alle Daten, die älter als 14 Monate sind, im darauffolgenden Monat gelöscht.

Darüber hinaus besteht die Möglichkeit, dass ihr die Speicherungsdauer der Nutzer-ID bei jeder neuen Aktivität des jeweiligen Nutzers zurücksetzten lassen könnt. Dadurch wird das Ablaufdatum wie folgt neu gesetzt: Aktuelle Zeit + die oben festgelegte Aufbewahrungsdauer.

Habt ihr die Datenspeicherung zum Beispiel auf 26 Monate festgelegt und der Nutzer führt jeden Monat eine neue Sitzung durch, so wird seine Nutzerkennung jeden Monat aktualisiert und die gewählte Ablaufdauer von 26 Monaten wird nicht erreicht. Führt der Nutzer keine neue Sitzung durch, werden seine Daten nach Ablauf der 26 Monaten gelöscht.

Nutzt ihr diese Option nicht, werden die Daten die mit der Nutzer-ID verknüpft sind automatisch nach Ablauf der gewählten Aufbewahrungsdauer gelöscht.

Meine Einschätzung zu der neuen Funktion der Datenaufbewahrung: Die Funktion dieser Option interpretiere ich so, dass Google die Umsetzung der DSGVO Anforderung technisch umsetzen will und muss, da betroffene Personen ein Recht auf Löschung ihrer erhobenen Daten haben (Art. 17 DSGVO). Bisher hatten wir nämlich nicht die Möglichkeit, die personenbezogenen und anonymisierten Daten der Nutzer in diesem Umfang zu löschen. Für uns in Deutschland ist das nach dem am 25. Mai 2018 abgelösten Bundesdatenschutzgesetz (BDSG) kein Neuland, aber nach Auslegung der DSGVO trifft das Recht auf Löschung auch auf anonyme Profile bzw. Daten zu.

Gute Möglichkeiten, um auf dem aktuellen Stand zu bleiben sind:

• Ein paar grundlegende Anmerkungen zur DSGVO
• Die Seite zu Google Analytics der Hamburger Datenschutzbehörde
• Zur Europäischen Datenschutzverordnung und Ihren Auswirkungen
• Wir veranstalten dieses Jahr ein EU-DSGVO Seminar mit Dr. Martin Schirmbacher

Wenn Ihr noch mehr Interesse zum Thema Google und Datenschutz habt, dann findet Ihr auch hier umfangreiche Informationen zu

• ISO 27018 – Datenschutz in der Cloud
• ISO 27017 – Sicherheit in der Cloud
• ISO 27001 – Management der Informationssicherheit
• Google’s Verpflichtung gegenüber der DSGVO

Google Tag Manager und die Datenschutzgrundverordnung (DSGVO)

In den letzten Tagen erreichten uns viele Anfragen, ob der Google Tag Manager (GTM) im Rahmen der DSGVO weiterhin verwendet werden darf und wie man diesen DSGVO konform einsetzt. Nach der aktuellen Rechtslage kann der GTM weiterhin verwendet werden, wenn die Anforderungen der DSGVO erfüllt werden (ähnlich wie bei Google Analytics). Wie sehen also die Anforderungen aus und wie setze ich das technisch um?

Die rechtlichen Anforderungen unterscheiden sich nicht wirklich von denen, die Google Analytics betreffen. Hier sind zunächst zwei wichtige Punkte zu beachten:

• Daten anonymisieren (wie bereits oben erwähnt)
• Auftragsverarbeitungs-Vertrag (AV-Vertrag) mit Google abschließen (hier reicht der Zusatz zur Datenverarbeitung).

