121WATT

Haben Sie Fragen?
FAQ
089 416126990

Google Analytics und Datenschutz (DSGVO) – diese rechtlichen Anforderungen musst du erfüllen

Zum Lesen auf deinem Desktop Erinnerung einrichten »

Keine Artikel mehr verpassen? Jetzt Newsletter abonnieren »

Stand: 07/2018  bitte Updates beachten

Wer im Online-Marketing tätig ist, kommt um Google Analytics kaum herum. Google Analytics ist eines der beliebtesten Analysetools für Webseiten. Und wer das Tool derzeit noch nicht nutzt, überlegt vielleicht, dies zukünftig zu tun. In jedem Fall solltest du dich, wenn du Google Analytics verwendest und juristische Probleme vermeiden möchtest, mit den rechtlichen Aspekten auseinandersetzen. Die gute Nachricht: seit dem 15.09.2011 ist der beanstandungsfreie Betrieb von Google Analytics möglich. Allerdings gilt diese Entscheidung vor dem Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO). Deswegen findet Ihr in dem folgenden Artikel umfangreiche Hinweise, Updates, Einschätzungen und Links rund um das Thema Google Analytics und der DSGVO, aber auch wie Ihr technisch in Analytics die Dinge richitg und vernünftig konfiguriert.

 

Wer trägt die Verantwortung für die richtige Integration?

Der Betreiber einer Webseite ist verantwortlich dafür, dass Google Analytics datenschutzkonform in die Webseite eingebunden wird und der Webseitennutzer ausreichend über den Einsatz in einer Datenschutzerklärung informiert wird. Dies gilt unabhängig von vergangenen Diskussionen zwischen Aufsichtsbehörden und Google darüber, wie der Dienst ausgestaltet sein muss, um überhaupt datenschutzrechtlich zulässig eingesetzt werden zu können.

Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:

Die nächsten freien Datenschutz im Online-Marketing Termine:

  1. Design Offices – Arnulfpark
    Design Offices – Arnulfpark
    Luise-Ullrich-Str. 20
    80636 München
    31.01.2019
    10:00 Uhr - 18:00 Uhr
    München
    mit Martin Schirmbacher
    695,- €*
    Jetzt anmelden
  2. Design Offices – Domplatz
    Design Offices – Domplatz
    Domstr. 10
    20095 Hamburg
    05.03.2019
    10:00 Uhr - 18:00 Uhr
    Hamburg
    mit Martin Schirmbacher
    695,- €*
    Jetzt anmelden
  3. Design Offices – Arnulfpark
    Design Offices – Arnulfpark
    Luise-Ullrich-Str. 20
    80636 München
    01.04.2019
    10:00 Uhr - 18:00 Uhr
    München
    mit Martin Schirmbacher
    695,- €*
    Jetzt anmelden
* zzgl. USt.
  • Legende:
  • Ausreichend freie Plätze.
  • Wenige freie Plätze!
  • Leider ausgebucht.

Was du beachten musst, um Google Analytics rechtskonform einzusetzen

Für dich als Webseitenbetreiber stellen sich die folgenden Fragen:

  • Benötige ich einen besonderen Datenschutzvertrag mit Google?
  • Wie muss ich die User über den Einsatz des Analyse-Tools informieren?
  • anonymizeIp – Wie kann ich technisch den Datenschutzanforderungen gerecht werden?
  • Welche Add-Ons muss ich meinen Nutzern zur Verfügung stellen?
  • Welche Datenschutzregelungen müssen sonst noch beachtet werden?
  • Was mache ich mit Daten, die ich nicht datenschutzkonform gesammelt habe?

Hinweis: Wie Ihr Google Analytics richtig integriert, also nicht nur rechtskonform, lest Ihr hier!

Vertrag zur Auftragsverarbeitung mit Google

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsverarbeitung mit Google abschließt. Der alte Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG a.F. steht mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) nicht mehr zur Verfügung. Jedoch steht seit dem 25. Mai 2018 ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO bereit, der nach Art. 28 Abs. 9 DSGVO auch im elektronischen Format abgeschlossen werden kann. Den entsprechenden Hinweis findest du hier.

Google bietet dafür in den Kontoeinstellungen bereits einen Zusatz zur Datenverarbeitung an, dem du zustimmen kannst. Nähere Informationen von Google findest du hier.

Ob mit dem elektronischen Format eine qualifizierte elektronische Signatur gemeint ist, es ausreicht, den Vertrag zu unterzeichnen und einzuscannen oder eine Zustimmung mittels Klick auf einen Button genügt, ist aktuell umstritten.

Nach Ansicht der Datenschützer musst du ohne einen solchen Vertrag jeden User um seine Einwilligung bitten, seinen Besuch mittels Google Analytics zu erfassen und auszuwerten. Sicher nicht praktikabel.

Google Analytics Add-on und Opt-out-Cookie

Stelle sicher, dass du die Besucher deiner Webseite über die Nutzung von Google Analytics ausreichend informierst und Ihnen die Möglichkeit gibst, dies zu unterbinden. Wo baust du eine solche Erklärung am besten ein? Der geeignete Ort hierfür ist die Datenschutzerklärung. Im Folgenden findest du eine entsprechende Erklärung – wie sie oft im Netz verwendet wird. Diese Erklärung haben wir noch um einen Abmeldungshinweis erweitert. Google stellt hier zwei Möglichkeiten zur Verfügung:

a) Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.

b) Ein Opt-Out-Cookie, dass es dem Nutzer ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst ist hier bei Google beschrieben.

Hinweis: Hier haben wir für Euch mal noch mehr im Detail beschrieben was eigentlich genau Cookies sind  und was ist der Unterschied zwischen First und Third Party Cookies.

Google Analytics-Datenschutzerklärung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Die Benutzung erfolgt auf der Grundlage des Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite wie

  • Browser-Typ/-Version,
  • verwendetes Betriebssystem,
  • Referrer-URL (die zuvor besuchte Seite),
  • Hostname des zugreifenden Rechners (IP-Adresse),
  • Uhrzeit der Serveranfrage,

werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Im Auftrag des Betreibers dieser Website wird Google diese Information benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseiten-Aktivitäten zusammenzustellen und um weitere mit der Webseiten-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Webseitenbetreiber zu erbringen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie auf diesen Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen. [Anm. Hinweise zur Einbindung des Opt-Out-Cookie finden Sie unter: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable].

