Hast du Fragen?
FAQ
📞 089 416126990

Suche schließen

Google Analytics und Datenschutz (DSGVO) – diese rechtlichen Anforderungen musst du erfüllen

Zum Lesen auf deinem Desktop Erinnerung einrichten »

Keine Artikel mehr verpassen? Jetzt Newsletter abonnieren »

Stand: 08/2020  bitte Updates beachten

Wer im Online-Marketing tätig ist, kommt um Google Analytics kaum herum. Google Analytics ist eines der beliebtesten Analysetools für Webseiten. Und wer das Tool derzeit noch nicht nutzt, überlegt vielleicht, dies zukünftig zu tun. In jedem Fall solltest du dich, wenn du Google Analytics verwendest und juristische Probleme vermeiden möchtest, mit den rechtlichen Aspekten auseinandersetzen. Die gute Nachricht: seit dem 15.09.2011 ist der beanstandungsfreie Betrieb von Google Analytics möglich. Allerdings gilt diese Entscheidung vor dem Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO). Deswegen findet ihr in dem folgenden Artikel umfangreiche Hinweise, Updates, Einschätzungen und Links rund um das Thema Google Analytics und der DSGVO, aber auch wie ihr technisch in Analytics die Dinge richtig und vernünftig konfiguriert.

Wer trägt die Verantwortung für die richtige Integration?

Der Betreiber einer Webseite ist verantwortlich dafür, dass Google Analytics datenschutzkonform in die Webseite eingebunden wird und der Webseitennutzer ausreichend über den Einsatz in einer Datenschutzerklärung informiert wird. Dies gilt unabhängig von vergangenen Diskussionen zwischen Aufsichtsbehörden und Google darüber, wie der Dienst ausgestaltet sein muss, um überhaupt datenschutzrechtlich zulässig eingesetzt werden zu können.

Was du beachten musst, um Google Analytics rechtskonform einzusetzen

Für dich als Webseitenbetreiber stellen sich die folgenden Fragen:

  • Wie stelle ich eine aktive und informierte Zustimmung des Nutzers (Consent) zu Google Analytics sicher?
  • Benötige ich einen besonderen Datenschutzvertrag mit Google?
  • Wie muss ich die User über den Einsatz des Analyse-Tools informieren?
  • anonymizeIp – Wie kann ich technisch den Datenschutzanforderungen gerecht werden?
  • Welche Add-Ons muss ich meinen Nutzern zur Verfügung stellen?
  • Welche Datenschutzregelungen müssen sonst noch beachtet werden?
  • Was mache ich mit Daten, die ich nicht datenschutzkonform gesammelt habe?

Hinweis: Wie ihr Google Analytics richtig integriert, also nicht nur rechtskonform, lest ihr hier!

Durch Laden dieses Videos akzeptierst du unsere Datenschutzerklärung.

Consent Management für Google Analytics

Das Thema Recht ist natürlich in permanenter Bewegung. Nach dem EuGH hat im Mai 2020 auch der BGH entschieden, das Webseitenbetreiber eine aktive und informierte Einwilligung (Consent) der Nutzer brauchen, um nicht notwendige Cookies bei den Nutzern zu setzen. Nicht notwendige Cookies können zum Beispiel das Facebook Cookie, Das Google Ads Conversion Cookie, aber auch das Google Analytics Tracking Cookie sein. Du willst das mal selber prüfen, dann mach einmal folgendes:

  • Schritt 1: Wechsel zum Beispiel im Chrome auf den Inkognito Modus
  • Schritt 2: Ruf die 121watt.de auf
  • Schritt 3: In der Mitte unserer Website findest du den User-Consent Banner
  • Schritt 4: Wähle im Consent Banner auf „Einstellung anpassen“
  • Schritt 5: Wähle rechts oben auf „Advanced“ Einstellungen

Jetzt kannst du mal sehen, wie wir hier „funktionelle“ oder „Marketing“ Cookies definiert haben.

User Consent Banner zur aktiven Zustimmung für Google Analytics am Beispiel der 121WATT

 

Notwendige Cookies in dieser Definition sind Cookies, die technisch für den Betrieb einer Website und deren Funktionen erforderlich sind, wie zum Beispiel eine Warenkorbfunktion etc. Das bedeutet, das du zum „Betrieb“ von Google Analytics die Zustimmung (Consent) des Nutzers brauchst, um Tracking über Google Analytics zu sammeln. Tracking ist kein notwendiges Cookie. Du willst mehr zu diesem Thema wissen, dan findest du auch hier, weitere Informationen wie die

Vertrag zur Auftragsverarbeitung mit Google

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsverarbeitung mit Google abschließt. Der alte Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG a.F. steht mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) nicht mehr zur Verfügung. Jedoch steht seit dem 25. Mai 2018 ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO bereit, der nach Art. 28 Abs. 9 DSGVO auch im elektronischen Format abgeschlossen werden kann. Den entsprechenden Hinweis findest du hier.

Google bietet dafür in den Kontoeinstellungen bereits einen Zusatz zur Datenverarbeitung an, dem du zustimmen kannst. Nähere Informationen von Google findest du hier.

Ob mit dem elektronischen Format eine qualifizierte elektronische Signatur gemeint ist, es ausreicht, den Vertrag zu unterzeichnen und einzuscannen oder eine Zustimmung mittels Klick auf einen Button genügt, ist aktuell umstritten.

Nach Ansicht der Datenschützer musst du ohne einen solchen Vertrag jeden User um seine Einwilligung bitten, seinen Besuch mittels Google Analytics zu erfassen und auszuwerten. Sicher nicht praktikabel.

 


121-Stunden Online-Marketing Newsletter:
Keine Google-Analytics- und Online-Marketing-News mehr verpassen!

  • Aus 500 Quellen die besten Artikel übersichtlich zusammengefasst.
  • Wir berichten regelmäßig über die wichtigsten Branchen-Events und aktuelle Seminare.
  • Bereits mehr als 10.000 Online Marketers verfolgen mit uns die Branche.

Google Analytics Add-on und Opt-out-Cookie

Stelle sicher, dass du die Besucher deiner Webseite über die Nutzung von Google Analytics ausreichend informierst und ihnen die Möglichkeit gibst, dies zu unterbinden. Wo baust du eine solche Erklärung am besten ein? Der geeignete Ort hierfür ist die Datenschutzerklärung. Im Folgenden findest du eine entsprechende Erklärung – wie sie oft im Netz verwendet wird. Diese Erklärung haben wir noch um einen Abmeldungshinweis erweitert. Google stellt hier zwei Möglichkeiten zur Verfügung:

a) Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.

b) Ein Opt-Out-Cookie, dass es dem Nutzer ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst, ist hier bei Google beschrieben.

Hinweis: Hier haben wir für euch noch mehr im Detail beschrieben was eigentlich genau Cookies sind und was der Unterschied zwischen First und Third Party Cookies ist.

Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:

Die nächsten Termine für das Online-Marketing-Recht und Datenschutz-Seminar:

  1. EventScheduled
    Online-Marketing-Recht und Datenschutz-Seminar
    OnlineEventAttendanceMode
    Martin Schirmbacher
    2023-03-23
    EUR
    995
    InStock
    121WATT School for Digital Marketing & Innovation
  2. EventScheduled
    Online-Marketing-Recht und Datenschutz-Seminar
    OnlineEventAttendanceMode
    Martin Schirmbacher
    2023-03-23
    EUR
    995
    InStock
    121WATT School for Digital Marketing & Innovation
  3. EventScheduled
    Online-Marketing-Recht und Datenschutz-Seminar
    OnlineEventAttendanceMode
    Martin Schirmbacher
    2023-03-23
    EUR
    995
    InStock
    121WATT School for Digital Marketing & Innovation
* zzgl. USt.
  • Legende:
  • Ausreichend freie Plätze.
  • Wenige freie Plätze!
  • Leider ausgebucht.

