Vielleicht haben Sie sich schon gefragt, welchen Zweck die Option „Zusatz zur Datenverarbeitung“ in den Kontoeinstellungen von Google Analytics hat. Sie wird dort für die EU-Nutzer empfohlen, aber leider ohne wirkliche Erläuterungen welche Vorteile sie bringt.
So werde ich schon häufiger gefragt, ob Google sich mehr oder weniger Rechte einräumt oder gar die bisherigen schriftlichen Verträge mit Google obsolet werden. Zutreffend ist die letzte Vermutung, wobei mit Einschränkung für deutsche Nutzer, die ich nachfolgend erläutere.
Gesetzliche Datenschutzvorgaben für Google Analytics
Indem Sie Google Analytics einsetzen, erlauben Sie Google auf die Daten Ihrer Websitebesucher (inkl. Appnutzer) zuzugreifen. Damit dies erlaubt ist, sollten Sie die Interessen Ihrer Websitebesucher wie folgt schützen (Art. 6 Abs. 1 lit. f DSGVO, 15 Abs. 3 TMG):
- Sie anonymisieren die IP-Adresse.
- Sie klären die Nutzer über die Funktionsweise von Google Analytics in der Datenschutzerklärung auf.
- Sie bieten den Nutzern eine Widerspruchsmöglichkeit (Opt-Out) an.
- Sie schließen mit Google einen sog. Vertrag über Auftragsverarbeitung an.
Die letzte Option wird durch den „Zusatz zur Datenverarbeitung“ nach deutschem Vorbild umgesetzt.
[sc name=“tshinweisboxBEGIN“]Anleitung für rechtssicheren Einsatz von Google Analytics: Vollständige Umsetzungshinweise und Muster zum rechtssicheren Einsatz von Google Analytics finden Sie in meinem Beitrag „Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ„. Die Option „Zusatz zur Datenverarbeitung“ habe ich dort schon berücksichtigt.[sc name=“tshinweisboxEND“]
Datenschutz nach deutschem Vorbild
In Deutschland haben die Datenschutzbehörden gegenüber Google durchgesetzt, dass Websitebetreibern ein Vertrag über Auftragsverarbeitung angeboten wird. Darin verpflichtet sich Google die Daten der Nutzer nur im Rahmen des Funktionsumfangs von Analytics zu verarbeiten, sie auf Weisung der Websitebetreiber zu löschen, technische und organisatorische Maßnahmen zu ergreifen, etc.
Diese Vereinbarung hat bei der sog. „Artikel 29 – Datenschutzgruppe„, einem Beratergremium der EU-Kommission viel Anklang gefunden. Sie empfahl Google den Vertrag auch für ganz Europa umzusetzen:
8. For analytics purposes, Google should also extend to all European users the process designed in Germany (enhanced information of the data subjects by the website, limited use of the data to the purpose of analytics and IP anonymisation).
Google griff die Empfehlung auf und bietet daher den Vertrag über Auftragsverarbeitung nun als „Zusatz zur Datenverarbeitung“ für alle Websitebetreiber innerhalb der EU (bzw. des europäischen Wirtschaftsraums) und der Schweiz an.
Der Zusatz zur Datenverarbeitung ist daher zu begrüßen und sollte von allen Websitebetreibern per Klick akzeptiert werden*. Das genügt in der Schweiz und in Österreich, aber noch nicht bei deutschen Websitebetreibern.
* Nach der DSGVO ist eine „Schriftform“ für den Vertragsschluss vorgesehen, da Google sich das Recht vorbehält, Subunternehmer zu beauftragen (Art. 28 Abs. 2 DSGVO). Allerdings ist es nicht dieselbe Schriftform, wie im deutschen § 126 BGB, wo eine handschriftliche Unterschrift verlangt wird. Es ist noch nicht geklärt, was die Schriftform bedeutet, aber wohl mehr als einen Klick. Jedoch geht zumindest Google davon aus, dass es für eine Qualifizierung des Klicks ausreicht, dass der Vertrag nur durch verifizierte und angemeldete Nutze von Analytics abgeschlossen werden kann.
In Deutschland klickt nur der Kugelschreiber
Das deutsche Datenschutzrecht geht noch weiter als die EU-Vorgaben und setzt für wirksame Auftragsverarbeitungsverträge eine handschriftliche Unterschrift voraus. Daher sollten deutsche Nutzer daher noch zu der umständlichen Papierlösung mit frankiertem Rückumschlag greifen.
Ab 25. Mai 2018, wenn die EU-Datenschutzgrundverordnung (DSGVO) das deutsche Bundesdatenschutzgesetz ersetzt, entfällt aber auch die Schriftform und die deutschen Websitebetreiber dürfen Auftragsverarbeitungsverträge per Mausklick abschließen.