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

Weitere Informationen zum Datenschutz im Zusammenhang mit Google Analytics finden Sie etwa in der Google Analytics-Hilfe (https://support.google.com/analytics/answer/6004245?hl=de).


anonymizeIp direkt im Quellcode oder über den Google Tag Manager
Denk unbedingt daran, die Funktion zur Maskierung von IP-Adressen („anonymizeIP“) zu nutzen. Dies ist eine Erweiterung des Google Analytics-Codes, die es ermöglicht, IP-Adressen zu kürzen und somit zu anonymisieren. Google löscht hier beim Erheben der Daten die letzten 8 Bit der IP-Adresse, bevor die Daten gespeichert werden. Praktisch bedeutet dies, dass das letzte Oktett auf 0 gesetzt wird. Welche Daten Google Analytics aus der IP-Adresse interpretiert, findest du hier in einem Artikel von Alexander zum Thema not set in Google Analytics. Wenn du noch den alten Tracking-Code benutzt, muss dieser Befehl bei Google Analytics wie folgt eingebaut werden: anonymizeIP Befehl fürs klassische Google Analytics

Hast du deine Daten schon zu Universal Analytics migriert? Dann solltest du deinen Tracking-Code um die folgende Zeile erweitern. Diese Referenz von Google kannst du an deinen Entwickler geben.

anonymizeIp-universal-analytics-datenschutz

Am einfachsten ist es die Anonymisierung zu machen, wenn du deinen Google Analytics Trackingcode über den Google Tag Manager (GTM) implementiert hast.
Mit Hilfe des GTM können wir die anonymizeIP-Funktion mit der Google-Analytics-Settings-Variablen einbinden. Dies funktioniert dann wie folgt:

  1. Zunächst müsst Ihr eine neue Variable im GTM anlegen
  2. Dann gelangt ihr zu der Ansicht, wo ihr den Variablentyp auswählen könnt. Hier Bitte den Variablentyp “Google Analytics-Einstellung” auswählen
  3. Im nächsten und elementaren Schritt müsst Ihr die festzulegenden Felder ausfüllen. Dort tragt ihr unter Feldname “anonymizeIP ein und wählt den Wert “true” (siehe Screenshot).

AnonymizeIp über den Google Tag Manager

Bei Accelerated Mobile Pages (AMP) ist eine Anonymisierung nicht notwendig. Die Google-Dokumentation sagt dazu: „Data from AMP documents is always IP anonymized.“

Universal Analytics und die derzeitige rechtliche Lage

Universal Analytics ist der aktuelle Betriebsstandard von Google Analytics, es gibt also weder alte noch neue Properties, die Universal Analytics nicht verwenden. An dieser Stelle erfolgt somit der wichtige Hinweis, dass die rechtliche Lage zur Verwendung von Universal Analytics derzeit nicht ganz klar ist. Die zu Google Analytics mit den Aufsichtsbehörden abgestimmte Formulierung eines Hinweises für die Datenschutzerklärung wird häufig auch dann verwendet, wenn Universal Analytics genutzt wird.

Tatsächlich unterscheidet sich Universal Analytics jedoch durch die Möglichkeit, Cross-Device-Tracking zu betreiben. Dies geschieht durch den Einsatz einer User-ID, die etwa bei einem Login dem Nutzer zugeordnet wird. Die User-ID fungiert dabei als Pseudonym und eine Identifizierung des dahinterstehenden Nutzers soll ausgeschlossen sein. Nach der DSGVO sind Pseudonyme aber nicht mehr privilegiert. Die User-ID ist somit als Online-Kennung ein personenbezogenes Datum. Für die Verarbeitung ist daher eine gesetzliche Erlaubnis oder eine Einwilligung erforderlich. Als Werbender hast du grundsätzlich kein berechtigtes Interesse daran, das Nutzerverhalten geräteübergreifend zu analysieren: Dies widerspricht den vernünftigen Erwartungen der Nutzer. Ebenso ist es nicht praktikabel, von jedem Nutzer eine Einwilligung einzuholen. Unter diesen Gesichtspunkten ist Einsatz der User-ID bei Universal Analytics nicht zulässig.

Die gute Nachricht ist, dass Google dich nicht zwingt, die User-ID zu nutzen. Vielmehr muss die Funktion zunächst im Analytics-Konto aktiviert und anschließend auch im Tracking-Code implementiert werden. Ohne die Aktivierung kannst du Google Analytics weiterhin nutzen.

Wichtig Update April 2017: Aktuelle Informationen zum Thema Datenschutz (Privacy Shield und Safe Harbor)

Wie man in den letzten Wochen und Monaten gesehen hat, gibt es immer wieder Änderungen zum Thema Google Analytics und Datenschutz. So wurde unlängst noch mal eine intensive Debatte (Feb 17) darüber geführt, welche Auswirkung das neue Privacy Shield versus Safe Harbor für den datenschutzkonformen Einsatz von Google Analytics hat. Hier die Stellungnahme (Feb 2017) der Hamburger Datenschutzbehörde. Weiterhin hat die Behörde auch noch Hinweise für den datenschutzkonformen Einbau zur Verfügung gestellt.

Google Analytics und die Datenschutzgrundverordnung (DSGVO)

Auch die Europäische Datenschutzverordnung (EU-DSGVO), die im Mai 2018 in Kraft getreten ist, hat das Thema der Datenerhebung in Web Analyse Systemen verändert. Hier der Hinweis auf die entsprechende Verordnung. Dabei werden die Strafen, die hier bei Verstößen verhängt werden können, deutlich höher sein als die bisherige Sanktionen in Höhe von 300.000€. Mit Eintreten der (EU-DSGVO) werden Bussgelder bis in Höhe von 20.000.000€ bzw. 4% des Umsatz möglich sein (zu finden unter Artikel 83 & 84 hier).

Google Analytics und die Verarbeitung personenbezogener Daten

Die neue Datenschutzgrundverordnung regelt ja in Europa den Umgang mit personenbezogenen Daten. Somit stellt sich erst einmal die grundsätzliche Frage, was personenbezogenen Daten im Zusammenhang mit Google Analytics sind? Abseits des unbeabsichtigten oder beabsichtigten Sammelns personenbezogener Daten zum Beispiel, wenn Ihr in Google Analytics Kreditkarteninformationen sammelt oder versehentlich bei Kontaktformularen Daten über die die URL übergebt und damit sammelt, war die immer entscheidende Frage in GA, ob die IP Adresse ein personenbezogenes Datum ist? Und die IP-Adresse gehört in Deutschland zu den personenbezogenen Daten.