Auftragsverarbeitungs-Vertrag

Im Tool selbst könnt ihr den Zusatz zur Datenverarbeitung online akzeptieren. Dies wird in der Regel wie folgt vorgenommen:

1. Tab Verwaltung öffnen
2. Kontoeinstellungen öffnen
3. Das Feld „Daten anonym an Google und andere weitergeben“ anklicken
4. Auf den Link „Zusatz zur Datenverarbeitung anzeigen“ klicken und anschließend akzeptieren

Unter diesen Voraussetzungen könnt ihr den Google Tag Manager nach der aktuellen Rechtslage im Rahmen der DSGVO verwenden. Sollte sich die Rechtslage ändern, werden wir euch selbstverständlich darüber informieren.

Wie sehen erste Integrationen zu Online Marketing & der DSGVO aus?

Wie am Ende die Zustimmung zur Verwendung der verschiedenen Tracking- und Marketing Cookies aussehen kann, muss wahrscheinlich jedes Unternehmen individuell entscheiden. Ein interessantes Beispiel in der Umsetzung ist die Firma phillips.de, die die Nutzereinwilligung umfangreich abfragt. Hier einmal die Screenshot:

Opt-In-Pflicht

Update 07.2019: EuGH bestätigt Opt-In-Pflicht (Einwilligung) für die Nutzung von Cookies
Der EuGH hat am 29.07.2019 eine Entscheidung bezüglich der „Gefällt mir“-Schaltfläche innerhalb von Facebook getroffen und begründet, dass der Websitebetreiber neben Facebook mitverantwortlich für Datenschutzverstöße ist. Im Zuge dieser Entscheidung hat sich der EuGH ebenfalls mit dem Einsatz von Cookies beschäftigt. Der Fazit dieser Entscheidung ist, dass für Cookies, wie zum Beispiel von Tracking-Tools, die Einwilligung der Nutzer eingeholt werden muss, bevor eine Datenerhebung durchführt wird. Das heißt für uns als Unternehmen, dass wir einen Consent-Banner auf der Website integrieren müssen und der Nutzer, bevor das Tracking aktiviert wird, eine Einwilligung geben muss. Hierbei ist es besonders wichtig, dass der Nutzer ebenfalls eine Einwilligung unterlassen kann und die Website trotz der nicht Einwilligung besuchen darf.

Bei der Erhebung der Einwilligung müssen u.a. bestimmte Wirksamkeitsvoraussetzungen eingehalten werden:

• Die Einwilligung des Nutzers muss freiwillig erfolgen (Grundsatz der Freiwilligkeit).
• Die Einwilligung darf nicht gekoppelt sein: Es besteht kein ausdrückliches Kopplungsverbot.
• Informationspflicht: Welche Tools werden verwendet und welcher Zweck liegt für die jeweilige Verwendung von Daten vor; die Aufbewahrungsdauer; welche Art von Daten werden erhoben; ggf. die Rechtsgrundlage benennen…
• Vorabinformationen: Datenschutzinformationen, Widerrufsbelehrung und die Zweckbindung.

Wir arbeiten mit dem Consent-Management-System von Usercentrics zusammen und unser Consent-Banner ist so aufgebaut, dass der Nutzer eine Einstellung vornehmen muss, bevor er unsere Website nutzt. Das heißt, dass der Nutzer eine Einwilligung sowie eine Verneinung zur Datenerhebung geben kann und danach die Website nutzen darf. Somit liegt auch keine Kopplung vor. Wie dies aussieht, könnt ihr hier sehen:

Under „Einstellung anpassen“ kann der Nutzer den Einsatz von Cookies unterbinden und auswählen, welche Art von Cookies er zulassen möchte:

Ein weiteres Beispiel sowie die Umsetzung in der Praxis, könnt ihr in diesen Artikel nachlesen: Opt-in-Pflicht bei Cookies