Google Analytics-Datenschutzerklärung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Die Benutzung erfolgt auf der Grundlage des Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite wie

  • Browser-Typ/-Version,
  • verwendetes Betriebssystem,
  • Referrer-URL (die zuvor besuchte Seite),
  • Hostname des zugreifenden Rechners (IP-Adresse),
  • Uhrzeit der Serveranfrage,

werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Im Auftrag des Betreibers dieser Website wird Google diese Information benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseiten-Aktivitäten zusammenzustellen und um weitere mit der Webseiten-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Webseitenbetreiber zu erbringen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie auf diesen Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen. [Anm. Hinweise zur Einbindung des Opt-Out-Cookie finden Sie unter: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable].

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

Weitere Informationen zum Datenschutz im Zusammenhang mit Google Analytics finden Sie etwa in der Google Analytics-Hilfe (https://support.google.com/analytics/answer/6004245?hl=de).


anonymizeIp direkt im Quellcode oder über den Google Tag Manager
Denk unbedingt daran, die Funktion zur Maskierung von IP-Adressen („anonymizeIP“) zu nutzen. Dies ist eine Erweiterung des Google Analytics-Codes, die es ermöglicht, IP-Adressen zu kürzen und somit zu anonymisieren. Google löscht hier beim Erheben der Daten die letzten 8 Bit der IP-Adresse, bevor die Daten gespeichert werden. Praktisch bedeutet dies, dass das letzte Oktett auf 0 gesetzt wird. Welche Daten Google Analytics aus der IP-Adresse interpretiert, findest du hier in einem Artikel von Alexander zum Thema not set in Google Analytics. Wenn du noch den alten Tracking-Code benutzt, muss dieser Befehl bei Google Analytics wie folgt eingebaut werden: anonymizeIP Befehl fürs klassische Google Analytics

Hast du deine Daten schon zu Universal Analytics migriert? Dann solltest du deinen Tracking-Code um die folgende Zeile erweitern. Diese Referenz von Google kannst du an deinen Entwickler geben.

anonymizeIp-universal-analytics-datenschutz

Am einfachsten ist es die Anonymisierung zu machen, wenn du deinen Google Analytics Trackingcode über den Google Tag Manager (GTM) implementiert hast.
Mit Hilfe des GTM können wir die anonymizeIP-Funktion mit der Google-Analytics-Settings-Variablen einbinden. Dies funktioniert dann wie folgt:

  1. Zunächst müsst ihr eine neue Variable im GTM anlegen
  2. Dann gelangt ihr zu der Ansicht, wo ihr den Variablentyp auswählen könnt. Hier Bitte den Variablentyp “Google Analytics-Einstellung” auswählen
  3. Im nächsten und elementaren Schritt müsst ihr die festzulegenden Felder ausfüllen. Dort tragt ihr unter Feldname “anonymizeIP ein und wählt den Wert “true” (siehe Screenshot).

AnonymizeIp über den Google Tag Manager

Hier findest du eine umfangreiche Liste an Google Analytics und Google Tag Manager Tools, mit denen du die richtige Integration deines Google Analytics Tracking Codes überprüfen kannst.

Bei Accelerated Mobile Pages (AMP) ist eine Anonymisierung nicht notwendig. Die Google-Dokumentation sagt dazu: „Data from AMP documents is always IP anonymized.“

Universal Analytics und die derzeitige rechtliche Lage

Universal Analytics ist der aktuelle Betriebsstandard von Google Analytics, es gibt also weder alte noch neue Properties, die Universal Analytics nicht verwenden. An dieser Stelle erfolgt somit der wichtige Hinweis, dass die rechtliche Lage zur Verwendung von Universal Analytics derzeit nicht ganz klar ist. Die zu Google Analytics mit den Aufsichtsbehörden abgestimmte Formulierung eines Hinweises für die Datenschutzerklärung wird häufig auch dann verwendet, wenn Universal Analytics genutzt wird.

Tatsächlich unterscheidet sich Universal Analytics jedoch durch die Möglichkeit, Cross-Device-Tracking zu betreiben. Dies geschieht durch den Einsatz einer User-ID, die etwa bei einem Login dem Nutzer zugeordnet wird. Die User-ID fungiert dabei als Pseudonym und eine Identifizierung des dahinterstehenden Nutzers soll ausgeschlossen sein. Nach der DSGVO sind Pseudonyme aber nicht mehr privilegiert. Die User-ID ist somit als Online-Kennung ein personenbezogenes Datum. Für die Verarbeitung ist daher eine gesetzliche Erlaubnis oder eine Einwilligung erforderlich. Als Werbender hast du grundsätzlich kein berechtigtes Interesse daran, das Nutzerverhalten geräteübergreifend zu analysieren: Dies widerspricht den vernünftigen Erwartungen der Nutzer. Ebenso ist es nicht praktikabel, von jedem Nutzer eine Einwilligung einzuholen. Unter diesen Gesichtspunkten ist der Einsatz der User-ID bei Universal Analytics nicht zulässig.

Die gute Nachricht ist, dass Google dich nicht zwingt, die User-ID zu nutzen. Vielmehr muss die Funktion zunächst im Analytics-Konto aktiviert und anschließend auch im Tracking-Code implementiert werden. Ohne die Aktivierung kannst du Google Analytics weiterhin nutzen.

Wichtig Update April 2017: Aktuelle Informationen zum Thema Datenschutz (Privacy Shield und Safe Harbor)

Wie man in den letzten Wochen und Monaten gesehen hat, gibt es immer wieder Änderungen zum Thema Google Analytics und Datenschutz. So wurde unlängst noch mal eine intensive Debatte (Feb 17) darüber geführt, welche Auswirkung das neue Privacy Shield versus Safe Harbor für den datenschutzkonformen Einsatz von Google Analytics hat. Hier die Stellungnahme (Feb 2017) der Hamburger Datenschutzbehörde. Weiterhin hat die Behörde auch noch Hinweise für den datenschutzkonformen Einbau zur Verfügung gestellt.

Google Analytics und die Datenschutzgrundverordnung (DSGVO)

Auch die Europäische Datenschutzverordnung (EU-DSGVO), die im Mai 2018 in Kraft getreten ist, hat das Thema der Datenerhebung in Web Analyse Systemen verändert. Hier der Hinweis auf die entsprechende Verordnung. Dabei werden die Strafen, die hier bei Verstößen verhängt werden können, deutlich höher sein als die bisherigen Sanktionen in Höhe von 300.000€. Mit Eintreten der (EU-DSGVO) werden Bussgelder bis in Höhe von 20.000.000€ bzw. 4% des Umsatz möglich sein (zu finden unter Artikel 83 & 84 hier).

Google Analytics und die Verarbeitung personenbezogener Daten

Die neue Datenschutzgrundverordnung regelt in Europa den Umgang mit personenbezogenen Daten. Somit stellt sich erst einmal die grundsätzliche Frage, was personenbezogene Daten im Zusammenhang mit Google Analytics sind? Abseits des unbeabsichtigten oder beabsichtigten Sammelns personenbezogener Daten, zum Beispiel wenn ihr in Google Analytics Kreditkarteninformationen sammelt oder versehentlich bei Kontaktformularen Daten über die URL übergebt und damit sammelt, war die immer entscheidende Frage, ob die IP Adresse ein personenbezogenes Datum ist. Nach den letzten Entscheidungen und mit der DSGVO ist klar, dass IP-Adressen in der ungekürzten Variante als personenbezogenes Datum ausgelegt werden können.

Somit müssen auch, wie es bisher Praxis war, die IP-Adressen in Google Analytics anonymisiert werden, wie weiter oben beschrieben. Solltet ihr versehentlich oder beabsichtigt personenbezogene Daten in Google Analytics sammeln, verstoßt Ihr sowieso gegen die Datenverarbeitungsbedingungen von Google, was zu einer Kündigung seitens Google Analytics führen kann.