Somit müssen auch, wie es bisher Praxis war, die IP-Adressen in Google Analytics anonymisiert werden, wie weiter oben beschrieben. Solltet ihr versehentlich oder beabsichtigt personenbezogene Daten in Google Analytics sammeln, verstößt Ihr sowieso gegen die Datenverarbeitungsbedingungen von Google, was zu einer Kündigung seitens Google Analytics führen kann.

Tipp: Hier gibt es von Markus Baersch ein sehr interessantes Tool, damit Ihr mal überprüfen könnt, ob Ihr (un)beabsichtigt personenbezogenen Daten wie Emailadressen, IBAN-Nummern oder Adressen in Google Analytics sammelt. Die Verwendung dieses Tools ist natürlich auf Eurer eigenes Risiko, da Ihr hier Zugang zu Euren Analytics Implementierungen erlaubt: Tool Datenschutzprobleme in Google Analytics analysieren

Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder zu Tracking

Update Mai 2018: Die deutschen Datenschutzbehörden haben am 26. April eine gemeinsame Erklärung zum Tracking beziehungsweise ein Positionspapier zum Einsatz von Trackingtechnologien verfasst. Das Positionspapier findet Ihr hier und eine Bewertung dieses Positionspapier hier. Das die neue Datenschutz-Grundverordnung  (DSGVO) viel Interpretationsspielraum zulässt, ist es meines Erachtens nach wichtig, die verschiedenen Auffassungen und Positionen zu analysieren, zu bewerten und auf dieser Basis eine informierte Entscheidung zu treffen.

Zusatz zur Datenverarbeitung in Google Analytics

Wenn Ihr über einen direkten Kundenvertrag mit Google Analytics verfügt, müsst Ihr dem Zusatz zur Auftragsdatenverarbeitung in Eurem Administrationsbereich unter Kontoeinstellungen und dann ganz nach unten scrollen zustimmen.
Achtung hier wird das Datum Eurer Zustimmung mitprotokolliert. Mehr dazu findet Ihr auch hier.

Zusatz zur Datenverarbeitung: Google Analytics und die Datenschutzgrundverordnung (DSGVO)

In einem nächsten Schritt könnt Ihr jetzt in Google Analytics Euren Zusatz zur Auftragsdatenverarbeitung verwalten. Dazu müsst Ihr zum Beispiel eine juristische Person hinterlegen und diese dann als Zusatzinformationen mit Eurem Google+ Profil verbinden. Wie das aussieht seht Ihr im nächsten Screenshot:

Zusatz zur Auftragsdatenverarbeitung in Google Analytics verwalten

Jetzt solltet Ihr in Google Analytics „Suite Home“ aufrufen und Eure Organisation verknüpfen. Dazu solltet Ihr Eure Google+ Adresse hinterlegen und die entsprechenden Konten, hier zum Beispiel unser Google Analytics und unser Google Tag Manager Konto, verbinden:

Organisationen und Konten in Google Analytics für den Zusatz zur Auftragsdatenverarbeitung verbindnen: DSGVO

Datenaufbewahrung in Google Analytics

Google rüstet sich weiterhin für die am 25. Mai erschienende Datenschutzgrundverordung (DSGVO) und passt Google Analytics an den europäischen Vorgaben an. Vor ein paar Tagen hat Google die Option für das Löschen der erhoben Daten ins Leben gerufen, worüber ihr den Aufbewahrungszeitraum der erhobenen Nutzer- und Ereignisdaten auf den Servern bestimmen könnt. Diese Option findet ihr unter der Verwaltung und wählt im nächsten Schritt die gewünschte Property aus. Daraufhin klickt ihr auf “Tracking-Informationen” und ihr gelangt zu der neuen Funktion “Datenaufbewahrung”.

Einstellung Datenaufbewahrung iun Google Analytics auf Propertyebenen für DSGVO

Hier bietet Google verschiedene Zeiträume an, wodurch ihr die Speicherdauer der erhobenen Daten bestimmen könnt: Aktuell liegen folgende Optionen vor:

  • 14 Monate
  • 26 Monate
  • 38 Monate
  • 50 Monate
  • keine Löschung der erhobenen Daten

Eure gewählte Einstellung wird dann am 25. Mai 2018 durch Google aktiviert und die Aufbewahrungsfrist ist eingestellt. Die automatische Löschung der Daten wird dann einmal pro Monat durchgeführt, bei denen das Ende der der gewählten Aufbewahrungsdauer erreicht ist. Nimmt ihr dann eine Änderung an der Speicherdauer vor, so wird diese neu gewählte Dauer innerhalb von 24 Stunden durch Google Analytics übernommen.

Wichtiger Hinweis von Google: In diesen 24 Stunden könnt Ihr diese Änderung wieder rückgängig machen und die Daten werden nicht gelöscht.

Liegt der neu gewählte Zeitraum unter den davor genannten Zeitraum, so werden alle betroffenen Daten im folgenden Monat gelöscht. Wenn du zum Beispiel die zuvor festgelegte Aufbewahrungsdauer von 38 Monaten auf 14 Monaten abänderst, werden alle Daten, die älter als 14 Monate sind, im darauffolgenden Monat gelöscht.

Darüber hinaus besteht die Möglichkeit, dass ihr die Speicherungsdauer der Nutzer-ID bei jeder neuen Aktivität des jeweiligen Nutzers zurücksetzten lassen könnt. Dadurch wird das Ablaufdatum wie folgt neu gesetzt: Aktuelle Zeit + die oben festgelegte Aufbewahrungsdauer.

Habt ihr die Datenspeicherung zum Beispiel auf 26 Monate festgelegt und der Nutzer führt jeden Monat eine neue Sitzung durch, so wird seine Nutzerkennung jeden Monat aktualisiert und die gewählte Ablaufdauer von 26 Monaten wird nicht erreicht. Führt der Nutzer keine neue Sitzung durch, werden seine Daten nach Ablauf der 26 Monaten gelöscht.

Nutzt ihr diese Option nicht, werden die Daten die mit der Nutzer-ID verknüpft sind automatisch nach Ablauf der gewählten Aufbewahrungsdauer gelöscht.