Warum IP-Adressen anonymisiert werden müssen

Du magst dich vielleicht fragen, warum IP-Adressen anonymisiert werden müssen. Gegebenenfalls vertrittst du die Meinung, dass IP-Adressen gar keine personenbezogenen Daten sind, weil sie meist dynamisch erstellt werden und Serviceprovider sie an unterschiedliche Nutzer zu unterschiedlichen Zeiten verteilen. Wer also welche IP-Adresse gerade im Moment nutzt, kann nur der Serviceprovider beantworten und das auch nur, wenn man samt rechtlicher Verfügung an die Tür klopft. Darüber hinaus sagt die IP noch nicht, ob Person X darüber ins Internet gegangen ist oder vielleicht der Kollege bei der Arbeit oder ein anderes Familienmitglied daheim. Dies klingt nach einem berechtigten Einwand. Allerdings gibt es neben den dynamischen auch statische IP-Adressen, die einen direkteren Schluss auf den Nutzer zulassen.

Das sehen aber nicht mehr nur die Datenschutzbehörden, sondern mittlerweile auch der Europäische Gerichtshof und der Bundesgerichtshof anders. Zudem liegt der DSGVO ein weites Verständnis von personenbezogenen Daten zugrunde. Nach diesem Verständnis fällt jede „Online Kennung“ einschließlich aller, auch dynamischer IP-Adressen und Cookies, in die Kategorie personenbezogener Daten.

Zwar lässt sich das First-Party-Nutzertracking grundsätzlich auf dein berechtigtes Interesse an Direktwerbung aus Art. 6 Abs. 1 lit. f DSGVO stützen. Hierfür ist es jedoch nicht erforderlich, die gesamte IP-Adresse zu speichern. Somit musst du die IP-Adressen anonymisieren.

Lösche alle Daten, die du vor der Einbindung von „anonymizeIP“ erhoben hast. Diese sind unrechtmäßig erhoben worden und müssen demnach sofort gelöscht werden. Damit du nicht gleich dein ganzes Konto bei Google löschen musst, bietet Google dir die Möglichkeit, einzelne Profile/Datenansichten zu löschen. Wie so etwas geht? Hier ein Screenshot aus der Analytics-Hilfe von Google:

Wann greift die Datenschutz-Grundverordnung eigentlich?

Falls du dich abschließend noch fragst, ob die DSGVO für deine Webseite überhaupt anwendbar ist, da diese im Ausland gehostet wird, dann muss dies mit „ja“ beantwortet werden, wenn dein Unternehmen einen Sitz in Deutschland hat. Dies kann auch nur eine kleinere Zweigstelle oder ein Rechenzentrum sein.

Im Rahmen der DSGVO gelten EU-weit gleiche Voraussetzungen. Somit muss jeder in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter – unabhängig davon ob die Datenverarbeitung in der EU stattfindet – der Verordnung folgen. Das Gleiche gilt, wenn personenbezogene Daten von einer in der EU befindlichen Person durch einen Verarbeiter außerhalb der EU verarbeitet werden. Paradebeispiel ist ein Online-Shop, der Waren in der EU anbietet und das Verhalten seiner Kunden verfolgt.

Ändert sich durch das Safe Harbor Urteil etwas?

Du hast vielleicht gehört, dass der Europäische Gerichtshof das Safe Harbor Verfahren für ungültig erklärt hat. Hier ein Artikel dazu. Die Übermittlung von personenbezogenen Daten in die USA lässt sich nun nicht mehr damit rechtfertigen, dass sich das U.S.-Unternehmen den Safe Harbor-Regeln unterworfen hat. Es gibt aber mit dem EU-US-Privacy-Shield ein neues Abkommen, sodass die Übermittlung personenbezogener Daten weiterhin möglich ist.

Bei der Nutzung von Google Analytics mit „anonymizeIP“ werden jedoch gar keine personenbezogenen Daten in die USA geschickt. Insofern ist Google Analytics von der Safe Harbor-Entscheidung nicht betroffen. Folgt man der gegenteiligen Ansicht der Datenschutzbehörde Baden-Württemberg, die davon ausgeht, dass die IP-Adresse erst in den USA gekürzt werde, ist der Einsatz von Google Analytics ohne Einwilligung rechtswidrig und somit zu unterlassen.