Tipp: Hier gibt es von Markus Baersch ein sehr interessantes Tool, damit ihr mal überprüfen könnt, ob ihr (un)beabsichtigt personenbezogene Daten wie Emailadressen, IBAN-Nummern oder Adressen in Google Analytics sammelt. Die Verwendung dieses Tools geschieht natürlich auf euer eigenes Risiko, da ihr hier Zugang zu Euren Analytics Implementierungen erlaubt: Tool Datenschutzprobleme in Google Analytics analysieren

Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder zu Tracking

Update Mai 2018: Die deutschen Datenschutzbehörden haben am 26. April eine gemeinsame Erklärung zum Tracking beziehungsweise ein Positionspapier zum Einsatz von Trackingtechnologien verfasst. Das Positionspapier findet ihr hier und eine Bewertung dieses Positionspapier hier. Da die neue Datenschutz-Grundverordnung  (DSGVO) viel Interpretationsspielraum zulässt, ist es meines Erachtens nach wichtig, die verschiedenen Auffassungen und Positionen zu analysieren, zu bewerten und auf dieser Basis eine informierte Entscheidung zu treffen.

Zusatz zur Datenverarbeitung in Google Analytics

Wenn ihr über einen direkten Kundenvertrag mit Google Analytics verfügt, müsst ihr dem Zusatz zur Auftragsdatenverarbeitung in eurem Administrationsbereich unter Kontoeinstellungen zustimmen.
Achtung hier wird das Datum eurer Zustimmung mitprotokolliert. Mehr dazu findet ihr auch hier.

Zusatz zur Datenverarbeitung: Google Analytics und die Datenschutzgrundverordnung (DSGVO)

In einem nächsten Schritt könnt ihr jetzt in Google Analytics euren Zusatz zur Auftragsdatenverarbeitung verwalten. Dazu müsst ihr zum Beispiel eine juristische Person hinterlegen und diese dann als Zusatzinformationen mit eurem Google+ Profil verbinden. Wie das aussieht seht ihr im nächsten Screenshot:

Zusatz zur Auftragsdatenverarbeitung in Google Analytics verwalten

Jetzt solltet ihr in Google Analytics „Suite Home“ aufrufen und eure Organisation verknüpfen. Dazu solltet ihr eure Google+ Adresse hinterlegen und die entsprechenden Konten, hier zum Beispiel unser Google Analytics und unser Google Tag Manager Konto, verbinden:

Organisationen und Konten in Google Analytics für den Zusatz zur Auftragsdatenverarbeitung verbindnen: DSGVO

Datenaufbewahrung in Google Analytics

Google rüstet sich weiterhin für die am 25. Mai erschienene Datenschutzgrundverordung (DSGVO) und passt Google Analytics an die europäischen Vorgaben an. Vor ein paar Tagen hat Google die Option für das Löschen der erhobenen Daten ins Leben gerufen, worüber ihr den Aufbewahrungszeitraum der erhobenen Nutzer- und Ereignisdaten auf den Servern bestimmen könnt. Diese Option findet ihr unter der Verwaltung und wählt im nächsten Schritt die gewünschte Property aus. Daraufhin klickt ihr auf “Tracking-Informationen” und ihr gelangt zu der neuen Funktion “Datenaufbewahrung”.

Einstellung Datenaufbewahrung iun Google Analytics auf Propertyebenen für DSGVO

Hier bietet Google verschiedene Zeiträume an, damit ihr die Speicherdauer der erhobenen Daten bestimmen könnt: Aktuell liegen folgende Optionen vor:

  • 14 Monate
  • 26 Monate
  • 38 Monate
  • 50 Monate
  • keine Löschung der erhobenen Daten

blank

Eure gewählte Einstellung wird dann am 25. Mai 2018 durch Google aktiviert und die Aufbewahrungsfrist ist eingestellt. Die automatische Löschung der Daten wird dann einmal pro Monat durchgeführt, bei denen das Ende der gewählten Aufbewahrungsdauer erreicht ist. Nehmt ihr dann eine Änderung an der Speicherdauer vor, so wird diese neu gewählte Dauer innerhalb von 24 Stunden durch Google Analytics übernommen.

Wichtiger Hinweis von Google: In diesen 24 Stunden könnt ihr diese Änderung wieder rückgängig machen und die Daten werden nicht gelöscht.

Liegt der neu gewählte Zeitraum unter dem davor genannten Zeitraum, so werden alle betroffenen Daten im folgenden Monat gelöscht. Wenn du zum Beispiel die zuvor festgelegte Aufbewahrungsdauer von 38 Monaten auf 14 Monaten abänderst, werden alle Daten, die älter als 14 Monate sind, im darauffolgenden Monat gelöscht.

Darüber hinaus besteht die Möglichkeit, dass ihr die Speicherungsdauer der Nutzer-ID bei jeder neuen Aktivität des jeweiligen Nutzers zurücksetzten lassen könnt. Dadurch wird das Ablaufdatum wie folgt neu gesetzt: Aktuelle Zeit + die oben festgelegte Aufbewahrungsdauer.

Habt ihr die Datenspeicherung zum Beispiel auf 26 Monate festgelegt und der Nutzer führt jeden Monat eine neue Sitzung durch, so wird seine Nutzerkennung jeden Monat aktualisiert und die gewählte Ablaufdauer von 26 Monaten wird nicht erreicht. Führt der Nutzer keine neue Sitzung durch, werden seine Daten nach Ablauf der 26 Monaten gelöscht.

Nutzt ihr diese Option nicht, werden die Daten die mit der Nutzer-ID verknüpft sind automatisch nach Ablauf der gewählten Aufbewahrungsdauer gelöscht.

Meine Einschätzung zu der neuen Funktion der Datenaufbewahrung: Die Funktion dieser Option interpretiere ich so, dass Google die Umsetzung der DSGVO Anforderung technisch umsetzen will und muss, da betroffene Personen ein Recht auf Löschung ihrer erhobenen Daten haben (Art. 17 DSGVO). Bisher hatten wir nämlich nicht die Möglichkeit, die personenbezogenen und anonymisierten Daten der Nutzer in diesem Umfang zu löschen. Für uns in Deutschland ist das nach dem am 25. Mai 2018 abgelösten Bundesdatenschutzgesetz (BDSG) kein Neuland, aber nach Auslegung der DSGVO trifft das Recht auf Löschung auch auf anonyme Profile bzw. Daten zu.

Gute Möglichkeiten, um auf dem aktuellen Stand zu bleiben sind:

Wenn Ihr noch mehr Interesse zum Thema Google und Datenschutz habt, dann findet Ihr auch hier umfangreiche Informationen zu

  • ISO 27018 – Datenschutz in der Cloud
  • ISO 27017 – Sicherheit in der Cloud
  • ISO 27001 – Management der Informationssicherheit
  • Google’s Verpflichtung gegenüber der DSGVO

Google Tag Manager und die Datenschutzgrundverordnung (DSGVO)

In den letzten Tagen erreichten uns viele Anfragen, ob der Google Tag Manager (GTM) im Rahmen der DSGVO weiterhin verwendet werden darf und wie man diesen DSGVO konform einsetzt. Nach der aktuellen Rechtslage kann der GTM weiterhin verwendet werden, wenn die Anforderungen der DSGVO erfüllt werden (ähnlich wie bei Google Analytics). Wie sehen also die Anforderungen aus und wie setze ich das technisch um?

Die rechtlichen Anforderungen unterscheiden sich nicht wirklich von denen, die Google Analytics betreffen. Hier sind zunächst zwei wichtige Punkte zu beachten:

Auftragsverarbeitungs-Vertrag

Im Tool selbst könnt ihr den Zusatz zur Datenverarbeitung online akzeptieren. Dies wird in der Regel wie folgt vorgenommen:

  1. Tab Verwaltung öffnen
  2. Kontoeinstellungen öffnen
  3. Das Feld „Daten anonym an Google und andere weitergeben“ anklicken
  4. Auf den Link „Zusatz zur Datenverarbeitung anzeigen“ klicken und anschließend akzeptieren

blank
blank

Unter diesen Voraussetzungen könnt ihr den Google Tag Manager nach der aktuellen Rechtslage im Rahmen der DSGVO verwenden. Sollte sich die Rechtslage ändern, werden wir euch selbstverständlich darüber informieren.