Meine Einschätzung zu der neuen Funktion der Datenaufbewahrung: Die Funktion dieser Option interpretiere ich so, dass Google die Umsetzung der DSGVO Anforderung technisch umsetzen will und muss, da betroffene Personen ein Recht auf Löschung ihrer erhobenen Daten haben (Art. 17 DSGVO). Bisher hatten wir nämlich nicht die Möglichkeit, die personenbezogen und anonymisierten Daten der Nutzer in diesem Umfang zu löschen. Für uns in Deutschland ist das nach dem am 25. Mai 2018 abgelösten Bundesdatenschutzgesetz (BDSG) kein Neuland, aber nach Auslegung der DSGVO betrifft das Recht auf Löschung auch auf anonyme Profile bzw. Daten zu.

Gute Möglichkeiten, um auf dem aktuellen Stand zu bleiben sind.

Wenn Ihr noch mehr Interesse zum Thema Google und Datenschutz habt, dann findet Ihr auch hier umfangreich Informationen zu

  • ISO 27018 – Datenschutz in der Cloud
  • ISO 27017 – Sicherheit in der Cloud
  • ISO 27001 – Management der Informationssicherheit
  • Google`s Verpflichtung gegenüber der DSGVO

Google Tag Manager und die Datenschutzgrundverordnung (DSGVO)

In den letzten Tagen erreichten uns viele Anfragen, ob der Google Tag Manager (GTM) im Rahmen der DSGVO weiterhin verwendet werden darf und wie man diesen DSGVO konform einsetzt. Nach der aktuellen Rechtslage kann der GTM weiterhin verwendet werden, wenn die Anforderungen der DSGVO erfüllt werden (ähnlich wie bei Google Analytics). Wie sehen also die Anforderungen aus und wie setzte ich das technisch um?

Die rechtlichen Anforderungen unterscheiden sich nicht wirklich von denen, die Google Analytics betreffen. Hier sind zunächst zwei wichtige Punkte zu beachten:

Auftragsverarbeitungs-Vertrag

Im Tool selbst könnt ihr den Zusatz zur Datenverarbeitung online akzeptieren. Dies wird in der Regel wie folgt vorgenommen:

  1. Tab Verwaltung öffnen
  2. Kontoeinstellungen öffnen
  3. Das Feld „Daten anonym an Google und andere weitergeben“ anklicken
  4. Auf den Link „Zusatz zur Datenverarbeitung anzeigen“ klicken und anschließend akzeptiere.


Unter diesen Voraussetzungen könnt ihr den Google Tag Manager nach der aktuellen Rechtslage im Rahmen der DSGVO verwenden. Sollte sich die Rechtslage ändern, werden wir euch selbstverständlich darüber informieren.

Wie sehen erste Integrationen zu Online Marketing & der DSGVO aus?

Wie am Ende die Zustimmung zur Verwendung der verschiedenen Tracking- und Marketing Cookies aussehen kann muss wahrscheinlich jedes Unternehmen individuell entscheiden. Ein interessantes Beispiel in der Umsetzung ist die Firma phillips.de. die die Nutzereinwilligung umfangreich abfragt. Hier einmal die Screenshot:

Datenschutz im Online Marketing DSGVO Cookie Zustimmung durch den Nutzer. Ein Beispiel für die Umsetzung bei Phillips

Warum IP-Adressen anonymisiert werden müssen

Du magst dich vielleicht fragen, warum IP-Adressen anonymisiert werden müssen. Gegebenenfalls vertrittst du die Meinung, dass IP Adressen gar keine personenbezogenen Daten sind, weil sie meist dynamisch erstellt werden und Serviceprovider sie an unterschiedliche Nutzer zu unterschiedlichen Zeiten verteilen. Wer also welche IP-Adresse gerade im Moment nutzt, kann nur der Serviceprovider beantworten und das auch nur, wenn man samt rechtlicher Verfügung an die Tür klopft. Darüber hinaus sagt die IP noch nicht, ob Person X darüber ins Internet gegangen ist oder vielleicht der Kollege bei der Arbeit oder ein anderes Familienmitglied daheim. Dies klingt nach einem berechtigten Einwand. Allerdings gibt es neben den dynamischen auch statische IP-Adressen, die einen direkteren Schluss auf den Nutzer zulassen.

Das sehen aber nicht mehr nur die Datenschutzbehörden, sondern mittlerweile auch der Europäische Gerichtshof und der Bundesgerichtshof anders. Zudem liegt der DSGVO ein weites Verständnis von personenbezogenen Daten zugrunde. Nach diesem Verständnis fällt jede „Online Kennung“ einschließlich aller, auch dynamischer IP-Adressen und Cookies, in die Kategorie personenbezogener Daten.

Zwar lässt sich das First-Party-Nutzertracking grundsätzlich auf dein berechtigtes Interesse an Direktwerbung aus Art. 6 Abs. 1 lit. f DSGVO stützen. Hierfür ist es jedoch nicht erforderlich, die gesamte IP-Adresse zu speichern. Somit musst du die IP-Adressen anonymisieren.

Lösche alle Daten, die du vor der Einbindung von „anonymizeIP“ erhoben hast. Diese sind unrechtmäßig erhoben worden und müssen demnach sofort gelöscht werden. Damit du nicht gleich dein ganzes Konto bei Google löschen musst, bietet Google dir die Möglichkeit, einzelne Profile/Datenansichten zu löschen. Wie so etwas geht? Hier ein Screenshot aus der Analytics-Hilfe von Google: Datenansicht bei Google löschen

Wann greift die Datenschutz-Grundverordnung eigentlich?

Falls du dich abschließend noch fragst, ob die DSGVO für deine Webseite überhaupt anwendbar ist, da diese im Ausland gehostet wird, dann muss dies mit „ja“ beantwortet werden, wenn dein Unternehmen einen Sitz in Deutschland hat. Dies kann auch nur eine kleinere Zweigstelle oder ein Rechenzentrum sein.

Im Rahmen der DSGVO gelten EU-weit gleiche Voraussetzungen. Somit muss jeder in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter – unabhängig davon ob die Datenverarbeitung in der EU stattfindet – der Verordnung folgen. Das Gleiche gilt, wenn personenbezogene Daten von einer in der EU befindlichen Person durch einen Verarbeiter außerhalb der EU verarbeitet werden. Paradebeispiel ist ein Online-Shop, der Waren in der EU anbietet und das Verhalten seiner Kunden verfolgt.