Haben Sie ihren Auftragsverarbeitungsvertrag vor dem 23. September 2016 geschlossen, nimmt dieser noch auf Safe Harbour Bezug. Seit dem sich Google dem Privacy Shield unterworfen hat, gibt es einen neuen Vertrag, den sie nutzen müssen.

Update 08.2020: EuGH erklärt Privacy-Shield-Abkommen für ungültig (EuGH, 16.7.2020 – C-311/18 „Schrems II“)
Das US Privacy-Shield-Abkommen hat den Datentausch zwischen Europa und USA zum Inhalt und war der Stützpfeiler, womit wir den Einsatz von US Tools rechtfertigen konnten. Jedoch wurde diese Vereinbarung vom EuGH für ungültig erklärt. Die Richter sahen kein vergleichbares Schutzniveau zwischen der vorliegenden US-Gesetzgebung und den Grundsätzen der DSGVO. Somit ist die Übertragung von Daten europäischer Verbraucher in ein Drittland, hier die USA, unzulässig. Theoretisch heißt das, dass wir die in der EU erhobenen Daten nicht mehr in die USA übertragen dürfen, wo dann anschließend die Verarbeitung der Daten erfolgen würde. Somit stehen Anbieter wie Google oder Facebook nun vor einer großen Herausforderung, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen.

Ist somit das Ende von Google Analytics gekommen? Nein!

Es gibt eine Reihe von Lösungen, womit das Schutzniveau wieder hergestellt werden kann:

• Standardvertragsklauseln: Ist eine Möglichkeit, wenn nicht sofort alle Dienste abgeschaltet werden sollen oder auch nicht abgeschaltet werden können. Hier ist es problematisch, dass der EuGH die Standardvertragsklausel nur dann als Rechtsgrundlage für Datentransfers in Drittländer anerkennt, wenn das Datenschutzniveau auch tatsächlich eingehalten wird. Dies ist ja leider nicht „mehr“ der Fall. Deshalb ist diese Lösung nicht wirklich sicher. Jedoch muss auch erwähnt werden, dass es eine Art der Risikominderung darstellt und diese Lösung besser ist, als abzuwarten.
• Binding Corporate Rules: Datenschutz-Regelungen, die verbindlich durch die Unternehmen eingehalten werden. Ähnlich einzuschätzen, wie bei der Standardvertragsklausel.
• Einwilligung im Cookie-Banner: Dies ist theoretisch umsetzbar. Jedoch wird dadurch der Einwilligungs-Text sehr lang und es ist zweifelhaft, dass die EU-Bürger freiwillig auf ihre Grundrechte verzichtet.
• Code of Conduct: Verhaltenskodex.
• Abwarten: Wir haben aktuell eine vergleichbare Situation wie beim Safe-Harber-Abkommen. Die EU-Kommission hatte damals sechs Monate benötigt, bis sie das Privacy-Shield als Lösung präsentiert hat. Das Risiko liegt ganz klar beim Anwender der Tools, denn die Datenschutzbehörden könnten in der Zwischenzeit reagieren und Verstöße ahnden. Außerdem sind Abmahnungen durch betroffene Nutzer sowie Wettbewerber (Hinweis: Der EuGH muss noch entscheiden, ob Abmahnungen auf Grundlage von Datenschutzverstößen zulässig sind) ebenso denkbar.

Wie sollte ich jetzt vorgehen?

• Analyse der Ist-Situation: Übersicht über die Tools und Softwareanbieter aus den USA erstellen, die aktiv genutzt werden. Werden personenbezogene Daten durch diese Tools erhoben und in den USA transferiert?
• Im Idealfall sollte der Kontakt zu den Tools hergestellt werden, damit wir klären können, welche Lösung möglich ist, damit das Schutzniveau wieder hergestellt werden kann. Wie zum Beispiel durch eine Standardvertragsklausel.
• Ggf. die Einwilligung der Nutzer einholen (Cookie-Consent)
• Die Datenschutzerklärung sowie die Verträge müssen angepasst werden: Die Datenübertragung auf Grundlage des Privacy-Shield-Abkommens muss ausgetauscht werden oder vorübergehend restlos entfernt werden.