Wie sehen erste Integrationen zu Online Marketing & der DSGVO aus?

Wie am Ende die Zustimmung zur Verwendung der verschiedenen Tracking- und Marketing Cookies aussehen kann, muss wahrscheinlich jedes Unternehmen individuell entscheiden. Ein interessantes Beispiel in der Umsetzung ist die Firma phillips.de, die die Nutzereinwilligung umfangreich abfragt. Hier einmal die Screenshot:

Datenschutz im Online Marketing DSGVO Cookie Zustimmung durch den Nutzer. Ein Beispiel für die Umsetzung bei Phillips

Opt-In-Pflicht

Update 07.2019: EuGH bestätigt Opt-In-Pflicht (Einwilligung) für die Nutzung von Cookies
Der EuGH hat am 29.07.2019 eine Entscheidung bezüglich der „Gefällt mir“-Schaltfläche innerhalb von Facebook getroffen und begründet, dass der Websitebetreiber neben Facebook mitverantwortlich für Datenschutzverstöße ist. Im Zuge dieser Entscheidung hat sich der EuGH ebenfalls mit dem Einsatz von Cookies beschäftigt. Der Fazit dieser Entscheidung ist, dass für Cookies, wie zum Beispiel von Tracking-Tools, die Einwilligung der Nutzer eingeholt werden muss, bevor eine Datenerhebung durchführt wird. Das heißt für uns als Unternehmen, dass wir einen Consent-Banner auf der Website integrieren müssen und der Nutzer, bevor das Tracking aktiviert wird, eine Einwilligung geben muss. Hierbei ist es besonders wichtig, dass der Nutzer ebenfalls eine Einwilligung unterlassen kann und die Website trotz der nicht Einwilligung besuchen darf.

Bei der Erhebung der Einwilligung müssen u.a. bestimmte Wirksamkeitsvoraussetzungen eingehalten werden:

  • Die Einwilligung des Nutzers muss freiwillig erfolgen (Grundsatz der Freiwilligkeit).
  • Die Einwilligung darf nicht gekoppelt sein: Es besteht kein ausdrückliches Kopplungsverbot.
  • Informationspflicht: Welche Tools werden verwendet und welcher Zweck liegt für die jeweilige Verwendung von Daten vor; die Aufbewahrungsdauer; welche Art von Daten werden erhoben; ggf. die Rechtsgrundlage benennen…
  • Vorabinformationen: Datenschutzinformationen, Widerrufsbelehrung und die Zweckbindung.

Wir arbeiten mit dem Consent-Management-System von Usercentrics zusammen und unser Consent-Banner ist so aufgebaut, dass der Nutzer eine Einstellung vornehmen muss, bevor er unsere Website nutzt. Das heißt, dass der Nutzer eine Einwilligung sowie eine Verneinung zur Datenerhebung geben kann und danach die Website nutzen darf. Somit liegt auch keine Kopplung vor. Wie dies aussieht, könnt ihr hier sehen:
blank

Under „Einstellung anpassen“ kann der Nutzer den Einsatz von Cookies unterbinden und auswählen, welche Art von Cookies er zulassen möchte:
blank

Ein weiteres Beispiel sowie die Umsetzung in der Praxis, könnt ihr in diesen Artikel nachlesen: Opt-in-Pflicht bei Cookies

Warum IP-Adressen anonymisiert werden müssen

Du magst dich vielleicht fragen, warum IP-Adressen anonymisiert werden müssen. Gegebenenfalls vertrittst du die Meinung, dass IP-Adressen gar keine personenbezogenen Daten sind, weil sie meist dynamisch erstellt werden und Serviceprovider sie an unterschiedliche Nutzer zu unterschiedlichen Zeiten verteilen. Wer also welche IP-Adresse gerade im Moment nutzt, kann nur der Serviceprovider beantworten und das auch nur, wenn man samt rechtlicher Verfügung an die Tür klopft. Darüber hinaus sagt die IP noch nicht, ob Person X darüber ins Internet gegangen ist oder vielleicht der Kollege bei der Arbeit oder ein anderes Familienmitglied daheim. Dies klingt nach einem berechtigten Einwand. Allerdings gibt es neben den dynamischen auch statische IP-Adressen, die einen direkteren Schluss auf den Nutzer zulassen.

Das sehen aber nicht mehr nur die Datenschutzbehörden, sondern mittlerweile auch der Europäische Gerichtshof und der Bundesgerichtshof anders. Zudem liegt der DSGVO ein weites Verständnis von personenbezogenen Daten zugrunde. Nach diesem Verständnis fällt jede „Online Kennung“ einschließlich aller, auch dynamischer IP-Adressen und Cookies, in die Kategorie personenbezogener Daten.

Zwar lässt sich das First-Party-Nutzertracking grundsätzlich auf dein berechtigtes Interesse an Direktwerbung aus Art. 6 Abs. 1 lit. f DSGVO stützen. Hierfür ist es jedoch nicht erforderlich, die gesamte IP-Adresse zu speichern. Somit musst du die IP-Adressen anonymisieren.

Lösche alle Daten, die du vor der Einbindung von „anonymizeIP“ erhoben hast. Diese sind unrechtmäßig erhoben worden und müssen demnach sofort gelöscht werden. Damit du nicht gleich dein ganzes Konto bei Google löschen musst, bietet Google dir die Möglichkeit, einzelne Profile/Datenansichten zu löschen. Wie so etwas geht? Hier ein Screenshot aus der Analytics-Hilfe von Google: Datenansicht bei Google löschen

Wann greift die Datenschutz-Grundverordnung eigentlich?

Falls du dich abschließend noch fragst, ob die DSGVO für deine Webseite überhaupt anwendbar ist, da diese im Ausland gehostet wird, dann muss dies mit „ja“ beantwortet werden, wenn dein Unternehmen einen Sitz in Deutschland hat. Dies kann auch nur eine kleinere Zweigstelle oder ein Rechenzentrum sein.

Im Rahmen der DSGVO gelten EU-weit gleiche Voraussetzungen. Somit muss jeder in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter – unabhängig davon ob die Datenverarbeitung in der EU stattfindet – der Verordnung folgen. Das Gleiche gilt, wenn personenbezogene Daten von einer in der EU befindlichen Person durch einen Verarbeiter außerhalb der EU verarbeitet werden. Paradebeispiel ist ein Online-Shop, der Waren in der EU anbietet und das Verhalten seiner Kunden verfolgt.

Ändert sich durch das Safe Harbor Urteil etwas?

Du hast vielleicht gehört, dass der Europäische Gerichtshof das Safe Harbor Verfahren für ungültig erklärt hat. Hier ein Artikel dazu. Die Übermittlung von personenbezogenen Daten in die USA lässt sich nun nicht mehr damit rechtfertigen, dass sich das U.S.-Unternehmen den Safe Harbor-Regeln unterworfen hat. Es gibt aber mit dem EU-US-Privacy-Shield ein neues Abkommen, sodass die Übermittlung personenbezogener Daten weiterhin möglich ist.

Bei der Nutzung von Google Analytics mit „anonymizeIP“ werden jedoch gar keine personenbezogenen Daten in die USA geschickt. Insofern ist Google Analytics von der Safe Harbor-Entscheidung nicht betroffen. Folgt man der gegenteiligen Ansicht der Datenschutzbehörde Baden-Württemberg, die davon ausgeht, dass die IP-Adresse erst in den USA gekürzt werde, ist der Einsatz von Google Analytics ohne Einwilligung rechtswidrig und somit zu unterlassen.