Ändert sich durch das Safe Harbor Urteil etwas?

Du hast vielleicht gehört, dass der Europäische Gerichtshof das Safe Harbor Verfahren für ungültig erklärt hat. Hier ein Artikel dazu. Die Übermittlung von personenbezogenen Daten in die USA lässt sich nun nicht mehr damit rechtfertigen, dass sich das U.S.-Unternehmen den Safe Harbor-Regeln unterworfen hat. Es gibt aber mit dem EU-US-Privacy-Shield ein neues Abkommen, sodass die Übermittlung personenbezogener Daten weiterhin möglich ist.

Bei der Nutzung von Google Analytics mit „anonymizeIP“ werden jedoch gar keine personenbezogenen Daten in die USA geschickt. Insofern ist Google Analytics von der Safe Harbor-Entscheidung nicht betroffen. Folgt man der gegenteiligen Ansicht der Datenschutzbehörde Baden-Württemberg, die davon ausgeht, dass die IP-Adresse erst in den USA gekürzt werde, ist der Einsatz von Google Analytics ohne Einwilligung rechtswidrig und somit zu unterlassen.

Haben Sie ihren Auftragsverarbeitungsvertrag vor dem 23. September 2016 geschlossen, nimmt dieser noch auf Safe Harbour Bezug. Seit dem sich Google dem Privacy Shield unterworfen hat, gibt es einen neuen Vertrag, den sie nutzen müssen.

Wie prüfen die Landesdatenschutzbehörden das eigentlich?

Die bayerische Landesdatenschutzbehörde beispielsweise beschreibt auf ihrer Seite, dass sie ein Online-Überprüfungstool entwickelt hat, um zu überprüfen ob

  • der Google Analytics-Trackingcode in deine Seite eingebunden ist.
  • der Trackingcode korrekt mit anonymizeIP implementiert ist.
  • deine Datenschutzerklärung leicht zu finden ist.
  • die Datenschutzerklärung den Anforderungen genügt.

Was passiert eigentlich, wenn ich diese Prüfung nicht bestehe?

Die bayerische Landesdatenschutzbehörde verhängt beim erstmaligen Erkennen nach eigenen Angaben (Satz 3) keine Bußgelder. Demnach also erst nach Aufforderung. Zitat im PDF Website des BayLDA

Ob und in welchem Umfang die Datenschutzbehörden die drastisch erhöhten Bußgelder der DSGVO verhängen, ist nicht vorhersehbar. Klar ist aber: Die Bußgelder sind existenzbedrohend, auf nachgiebige Datenschutzbehörden sollten Sie sich nicht verlassen.

Checkliste: Google Analyics Datenschutzkonform verwenden

Hast du…

  • einen Auftragsdatenverarbeitungsvertrag mit Google abgeschlossen?
  • die Besucher deiner Webseite über die Nutzung von Google Analytics unterrichtet? (in der Datenschutzerklärung)
  • deinen Nutzern die Möglichkeit gegeben, sich von der Datenerhebung auszuschließen? (Add-On oder Opt-Out Cookie nicht vergessen)
  • den Code zur Anonymisierung der IP-Adressen der Besucher in deine Webseite eingebaut?
  • überprüft, ob die Anonymisierung der IP Adresse auch tatsächlich funktioniert?
  • fälschlich erhobene Daten gelöscht?

Glückwunsch! Dann verwendest du Google Analytics momentan rechtskonform. Warum momentan? Da sich auf Grund der europäischen Rechtslage immer wieder Änderungen ergeben können. Gleiches gilt natürlich auch bei technischen Neuerungen von Google. So ist derzeit etwa noch unklar, ob der Einsatz von Google Universal Analytics genauso zu behandeln ist, wie der Einsatz von Google Analytics. Sobald sich Neuerungen ergeben, werden wir dich wieder informieren.

Du willst jetzt noch tiefer in die Materie eingehen und Google Analytics von der Pike auf lernen? Dann solltest du dir das Google Analytics Seminar von Alexander Holl mal genauer ansehen:

Die nächsten freien Google-Analytics-Seminar Termine:

  1. Design Offices – Arnulfpark
    Design Offices – Arnulfpark
    Luise-Ullrich-Str. 20
    80636 München
    15.11.2018 - 16.11.2018
    Tag 1: 10:00 Uhr - 18:00 Uhr
    Tag 2: 09:00 Uhr - 17:30 Uhr
    München
    mit Alexander Holl
    985,- €*
    Jetzt anmelden
  2. Design Offices – Barckhausstraße
    Design Offices – Barckhausstraße
    Barckhausstraße 1
    60325 Frankfurt am Main
    28.11.2018 - 29.11.2018
    Tag 1: 10:00 Uhr - 18:00 Uhr
    Tag 2: 09:00 Uhr - 17:30 Uhr
    Frankfurt am Main
    mit Maik Bruns
    985,- €*
    Jetzt anmelden
  3. Fast Lane Institute for Knowledge Transfer
    Fast Lane Institute for Knowledge Transfer
    Gasstraße 4a
    22761 Hamburg
    03.12.2018 - 04.12.2018
    Tag 1: 10:00 Uhr - 18:00 Uhr
    Tag 2: 09:00 Uhr - 17:30 Uhr
    Hamburg
    mit Alexander Holl
    985,- €*
    Jetzt anmelden
* zzgl. USt.
  • Legende:
  • Ausreichend freie Plätze.
  • Wenige freie Plätze!
  • Leider ausgebucht.

Weitere interessante Beurteilungen abseits von Google Analytics & DSGVO

Facebook Seiten und die DSGVO

Vom 5 Juni 2018 gibt es eine Vorlage zur Vorabentscheidung zum Betrieb von Facebook Seiten. Die Frage, um die es hier im Kern geht ist, ob bereits das Anlegen einer Facebook Seite eine Mitverantwortung für potentielle Datenschutzverstöße durch Facebook begründet. Einen sehr guten Artikel gibt es hier  von Rechtsanwalt Dr. Thomas Schwenke.

 

 

Wie hilfreich war dieser Artikel für dich?