Wie prüfen die Landesdatenschutzbehörden das eigentlich?

Die bayerische Landesdatenschutzbehörde beispielsweise beschreibt auf ihrer Seite, dass sie ein Online-Überprüfungstool entwickelt hat, um zu überprüfen ob

• der Google Analytics-Trackingcode in deine Seite eingebunden ist.
• der Trackingcode korrekt mit anonymizeIP implementiert ist.
• deine Datenschutzerklärung leicht zu finden ist.
• die Datenschutzerklärung den Anforderungen genügt.

Was passiert eigentlich, wenn ich diese Prüfung nicht bestehe?

Die bayerische Landesdatenschutzbehörde verhängt beim erstmaligen Erkennen nach eigenen Angaben (Satz 3) keine Bußgelder. Demnach also erst nach Aufforderung. Zitat im PDF Website des BayLDA

Ob und in welchem Umfang die Datenschutzbehörden die drastisch erhöhten Bußgelder der DSGVO verhängen, ist nicht vorhersehbar. Klar ist aber: Die Bußgelder sind existenzbedrohend, auf nachgiebige Datenschutzbehörden sollten Sie sich nicht verlassen.

DSGVO: Erstes Bußgeld im Rahmen eines DSGVO Verstoßes

Seit Inkrafttreten der vielfach diskutierten Datenschutz-Grundverordnung wurde das erste Bußgeld in Höhe von 20.000€ wegen eines DSGVO Verstoßes verhängt. Die Chatplattform knuddels.de hatte personenbezogene Daten von seinen Nutzern, welche zum Teil in Klartext vorlagen, auf einer Filesharing-Website gespeichert, berichtet Christian Erxleben von Basicthinking. In Folge dessen konnten Hacker personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, abfangen und verwenden. Daraufhin hat der Landesbeauftragte für Datenschutz und die Informationsfreiheit Baden-Württemberg gegen den Betreiber der Chatplattform knuddels.de ein Bußgeld in Höhe von 20.000€ verhängt. In diesem Fall verstößt die wissentliche Speicherung von Passwörtern im Klartext gegen Art. 32 Abs. 1 lit. a DSGVO.

Die Geldbuße hätte jedoch auch viel höher ausfallen können. Nach Art. 83 Abs. 4 lit. a DSGVO beträgt die Geldbuße für den Verstoß gegen die Speicherung von Passwörtern im Klartext bis zu 10 Millionen € oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Die relativ geringe Geldbuße ist ein gutes Zeichen für Unternehmen, da die Aufsichtsbehörden die Kooperation und die Einhaltung der Meldepflicht berücksichtigen. Deshalb empfiehlt unser Datenschutzbeauftragter Marius Hüpel bei einer Datenschutzpanne ein transparentes Vorgehen, eine ausgiebige Verbesserung der technischen Infrastruktur und die Bereitschaft, die Vorgaben und Empfehlungen des Landesdatenschutzbeauftragten umzusetzen. Außerdem findet er das Signal der Aufsichtsbehörden sehr beruhigend: Denn in erster Linie geht es um das hohe Niveau des Datenschutzes, welches u.a. durch die Kooperation der Unternehmen mit den Behörden erzielt werden kann.

