Datenschutz (GDPR) und Google Analytics

Die „General Data Protection Regulations“ (kurz GDPR oder auch Datenschutz-Grundverordnung DSGVO) der EU treten am 25. Mai 2018 in Kraft und bringen zahlreiche Herausforderungen für jeden Websitebetreiber mit sich, und sei es auch nur die Notwendigkeit, sich überhaupt mit dem Thema Datenschutz auseinanderzusetzen.

Um was geht es?

Mit den GDPR regelt die EU erstmals die Sicherheit und die Verwendung von „personenbezogenen Daten“ des Endverbrauchers sehr umfassend. Im Zentrum stehen

  1. Die Kontrolle über die Erhebung von persönlichen Daten geht auf den Endverbraucher über (Opt-In)
  2. Der Website-Betreiber haftet für die Sicherheit der erhobenen persönlichen Daten vor unerwünschtem Zugriff  (Verschlüsselung, Aufbewahrung, Löschung usw.)
  3. Der Verbraucher hat das Recht jederzeit die erhobenen Daten anzufordern und auch ausgehändigt zu bekommen (Dokumentationspflicht), bzw. diese unwiderruflich löschen zu lassen.

Leider ist aber nicht exakt bestimmt, was als „personenbezogene Daten“ gilt. Das Problem besteht darin, dass die umfassende Definition von „personenbezogenen Daten“ alle Daten umfasst, aus denen  jemand „direkt oder indirekt“ unter Verwendung aller Mittel identifiziert werden kann. Diese Definition umfasst also auch Pseudonyme, Online-Identifikatoren wie IP-Adressen und Cookies, die, wie die DSGVO feststellt, mit anderen Daten kombiniert werden können, um „Profile der natürlichen Personen zu erstellen und sie zu identifizieren„.

Für wen sind die GDPR relevant?

Aus diesen Anforderungen entstehen ganz konkret umzusetzende Maßnahmen für jeden Websitebetreiber, der

  • Nutzer aus einem Land anspricht, in dem die GDPR gelten (Umsetzung ist übrigens auch innerhalb der EU sehr unterschiedlich und deswegen sind die Restriktionen auch verschieden)
  • auch nur ein Minimum an Interaktion mit den Nutzern erlaubt, z.B. über Kontaktformulare, Kommentarfunktionen u.ä., oder aber
  • Webtracking nutzt, um die Performance der Website nachzuvollziehen, z.B. Google Analytics, oder aber
  • Drittanbieter-Tools nutzt, um das Nutzererlebnis zu verbessern, z.B. die Teilen- Funktion von Social Media Anbietern, Newsletter-Verwaltung o.ä.
  • einen Login-Bereich anbietet oder/und im Checkout (Onlineshop) persönliche Daten abfragt

Was genau muss der Websitebetreiber jetzt tun?

Die Maßnahmen, die nun für eine ausreichende Sicherheit von persönlichen Daten im Rahmen der GDPR umgesetzt werden müssen, sind vielfältig und sie sind vor allem auch abhängig davon, inwieweit überhaupt persönliche Daten erfasst werden. Sie lassen sich aber wie folgt gruppieren:

Die Kontrolle über die Erhebung von persönlichen Daten geht auf den Endverbraucher über (Opt-In)

Das heißt konkret, dass Banner nicht mehr ausreichen, die den Hinweis Cookies werde  zur Erfassung von Nutzerdaten eingesetzt “ ausspielen und weggeklickt werden können. Der Nutzer muss aktiv der Nutzung von Cookies zustimmen und diese Einwilligung muss vom Website-Betreiber dokumentiert werden (Opt-In-Verfahren). Dieses gilt auch für funktionale Cookies, ohne die die Website nicht nutzbar ist.

Ohne eine derartige Zustimmung („Cookie Consent“) darf zukünftig für einzelne Länder kein Cookie mehr gesetzt werden!

Da nun aber zahlreiche Anwendungen mit Cookies arbeiten, die entweder funktional bedingt sind,  das Nutzererlebnis verbessern oder aber Marketingzwecken dienen, würde die Seite bei einer Ablehnung der Cookie Zustimmung (englisch: consent) nicht mehr nutzbar. Deswegen gibt es umfangreiche Lösungen oder Plugins, die eine detaillierte Auflistung der Anwendungen ermöglichen und dort dann Ausnahmen zulassen, bzw. eine detaillierte Auswahl der zuzulassenden Cookies. Beispiele sind

Zu den „personenbezogenen Daten“ gehört auch die IP-Adresse, die von Google Analytics verwendet wird. Sie wird zwar nicht standardmäßig in den Reports ausgewiesen, jedoch nutzt Google die IP Adresse z.B. für die Geo-Daten zur Lokalisierung.

Über die IP Anonymisierung bietet Google eine Möglichkeit, die IP so zu kürzen, dass die letzten Ziffern durch Nullen ersetzt werden. Der Nutzer kann über ein kostenfreies Browser Add On nun die IP Adresse kürzen (https://tools.google.com/dlpage/gaoptout?hl=de). Hierfür sollten auch die Datenschutzbestimmungen so angepasst werden, dass auf diese Möglichkeit deutlich hingewiesen wird.