Vielen Dank

32 Kommentare zu “Google Analytics und Datenschutz (DSGVO) – diese rechtlichen Anforderungen musst du erfüllen”

  1. Andi Petzoldt

    07.12.2015 um 14:44 Uhr

    Meiner Meinung nach fehlt in der obigen Datenschutzerklärung noch der Link mit der Funktion, um auf Mobil-Geräten das entsprechende Opt-Out-Cookie zu setzen.

    • Theresa Richter

      07.01.2016 um 12:06 Uhr

      Hallo lieber Herr Petzolt, danke für Ihren Kommentar. Ihr Hinweis ist bedingt richtig. Für den Opt-Out-Cookie existiert kein Standard-Link. Vielmehr bedarf es einer Implementierung des entsprechenden Codes. Infos dazu gibt Google unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable. Jeder Website-Programmierer sollte damit etwas anfangen können.
      Viele liebe Grüße

      • Andi Petzoldt

        07.01.2016 um 12:57 Uhr

        In der Dokumentation von Google steht leider nicht, dass die Funktion zum Opt-Out in der Datenschutzerklärung integriert werden muss. Ohne diesen Link (mit hinterlegter Funktion) ist die Implementation der Opt-Out-Funktion (wie von Google dokumentiert) ja völlig zweckfrei, da ein Website-Besucher gar keine Möglichkeit hat, diese auszuführen. Und diesen Hinweis habe ich in diesem Artikel hier vermisst (welcher ansonsten sehr gut ausgearbeitet ist).

  2. Theresa Richter

    08.01.2016 um 12:28 Uhr

    Wenn wir Sie richtig verstehen, beziehen Sie sich auf die empfohlene „Google Analytics Datenschutzerklärung“? Sie haben Recht, dort ist in der Tat der Hinweis „(bitte einfügen)“ im Zusammenhang mit der Erwähnung eines Opt-Out Cookie nicht ganz selbsterklärend. Wir haben den Satz nach Rücksprache mit unseren Rechtsanwälten noch einmal überarbeitet.

    Der Link, der eingefügt wird, muss individuell aufgesetzt werden. Wie Sie diesen aufsetzten können, finden Sie hier: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable – Vielen Dank für Ihren Hinweis.

  3. Melanie H.-R.

    10.02.2016 um 13:13 Uhr

    Vielen Dank für die kompakte und hilfreiche Zusammenfassung. Folgende Fragen sind bei mir noch offen geblieben:
    _ Müssen bei der Integration von anonymizeIP über den Google Tag Manager alle Tags entsprechend konfiguriert werden?
    _ Wie kann ich bei der Implementierung über den Google Tag Manager anschließen sicherstellen, dass die Anymisierung korrekt funktioniert?

    • Theresa Richter

      17.02.2016 um 11:01 Uhr

      Liebe Melanie, vielen Dank für deine Fragen. Bezüglich deiner zweiten Frage: Wenn du Google Chrome nutzt, dann schau Dir doch einmal das Plug-In WASP an. (Hier kannst du es deinem Browser hinzufügen: https://chrome.google.com/webstore/detail/waspinspector-analytics-s/niaoghengfohplclhbjnjheodgkejpih). Mit Hilfe dieses Tools kannst du die Anonymisierung auf deiner Seite nachverfolgen und sicherstellen, dass sie korrekt funktioniert. In Hinsicht auf deine erste Frage muss ich noch Antworten von unserem Techniker einholen. Wir melden uns, sobald wir Dir damit weiterhelfen können. Lieben Gruß, Theresa

  4. Moritz

    15.04.2016 um 13:42 Uhr

    Guten Tag.

    Ein sehr guter Artikel.
    Genügt rechtlich tatsächlich die Löschung der Datenansicht um das Konto nach dem Abschluss der Auftragsdatenverarbeitung mit Google auf „null“ zu setzen?
    Ich dachte, die Daten blieben trotzdem mit dem Konto/Account verbunden, wodurch das Anlegen eines neuen Accounts notwendig wäre, um auf Nummer sicher zu gehen?
    Mit freundlichen Grüßen, Moritz

    • Alexander Holl

      19.04.2016 um 17:18 Uhr

      Hallo Moritz, danke für Deinen Kommentar, allerdings ist die Löschung der Datenansicht nicht ausreichend, da ja in Google Analytics die Daten auf Property Ebene gesammelt werden. Auch der Anonymizer wird nach der Property ID (also zum Beispiel UA-xxxxxx-xx)eingesetzt. Die Datenansicht ist somit immer nur eine Berichtsebene.

      • Moritz

        19.04.2016 um 17:30 Uhr

        Hallo Alexander.

        Vielen Dank für die Antwort.
        Dann stimmt die Aussage von e-recht24.de: das Löschen der Datenansicht genügt (neben allen anderen Maßnahmen: Anonymizer, Vertrag mit Google…) nicht und man muss das komplette Konto löschen / sich ein neues anlegen um ganz auf Nummer sicher zu gehen?

        „3. Die bisherigen Google-Analytics-Daten müssen gelöscht werden:
        Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.“ – e-recht24.de

        Es ist wirklich schwierig eine klare Antwort zu bekommen bzw. abzuwägen welches Risiko man eingeht, wenn man „nur“ die aktuellen „Bestimmungen“ umsetzt, aber die Daten nicht zurücksetzt – und wenn man dies tut, auf welcher Ebene.

        Ich freue mich auf eine Antwort.

        Mit freundlichen Grüßen, Moritz

        • Alexander Holl

          06.05.2016 um 16:31 Uhr

          Hallo Moritz ick kann nur noch mal auf dieses Dokument hinweisen, was sehr klar sagt, das wenn Du die Daten nicht datenschutzkonform erhoben hast, du alle bisher gesammelten Daten löschen musst. Praktisch heisst das, das du einen Property mit einer neuen ID anlegen musst. Siehe hier noch mal https://www.lda.bayern.de/media/info_google_analytics.pdf

          • Moritz Conjé

            07.05.2016 um 14:02 Uhr

            Das ist eine Quelle nach der ich gesucht habe.
            Vielen Dank für den Link.

            Mit freundlichen Grüßen, Moritz

  5. DaLA

    27.06.2016 um 12:59 Uhr

    Was kann ich machen wenn ich schon seit Wochen darauf warten den Vertrag von google zurückzubekommen?

    • Alexander Holl

      27.06.2016 um 16:10 Uhr

      Üblicherweise dauert es ca. 4 – 6 Wochen bis der Vertrag zur Auftragsdatenverarbeitung aus Dublin von Google zurückkommt.

  6. Markus

    11.08.2017 um 08:03 Uhr

    Besten Dank für den tollen Beitrag.
    Wirklich sehr sehr hilfreich.

    Eine Sache weiß ich aber noch immer nicht. Betrifft die auf der eigenen Website zu hinterlegende „Google Analytics-Datenschutzerklärung“.

    Ist der unter der gleichnamigen Überschrift zu findende Inhalte so rechtlich geprüft und kann dementsprechend auch 1:1 auf der eigenen Website genutzt werden (samt Hinweis auf Universal Analytics) – und das ohne die Gefahr hin abgemahnt zu werden?

    Versteht die Frage bitte nicht als Kritik. Möchte nur alles richtig verstanden haben. Gerade hier ist das ja wichtig.
    … und als Nicht-Jurist kann ich einen korrekten Datenschutzhinweis natürlich auch nicht einfach selbst schreiben.

    Danke!

    • Alexander Holl

      28.08.2017 um 11:05 Uhr

      Hallo Markus, nein wir können hier nie vollkommen rechtssicher eine Empfehlung abgeben. Schon alleine, weil hier ja auch die Rechtssprechung im Fluß ist. Ab nächstes Jahr erwarten wir ja auch die EU-DSGVO. Am Ende bleibt immer der Gang zu einem Fachanwalt, der noch einmal eine Überprüfung vornehmen sollte. Beste Grüße Alexander

  7. Andi Petzoldt

    24.04.2018 um 14:38 Uhr

    Hi Alex, danke für die Erweiterung des Artikels hinsichtlich der DSGVO 🙂
    Bezüglich des Analytics Add-On: Hier fehlt m.E. eine Möglichkeit für Mobile-Browser (dort laufen ja noch immer keine Plugins). Was den Abschnitt noch rund machen würde, wäre ein Beispiel (Screenshot), wie ein solches Add-On dann auf der Website aussehen könnte.

    • Alexander Holl

      25.04.2018 um 06:15 Uhr

      Hallo und einen schönen guten Morgen Andi, vielen Dank für deinen Kommentar. Ja das sollten wir vielleicht noch eintragen.

  8. Nils

    07.05.2018 um 11:12 Uhr

    Wie sieht es aus, wenn man eine LTD auf Malta betreibt, welche dann wiederum die Webseiten in Deutschland, bzw. für den deutschen Markt, betreibt? Muss hier dann die LTD auf Malta den Vertrag (auf Deutsch?) mit Google abschließen?

    Grüße!
    Nils

    • Marius Hüpel

      24.05.2018 um 14:38 Uhr

      Hallo Nils,

      in diesem Fall muss die LTD den AV-Vertrag abschließen (falls bereits nicht geschehen; Sprache: Maltesisch oder Englisch) oder zumindest den Zusatz zur Datenverarbeitung zustimmen.

      Viele Grüße
      Marius

  9. Nino

    07.05.2018 um 12:12 Uhr

    Wenn ich eine Zweigniederlassung in einem anderen europäischen Land habe, wie z.B. Luxemburg, muss ich dann auch einen Auftragsdatenverarbeitungsvertrag abschließen (ist das nur was deutsches) oder reicht der digitale Zusatz in Google Analytics?

    Danke 🙂

    • Marius Hüpel

      24.05.2018 um 14:29 Uhr

      Hallo Nino,

      die Thematik mit dem AV-Vertrag betrifft alle, die unter die DSGVO fallen (kurz: Alle Unternehmen, die in der EU ansässig sind oder Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten). Solltet Ihr bereits einen AV-Vertrag (ehemals ADV-Vertrag) mit Google haben, reicht der digitale Zusatz aus.

      Viele Grüße
      Marius

  10. Tobias

    07.05.2018 um 19:39 Uhr

    Vielen Dank für den Artikel! Frage: Mit dem Betreten der Webseite werden ohne vorherige Zustimmung Daten übertragen. Opt out hin oder her – sie werden übertragen. Inwiefern kann das in Ordnung sein und warum brauche ich, wenn das i.O. ist überhaupt ein Opt out? Entweder es ist ok anonymisierte Daten zu übertragen oder es ist nicht ok – so mein Verständnis?

    • Marius Hüpel

      15.05.2018 um 17:17 Uhr

      Hallo Tobias,

      vielen Dank für deine Frage. Ich kann dir die Frage anhand unserer eigenen Vorgehensweise beantworten: Beim Besuch unserer Website erhältst du bei deinen erstmaligen Besuch einen Cookie Hinweis. Diesen kannst du akzeptieren oder du lässt dich auf unsere Datenschutzerklärung leiten: Dort kannst du dann zum Beispiel für Google Analytics das „Add-on“ oder das „Opt-out“ aktivieren. Ab diesen Zeitpunkt werden dann keine Daten mehr gesammelt. Zwischen deinen erstmalige Besuch und des „Opt-outs“ werden die Daten in Google Analytics hinterlegt. Willst du diese Daten ebenfalls nicht freigeben, kannst du von deinem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen. Dann werden auch diese Daten gelöscht.

      Jetzt stellt sich natürlich auch die Frage, ob in diesem Fall nicht ein Opt-in verwendet werden muss. Hier noch einmal zum Verständnis: Um die Daten erfassen und verarbeiten zu können, benötige wir in der Regel die Einwilligung der Website-Besucher (Opt-in) oder ich habe ein berechtigtes Interesse daran, diese Daten zu erfassen. Dann wäre nämlich kein Opt-in erforderlich. Diesbezüglich hat Dr. Martin Schirmbacher ebenfalls einen interessanten Artikel verfasst, der sich mit dieser Frage und mit dem Beschluss der Datenschutzkonferenz beschäftigt. Wenn wir nun diesen Beschluss betrachten heißt das im Klartext, dass wir beim Tracking immer die Einwilligung der Website-Besucher benötigen. Die DSGVO lässt aber anders als das BDSG auch für das Tracking eine Rechtfertigung mit berechtigten Unternehmerinteressen zu. Maßgeblich ist hier eine ausführliche Interessenabwägung.

