Das kostenlose Webanalyse-Tool Google Analytics ist sehr beliebt, wurde aber seit jeher von den Datenschutzbehörden skeptisch betrachtet. Daran ändert sich auch mit der Datenschutzgrundverordnung (DSGVO) nichts.
In diesem Beitrag geht es aber nicht um die grundsätzlichen Fragen der Zulässigkeit des Einsatzes von Google Analytics. Zu diesem nicht einfachen Thema verweise ich auf meine u.g. Beiträge.
Ich persönlich halte den Einsatz von Google Analytics für zulässig, wobei man diskutieren kann, ob einzelne Optionen zulässig sind (Analytics Audiences oder die User ID).
In diesem Beitrag gehe ich jedoch davon aus, dass Sie sich für den Einsatz von Google Analytics entschieden haben und wissen möchten, wie Sie die Risiken möglichst gering halten. Das erkläre ich Ihnen in der folgenden Anleitung.
Sind Tracking, Cookies und Google Analytics zulässig? Laut Datenschutzbehörden ist dies nur mit einem Opt-In zulässig, nach anderen Ansichten ohne. Die unübersichtliche Rechtslage und warum ein Cookie-Banner nicht automatisch ein Opt-In darstellt, beantworte ich in dem Beitrag: „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies„. Die Grundlagen zum Thema Onlinemarketing erhalten Sie im Beitrag „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies„.
Schritt 1 – Datenschutz-Vertrag mit Google abschließen
Bitte schließen Sie in jedem Fall den „Zusatz zur Datenverarbeitung“ in den Kontoeinstellungen im Verwaltungsbereich ab und geben weitere Daten zu den zuständigen Personen und den Kontaktmöglichkeiten ab.
Der Zusatz stellt einen Auftragsverarbeitungsvertrag dar, der das Risiko der Analytics-Nutzung erheblich senkt (Art. 28 DSGVO). Google verpflichtet sich damit zum Schutz der verarbeiteten Nutzerdaten und weiteren Mitwirkungen.
Allerdings nimmt der Vertrag auf einen bereits bestehenden Hauptvertrag Bezug und modifiziert diesen. Ich gehe davon aus, dass damit die generellen Vertragsbedingungen von Google Analytics gemeint sind (also die AGB), die Sie mit der Nutzung von Analytics abschließen. Wenn Sie vorsichtig sein möchten, dann schließen Sie den alten Analytics-Vertrag ebenfalls ab (wobei er nur den deutschen Kunden zur Verfügung steht, weswegen er m.E. nicht notwendig ist, da sonst alle anderen Nutzer „vertragslos“ wären).
Zustimmung zum Auftragsverarbeitungsvertrag per Klick? Nach der DSGVO ist eine „Schriftform“ für den Vertragsschluss vorgesehen, da Google sich das Recht vorbehält, Subunternehmer zu beauftragen (Art. 28 Abs. 2 DSGVO). Allerdings ist es nicht dieselbe Schriftform, wie im deutschen § 126 BGB, wo eine handschriftliche Unterschrift verlangt wird. Es ist noch nicht geklärt, was die Schriftform bedeutet, aber wohl mehr als einen Klick. Jedoch geht zumindest Google davon aus, dass es für eine Qualifizierung des Klicks als Schriftform ausreicht, dass der Vertrag nur durch verifizierte und angemeldete Nutze von Analytics abgeschlossen werden kann.
Schritt 2 – IP-Anonymisierung
Sie müssen den Analytics Code so einstellen, dass Google die IP-Adresse der Nutzer kürzt und so deren Daten pseudonym verarbeitet. Damit werden die letzten 8bit, bzw. zwei Stellen der IP-Adresse Ihrer Nutzer gekappt.
Dies können Sie entweder in der Software, mit der Sie Google in Ihre Website implementieren, einstellen. Alternativ können Sie den Analytics-Code um die IP-Masken-Methode „_anonymizeIp()“ ergänzen.
Schritt 3 – Universal Analytics mit User ID abstellen
Die einheitliche User ID erlaubt es Google Nutzer viel effektiver zu tracken, insbesondere auf unterschiedlichen Geräten. Dieses so genannte „Cross-Device-Tracking“ wird von vielen Juristen als Grenze zur einer Opt-In-Pflicht betrachtet. Wenn Sie deren Überschreitung nicht riskieren möchten, dann sollten Sie Google Analytics nicht als Universal Analytics mit einer User ID nutzen.