Der Website-Betreiber haftet für die Sicherheit der erhobenen persönlichen Daten vor unerwünschtem Zugriff (Verschlüsselung, Aufbewahrung, Löschung usw.)

Hier kommt auch Google Analytics ins Spiel. Denn neben einer SSL Verschlüsselung bei der Übertragung von Daten (zu erkennen am grünen Schloß und dem „https“ in der URL-Leiste des Browsers), ist vor allem die sichere Aufbewahrung der Daten ein Thema. Sollte sich also jemand unerlaubt Zugriff zu den Daten verschaffen (z.B. durch einen Server-Hack), haftet der Website-Betreiber.

Die Daten, die Google Analytics sammelt, werden zumeist auf Servern in den USA gespeichert und fallen damit unter das EU-US Privacy Shield – das bedeutet, dass die Übermittlung von Daten außerhalb der EU zwar akzeptabel ist, aber im Rahmen der DSGVO ist es die Aufgabe des Website-Betreibers sicherzustellen, dass personenbezogene Daten außerhalb der EU ordnungsgemäß geschützt werden. Deswegen sollte jegliche Übermittlung von personenbezogenen Daten an Google Analytics vermieden werden.

  • Seiten-URLs, Seitentitel und andere benutzerdefinierte Datendimensionen prüfen, um sicherzustellen, dass keine personenbezogene Daten erfasst werden. Ein gängiges Beispiel für die personenbezogene -Datenerfassung ist die Erfassung einer Seiten-URL, die den Parameter „email = querystring“ enthält. Wenn dies der Fall ist, werden  wahrscheinlich personenbezogene Daten an andere Marketingtechnologien weitergeben, die auf der Website verwendet werden!
  • Sicherstellen, dass keine personenbezogene Daten aus Formularen an Google Analytics weitergegeben werden.
  • Das Ausfiltern von personenbezogenen Daten (über Google Analytics-Filter) reicht nicht aus!

Der Verbraucher hat das Recht jederzeit die erhobenen Daten anzufordern und auch ausgehändigt zu bekommen (Dokumentationspflicht), bzw. diese unwiderruflich löschen zu lassen.

Eine wirkliche Herausforderung ist die Dokumentationspflicht der personenbezogenen Daten. Für Login-Daten, Newsletter-Abonnements oder Kontaktanfragen aus Formularen lassen sich die Daten noch vergleichsweise einfach sammeln und dokumentieren (wenn auch selten in einem einzigen System). Spätestens jedoch, wenn z.B. für Remarketing-Zwecke Nutzerprofile bzw. Zielgruppen angelegt werden, um zielgerichtet Werbung auszuspielen, wird es schwierig diese Daten einem Nutzer zuzuordnen.

Insbesondere Google Analytics bietet zur Zeit keine Möglichkeit, nutzerbasierte Datensätze zu exportieren oder gar zu löschen. Einzelne Nutzer in Zielgruppen (z.B. für Retargeting) können also nicht bestimmt werden. Wenn der User jedoch in ihrem CRM und allen angeschlossenen Systemen gelöscht wird, können die GA-Daten auch nicht mehr zu einem Nutzerprofil zusammengefügt werden. Inwieweit Google noch eine Lösung bis zum 25. Mai anbieten kann, bleibt abzuwarten.

Jedoch ist es nun möglich über das neue Feature „Datenaufbewahrung“ in Google Analytics einen Zeitraum zu definieren, nach dem Nutzerdaten gelöscht werden. Dieses gilt aber für alle Nutzerdaten und nicht nur für ausgewählte. Das Feature wird ab dem 25. mai wirksam.

Was tun um Google Analytics datenschutzkonform einzubinden?

Nach heutigem Stand sind folgende Maßnahmen umzusetzen, um Google Analytics (GA) datenschutzkonform einzubinden:

  1. Keine personenbezogenen Daten an Google Analytics übergeben – prüfen, ob das Tracking so sauber aufgesetzt ist, dass keine personenbezogenen Daten an GA übermittelt werden
  2. IP Anonymisierung einrichten – In GA die Datenschutzvereinbarung mit Google abschließen, Trackingcode anpassen, Datenschutzerklärung mit Hinweis auf IP Anonymisierung erweitern (Link zum Opt-Out Add-on: https://tools.google.com/dlpage/gaoptout?hl=de)
  3. Pseudonyme und hashed Identifier prüfen – entsprechen die Pseudonyme, die an GA übermittelt werden, den Vorgaben, also handelt es sich um alphanumerische Daten und niemals um einfachen Text für User ID, Transaktions-ID, E-Mail Adressen usw.
  4. Angepasste Datenschutzbestimmungen – Bestimmungen müssen klar, prägnant und verständlich formuliert sein, der Endverbraucher muss verstehen können. Vorschläge hierzu unterbreitet kostenlos das Portal eRecht24.de
  5. Opt-In Möglichkeit schaffen – da Google Analytics Grundfunktionen erst mit einem gesetzten Cookie verfügbar sind, muss zukünftig das Opt-In des Nutzers auch für das GA Cookie eingeholt werden.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.