[sc name=“tshinweisboxBEGIN“]Auftragsverarbeitung: Sie wissen nicht was diese Auftragsverarbeitung ist, von der in diesem Beitrag die Rede ist? Dann empfehle ich Ihnen die Erläuterungen in meinen Beitrag „DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)“ im t3n-Magazin (Alle Teile). [sc name=“tshinweisboxEND“]
Fazit und Praxistipp
Mit dem „Zusatz zur Datenverarbeitung“ werden die Interessen Ihrer Websitebesucher geschützt und daher sollten Sie ihn anklicken. Das gilt vor allem für Websitebetreiber in Österreich und der Schweiz. Wenn Sie allerdings in Deutschland sitzen, müssen Sie bis Mai 2018 noch den handschriftlichen Weg wählen.
Vergessen Sie jedoch nicht, auch die IP-Adresse zu anonymisieren, die Datenschutzhinweise zu erweitern und Nutzer auf das Opt-Out hinzuweisen.
[sc name=“tshinweisboxBEGIN“]Hinweis zu juristischen Feinheiten und künftigen Änderungen: Im Datenschutzrecht und damit auch beim Einsatz von Google Analytics ist vieles umstritten. Mein Ziel ist es Ihnen jedoch Tipps für die Praxis zu geben. Über etwaige Änderungen halte ich Sie dann mit meinem Newsletter zum Marketing-, Datenschutz- und Vertragsrecht, bei Twitter oder bei Facebook auf dem Laufenden. [sc name=“tshinweisboxEND“]
Vielen Dank Herr Schwenke für den gut aufbereiteten, gut lesbaren und wichtigen Artikel!Sogar mit konkreter Handlungsempfehlung!
Beste Grüße
Wolfgang Hanfstein
P.S.: Habe ihre Daten ins Adressbuch übernommen, wenn wir mal einen Spezialisten wie Sie brauchen, werde ich mich gerne melden 🙂
Einen schönen guten Tag,
vielen Dank für den ausführlichen, aktuellen Bericht.
Meine Frage aber zu folgendem Abschnitt:
„Ab 25. Mai 2018, wenn die EU-Datenschutzgrundverordnung (DSGVO) das deutsche Bundesdatenschutzgesetz ersetzt, entfällt aber auch die Schriftform und die deutschen Websitebetreiber dürfen Auftragsverarbeitungsverträge per Mausklick abschließen.“
Woher haben sie diese Information? Nirgends anders finde ich etwas dazu. Lediglich die „alte“ (?) Info, dass der Vertrag nach wie vor nach Irland gesendet werden muss. Haben sie hierfür eine bestimmte Quelle?
Ich freue mich sehr über ihrer Rückmeldung.
Viele Grüße
Corinna
Das ergibt sich daraus, dass die Schriftform nicht mehr im Gesetz vorgesehen ist. Es gelten zwar immer noch die Nachweispflichten und die Identität der Vertragspartner muss geprüft werden, aber dies ist im Login-Verfahren regelbar. Natürlich könnte Google noch weiterhin den schriftlichen Vertrag anbieten, allerdings würde es mich wundern, weil der Verwaltungsaufwand viel größer ist.
Hallo Herr Dr. Schwenke,
das ist in der Tat ein interessanter Punkt. Das würde heißen, wenn ich im Juni auf einer Webseite Google Analytics implementiere, ist es (vermutlich) ausreichend den Zusatz zur Datenverarbeitung digital abzuschließen, richtig?
Beste Grüße
Imke Duin
Toller hilfreicher Artikel. Sollte ich das eigentlich jetzt auch schon bestätigen oder lieber erst zum Stichtag bestätigen?
LG
Andreas
Ja, kann ich empfehlen.
Hallo,
das mit Google Analytics habe ich verstanden. Hat bei mir sogar dazu geführt, dass ich alle meine Seiten auf Piwik/Matomo geändert habe.
Ich frage mich nur, wie es mit Google Maps, Google Recaptcha und Google Fonts aussieht?
Haben Sie eine Ahnung, wie man damit jetzt umgeht? Diese Frage wird in den soziale Medien und Foren viel diskutiert aber irgendwie ist das sehr diffus.
Lg aus Berlin
Marco
Mit dem frankierten Rückumschlag bin auf der Post gescheitert. Geht nicht. Na, dann hoffe ich mal, dass ich mein Teilchen auch wieder zurück bekomme.
Danke für den sehr verständlichen beitrag!
Sylvia G