Haben Sie ihren Auftragsverarbeitungsvertrag vor dem 23. September 2016 geschlossen, nimmt dieser noch auf Safe Harbour Bezug. Seit dem sich Google dem Privacy Shield unterworfen hat, gibt es einen neuen Vertrag, den sie nutzen müssen.

Update 08.2020: EuGH erklärt Privacy-Shield-Abkommen für ungültig (EuGH, 16.7.2020 – C-311/18 „Schrems II“)
Das US Privacy-Shield-Abkommen hat den Datentausch zwischen Europa und USA zum Inhalt und war der Stützpfeiler, womit wir den Einsatz von US Tools rechtfertigen konnten. Jedoch wurde diese Vereinbarung vom EuGH für ungültig erklärt. Die Richter sahen kein vergleichbares Schutzniveau zwischen der vorliegenden US-Gesetzgebung und den Grundsätzen der DSGVO. Somit ist die Übertragung von Daten europäischer Verbraucher in ein Drittland, hier die USA, unzulässig. Theoretisch heißt das, dass wir die in der EU erhobenen Daten nicht mehr in die USA übertragen dürfen, wo dann anschließend die Verarbeitung der Daten erfolgen würde. Somit stehen Anbieter wie Google oder Facebook nun vor einer großen Herausforderung, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen.

Ist somit das Ende von Google Analytics gekommen? Nein!

Es gibt eine Reihe von Lösungen, womit das Schutzniveau wieder hergestellt werden kann:

  • Standardvertragsklauseln: Ist eine Möglichkeit, wenn nicht sofort alle Dienste abgeschaltet werden sollen oder auch nicht abgeschaltet werden können. Hier ist es problematisch, dass der EuGH die Standardvertragsklausel nur dann als Rechtsgrundlage für Datentransfers in Drittländer anerkennt, wenn das Datenschutzniveau auch tatsächlich eingehalten wird. Dies ist ja leider nicht „mehr“ der Fall. Deshalb ist diese Lösung nicht wirklich sicher. Jedoch muss auch erwähnt werden, dass es eine Art der Risikominderung darstellt und diese Lösung besser ist, als abzuwarten.
  • Binding Corporate Rules: Datenschutz-Regelungen, die verbindlich durch die Unternehmen eingehalten werden. Ähnlich einzuschätzen, wie bei der Standardvertragsklausel.
  • Einwilligung im Cookie-Banner: Dies ist theoretisch umsetzbar. Jedoch wird dadurch der Einwilligungs-Text sehr lang und es ist zweifelhaft, dass die EU-Bürger freiwillig auf ihre Grundrechte verzichtet.
  • Code of Conduct: Verhaltenskodex.
  • Abwarten: Wir haben aktuell eine vergleichbare Situation wie beim Safe-Harber-Abkommen. Die EU-Kommission hatte damals sechs Monate benötigt, bis sie das Privacy-Shield als Lösung präsentiert hat. Das Risiko liegt ganz klar beim Anwender der Tools, denn die Datenschutzbehörden könnten in der Zwischenzeit reagieren und Verstöße ahnden. Außerdem sind Abmahnungen durch betroffene Nutzer sowie Wettbewerber (Hinweis: Der EuGH muss noch entscheiden, ob Abmahnungen auf Grundlage von Datenschutzverstößen zulässig sind) ebenso denkbar.

Wie sollte ich jetzt vorgehen?

  • Analyse der Ist-Situation: Übersicht über die Tools und Softwareanbieter aus den USA erstellen, die aktiv genutzt werden. Werden personenbezogene Daten durch diese Tools erhoben und in den USA transferiert?
  • Im Idealfall sollte der Kontakt zu den Tools hergestellt werden, damit wir klären können, welche Lösung möglich ist, damit das Schutzniveau wieder hergestellt werden kann. Wie zum Beispiel durch eine Standardvertragsklausel.
  • Ggf. die Einwilligung der Nutzer einholen (Cookie-Consent)
  • Die Datenschutzerklärung sowie die Verträge müssen angepasst werden: Die Datenübertragung auf Grundlage des Privacy-Shield-Abkommens muss ausgetauscht werden oder vorübergehend restlos entfernt werden.

Wie prüfen die Landesdatenschutzbehörden das eigentlich?

Die bayerische Landesdatenschutzbehörde beispielsweise beschreibt auf ihrer Seite, dass sie ein Online-Überprüfungstool entwickelt hat, um zu überprüfen ob

  • der Google Analytics-Trackingcode in deine Seite eingebunden ist.
  • der Trackingcode korrekt mit anonymizeIP implementiert ist.
  • deine Datenschutzerklärung leicht zu finden ist.
  • die Datenschutzerklärung den Anforderungen genügt.

Was passiert eigentlich, wenn ich diese Prüfung nicht bestehe?

Die bayerische Landesdatenschutzbehörde verhängt beim erstmaligen Erkennen nach eigenen Angaben (Satz 3) keine Bußgelder. Demnach also erst nach Aufforderung. Zitat im PDF Website des BayLDA

Ob und in welchem Umfang die Datenschutzbehörden die drastisch erhöhten Bußgelder der DSGVO verhängen, ist nicht vorhersehbar. Klar ist aber: Die Bußgelder sind existenzbedrohend, auf nachgiebige Datenschutzbehörden sollten Sie sich nicht verlassen.

DSGVO: Erstes Bußgeld im Rahmen eines DSGVO Verstoßes

Seit Inkrafttreten der vielfach diskutierten Datenschutz-Grundverordnung wurde das erste Bußgeld in Höhe von 20.000€ wegen eines DSGVO Verstoßes verhängt. Die Chatplattform knuddels.de hatte personenbezogene Daten von seinen Nutzern, welche zum Teil in Klartext vorlagen, auf einer Filesharing-Website gespeichert, berichtet Christian Erxleben von Basicthinking. In Folge dessen konnten Hacker personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, abfangen und verwenden. Daraufhin hat der Landesbeauftragte für Datenschutz und die Informationsfreiheit Baden-Württemberg gegen den Betreiber der Chatplattform knuddels.de ein Bußgeld in Höhe von 20.000€ verhängt. In diesem Fall verstößt die wissentliche Speicherung von Passwörtern im Klartext gegen Art. 32 Abs. 1 lit. a DSGVO.

Die Geldbuße hätte jedoch auch viel höher ausfallen können. Nach Art. 83 Abs. 4 lit. a DSGVO beträgt die Geldbuße für den Verstoß gegen die Speicherung von Passwörtern im Klartext bis zu 10 Millionen € oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Die relativ geringe Geldbuße ist ein gutes Zeichen für Unternehmen, da die Aufsichtsbehörden die Kooperation und die Einhaltung der Meldepflicht berücksichtigen. Deshalb empfiehlt unser Datenschutzbeauftragter Marius Hüpel bei einer Datenschutzpanne ein transparentes Vorgehen, eine ausgiebige Verbesserung der technischen Infrastruktur und die Bereitschaft, die Vorgaben und Empfehlungen des Landesdatenschutzbeauftragten umzusetzen. Außerdem findet er das Signal der Aufsichtsbehörden sehr beruhigend: Denn in erster Linie geht es um das hohe Niveau des Datenschutzes, welches u.a. durch die Kooperation der Unternehmen mit den Behörden erzielt werden kann.