Eine Frage der Risikoeinschätzung: In diesem Beitrag geht es um die Minderung der Risiken, daher empfehle ich Ihnen z.B. die User-ID oder die Zielgruppenfunktionen abzuschalten. Das heißt aber nicht, dass ich sie generell für unzulässig halte oder gar empfehlen würde, sie in jedem Fall nicht zu nutzen. Derzeit ist auch die Nutzung einer User ID juristisch vertetbar (d.h. nicht abwegig). Zumindest bis es in dieser Hinsicht höchstgerichtliche Entscheidungen gibt.
Schritt 4 – Remarketing-Zielgruppen (Audiences) abstellen
Sie können mit Hilfe von Google Analytics die so genannte „Audiences“- bzw. „Zielgruppen“-Funktion nutzen. Dabei werden Zielgruppen für Werbeanzeigen gebildet. D.h. Sie können z.B. bestimmte Websitebesucher als Zielgruppe für Ihre Google-Anzeigen auswählen.
Das Risiko dieser Maßnahme ist zwar höher als beim Analytics in der Grundversion, aber geringer als bei der User ID.
Schritt 5 – Die Speicherdauer der Nutzerdaten verkürzen
Neu ist die Möglichkeit die Speicherdauer der Nutzerdaten zu begrenzen. Sie sollten dabei die kürzeste Dauer von 14 Monaten wählen.
Feste Vorgaben gibt es nicht, dem Gesetz nach dürfen Sie die Daten solange speichern, wie dies erforderlich für Ihre Zwecke ist. Zudem müssen Ihre Zwecke die Interessen der Nutzer an der zeitnahen Löschung ihrer Daten überwiegen (Art. 6 Abs. 1 lit. f. DSGVO). Solange Sie diese beiden Voraussetzungen nicht begründen können, bleiben Sie bei 14 Monaten Speicheerdauer.
Schritt 6 – Datenschutzerklärung ergänzen
In jedem Fall müssen Sie eine Datenschutzerklärung anbieten, in der Sie die Nutzer auf die Art der Nutzung von Analytics (z.B. ob mit oder ohne User ID) sowie die Widerspruchsmöglichkeiten hinweisen müssen (Art. 12, 13 DSGVO).
Das nachfolgende Muster berücksichtigt die Nutzung von Google Analytics in der Grundversion. Falls Sie die User ID oder Analytics Audiences einsetzen möchten, verwenden Sie bitte unserem Datenschutz-Generator.
Google Analytics
Wir setzen auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Google Analytics, einen Webanalysedienst der Google LLC („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere, mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen, uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.
Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter folgendem Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.
Weitere Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten, erfahren Sie in der Datenschutzerklärung von Google (https://policies.google.com/technologies/ads) sowie in den Einstellungen für die Darstellung von Werbeeinblendungen durch Google (https://adssettings.google.com/authenticated).
Die personenbezogenen Daten der Nutzer werden nach 14 Monaten gelöscht oder anonymisiert.
Erstellt mit Datenschutz-Generator.de von RA Dr. Thomas Schwenke
Beachten Sie bitte zudem, dass das Muster darauf ausgelegt ist, dass kein Opt-In der Nutzer eingeholt wird. Falls ein Opt-In eingeholt wird, müssen Sie den ersten Satz wie folgt formulieren:
Wir setzen auf Grundlage Ihrer Einwilligung gem Art. 6 Abs. 1 lit. a., Art. 7 DSGVO) Google Analytics, einen Webanalysedienst […]
Hinweise zur Nutzungsberechtigung: Sie dürfen den obigen Abschnitt zu Google Analytics gerne für Ihre Webseite übernehmen. Wir bitten Sie nur um die Verlinkung mit: Erstellt mit Datenschutz-Generator.de von RA Dr. Thomas Schwenke. Hinweis zur Haftung: Die Muster sind mit bestem Wissen erstellt, es kann jedoch keine Haftung für sie übernommen werden, da diese einer Prüfung im Einzelfall bedarf. Wenn es Updates gibt, werde ich darauf hinweisen. Abonnieren Sie mein Blog oder werden Fan meiner Facebook-Seite, um die Updates nicht zu verpassen.
Schritt 7 – Eigenes Analytics-Opt-Out
Ferner sollten Sie beachten, dass die Opt-Out-Möglichkeit von Google (d.h. die Widerspruchsmöglichkeit gem. Art. 21 DSGVO), in Form eines Plugins angeboten wird. Das Plugin funktioniert dagegen nicht in Mobilgeräten.