      Viele Grüße
      Marius

  11. Moritz O.

    14.05.2018 um 17:00 Uhr

    Super Artikel und eine spezielle Frage dazu: Welche deutsche Aufsichtsbehörde oder welche seriöse Quelle hat die Google Vertragsvorlage zur Auftragsdatenverarbeitung wann geprüft und für gut befunden? Auf Grundlage von diesem Artikel habe ich argumentiert, dass der Vertragsentwurf geprüft wurde aber konnte leider nicht beantworten wann und von wem. Viele Grüße

    • Marius Hüpel

      15.05.2018 um 15:48 Uhr

      Hallo Moritz,

      vielen Dank für deine Anfrage. Das ist natürlich eine sehr gute Frage, die ich dir sehr gerne beantworten werde: Welche deutsche Aufsichtsbehörde die Vorlage für gut empfunden hat, kann dahingestellt bleiben. Denn die „Art. 29-Datenschutzgruppe der EU“ nahm das Vorgehen der deutschen Aufsichtsbehörden im Bezug auf Google Analytics zum Vorbild für die europaweite Umsetzung der Datenschutzanforderungen. Darüberhinaus vereinbarte die „Art. 29-Datenschutzgruppe der EU“ mit Google die Möglichkeit der elektronischen Zustimmung zur Datenverarbeitung. Der genaue Wortlaut sieht wie folgt aus: „For analytics purposes, Google should also extend to all European users the process designed in Germany (enhanced information of the data subjects by the website, limited use of the data to the purpose of analytics and IP anonymisation).“ Die Stellungnahmen der Datenschutzgruppe findest du hier.

      Viele Grüße
      Marius

  12. Gerd

    23.05.2018 um 20:30 Uhr

    Schöner Artikel, mir fehlt ein Aspekt (oder habe ihn übersehen), dass laut Deutscher Interpretation der DSGVO der Bdesucher eine ausdrückliche Einwilligung zum Tracken seines Besuches geben muss. So gelesen unter: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ Punkt 5
    Wie interpretiert Ihr das? Bei WordPress gibt es m.W. Plugins, die dem schon Rechnung tragen, nur wenn sich diese Praxis durchsetzt, können wir Webanalyse verabschieden aus unserem Marketingarsenal.
    Viele Grüße
    Gerd

    • Marius Hüpel

      24.05.2018 um 14:19 Uhr

      Hallo Gerd, deine Anmerkung ist berechtigt und die Thematik wird momentan auch sehr stark diskutiert. Wir haben die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des
      Bundes und der Länder in unserem Beitrag thematisiert und auch die Stellungnahme von Dr. Martin Schirmbacher verlinkt. Diese ausführliche Stellungnahme findest du hier.

      Meine Meinung deckt sich mit die von Dr. Martin Schirmbacher: Das Opt-in ist nach meiner Ansicht noch nicht erforderlich, da u.a. die Begründung der Konferenz sehr dünn ist und viel Platz für Interpretationen zulässt. Wirklich sicher können wir erst sein, wenn es die ersten Entscheidungen von Seiten des EuGH vorliegen. Für unsere Praxis bleiben wir weiterhin bei dem Opt-out. Natürlich nur so lange, bis eine rechtssichere Entscheidung vorliegt.

      Viele Grüße
      Marius

  13. Julia

    28.05.2018 um 14:21 Uhr

    Super Beitrag, vielen Dank! Ich habe eine Frage zu dem „Zusatz zur Auftragsdatenverarbeitung“. Wen trage ich als juristische Person ein, wenn ich ein als Einzelunternehmer ein Nebengewerbe betreibe? Rechtlich gesehen bin ich doch eine „natürliche Person“!?

    Stand heute (28.05.18) gibt es den schriftlichen Vertrag mit Google nicht mehr. Scheint wohl so, dass nur noch der Zusatz zur ADV online abgeschlossen werden kann/soll.

    Danke, viele Grüße
    Julia

    • Marius Hüpel

      28.05.2018 um 16:25 Uhr

      Hallo Julia,

      vielen Dank. Ich hoffe, dass wir Dir mit unserem Beitrag helfen konnten. In Deinem Fall würde ich das Feld auslassen, da es nach meinem Wissensstand kein Pflichtfeld ist. Und es gibt natürlich die Fälle, wo keine juristische Person vorliegt. Dann bleibt ja auch nichts anderes übrig. Aber Du müsstest Dich zum Beispiel als primären Kontakt hinterlegen.

      Seit dem 25. Mai ist der Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO in elektronischer Form ausreichend. Die Zusendung eines schriftlichen AV-Vertrages ist also nicht mehr nötig.

      Viele Grüße
      Marius

      • Julia

        29.05.2018 um 08:58 Uhr

        Hallo Marius,
        vielen Dank für die schnelle Antwort. Der Beitrag und die Beantwortung meiner Frage helfen mir auf jeden Fall weiter 🙂
        Viele Grüße
        Julia

  14. David

    08.08.2018 um 15:53 Uhr

    Super Zusammenfassung!

    Muss ich als Datenverantwortlicher dafür sorgen, dass ein Kunde meines Onlineshops in dem ich Google Analytics verwende, Einsicht in seine gespeicherten Daten bei Google gewähren kann, oder diese löschen lassen kann?

    • Marius Hüpel

      17.08.2018 um 10:01 Uhr

      Hallo David,

      vielen Dank für dein Feedback. Die Rechte der Nutzer, zum Beispiel auf die Löschung der personenbezogenen Daten, findet auch dort Anwendung. Du als Datenverantwortlicher deiner Website musst dafür sorgen, dass die Löschung der personenbezogenen Daten vollzogen wird. Sollte nun ein Nutzer die Löschung seiner personenbezogener Daten verlangen, dann musst du diese Löschung in Google Analytics durchführen. Für diese Löschung ist die Client-ID aus dem Google-Cookie des Nutzers notwendig. Mit Hilfe dieser ID kannst du die Daten des Nutzers im „Nutzer-Explorer“ ausfindig machen. Diesen „Nutzer-Explorer“-Bericht findest du unter dem Navigationspunkt „Zielgruppe“. Wenn du dann die bestimmte Client-ID öffnest, kannst du unten links den Nutzer löschen. Die Daten, die mit dieser Nutzer-ID verbunden sind, werden dann innerhalb von 72h aus dem Bericht zu den einzelnen Nutzern entfernt. Außerdem werden diese Daten beim nächsten Löschvorgang innerhalb von 63 Tagen von den Analytics-Servern restlos gelöscht.

      Viele Grüße
      Marius

Deine Meinung zählt, schreibe uns einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.