Juni 2019 Update: Google hat seine Analytics-Nutzungsbedingungen aktualisiert, wodurch die Datenfreigabe gesteuert wird

Mit der Google-Produkte und -Dienste Funktion in den Kontoeinstellung unter der Rubrik „Einstellungen für die Datenfreigabe“ können wir die Daten in Analytics für Google freigeben, damit laut Google seine Dienste verbessern kann, u.a. die Optimierung der Google Analytics-Dienste wie „Analytics-Radar“. Eine zusätzliche Funktion ist, dass uns bei der Verwendung von Google Signale weitere erweiterte Berichte zu demografischen Merkmalen und Interessen zur Verfügung stehen. Sollte dies nicht aktiviert worden sein, werden dennoch Daten an den weiteren Google-Produkten gesendet, sofern wir diese in der Property verknüpft haben, wie zum Beispiel Google Ads. Wenn ihr die Datenübertragung zustimmen möchtet, könnt Ihr dies wie folgt durchführen:

  • Tab Verwaltung öffnen
  • Kontoeinstellungen öffnen
  • Unter „Eistellungen für die Datenfreigabe“ die Option Google-Produkte und Dienste bestätigen
  • Zusätzliche Bedingungen für Daten, die für Google freigegeben werden zustimmen

blank

Checkliste: Google Analyics Datenschutzkonform verwenden

Hast du…

  • einen Auftragsdatenverarbeitungsvertrag mit Google abgeschlossen?
  • die Besucher deiner Webseite über die Nutzung von Google Analytics unterrichtet? (in der Datenschutzerklärung)
  • deinen Nutzern die Möglichkeit gegeben, sich von der Datenerhebung auszuschließen? (Add-On oder Opt-Out Cookie nicht vergessen)
  • den Code zur Anonymisierung der IP-Adressen der Besucher in deine Webseite eingebaut?
  • überprüft, ob die Anonymisierung der IP-Adresse auch tatsächlich funktioniert?
  • fälschlich erhobene Daten gelöscht?

Glückwunsch! Dann verwendest du Google Analytics momentan rechtskonform. Warum momentan? Da sich auf Grund der europäischen Rechtslage immer wieder Änderungen ergeben können. Gleiches gilt natürlich auch bei technischen Neuerungen von Google. So ist derzeit etwa noch unklar, ob der Einsatz von Google Universal Analytics genauso zu behandeln ist, wie der Einsatz von Google Analytics. Sobald sich Neuerungen ergeben, werden wir dich wieder informieren.

Aktuelle Gerichtsentscheidung zum Thema Datenschutz

Aktuelle Bußgelder zum Thema Datenschutz

Du willst jetzt noch tiefer in die Materie eingehen und Google Analytics von der Pike auf lernen? Dann solltest du dir das Google-Analytics-Seminar von Alexander Holl mal genauer ansehen:

Die nächsten Termine für das Google-Analytics-Seminar:

* zzgl. USt.
  • Legende:
  • Ausreichend freie Plätze.
  • Wenige freie Plätze!
  • Leider ausgebucht.

Weitere interessante Beurteilungen abseits von Google Analytics & DSGVO

Facebook Seiten und die DSGVO

Vom 5. Juni 2018 gibt es eine Vorlage zur Vorabentscheidung zum Betrieb von Facebook Seiten. Die Frage, um die es hier im Kern geht, ist, ob bereits das Anlegen einer Facebook Seite eine Mitverantwortung für potentielle Datenschutzverstöße durch Facebook begründet. Einen sehr guten Artikel gibt es hier von Rechtsanwalt Dr. Thomas Schwenke.

 

 

36 Kommentare zu “Google Analytics und Datenschutz (DSGVO) – diese rechtlichen Anforderungen musst du erfüllen”

  1. Andi Petzoldt schrieb am 07.12.2015 um 14:44 Uhr

    Meiner Meinung nach fehlt in der obigen Datenschutzerklärung noch der Link mit der Funktion, um auf Mobil-Geräten das entsprechende Opt-Out-Cookie zu setzen.

    • Theresa Richter schrieb am 07.01.2016 um 12:06 Uhr

      Hallo lieber Herr Petzolt, danke für Ihren Kommentar. Ihr Hinweis ist bedingt richtig. Für den Opt-Out-Cookie existiert kein Standard-Link. Vielmehr bedarf es einer Implementierung des entsprechenden Codes. Infos dazu gibt Google unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable. Jeder Website-Programmierer sollte damit etwas anfangen können.
      Viele liebe Grüße

      • Andi Petzoldt schrieb am 07.01.2016 um 12:57 Uhr

        In der Dokumentation von Google steht leider nicht, dass die Funktion zum Opt-Out in der Datenschutzerklärung integriert werden muss. Ohne diesen Link (mit hinterlegter Funktion) ist die Implementation der Opt-Out-Funktion (wie von Google dokumentiert) ja völlig zweckfrei, da ein Website-Besucher gar keine Möglichkeit hat, diese auszuführen. Und diesen Hinweis habe ich in diesem Artikel hier vermisst (welcher ansonsten sehr gut ausgearbeitet ist).

  2. Theresa Richter schrieb am 08.01.2016 um 12:28 Uhr

    Wenn wir Sie richtig verstehen, beziehen Sie sich auf die empfohlene „Google Analytics Datenschutzerklärung“? Sie haben Recht, dort ist in der Tat der Hinweis „(bitte einfügen)“ im Zusammenhang mit der Erwähnung eines Opt-Out Cookie nicht ganz selbsterklärend. Wir haben den Satz nach Rücksprache mit unseren Rechtsanwälten noch einmal überarbeitet.

    Der Link, der eingefügt wird, muss individuell aufgesetzt werden. Wie Sie diesen aufsetzten können, finden Sie hier: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable – Vielen Dank für Ihren Hinweis.

  3. Melanie H.-R. schrieb am 10.02.2016 um 13:13 Uhr

    Vielen Dank für die kompakte und hilfreiche Zusammenfassung. Folgende Fragen sind bei mir noch offen geblieben:
    _ Müssen bei der Integration von anonymizeIP über den Google Tag Manager alle Tags entsprechend konfiguriert werden?
    _ Wie kann ich bei der Implementierung über den Google Tag Manager anschließen sicherstellen, dass die Anymisierung korrekt funktioniert?

  4. Moritz schrieb am 15.04.2016 um 13:42 Uhr

    Guten Tag.

    Ein sehr guter Artikel.
    Genügt rechtlich tatsächlich die Löschung der Datenansicht um das Konto nach dem Abschluss der Auftragsdatenverarbeitung mit Google auf „null“ zu setzen?
    Ich dachte, die Daten blieben trotzdem mit dem Konto/Account verbunden, wodurch das Anlegen eines neuen Accounts notwendig wäre, um auf Nummer sicher zu gehen?
    Mit freundlichen Grüßen, Moritz

    • Alexander Holl schrieb am 19.04.2016 um 17:18 Uhr

      Hallo Moritz, danke für Deinen Kommentar, allerdings ist die Löschung der Datenansicht nicht ausreichend, da ja in Google Analytics die Daten auf Property Ebene gesammelt werden. Auch der Anonymizer wird nach der Property ID (also zum Beispiel UA-xxxxxx-xx)eingesetzt. Die Datenansicht ist somit immer nur eine Berichtsebene.

      • Moritz schrieb am 19.04.2016 um 17:30 Uhr

        Hallo Alexander.

        Vielen Dank für die Antwort.
        Dann stimmt die Aussage von e-recht24.de: das Löschen der Datenansicht genügt (neben allen anderen Maßnahmen: Anonymizer, Vertrag mit Google…) nicht und man muss das komplette Konto löschen / sich ein neues anlegen um ganz auf Nummer sicher zu gehen?

        „3. Die bisherigen Google-Analytics-Daten müssen gelöscht werden:
        Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.“ – e-recht24.de

        Es ist wirklich schwierig eine klare Antwort zu bekommen bzw. abzuwägen welches Risiko man eingeht, wenn man „nur“ die aktuellen „Bestimmungen“ umsetzt, aber die Daten nicht zurücksetzt – und wenn man dies tut, auf welcher Ebene.

        Ich freue mich auf eine Antwort.

        Mit freundlichen Grüßen, Moritz

        • Alexander Holl schrieb am 06.05.2016 um 16:31 Uhr

          Hallo Moritz ick kann nur noch mal auf dieses Dokument hinweisen, was sehr klar sagt, das wenn Du die Daten nicht datenschutzkonform erhoben hast, du alle bisher gesammelten Daten löschen musst. Praktisch heisst das, das du einen Property mit einer neuen ID anlegen musst. Siehe hier noch mal https://www.lda.bayern.de/media/info_google_analytics.pdf

          • Moritz Conjé schrieb am 07.05.2016 um 14:02 Uhr

            Das ist eine Quelle nach der ich gesucht habe.
            Vielen Dank für den Link.