Juni 2019 Update: Google hat seine Analytics-Nutzungsbedingungen aktualisiert, wodurch die Datenfreigabe gesteuert wird

Mit der Google-Produkte und -Dienste Funktion in den Kontoeinstellung unter der Rubrik „Einstellungen für die Datenfreigabe“ können wir die Daten in Analytics für Google freigeben, damit laut Google seine Dienste verbessern kann, u.a. die Optimierung der Google Analytics-Dienste wie „Analytics-Radar“. Eine zusätzliche Funktion ist, dass uns bei der Verwendung von Google Signale weitere erweiterte Berichte zu demografischen Merkmalen und Interessen zur Verfügung stehen. Sollte dies nicht aktiviert worden sein, werden dennoch Daten an den weiteren Google-Produkten gesendet, sofern wir diese in der Property verknüpft haben, wie zum Beispiel Google Ads. Wenn ihr die Datenübertragung zustimmen möchtet, könnt Ihr dies wie folgt durchführen:

• Tab Verwaltung öffnen
• Kontoeinstellungen öffnen
• Unter „Eistellungen für die Datenfreigabe“ die Option Google-Produkte und Dienste bestätigen
• Zusätzliche Bedingungen für Daten, die für Google freigegeben werden zustimmen

Checkliste: Google Analyics Datenschutzkonform verwenden

Hast du…

• einen Auftragsdatenverarbeitungsvertrag mit Google abgeschlossen?
• die Besucher deiner Webseite über die Nutzung von Google Analytics unterrichtet? (in der Datenschutzerklärung)
• deinen Nutzern die Möglichkeit gegeben, sich von der Datenerhebung auszuschließen? (Add-On oder Opt-Out Cookie nicht vergessen)
• den Code zur Anonymisierung der IP-Adressen der Besucher in deine Webseite eingebaut?
• überprüft, ob die Anonymisierung der IP-Adresse auch tatsächlich funktioniert?
• fälschlich erhobene Daten gelöscht?

Glückwunsch! Dann verwendest du Google Analytics momentan rechtskonform. Warum momentan? Da sich auf Grund der europäischen Rechtslage immer wieder Änderungen ergeben können. Gleiches gilt natürlich auch bei technischen Neuerungen von Google. So ist derzeit etwa noch unklar, ob der Einsatz von Google Universal Analytics genauso zu behandeln ist, wie der Einsatz von Google Analytics. Sobald sich Neuerungen ergeben, werden wir dich wieder informieren.

Aktuelle Gerichtsentscheidung zum Thema Datenschutz

• EuGH: Gemeinsame Verantwortlichkeit für „Gefällt Mir“-Button (29. Juli 2019)
• EuGH: Opt-in-Pflicht (Einwilligung) für Tracking-Maßnahmen (29. Juli 2019)
• LG Stuttgart: Abmahnfähigkeit von DSGVO-Verstößen (20. Mai 2019)
• BAG Beschluss: Betriebsräte haben das Datenschutzrecht einzuhalten (07.Mai 2019)
• LG Dresden: Einsatz von Google Analytics ohne IP-Anonymisierung (11. Januar 2019)

Aktuelle Bußgelder zum Thema Datenschutz

• Delivery Hero | Strafe: 195.407€ | Grund: Nichtachtung der Betroffenenrechte
• N26 (App-Bank) | Strafe: 50.000€ | Grund: Speicherung von Daten ehemaliger Kunden auf einer Art schwarzen Liste

Du willst jetzt noch tiefer in die Materie eingehen und Google Analytics von der Pike auf lernen? Dann solltest du dir das Google-Analytics-Seminar von Alexander Holl mal genauer ansehen:

Weitere interessante Beurteilungen abseits von Google Analytics & DSGVO

Facebook Seiten und die DSGVO

Vom 5. Juni 2018 gibt es eine Vorlage zur Vorabentscheidung zum Betrieb von Facebook Seiten. Die Frage, um die es hier im Kern geht, ist, ob bereits das Anlegen einer Facebook Seite eine Mitverantwortung für potentielle Datenschutzverstöße durch Facebook begründet. Einen sehr guten Artikel gibt es hier von Rechtsanwalt Dr. Thomas Schwenke.