Aus diesem Grunde sollten Sie ein eigenes Opt-Out anbieten, wobei Sie dieses selbst z.B. mit Hilfe von JavaScript programmieren könnten.
Zunächst müssen Sie die folgende Passage in Ihrer Datenschutzerklärung ergänzen:
Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, klicken Sie bitte diesen Link, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern:
Dabei wird ein Opt-Out-Cookie auf Ihrem Gerät abgelegt. Löschen Sie Ihre Cookies, müssen Sie diesen Link erneut klicken.
Wie Sie diese Opt-Out-Möglichkeit mit Hilfe von Javascript-Befehlen beim Klick auf den obigen Link umsetzen können, erklärt Google in der Anleitung zur „disable Tracking„-Eigenschaft.
Es bleibt zu hoffen, dass Google demnächst eine eigene Opt-Out-Lösung für alle Geräte anbietet.
Mit diesem Schritt ist die rechtliche Einrichtung abgeschlossen und für weitere Fragen verweise ich auf die folgende FAQ zu Google Analytics:
Hörtipp: Unsere Podcastfolgen zur Datenschutzgrundverordnung mit Grundlagen (DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54) und Umsetzungstipps für die Praxis (DSGVO: Datenschutzerklärung FAQ – Rechtsbelehrung Folge 55).
Häufige Fragen zu Google Analytics (FAQ) (zurück)
Bitte lesen Sie ebenfalls die folgenden Antworten auf die häufigsten Fragen, die ich zu Google Analytics erhalte.
- Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte?
- Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen?
- Muss ich ein Cookie-Banner auf meiner Website implementieren?
- Muss ich den Vertrag mit Google für jede Website abschließen?
- Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun?
- Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen?
- Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?
- Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten?
- Gelten diese Vorgaben auch in Österreich und in der Schweiz?
- Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist?
- Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte?
Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte? (zurück)
Das ist derzeit leider nicht einfach zu sagen. Die Auslegung der Gesetze im Datenschutzrecht ist nicht einheitlich und auch die Ansichten der Datenschutzbehörden sind kein Gesetz, sondern eben Ansichten. Das führt dazu, dass die Frage, ob eine hinreichende rechtliche Sicherheit gewahrt ist, sehr häufig eine Risikoeinschätzung ist. Ganz sicher wären Sie nur, wenn sie kein Google Analytics nutzen würden (eine sicherere Alternative ist z.B. die Open-Source-Software Matomo).
Weitere Erläuterungen finden Sie in dem Beitrag „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies„.
Ferner bietet Google Analytics unzählige Möglichkeiten des Einsatzes abhängig von miteingesetzten Tools, Arten und Zwecke der Auswertung oder Einsatzorten. Eine abschließende Einschätzung lässt sich da nur im Einzelfall treffen.
Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen? (zurück)
Sofern Sie Google Analytics bisher genutzt haben, ohne die obigen Schritte zu beachten, müssen Sie laut Datenschutzbeauftragten alle bisher durch Google Analytics erhobenen Daten löschen. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen. Beachten Sie dazu Hinweise in der FAQ.
Ich habe bisher noch von keinem Fall gehört, in dem dieser Punkt problematisiert wurde. Denn für Dritte ist es praktisch nicht erkennbar, ab wann Sie Google Analytics rechtmäßig nutzen. Möchten Sie jedoch auf Nummer Sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.
Muss ich ein Cookie-Banner auf meiner Website implementieren? (zurück)
Nicht nur die Datenschutzbehörden, auch Google selbst verlangt eine Einwilligung in die Nutzung seiner Dienste (zumindest wenn dies zu Werbezwecken geschieht), wobei dies m.W. praktisch bisher nie durchgesetzt wurde.
Wenn Sie jedoch von einem Opt-In im Sinne der DSGVO ausgehen, dann dürfte der Google Analytics-Code erst dann in die Website eingebunden können, wenn Nutzer ausdrücklich auf „OK“ oder „Einverstanden“ im Cookie-Banner geklickt haben. Daher bringen die meisten der heutzutage vorzufindenden Cookie-Banner rechtlich keine Vorteile, da Google Analytics bereits aktiv ist. Die heute vorzufindenden Cookie-Hinweise sind daher bloß deutlichere Hinweise auf die Datenschutzerklärung.
Wie ein Opt-In-Cookie aussehen sollte, finden Sie in meinem Beitrag zum Tracking erklärt.
Muss ich den Vertrag mit Google für jede Website abschließen? (zurück)
Den Vertrag müssen Sie pro Account (bzw. „Konto“ auf Deutsch) abschließen, mit dem Sie Google Analytics nutzen. Wenn Sie unterschiedliche Accounts für unterschiedliche Websites verwenden, dann müssen Sie auch mehrere Verträge abschließen.
Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun? (zurück)
Wenn Sie den Zusatz zur Datenverarbeitung bereits akzeptiert haben, müssen Sie vorerst nichts unternehmen. Ich gehe davon aus, dass Google Sie informieren wird, wenn ein neuer Vertrag abgeschlossen werden muss.
Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen? (zurück)
Wenn Sie Google-Analytics-Accounts im Namen Ihrer Kunden anlegen, dann sollten Sie den Vertrag ebenfalls im Namen Ihres Kunden abschließen, bzw. den Kunden auf den Abschluss des Vertrages hinweisen. Sie müssen dann die Daten des Kunden als Verantwortlichen bei Analytics eintragen.
Schließen Sie dagegen den Vertrag mit Google ab und sind Verantwortlicher, dann sollten Sie mit dem Kunden einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO über die Verarbeitung der analyticsbezogenen Daten mit dem Kunden abschließen.
Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?
Ja, die Vorgaben gelten auch für die mobile Nutzung von Google Analytics. Allerdings sollten Sie eine Widerspruchslösung in Ihrer App mit Hilfe eines Schalters „Google Analytics ein/aus“ o.ä. umsetzen.
Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten? (zurück)
Ja, die Vorgaben gelten auch für die Web-Apps oder Facebook-Apps (z.B. bei Gewinnspielen). D.h. auch die Apps müssen die IP-Adressen anonymisieren lassen und eine Datenschutzerklärung enthalten.
Gelten diese Vorgaben auch in Österreich und in der Schweiz? (zurück)
Die DSGVO ist ein europäisches Recht, daher gilt das oben gesagte genauso für Österreich. Mit dem Unterschied, dass die Risiken beim Einsatz von Google Analytics in Österreich weitaus geringer sind als in Deutschland (Milderungen bei Datenschutzverstößen und keine Abmahnungen).
Was die Schweizer angeht gilt dasselbe, allerdings mit einem noch geringeren Risiko, da die Schweizer generell datenschutzrechtlich etwas liberaler denken (Hinweis, das gilt meines Wissens und kann im Einzelfall abweichen).
Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist? (zurück)
Diese Frage mag Ihnen vielleicht etwas befremdlich vorkommen, hat aber eine hohe Relevanz. Es gibt viele Plugins, Widgets oder sonstige Dritt-Anbieter-Tools, die Google Analytics „mitbringen“, ohne dass Sie es merken. Bitte nutzen Sie das Add-on/Plugin „Ghostery“ in Ihrem Browser und rufen damit Ihre Website auf.
Dann können Sie erkennen, ob Google Analytics oder sogar andere Tracker auf Ihrer Website aktiv sind. Alle durch das Plugin angezeigten Tracker, müssen ebenso wie Google Analytics, ebenfalls in Ihrer Datenschutzerklärung erwähnt werden.
Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte? (zurück)
Datenschutzbehörden verschicken regelmäßig Fragebögen zum Einsatz von Google Analytics. Bußgelder werden zwar bisher im Regelfall nicht verhängt. Trotzdem können die Folgen unangenehm werden. Wenn Sie die obigen Schritte nicht beachten, dann müssen Sie mit einer Untersagungsverfügung und Pflicht Ihren Google Account zu löschen, rechnen. Ferner vermitteln Sie so den Eindruck, den Datenschutzvorgaben nicht genug Aufmerksamkeit zu widmen, was ein Anlass für eine vertiefte Datenschutzprüfung Ihrer Website oder gar Ihres Unternehmens sein kann.
Des Weiteren drohen auch Abmahnungen durch Privatpersonen oder klagebefugte Organisationen, wie z.B. die Verbraucherschutzzentralen. Dies gilt vor allem, wenn Sie die Datenschutzhinweise und die Opt-Out-Möglichkeiten nicht angeben. In bisherigen Gerichtsverfahren sahen die Gerichte in solchen Fällen insbesondere auch Wettbewerbsverstöße (z.B. Abmahnung wegen fehlerhafter Datenschutzerklärung, Abmahnbarkeit fehlerhafter Datenschutzerklärung erneut bestätigt).
Hinweis: Dieser Beitrag wurde am 22.05.2018 neu überarbeitet und an die DSGVO angepasst.
Werbung in eigener Sache:
[…] 26.09.2016 – Update: Dieser Beitrag ist nicht mehr aktuell. Die aktualisierte Fassung finden Sie unter: Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ. […]
Ja, z.B. das Gros meiner Mandanten verwendet ihn noch. Alternative Vorschläge sind immer willkommen. 🙂
[…] Das bedeutet aber auch, dass man einen neuen Vertrag mit Google Analytics schließen muss. Weitere Infos hier. […]
[…] RA Thomas Schwenke: Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ […]
[…] Ein absoluter Tipp für alle Websitebetreibenden und Interessierten: Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ […]
[…] über die Datenerhebung durch Google Analytics informiert (ein Muster finden Sie z.B. unter https://drschwenke.de/google-analytics-datenschutz-muster-faq/) und die Möglichkeit gegeben werden dieser zu widersprechen. Dies sollte einerseits über das von […]
[…] Hinweise zur Nutzungsberechtigung: Sie dürfen die Muster gerne für Ihre Seite übernehmen. Über eine Verlinkung als Dankeschön würden ich mich gerne freuen: Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke […]
[…] Auftragsdatenverarbeitung (§ 11 BDSG) – Würden die Plattform-Anbieter die personenbezogenen Daten nur im Auftrag, das heißt insoweit der Kontrolle und Weisung der Werbekunden auf Grundlage eines Vertrages verarbeiten, könnten sie durchaus nur als deren „Verlängerter Arm“ erscheinen. Die Datenverarbeitung wäre durchaus zulässig. Allerdings werden derartige Verträge nicht angeboten. Auch Facebooks „Addendum zur Datenverarbeitung“ genügt nicht den hohen Ansprüchen und Googles Vertrag beschränkt sich nur auf Google Analytics. […]
[…] Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ (Update 2016) […]
[…] Ausführliche Informationen zum Thema Google Analytics und Datenschutz bietet Dr. Thomas Schwenke in diesem Artikel. Weitere Informationen zu den Neuerungen habe ich hier […]
[…] Als Weiteres sollte beachtet werden, dass Google Analytics ab September 2016 einen neuen Nutzer- und Auftragsdatenverarbeitungsvertrag anbietet, der abgeschlossen werden sollte. Für weitere Punkte, die beachtet werden müssen, verweise ich auf Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ. […]
[…] Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke […]
[…] dafür, damit es keine Probleme mit dem Datenschutz gibt. Thomas Schwenke hat in einem sehr guten Artikel erklärt worauf Du achten musst, wenn Du Google Analytics für Deinen Blog nutzen […]
[…] dazu erhalten Sie unter diesem Link. Mustertexte für Ihre Datenschutzerklärung finden Sie unter diesem Link. Hier gehts zu Google Analytics: […]
Nach meinem Wissensstand handelt es sich um eine Umsetzung des im Beitrag genannten Vertrages für andere Nutzer in Europa. Der Grund ist, dass das sog. „Artikel 29 – Datenschutzgremium“ der EU Kommission Google empfohlen hat, den für Deutschland geltenden Vertrag auch in der EU anzubieten (http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20121016_google_privacy_policy_recommendations_cnil_en.pdf, Seite 8 „For analytics purposes, Google should also extend to all European users the process
designed in Germany (enhanced information of the data subjects by the website, limited use of the data to the purpose of analytics and IP anonymisation). „). D.h. wenn Sie den Vertrag bereits abgeschlossen haben, müssen Sie diesen Zusatz nicht zusätzlich abschließen. Es schadet es jedoch nicht, dies zu tun. Nur den Zusatz abzuschließen reicht jedoch nicht aus, da in Deutschland derartige Auftragsdatenverarbeitungsverträge bis zum 25.05.2018 in Schriftform (= handschriftlich unterschrieben), abgeschlossen werden müssen.
[…] und Muster zum rechtssicheren Einsatz von Google Analytics finden Sie in meinem Beitrag „Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ„. Die Option „Zusatz zur Datenverarbeitung“ habe ich dort schon […]
wirklich kein Opt-In??
Bei dieser Quelle https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
unter „5. Einwilligung“ findet sich der Passus:
»Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 26. April 2018 ein Positionspapier veröffentlicht, wonach ab dem 25.05.2018 rechtskonformes Webtracking nur mit einer vorherigen informierten Einwilligung des Nutzers möglich sein soll. Verzichtet man auf die Einholung der Einwilligung, riskiert man ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung.
Einwilligung bei Seitenaufruf: Wichtig ist, dass das Tracking erst aktiviert wird, nachdem der Nutzer eingewilligt hat und nicht vorher. Bei Aufruf der Website könnte eine entsprechende Einwilligung durch einen „Cookie-Banner“ eingeholt werden …« – Zitatende
Ein Opt-In wäre auch problemlos möglich wie hier beschrieben: https://www.youtube.com/watch?v=_M-xKn8NN54
Halten Sie das dann nicht für notwendig?
Meine Ansicht dazu habe ich hier erläutert: https://drschwenke.de/dsgvo-tracking-cookies-online-marketing-gluecksspiel/
[…] Thomas Schwenke hat eine Schritt-für-Schritt-Anleitung veröffentlicht, wie du Google Analytics auch mit der DSGVO möglichst rechtssicher einsetzen […]
Erst mal herzlichen Dank für diesen tollen Artikel! Der ist wirklich hilfreich. Allerdings habe ich noch zwei Fragen:
1. Sollte man in der Datenschutzerklärung darauf hinweisen, dass „Google Uiversal Analytics“ eingesetzt wird (das kann man ja mit externen Tools abfragen), dass aber die User-Id ausgeschaltet ist?
2. Wie sieht es denn mit den „Berichten zu demografischen Merkmalen und Interessen“ (bei den Propertyeinstellungen unter „Werbefunktionen“) aus? Darf man die einschalten, damit man mehr über Alter, Geschlecht und Interessen der Nutzer erfährt? Und wenn ja: In welcher Form muss man darauf in der Datenschautzerklärung hinweisen?
Hallo Herr Schwenke,
vielen Dank für die tollen Infos.
Wie sieht es mit dem Plugin Jetpack aus? In Ihrem Datenschutzgenerator bieten Sie Hinweise für den Einsatz dieses Plugins an. Gibt es da ähnliche Punkte zu beachten wie bei google analytics? Oder sollte man lieber auf dieses Plugin verzichten, zumindest um das Verhalten der Leser zu tracken?
Vielen Dank im Voraus,
Marion Selzer
[…] [Nachtrag 25.05.2018] https://drschwenke.de/google-analytics-datenschutz-muster-faq/ […]
[…] Schwenke hat eine ausführliche Schritt-für-Schritt-Anleitung zu diesem Thema erstellt, die du auf jeden Fall berücksichtigen […]
[…] 11↑ Dr. Schwenke Google Analytics & DSGVO – Anleitung für möglichst rechtssichere Nutzung, Mustertext und FAQ:drschwenke.de/google-analytics-datenschutz-muster-faq […]
[…] Google Analytics kann DSGVO-konform eingesetzt werden, wenn ein gültiger und unterschriebener Auftragsdatenverarbeitungsvertrag mit Google vorliegt und wenn die Übertragung der Daten anonymisiert erfolgt. Wie das alles funktioniert und was man noch beachten muss hat Rechtsanwalt Dr. Schwenke hier eindrucksvoll und ausdrücklich beschrieben: https://drschwenke.de/google-analytics-datenschutz-muster-faq/ […]
[…] in den Tracking-Tools selbst notwendig. Siehe hierfür die Anleitungen von Thomas Schwenke hier und […]
[…] Google Analytics – liefert leicht verständliche Auswertungen zu Webseitenbesuchern, woher die kommen, welche Seiten am häufigsten gelesen werden usw. Für effektives Online-Marketing brauchst du ein Analyse-Tool. Denk dran, du musst auf die Verwendung in der Datenschutzerklärung hinweisen, einen Opt-Out anbieten und die IP-Adresse verkürzen, um datenschutzkonform zu handeln. Zuletzt benötigst du unbedingt einen Cookie-Hinweis, da Google Analytics Cookies abspeichert. Mehr Infos und die Anleitung dazu im Blog von Rechtsanwalt Thomas Schwenke. […]
Hallo Herr Dr. Schwenke,
wenn ich IP-Adressen durch Google anonymisieren lasse, dann habe ich diese schon an Google übermittelt. Ist dies nicht ein Widerspruch oder habe ich etwas falsch verstanden.
Mit freundlichen Grüßen
Marco
Hallo Herr Schwenke,
vielen Dank für die tollen Infos.
In der Schweiz höre ich immer wieder von Abmahnungen aus Deutschland an Schweizer Firmen / Privatpersonen besonders wegen Urheberrechtsverletzungen. Heisst es, dass Schweizer Firmen auch wegen DSGVO-Verletzungen abgemahnt werden könnten? Ist dies auch in der Praxis zu sehen?
Mit freundlichen Grüssen
SP