            Mit freundlichen Grüßen, Moritz

  5. DaLA schrieb am 27.06.2016 um 12:59 Uhr

    Was kann ich machen wenn ich schon seit Wochen darauf warten den Vertrag von google zurückzubekommen?

    • Alexander Holl schrieb am 27.06.2016 um 16:10 Uhr

      Üblicherweise dauert es ca. 4 – 6 Wochen bis der Vertrag zur Auftragsdatenverarbeitung aus Dublin von Google zurückkommt.

  6. Markus schrieb am 11.08.2017 um 08:03 Uhr

    Besten Dank für den tollen Beitrag.
    Wirklich sehr sehr hilfreich.

    Eine Sache weiß ich aber noch immer nicht. Betrifft die auf der eigenen Website zu hinterlegende „Google Analytics-Datenschutzerklärung“.

    Ist der unter der gleichnamigen Überschrift zu findende Inhalte so rechtlich geprüft und kann dementsprechend auch 1:1 auf der eigenen Website genutzt werden (samt Hinweis auf Universal Analytics) – und das ohne die Gefahr hin abgemahnt zu werden?

    Versteht die Frage bitte nicht als Kritik. Möchte nur alles richtig verstanden haben. Gerade hier ist das ja wichtig.
    … und als Nicht-Jurist kann ich einen korrekten Datenschutzhinweis natürlich auch nicht einfach selbst schreiben.

    Danke!

    • Alexander Holl schrieb am 28.08.2017 um 11:05 Uhr

      Hallo Markus, nein wir können hier nie vollkommen rechtssicher eine Empfehlung abgeben. Schon alleine, weil hier ja auch die Rechtssprechung im Fluß ist. Ab nächstes Jahr erwarten wir ja auch die EU-DSGVO. Am Ende bleibt immer der Gang zu einem Fachanwalt, der noch einmal eine Überprüfung vornehmen sollte. Beste Grüße Alexander

  7. Andi Petzoldt schrieb am 24.04.2018 um 14:38 Uhr

    Hi Alex, danke für die Erweiterung des Artikels hinsichtlich der DSGVO :)
    Bezüglich des Analytics Add-On: Hier fehlt m.E. eine Möglichkeit für Mobile-Browser (dort laufen ja noch immer keine Plugins). Was den Abschnitt noch rund machen würde, wäre ein Beispiel (Screenshot), wie ein solches Add-On dann auf der Website aussehen könnte.

    • Alexander Holl schrieb am 25.04.2018 um 06:15 Uhr

      Hallo und einen schönen guten Morgen Andi, vielen Dank für deinen Kommentar. Ja das sollten wir vielleicht noch eintragen.

  8. Nils schrieb am 07.05.2018 um 11:12 Uhr

    Wie sieht es aus, wenn man eine LTD auf Malta betreibt, welche dann wiederum die Webseiten in Deutschland, bzw. für den deutschen Markt, betreibt? Muss hier dann die LTD auf Malta den Vertrag (auf Deutsch?) mit Google abschließen?

    Grüße!
    Nils

    • Marius Hüpel schrieb am 24.05.2018 um 14:38 Uhr

      Hallo Nils,

      in diesem Fall muss die LTD den AV-Vertrag abschließen (falls bereits nicht geschehen; Sprache: Maltesisch oder Englisch) oder zumindest den Zusatz zur Datenverarbeitung zustimmen.

      Viele Grüße
      Marius

  9. Nino schrieb am 07.05.2018 um 12:12 Uhr

    Wenn ich eine Zweigniederlassung in einem anderen europäischen Land habe, wie z.B. Luxemburg, muss ich dann auch einen Auftragsdatenverarbeitungsvertrag abschließen (ist das nur was deutsches) oder reicht der digitale Zusatz in Google Analytics?

    Danke :)

    • Marius Hüpel schrieb am 24.05.2018 um 14:29 Uhr

      Hallo Nino,

      die Thematik mit dem AV-Vertrag betrifft alle, die unter die DSGVO fallen (kurz: Alle Unternehmen, die in der EU ansässig sind oder Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten). Solltet Ihr bereits einen AV-Vertrag (ehemals ADV-Vertrag) mit Google haben, reicht der digitale Zusatz aus.

      Viele Grüße
      Marius

  10. Tobias schrieb am 07.05.2018 um 19:39 Uhr

    Vielen Dank für den Artikel! Frage: Mit dem Betreten der Webseite werden ohne vorherige Zustimmung Daten übertragen. Opt out hin oder her – sie werden übertragen. Inwiefern kann das in Ordnung sein und warum brauche ich, wenn das i.O. ist überhaupt ein Opt out? Entweder es ist ok anonymisierte Daten zu übertragen oder es ist nicht ok – so mein Verständnis?

    • Marius Hüpel schrieb am 15.05.2018 um 17:17 Uhr

      Hallo Tobias,

      vielen Dank für deine Frage. Ich kann dir die Frage anhand unserer eigenen Vorgehensweise beantworten: Beim Besuch unserer Website erhältst du bei deinen erstmaligen Besuch einen Cookie Hinweis. Diesen kannst du akzeptieren oder du lässt dich auf unsere Datenschutzerklärung leiten: Dort kannst du dann zum Beispiel für Google Analytics das „Add-on“ oder das „Opt-out“ aktivieren. Ab diesen Zeitpunkt werden dann keine Daten mehr gesammelt. Zwischen deinen erstmalige Besuch und des „Opt-outs“ werden die Daten in Google Analytics hinterlegt. Willst du diese Daten ebenfalls nicht freigeben, kannst du von deinem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen. Dann werden auch diese Daten gelöscht.

      Jetzt stellt sich natürlich auch die Frage, ob in diesem Fall nicht ein Opt-in verwendet werden muss. Hier noch einmal zum Verständnis: Um die Daten erfassen und verarbeiten zu können, benötige wir in der Regel die Einwilligung der Website-Besucher (Opt-in) oder ich habe ein berechtigtes Interesse daran, diese Daten zu erfassen. Dann wäre nämlich kein Opt-in erforderlich. Diesbezüglich hat Dr. Martin Schirmbacher ebenfalls einen interessanten Artikel verfasst, der sich mit dieser Frage und mit dem Beschluss der Datenschutzkonferenz beschäftigt. Wenn wir nun diesen Beschluss betrachten heißt das im Klartext, dass wir beim Tracking immer die Einwilligung der Website-Besucher benötigen. Die DSGVO lässt aber anders als das BDSG auch für das Tracking eine Rechtfertigung mit berechtigten Unternehmerinteressen zu. Maßgeblich ist hier eine ausführliche Interessenabwägung.

      Viele Grüße
      Marius

  11. Moritz O. schrieb am 14.05.2018 um 17:00 Uhr

    Super Artikel und eine spezielle Frage dazu: Welche deutsche Aufsichtsbehörde oder welche seriöse Quelle hat die Google Vertragsvorlage zur Auftragsdatenverarbeitung wann geprüft und für gut befunden? Auf Grundlage von diesem Artikel habe ich argumentiert, dass der Vertragsentwurf geprüft wurde aber konnte leider nicht beantworten wann und von wem. Viele Grüße

    • Marius Hüpel schrieb am 15.05.2018 um 15:48 Uhr

      Hallo Moritz,

      vielen Dank für deine Anfrage. Das ist natürlich eine sehr gute Frage, die ich dir sehr gerne beantworten werde: Welche deutsche Aufsichtsbehörde die Vorlage für gut empfunden hat, kann dahingestellt bleiben. Denn die „Art. 29-Datenschutzgruppe der EU“ nahm das Vorgehen der deutschen Aufsichtsbehörden im Bezug auf Google Analytics zum Vorbild für die europaweite Umsetzung der Datenschutzanforderungen. Darüberhinaus vereinbarte die „Art. 29-Datenschutzgruppe der EU“ mit Google die Möglichkeit der elektronischen Zustimmung zur Datenverarbeitung. Der genaue Wortlaut sieht wie folgt aus: „For analytics purposes, Google should also extend to all European users the process designed in Germany (enhanced information of the data subjects by the website, limited use of the data to the purpose of analytics and IP anonymisation).“ Die Stellungnahmen der Datenschutzgruppe findest du hier.

      Viele Grüße
      Marius

  12. Gerd schrieb am 23.05.2018 um 20:30 Uhr

    Schöner Artikel, mir fehlt ein Aspekt (oder habe ihn übersehen), dass laut Deutscher Interpretation der DSGVO der Bdesucher eine ausdrückliche Einwilligung zum Tracken seines Besuches geben muss. So gelesen unter: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ Punkt 5
    Wie interpretiert Ihr das? Bei WordPress gibt es m.W. Plugins, die dem schon Rechnung tragen, nur wenn sich diese Praxis durchsetzt, können wir Webanalyse verabschieden aus unserem Marketingarsenal.
    Viele Grüße
    Gerd

    • Marius Hüpel schrieb am 24.05.2018 um 14:19 Uhr

      Hallo Gerd, deine Anmerkung ist berechtigt und die Thematik wird momentan auch sehr stark diskutiert. Wir haben die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des
      Bundes und der Länder in unserem Beitrag thematisiert und auch die Stellungnahme von Dr. Martin Schirmbacher verlinkt. Diese ausführliche Stellungnahme findest du hier.

      Meine Meinung deckt sich mit die von Dr. Martin Schirmbacher: Das Opt-in ist nach meiner Ansicht noch nicht erforderlich, da u.a. die Begründung der Konferenz sehr dünn ist und viel Platz für Interpretationen zulässt. Wirklich sicher können wir erst sein, wenn es die ersten Entscheidungen von Seiten des EuGH vorliegen. Für unsere Praxis bleiben wir weiterhin bei dem Opt-out. Natürlich nur so lange, bis eine rechtssichere Entscheidung vorliegt.

      Viele Grüße
      Marius

  13. Julia schrieb am 28.05.2018 um 14:21 Uhr

    Super Beitrag, vielen Dank! Ich habe eine Frage zu dem „Zusatz zur Auftragsdatenverarbeitung“. Wen trage ich als juristische Person ein, wenn ich ein als Einzelunternehmer ein Nebengewerbe betreibe? Rechtlich gesehen bin ich doch eine „natürliche Person“!?

    Stand heute (28.05.18) gibt es den schriftlichen Vertrag mit Google nicht mehr. Scheint wohl so, dass nur noch der Zusatz zur ADV online abgeschlossen werden kann/soll.

    Danke, viele Grüße
    Julia

    • Marius Hüpel schrieb am 28.05.2018 um 16:25 Uhr

      Hallo Julia,

      vielen Dank. Ich hoffe, dass wir Dir mit unserem Beitrag helfen konnten. In Deinem Fall würde ich das Feld auslassen, da es nach meinem Wissensstand kein Pflichtfeld ist. Und es gibt natürlich die Fälle, wo keine juristische Person vorliegt. Dann bleibt ja auch nichts anderes übrig. Aber Du müsstest Dich zum Beispiel als primären Kontakt hinterlegen.

      Seit dem 25. Mai ist der Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO in elektronischer Form ausreichend. Die Zusendung eines schriftlichen AV-Vertrages ist also nicht mehr nötig.

      Viele Grüße
      Marius

      • Julia schrieb am 29.05.2018 um 08:58 Uhr

        Hallo Marius,
        vielen Dank für die schnelle Antwort. Der Beitrag und die Beantwortung meiner Frage helfen mir auf jeden Fall weiter :-)
        Viele Grüße
        Julia

  14. David schrieb am 08.08.2018 um 15:53 Uhr

    Super Zusammenfassung!

    Muss ich als Datenverantwortlicher dafür sorgen, dass ein Kunde meines Onlineshops in dem ich Google Analytics verwende, Einsicht in seine gespeicherten Daten bei Google gewähren kann, oder diese löschen lassen kann?

    • Marius Hüpel schrieb am 17.08.2018 um 10:01 Uhr

      Hallo David,

      vielen Dank für dein Feedback. Die Rechte der Nutzer, zum Beispiel auf die Löschung der personenbezogenen Daten, findet auch dort Anwendung. Du als Datenverantwortlicher deiner Website musst dafür sorgen, dass die Löschung der personenbezogenen Daten vollzogen wird. Sollte nun ein Nutzer die Löschung seiner personenbezogener Daten verlangen, dann musst du diese Löschung in Google Analytics durchführen. Für diese Löschung ist die Client-ID aus dem Google-Cookie des Nutzers notwendig. Mit Hilfe dieser ID kannst du die Daten des Nutzers im „Nutzer-Explorer“ ausfindig machen. Diesen „Nutzer-Explorer“-Bericht findest du unter dem Navigationspunkt „Zielgruppe“. Wenn du dann die bestimmte Client-ID öffnest, kannst du unten links den Nutzer löschen. Die Daten, die mit dieser Nutzer-ID verbunden sind, werden dann innerhalb von 72h aus dem Bericht zu den einzelnen Nutzern entfernt. Außerdem werden diese Daten beim nächsten Löschvorgang innerhalb von 63 Tagen von den Analytics-Servern restlos gelöscht.

      Viele Grüße
      Marius

  15. Vitali schrieb am 10.11.2020 um 18:27 Uhr

    Hallo.

    Danke für den ausführlichen Artikel.
    Eine Frage hätte ich.

    Warum sollte man im GTM der Datenübermittlung an Google und nicht näher beschriebene „Weitere“ zustimmen?
    Dem Hinweis nach sammelt Google an dieser Stelle Daten fürs Benchmarking.
    Ich wüsste jetzt nicht wieso das jetzt DSGVO förderlich wäre.

    Oder glaubt ihr, dass Google sonst die Daten trotzdem verwendet aber dann nicht anonymisiert?

    Viele Grüße
    Vitali

    • Marius Hüpel schrieb am 27.11.2020 um 16:03 Uhr

      Hallo Vitali,

      vielen Dank für deine Frage. Nach der aktuellen Rechtsprechung dürfen wir personenbezogene Daten erst dann übermitteln, sobald die Einwilligung des Nutzers vorliegt. Dabei muss auch festgestellt werden, um welche Daten es sich handelt, wie zum Beispiel die anonymisierte IP-Adresse. Hierbei kommt es auch darauf an, dass die Erhebung der Einwilligung auch eine „echte“ informierte Einwilligung vom Nutzer ist. Diesbezüglich gab es gerade eine neue Entscheidung des LG Rostocks (Urt. v. 15.09.2020 – Az.: 3 O 762/19). Wird die Einwilligung nach diesen Grundsätzen erhoben, dürfen wir diese Daten erheben und die Datenübermittlung an Google muss ebenfalls transparent dargestellt werden. Und ganz klar: Google darf darüberhinaus keine weiteren Daten erheben und verwenden.

      Ich hoffe, ich konnte deine Frage beantworten.

      Viele Grüße
      Marius

  16. Yassine schrieb am 31.12.2020 um 02:34 Uhr

    Hallo,
    Ich danke Ihnen für die ausführlichen Informationen. Ich hätte eine Frage bzg. der Aktualität der Angaben. Hat sich etwas geändert seitdem Sie den Blog geschrieben haben, was Sie noch nicht angepasst haben?
    Viele Grüße

    • Marius Hüpel schrieb am 04.01.2021 um 17:46 Uhr

      Hallo,
      vielen Dank für deine Frage. Wir aktualisieren diesen Beitrag, sobald eine neue Entscheidung vorliegt. Die Informationen sind also aktuell.
      Viele Grüße
      Marius

Diskutiere mit uns das Thema:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert