Google Analytics 4 (GA4) und Datenschutz – Nutzerdaten tracken unter Beachtung der DSGVO
Keine Artikel mehr verpassen? Jetzt Newsletter abonnieren »
Lerne Schritt für Schritt, wie du Google Analytics unter Beachtung der DSGVO einrichten und verwenden kannst.
Im folgenden Artikel gebe ich dir einen umfassenden Einblick in die Welt der Datenschutzverordnung und deren Auswirkung auf das Tracking mit Google Analytics 4. Mit meinen Tipps kannst du deine Nutzerdaten guten Gewissens tracken und deine weiteren Handlungsempfehlungen ableiten.
Bedeutung von Google Analytics 4 für Unternehmen
Wenn du im Online Marketing tätig bist, kommst du um Google Analytics 4 kaum herum. Google Analytics ist weltweit eines der am häufigsten verwendeten Webanalyse-Tools. Wenn du das Tool verwendest oder verwenden möchtest und juristische Probleme vermeiden willst, dann musst du dich mit den rechtlichen Aspekten auseinandersetzen.
Die Datenschutzgrundverordnung (DSGVO), das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie eine Vielzahl an Rechtsprechungen haben einen erheblichen Einfluss auf die rechtssichere Verwendung von Google Analytics. Deswegen zeige ich dir, wie du Google Analytics annähernd rechtskonform aufsetzen und verwenden kannst. Annähernd deswegen, weil es aktuell leider keine eindeutig rechtssichere Lösung gibt, wie wir Google Analytics 4 auf unseren Webseiten integrieren können.
Einen Überblick über die Funktionsvielfalt von Google Analytics 4 kannst du im Blogbeitrag von Alexander nachlesen.
Welche Auswirkungen hat die DSGVO auf Google Analytics 4?
Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft getreten ist, hat große Auswirkungen auf die Verwendung von Web-Analyse-Systeme, inklusive GA4 und deren Datenerhebung. Mehr dazu kannst du in der entsprechenden Verordnung nachlesen.
Wenn du GA4 verwendest, setze dich daher bitte unbedingt mit den folgenden Themen auseinander:
- Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten: Die DSGVO legt fest, dass die Verarbeitung von personenbezogenen Daten, einschließlich der Daten von Website-Besucher:innen, auf einer geeigneten Rechtsgrundlage erfolgen muss. Für die Verwendung von GA4 ist es wichtig sicherzustellen, dass eine geeignete Rechtsgrundlage vorhanden ist, wie beispielsweise die Einwilligung der User:innen oder ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. a der DSGVO. Das heißt, du musst die Einwilligung deiner Nutzer:innen immer einholen und zwar, bevor das Tracking auf deiner Webseite aktiviert wird.
- Anonymisierung von IP-Adressen (oder generell von Informationen, die Personenbezug haben oder Personenbezug herstellen können): Die DSGVO betrachtet IP-Adressen als personenbezogene Daten. GA4 bietet Funktionen zur Anonymisierung von IP-Adressen, um die Erfassung vollständiger IP-Adressen zu verhindern, bevor diese auf den Google-Analytics-Servern gespeichert werden. Google hat sogar mitgeteilt, dass die IP-Adressen in GA4 nicht mehr anonymisiert werden müssten, da diese weder protokolliert noch gespeichert werden. Trotzdem wird die IP-Adresse in GA4 automatisch gekürzt. Meine IP Adresse lautet zum Beispiel wie folgt: 46.114.90.134. In GA4 oder in Universal Analytics, falls die IP-Adressen Anonymisierung in UA aktiviert ist, wird meine IP-Adresse wie folgt protokoliert: 46.114.90.0
- Datenschutzrechtliche Informationen: Wenn du als Website-Betreiber:in GA4 verwenden möchtest, dann musst du Informationen über die Verwendung von Google Analytics-Daten transparent bereitstellen. Dies sollte in Form einer Datenschutzerklärung und über den Consent-Banner auf deiner Website erfolgen, um sicherzustellen, dass deine Nutzer:innen umfangreich über die Datenerhebung (auf Grundlage der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO) informiert werden.
- Betroffenenrechte: Gemäß der DSGVO haben Nutzer:innen deiner Webseite bestimmte Rechte, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Wir als Webseitenbetreiber:innen müssen diese Rechte respektieren und entsprechende Mechanismen zur Verfügung stellen, um Nutzer:innen die Ausübung ihrer Rechte zu ermöglichen. Darüber informierst du deine Nutzer:innen natürlich auch ausreichend.
- Vertrag zur Auftragsverarbeitung (AV-Vertrag): Die DSGVO erfordert, dass Webseitenbetreiber:innen einen Auftragsverarbeitungsvertrag (AVV) mit Google abschließen. Der AV-Vertrag regelt die Verarbeitung personenbezogener Daten durch Google als Auftragsverarbeiter im Auftrag der Webseitenbetreiber:innen und enthält bestimmte vertragliche Verpflichtungen im Einklang mit den Anforderungen der DSGVO. Wie du diesen AV-Vertrag mit Google abschließt, erkläre ich dir später.
Google Analytics und die Verarbeitung personenbezogener Daten
Die DSGVO regelt in Europa den Umgang mit personenbezogenen Daten. Dort sind die personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO wie folgt definiert: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Hierbei ist es wichtig zu wissen, wenn du personenbezogene Daten anonymisiert, verschlüsselt oder pseudonymisiert hast, aber diese Daten dennoch zur erneuten Identifizierung einer Person genutzt werden können, bleiben sie weiterhin personenbezogene Daten und unterliegen den Bestimmungen der Datenschutzgrundverordnung. Um also wirklich als anonymisiert zu gelten, muss die Anonymisierung unumkehrbar sein, sodass die betroffene Person nicht mehr identifiziert werden kann.
Somit stellt sich erst einmal die grundsätzliche Frage: Was sind personenbezogene Daten im Zusammenhang mit Google Analytics 4?
Abseits des unbeabsichtigten oder beabsichtigten Sammelns personenbezogener Daten, zum Beispiel wenn du in Google Analytics Kreditkarteninformationen sammelst oder versehentlich bei Kontaktformularen Daten über die URL übergibst und damit sammelst, sind die folgenden Bereiche personenbezogene Daten oder Daten, die in Verbindung mit weiteren Daten personenbezug herstellen können:
- IP-Adressen: GA4 erfasst standardmäßig die IP-Adressen von Besuchern, die auf eine Website mit Google Analytics-Tracking-Code zugreifen. Wie oben bereits beschrieben, gibt es sogar eine Aussage von Google, dass die IP-Adressen weder protokolliert noch gespeichert werden. Dies wage ich zu bezweifeln, da es in GA4 weiterhin die Funktion gibt, dass ich den internen Traffic mit Hilfe der IP Adresse ausschließen kann. Jedoch können wir festhalten, dass in jedem Fall die IP-Adresse anonymisiert werden. IP-Adressen können also als personenbezogene Daten betrachtet werden, da sie verwendet werden können, um eine Person zu identifizieren oder zumindest eine geografische Zuordnung zu ermöglichen.
- Geräteinformationen: Google Analytics 4 kann Informationen über das verwendete Gerät erfassen, wie beispielsweise den Gerätetyp, das Betriebssystem, den Browser-Typ und die Bildschirmauflösung. Diese Informationen können in einigen Fällen zur Identifizierung einer Person verwendet werden, insbesondere wenn sie mit anderen Datenquellen kombiniert werden.
- User-ID: Google Analytics 4 ermöglicht die Verwendung von User-IDs, um das Verhalten von Benutzer:innen über mehrere Geräte hinweg zu verfolgen. Wenn eine User-ID ebenfalls mit anderen Informationen kombiniert wird, kann diese dazu verwendet werden, eine Person zu identifizieren.
- Geografische Informationen: Google Analytics 4 kann geografische Informationen wie Standortdaten, Sprache und Land erfassen. Diese Informationen können verwendet werden, um eine Person geografisch zu identifizieren.
- Verhaltensdaten: Google Analytics 4 erfasst auch Informationen über das Verhalten von Website-Besucher:innen, wie zum Beispiel Seitenaufrufe, Interaktionen und Conversions. Obwohl diese Informationen an sich nicht unbedingt personenbezogene Daten sind, können sie auch in Kombination mit anderen Informationen zur Identifizierung von Personen verwendet werden.
Bitte beachte, dass die Verarbeitung personenbezogener Daten, wie hier in Verbindung mit Google Analytics 4, den geltenden Datenschutzgesetzen, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union oder anderen lokalen Datenschutzgesetzen unterliegt. Wenn du als Webseitenbetreiber:in GA4 verwendest, dann stelle bitte sicher, dass du die einschlägigen Datenschutzgesetze einhältst und die erforderlichen Einwilligungen von Benutzer:innen einholst. Das liegt in deiner Verantwortung.
Wer trägt die Verantwortung für die richtige Integration von GA4?
Du, als Betreiber:in einer Webseite bist verantwortlich dafür, dass
- Google Analytics datenschutzkonform in deine Webseite eingebunden wird,
- deine Nutzer:innen ausreichend über diesen Einsatz in einer Datenschutzerklärung informiert werden,
- Nutzer:innen eine Einwilligung für die Verwendung von Google Analytics erteilen können.
Bevor du dich für ein Webanalyse-Tool entscheidest, stelle dir die folgenden wichtigen Fragen:
- Wie stelle ich eine aktive und informierte Zustimmung der Nutzer:innen (Consent bzw. Einwilligung) zu GA4 sicher?
- Benötige ich einen besonderen Datenschutzvertrag mit Google?
- Wie muss ich meine Nutzer:innen über den Einsatz des Analyse-Tools informieren?
- Wie kann ich technisch den Datenschutzanforderungen gerecht werden und welche Einstellungen muss ich im Tool hinterlegen, damit die Verwendung rechtmäßig ist?
- Welche Datenschutzregelungen müssen sonst noch beachtet werden? Gibt es noch weitere Gesetze, die ich berücksichtigen muss?
- Wie gehe ich mit dem Export der Daten in die USA um und gibt es eine Möglichkeit, dass die Daten nicht in die USA exportiert werden?
- Was mache ich mit Daten, die ich nicht datenschutzkonform gesammelt habe?
Wie kann ich GA4 im Einklang mit der DSGVO verwenden?
Jetzt zeige ich dir Schritt für Schritt, welche Punkte du bei der Verwendung von Google Analytics beachten musst. Aber Achtung: Es ist aktuell nicht ganz klar, wie GA4 komplett rechtskonform eingesetzt werden kann, da wir hier u.a. ein großes Streitpotential haben. Vor allem geht es meistens um den Datenexport in die USA, weil wir dafür aktuell keine Rechtsgrundlage haben. Frage dich deswegen kritisch, ob du den Einsatz von Google Analytics 4 rechtfertigen kannst. Eine Risikoanalyse kann dir dabei helfen.
Um GA4 überwiegend datenschutzkonform nutzen zu dürfen, ist es wichtig, bestimmte Richtlinien und bewährte Praktiken einzuhalten. Halte dich am besten an folgende Schritte:
- Einholung der Einwilligung
- Vertrag zur Auftragsverarbeitung mit Google abschließen
- Rechtsgrundlage für den Datenexport in die USA
- Aktualisierung der Datenschutzerklärung
- Nachträgliche Opt-out Möglichkeit nach der Einwilligung zum Tracking
- Standardeinstellungen auf Kontoebene anpassen
- Datenaufbewahrung in GA4 festlegen
1. Einholung der Einwilligung
Der EuGH hat am 29.07.2019 eine Entscheidung bezüglich der „Gefällt mir“-Schaltfläche innerhalb von Facebook getroffen und begründet, dass Websitebetreiber:innen neben Facebook mitverantwortlich für Datenschutzverstöße sind. Im Zuge dieser Entscheidung hat sich der EuGH ebenfalls mit dem Einsatz von Cookies beschäftigt. Das Fazit dieser Entscheidung ist, dass für Cookies, wie zum Beispiel von Tracking-Tools, die Einwilligung der Nutzer:innen eingeholt werden muss, bevor eine Datenerhebung durchgeführt wird. Das heißt für uns als Unternehmen, dass wir ein Consent-Banner auf der Website integrieren müssen und unsere Nutzer:innen eine Einwilligung geben müssen, bevor das Tracking aktiviert wird. Hierbei ist es besonders wichtig, dass die Nutzer:innen ebenfalls eine Einwilligung unterlassen können und die Website trotz Nicht- Einwilligung besuchen dürfen. Darüber hinaus musst du in Deutschland (aufgrund des TTDSG vom 01.12.2022) dafür sorgen, dass du dem Button für die Einwilligung einen gleichwertigen “Ablehnen-Button” zur Verfügung stellst.
Bei der Erhebung der Einwilligung musst du also bestimmte Wirksamkeitsvoraussetzungen einhalten und diese sehen wie folgt aus:
- Bevor die Einwilligung erfolgt, darfst du GA4 nicht aktivieren. Dies darf erst nach der aktiven Einwilligung erfolgen.
- Die Einwilligung der Nutzer:innen muss freiwillig erfolgen (Grundsatz der Freiwilligkeit) und diese darf nicht bereits per Default vorausgewählt sein.
- Die Einwilligung darf nicht gekoppelt sein: Es besteht aber kein ausdrückliches Kopplungsverbot.
- Informationspflicht: Stelle transparent dar, welche Tools du verwendest und welcher Zweck für die jeweilige Verwendung von Daten vorliegt; die Aufbewahrungsdauer; welche Art von Daten du erhebst; benenne ggf. die Rechtsgrundlage. Du darfst auch ähnliche Tools in Gruppen zusammenfassen, wie zum Beispiel unter “Marketing”.
- Vorabinformationen: Datenschutzinformationen, Widerrufsbelehrung und die Zweckbindung.
- Einen “Ablehnen-Button” anbieten
Die 121WATT arbeitet zum Beispiel mit dem Consent-Management-System von Usercentrics. Unser Consent-Banner ist so aufgebaut, dass Nutzer:innen eine Einstellung vornehmen müssen, bevor sie unsere Website nutzen. Das heißt, dass Nutzer:innen eine Einwilligung sowie eine Verneinung zur Datenerhebung geben können und danach die Website nutzen dürfen. Somit liegt auch keine Kopplung vor. Wie dies aussieht, kannst du hier sehen:
Ein weiteres Beispiel findest du auf der Webseite der Lufthansa. Dieses sieht wie folgt aus:
Natürlich gibt es neben Usercentrics noch weitere Consent-Management-Plattformen. Der Vorteil dieser Plattformen ist, dass du in der Regel auch einen Analysebereich hast, wo du die Opt-in Raten einsehen kannst und wodurch du einen Überblick erhältst, wie viele Daten dir vorliegen. Weitere Tools sind zum Beispiel:
Ich sehe auch viele Lösungen, die durch Webseitenbetreiber:innen selbst entwickelt werden. Wenn du dir selbst eine Lösung baust, beachte bitte die oben erwähnten Grundsätze.
Exkurs: Google Consent Mode und GA4
Was ist der Google Consent Mode (GCM)?
Der GCM ist eine offene Schnittstelle, welche die Zustimmungsentscheidungen der Website-User:innen speichert und für die Google Tools regelt. Sollten User:innen keine Einwilligung geben, trackt Google dennoch cookielos das Userverhalten mit und stellt die Daten über verschiedene Modellings (Conversion Modelling, Attribution Modelling, Behavioral Modelling, Offline-to-Online Modelling) in Google Ads und Google Analytics 4 zur Verfügung. Dadurch bekommst du mit, ob eine Conversion ausgelöst worden ist. Die Grauzone hierbei ist, dass der oder die Nutzer:in, obwohl sie oder er nicht dem Tracking zugestimmt hat, cookielos beobachtet wird.
Ist der GCM datenschutzkonform?
Die offizielle Sichtweise (Beschreibung durch die Plattform) versteht sich wie folgt:
Der Google Consent Mode ist eine Funktion, die von Google entwickelt wurde, um die Datenschutzanforderungen der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zu erfüllen. Er ermöglicht es Website-Betreibern, den Datenschutzanforderungen zu entsprechen und dennoch personalisierte Werbung für Nutzer zu ermöglichen. In Bezug auf die Datenschutzkonformität hängt die Einhaltung von Datenschutzanforderungen jedoch auch von der Art und Weise ab, wie der Google Consent Mode von Website-Betreibern implementiert und verwendet wird. Wenn der Google Consent Mode korrekt implementiert wird, kann er dazu beitragen, die Einhaltung von Datenschutzbestimmungen zu gewährleisten. Website-Betreiber sollten jedoch sicherstellen, dass sie den Google Consent Mode ordnungsgemäß implementieren und auf eine transparente Weise kommunizieren, wie die Daten der Benutzer erfasst und verwendet werden. Es ist auch wichtig, dass die Einwilligung der Benutzer für die Verwendung von Cookies und für die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzbestimmungen der EU und des EWR erfolgt.
Einschätzung: Ich kann dir leider nicht standardisiert sagen, dass der GCM datenschutzkonform ist. Hierzu gibt es auch noch keine eindeutige Entscheidung durch Behörden oder Gerichte. Allein dadurch, dass Daten in den USA gespeichert werden, benötigen wir die Einwilligung der Nutzer:innen. Der GCM ist nach DSGVO & TTDSG (gilt für Deutschland) noch unzulässig, da wir hier eine Datenübermittlung in die USA haben (hierzu gibt es aber bald das EU-U.S. Data Privacy Framework). Mehr zum Google Consent Modus findest du auch hier bei Google und hier im Blog der Analyticskiste
Exkurs zum EU-U.S. Data Privacy Framework:
Dieses Übereinkommen soll es ermöglichen, Tracking-, Analyse- und Marketing-Tools aus den USA wieder problemlos zu nutzen, ohne dass auf Standardvertragsklauseln zurückgegriffen werden muss. Wir können davon ausgehen, dass nach eigener Schätzung zur Mitte des Jahres 2023 das neue EU-U.S. Data Privacy Framework gilt.
Prüfe daher, ob es sich lohnt, den GCM zu aktivieren. Aus Marketingsicht lohnt es sich meistens, da du einen Einblick in die Conversions (vor allem für Google Ads) erhältst. Aus rechtlicher Perspektive bestehen allerdings Zweifel, dass der Einsatz des GCMs, ohne Einwilligung der Nutzer:innen, datenschutzkonform ist. Mit Hilfe des Server Side Taggings kannst du jedoch eine datenschutzfreundliche Lösung implementieren, da die Daten u.a. auf deinen Server gespeichert werden können.
👍🏻 Meine Empfehlung: Wir werden (aktuelle Rechtsmeinung) den GCM nicht zu 100% datenschutzkonform begründen können. Falls du zu dem Entschluss kommst, den GCM einzusetzen, solltest du alle Punkte aufführen, warum du das aus Marketingsicht benötigst und du solltest alle umgesetzten Privacy Einstellungen aufführen.
Die wichtigsten Vorteile für GCM:
✅ Conversion Modelling in Google Ads
✅ Tracken von Google Ads Conversion
✅ Bessere Auswertung deiner Google Ads Kampagnen
Der große Nachteil des GCM:
❌ Probleme mit der Rechtssicherheit
2. Vertrag zur Auftragsverarbeitung mit Google Abschließen
Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsverarbeitung mit Google abschließt. Mit dem Inkrafttreten der DSGVO am 25.05.2018 besteht nach Art. 28 DSGVO die Möglichkeit, eine Auftragsverarbeitungsvertrag (AV-Vertrag) auch im elektronischen Format abzuschließen. Den Abschluss des AV-Vertrags kannst du in Google Analytics durchführen. Hierfür gehst du wie folgt vor:
- Öffne deinen Google Analytics Account
- Unter Einstellung gelangst du zur Verwaltung. Dort navigierst du zu “Kontoeinstellung” und siehst, ob der Vertrag bereits akzeptiert worden ist oder ob du dies noch durchführen musst.
- Unter „Änderungsvereinbarung ansehen” kannst du dir den Vertrag durchlesen und/oder deinem oder deiner Datenschutzbeauftragten vorlegen.
- Zur Zustimmung kannst du die entsprechende Checkbox anklicken.
- Im letzten Schritt klickst du bitte auf “Speichern”.
Danach kannst du in Google Analytics deinen Zusatz zur Auftragsdatenverarbeitung verwalten. Dazu musst du auf “Details zum Zusatz zur Datenverarbeitung verwalten“ gehen und kannst dort dann deinen Firmennamen, den Primären Kontakt (zum Beispiel einen oder eine Geschäftsführer:in) und den oder die Datenschutzbeauftragte:n hinterlegen. Wie das aussieht siehst du im nächsten Screenshot:
3. Rechtsgrundlage für den Datenexport in die USA
Welche Maßnahmen kann ich ergreifen und was wird kommen? Stichwort Server Side Tagging.
Im „Schrems II“-Urteil hat der Europäische Gerichtshof 2020 das Privacy-Shield für ungültig erklärt, da er feststellte, dass das US-Recht den Schutz der Rechte von EU-Bürgern nicht ausreichend gewährleistet. Dadurch gibt es derzeit keinen rechtssicheren Weg mehr, personenbezogene Daten in die USA zu übermitteln. Obwohl die EU-Kommission 2021 neue Standardvertragsklauseln verabschiedet hat, um die Datenübermittlung im Internet zu erleichtern, werden auch diese nicht als ausreichende Rechtsgrundlage angesehen (herrschende Meinung). Mit den 2021 veröffentlichten neuen Standardvertragsklauseln können sich US-Unternehmen verpflichten, die Rechte und die personenbezogenen Daten von EU-Bürgern zu schützen. Auch Google hat darauf reagiert und die neuen Standardvertragsklauseln in die eigenen AGB aufgenommen. Dies schafft aber eine zunehmend komplexe Situation und verunsichert sehr viele Unternehmen. Aber wir sehen zumindest Licht am Ende des Tunnels: Mit dem „EU-US Data Privacy Framework“ soll der Datenschutz von EU-Bürger:innen in den USA verbessert werden, insbesondere wenn personenbezogene Nutzerdaten von der EU in die USA übertragen werden. Meiner Schätzung zufolge könnte dies nach dem Treffen der G7-Datenschutzaufsichtsbehörden, welches im Juni 23 in Japan stattfindet, der Fall sein. Somit hätten wir dann einen Nachfolger des US-Privacy-Shields und auch eine Rechtsgrundlage für den Datenexport in die USA.
Jetzt stellt sich natürlich die Frage, ob du bis zum Inkrafttreten des neuen Frameworks überhaupt GA4 verwenden darfst? Schon einmal zur Entwarnung: Alle Webseitenbetreiber:innen können weiterhin Tracking-Tools wie Google Analytics 4 verwenden, auch wenn diese kontrovers diskutiert werden. Andernfalls würde es bedeuten, dass du im Internet überhaupt keine US-Dienste mehr nutzen darfst, wie Google Maps oder Google Ads. Es ist jedoch unabdingbar, dass du als Webseitenbetreiber:in die von mir bereits erwähnten Maßnahmen bzw. die noch folgenden Maßnahmen umsetzen solltest, um dem Datenschutz im Rahmen der Verwendung von GA4 zu genügen.
4. Aktualisierung der Datenschutzerklärung
Ein weiterer Schritt ist natürlich die Aktualisierung der Datenschutzerklärung auf deiner Webseite. Du bist verpflichtet deine User:innen über die Verwendung des Tracking-Tools zu informieren. Eine Datenschutzerklärung – auch der Passus für Google Analytics hat einige Mindestanforderungen. Diese sehen wie folgt aus:
- Transparenz: Die Datenschutzerklärung muss klar, verständlich und leicht zugänglich sein. Sie sollte alle relevanten Informationen über die Verarbeitung personenbezogener Daten durch die Organisation enthalten.
- Identität und Kontaktdaten des oder der Verantwortlichen: Die Datenschutzerklärung muss die Identität und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen enthalten. Dies kann beispielsweise der Name der Organisation, ihre Adresse und ihre Kontaktdaten sein.
- Zwecke und Rechtsgrundlagen der Datenverarbeitung: Die Datenschutzerklärung muss die Zwecke und die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten angeben. Das bedeutet, dass du deutlich machen musst, warum und auf welcher rechtlichen Grundlage personenbezogene Daten verarbeitet werden.
- Kategorien von personenbezogenen Daten: Die Datenschutzerklärung muss die Kategorien von personenbezogenen Daten angeben, die verarbeitet werden. Dies können beispielsweise Namen, Kontaktdaten, Zahlungsinformationen oder andere Arten von personenbezogenen Daten sein.
- Empfänger von personenbezogenen Daten: Die Datenschutzerklärung muss angeben, ob personenbezogene Daten an Dritte übermittelt werden und gegebenenfalls an wenn, zum Beispiel an Dienstleister oder andere Empfänger.
- Übermittlung von personenbezogenen Daten in Drittländer: Wenn personenbezogene Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, muss dies in der Datenschutzerklärung angegeben werden und gegebenenfalls auf geeignete Schutzmaßnahmen verwiesen werden.
- Speicherdauer: Die Datenschutzerklärung muss die Dauer angeben, für die personenbezogene Daten gespeichert werden oder die Kriterien, die verwendet werden, um die Speicherdauer zu bestimmen.
- Rechte der betroffenen Personen: Die Datenschutzerklärung muss auf die Rechte hinweisen, die betroffene Personen gemäß der DSGVO haben, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten.
- Widerruf von Einwilligungen: Falls die Organisation personenbezogene Daten aufgrund einer Einwilligung verarbeitet, muss die Datenschutzerklärung darauf hinweisen, dass Einwilligungen jederzeit widerrufen werden können.
Deine Datenschutzerklärung für Google Analytics sollte unbedingt eine Erklärung beinhalten, dass ein AV-Vertrag mit Google Ireland Ltd. abgeschlossen worden ist und dass – wie oben beschrieben – die IP-Adresse anonymisiert ist und zwar nach dem anonymizeIp Verfahren. Ein Beispiel für den Passus für die Verwendung von Google Analytics findest du in unserer Datenschutzerklärung.
121-Stunden Online-Marketing Newsletter:
Keine Google-Analytics- und Online-Marketing-News mehr verpassen!
- Aus 500 Quellen die besten Artikel übersichtlich zusammengefasst.
- Wir berichten regelmäßig über die wichtigsten Branchen-Events und aktuelle Seminare.
- Bereits mehr als 10.000 Online Marketers verfolgen mit uns die Branche.
5. Opt-out Möglichkeit
Wie du bereits weißt, musst du die Einwilligung der Nutzer:innen einholen, bevor du mit Google Analytics 4 arbeiten darfst. Du musst dennoch eine nachträgliche Möglichkeit anbieten, damit der oder die Nutzer:in seine bzw. ihre Einwilligung widerrufen kann. Hierfür gibt es diese drei Möglichkeiten:
- Über die Einstellungsmöglichkeit deines Consent-Management-Tools: Dein Consent-Tool bietet evtl. die Möglichkeit an, dass Nutzer:innen nach der Einwilligung diese widerrufen können. Dies sieht bei Usercentrics zum Beispiel so aus:
In unserem Anwendungsfall können Nutzer:innen die Einstellung von Usercentrics aufrufen und ihre Einwilligung widerrufen. Diese Funktion steht allen Nutzer:innen zur Verfügung (sowohl Desktop, als auch mobile).
- Über ein Browser-Plugin: Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.
- Über das Opt-out-Cookie: Ein Opt-Out-Cookie, das den Nutzer:innen ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst, ist bei Google beschrieben.
Solltest du ein Consent-Management-Tool besitzen, worüber alle Nutzer:innen die Einwilligung widerrufen können, musst du nicht noch zusätzlich einen Add-On und einen Opt-out-Cookie anbieten.
6. Standardeinstellungen auf Kontoebene anpassen
Gemäß dem Grundsatz der Datenminimierung, erteilst du im Rahmen der Datenfreigabeeinstellungen am besten so wenig Freigaben wie möglich. Je weniger Freigaben du erteilst, desto weniger werden Google und der Webseitenbetreiber als gemeinsam Verantwortliche gemäß Art. 26 DSGVO betrachtet.
So änderst du die Standardeinstellungen:
- Gehe auf „Verwaltung”
- Navigiere nun zur Kontoebene und wähle „Kontoeinstellungen“ aus.
- Entferne den Haken in der Checkbox „Google-Produkte & -Dienste“ und klicke auf „Speichern“.
- Deaktiviere auch den Zugriff für “Technischer Support” & „Account Specialists“. Wenn du auf der sicheren Seite sein möchtest, entferne auch die Haken bei „Benchmarking“ und „Technischer Support“.
Alle Informationen zur Datenfreigabeeinstellungen findest du auf der Support Seite von Google.
7. Datenaufbewahrung in GA4
Lege bitte ebenfalls die Datenaufbewahrung in Google Analytics 4 fest. Mit der Einstellung kannst du bestimmen, wie lange Nutzer- und Ereignisdaten gespeichert werden sollen, bevor sie automatisch von den Analytics-Servern gelöscht werden. Diese Löschung gilt nach Google nur für Nutzer- und Ereignisdaten, die mit Cookies, Nutzerkennungen wie User-IDs und Werbe-IDs wie DoubleClick-Cookies, Werbe-IDs von Android (AAID oder Anzeigen-ID) oder IDFAs (Identifier for Advertisers) von Apple verknüpft sind. Dies kannst du direkt beim Google Support nachlesen. Deine ausgewählte Löschfrist hat keine Auswirkungen auf die meisten Standardberichte, da diese auf aggregierten Daten basieren.
Diese Einstellung für die Datenaufbewahrung findest du unter der Verwaltung. Dort wählst du im nächsten Schritt die gewünschte Property aus. Daraufhin klickst du auf “Dateneinstellungen”. Jetzt gelangst du zu der Funktion “Datenaufbewahrung”:
Google bietet für die Aufbewahrungsdauer verschiedene Zeiträume an, damit du die Speicherdauer der erhobenen Daten bestimmen kannst. Aktuell stehen dir folgende Optionen zur Verfügung:
- 2 Monate
- 14 Monate
Deine gewählte Einstellung wird dann durch Google aktiviert und die Aufbewahrungsfrist ist eingestellt. Die automatische Löschung der Daten wird dann einmal pro Monat durchgeführt, bei denen das Ende der gewählten Aufbewahrungsdauer erreicht ist. Wenn du eine Änderung an der Speicherdauer vornimmst, dann wird diese neu gewählte Dauer innerhalb von 24 Stunden durch Google Analytics übernommen.
Wichtiger Hinweis von Google: In diesen 24 Stunden kannst du diese Änderung wieder rückgängig machen und die Daten werden nicht gelöscht. Alle Informationen hierzu kannst du auch direkt auf der Support Seite von Google nachlesen.
Darüber hinaus besteht die Möglichkeit, dass du die Speicherungsdauer der Nutzer-ID bei jedem neuen Ereignis der jeweiligen Nutzer:innen zurücksetzten lassen kannst. Dadurch wird das Ablaufdatum wie folgt neu gesetzt: Aktuelle Zeit + die oben festgelegte Aufbewahrungsdauer.
Hast du die Datenspeicherung zum Beispiel auf 14 Monate festgelegt und der oder die Nutzer:in führt jeden Monat ein neues Ereignis durch, so wird seine bzw. ihre Nutzerkennung jeden Monat aktualisiert und die gewählte Ablaufdauer von 14 Monaten wird nicht erreicht. Führen Nutzer:innen keine neue Sitzung durch, werden ihre Daten nach Ablauf der 14 Monate gelöscht.
Nutzt du diese Option nicht, werden die Daten, die mit der Nutzer-ID verknüpft sind, automatisch nach Ablauf der gewählten Aufbewahrungsdauer gelöscht.
Tipp: Server Side Tagging
Außerdem empfehle ich dir das sogenannte Server Side Tagging. Mit dem Server Side Tagging kannst du den Datenschutz und die Datenqualität wahren und optimieren. Im traditionellen Ansatz des clientseitigen Taggings, wie es bei den meisten Analytics- und Marketing-Tracking-Tools üblich ist, werden Tracking-Tags im Browser oder auf dem Gerät deiner Nutzer:innen ausgeführt. Das bedeutet, dass Daten über die Nutzer:innen, einschließlich ihrer Aktivitäten und Verhalten, auf dem Gerät der jeweiligen Nutzer:innen verarbeitet werden.
Im Gegensatz dazu erfolgt beim serverseitigen Tagging die Ausführung von Tracking-Tags auf deinem Web Server, bevor die Daten an den Analytics- oder Marketing-Server gesendet werden. Der Server deiner Webseite verarbeitet die Daten und sendet dann nur die erforderlichen aggregierten oder anonymisierten Daten an den Analytics- oder Marketing-Dienst (siehe Schaubild).
Du hast somit die Möglichkeit, dass du die erhobenen Daten bearbeiteten bzw. anonymisieren kannst, bevor diese an den Server von Google weitergeleitet werden. Alles weitere zum Server Side Tagging und wie du es integrierst, erfährst du in dem Beitrag von unserer Referentin Michaela Linhart.
Fazit
Du möchtest jetzt sicher wissen: Kann oder sollte ich GA4 verwenden oder nicht? Dies hängt natürlich von deiner Zielsetzung ab und ob du auf Google Analytics angewiesen bist. Wir haben gelernt, dass es keine eindeutige Aussage gibt, ob wir unter den aktuellen Umständen Google Analytics 4 wirklich komplett datenschutzkonform verwenden dürfen. Wenn du GA4 trotz der aktuellen Rechtslage einsetzen möchtest, empfehle ich dir die oben genannten Maßnahmen, damit du alle besonderen Schutzvorkehrungen für die Verwendung von GA4 treffen kannst. Noch einmal zusammengefasst wären das die folgenden Maßnahmen:
- Die Einwilligung deiner Webseitenesucher:innen mit Hilfe eines Consent Management Systems einholen. Hier ist der große Vorteil, dass du eine dokumentierte Einwilligung bekommst und die meisten Systeme haben ebenfalls einen Analyse-Bereich, wo du u.a. die Opt-in Quote einsehen kannst.
- Vertrag zur Auftragsverarbeitung mit Google abschließen: Der AV-Vertrag mit Google ist die Grundlage für deine Arbeit mit Google Analytics 4. Beachte bitte auch, dass es hierzu in unregelmäßigen Abständen Aktualisierungen gibt, welche du ebenfalls akzeptieren solltest – natürlich nach einer Überprüfung mit deiner Rechts- bzw. Datenschutzabteilung.
- Beschäftige dich mit der Rechtsgrundlage für den Datentransport in die USA. Wie wir bereits geklärt haben, wird es höchstwahrscheinlich bald einen Nachfolger des US-Privacy-Shields geben. Solange solltest du auf jeden Fall auf die Standardvertragsklauseln verweisen.
- Aktualisiere deine Datenschutzerklärung: Der Einsatz von Google Analytics 4 sollte in deiner Datenschutzerklärung immer korrekt angepasst sein. Es haben sich nämlich höchstwahrscheinlich die Datenaufbewahrungsdauern geändert und du musst auch nicht mehr unbedingt alle Opt-out-Möglichkeiten anbieten, falls du ein Consent Management System hast.
- Opt-out Möglichkeit anbieten: Wir haben drei Möglichkeiten kennengelernt und falls dein Consent Management System keine nachträgliche Möglichkeit anbietet, wo du deine Consent Einstellung anpassen kannst, solltest du auf jeden Fall den sog. Opt-out-Cookie sowie das Add-on hinterlegen.
- Standardeinstellungen auf Kontoebene anpassen: Deaktiviere ebenfalls alle Freigabeeinstellungen in GA4.
- Datenaufbewahrung in GA4 festlegen: In den GA4-Properties musst du festlegen, wie lange die Daten abgespeichert werden sollen, bevor diese gelöscht werden. Falls du dir unsicher bist, welcher Zeitraum für dich der optimale ist, kannst du deine Customer Journey anschauen. Je nachdem wie lange es dauert, bis eine oder ein Interessent:in eine Conversion auslöst, kannst du eine entsprechende Dauer begründen. Zum Beispiel: Im Schnitt dauert es bei dir 8 Monate, bis ein Erstkontakt auf deiner Seite zu einem Kauf eines Produktes konvertiert ist. Somit kannst du ganz gut begründen, warum du dich dann für eine Dauer von 14 Monaten entscheidest und nicht für 2 Monate.
Außerdem empfehle ich dir das sogenannte Server Side Tagging. Damit kannst du nämlich den Datenschutz und die Datenqualität wahren und optimieren und die Gefahr eines Datenschutzverstoßes erheblich minimieren.
Meine Meinung: Wir bei der 121WATT nutzen nach wie vor Google Analytics und ich kann mir auch nicht vorstellen, ohne Google Analytics zu arbeiten. Wenn das auch dein Weg ist, ist es natürlich wichtig, dass du dich mit den Vor- und Nachteilen beschäftigst und alle Maßnahmen umsetzen solltest, die bei der Verwendung von Google Analytics nötig sind.
Außerdem werden wir alle höchstwahrscheinlich Mitte des Jahres eine Rechtsgrundlage (EU-US Data Privacy Framework) erhalten, womit wir wieder Tools aus den USA rechtmäßig verwenden dürfen und welche auch den Datenexport in die USA rechtfertigen. Solltest du neben den Maßnahmen auch noch Google Analytics mit dem Server Side Tagging eingerichtet haben, hast du alles mögliche getan, damit du Datenschutz in Verbindung mit Google Analytics wahren kannst. Aber wie gesagt, aktuell gibt es keine 100%ige Rechtssicherheit.
Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:
Die nächsten Termine für das Online-Marketing-Recht-Seminar:
-
18.12.2024 - 19.12.2024 Tag 1: 09:00 Uhr - 17:30 Uhr
Tag 2: 09:00 Uhr - 17:30 Uhr
Mit Martin Schirmbacher Format: Webinar
995,- €*Jetzt anmelden -
09.04.2025 - 10.04.2025 Tag 1: 09:00 Uhr - 17:30 Uhr
Tag 2: 09:00 Uhr - 17:30 Uhr
Mit Martin Schirmbacher Format: Webinar
995,- €*Jetzt anmelden -
16.07.2025 - 17.07.2025 Tag 1: 09:00 Uhr - 17:30 Uhr
Tag 2: 09:00 Uhr - 17:30 Uhr
Mit Martin Schirmbacher Format: Webinar
995,- €*Jetzt anmelden
- Legende:
- Ausreichend freie Plätze.
- Wenige freie Plätze!
- Leider ausgebucht.
Stand: April 2023
Wie hilfreich ist dieser Artikel für dich?
Noch ein Schritt, damit wir besser werden können: Bitte schreibe uns, was dir am Beitrag nicht gefallen hat.
Noch ein Schritt, damit wir besser werden können: Bitte schreibe uns, was dir am Beitrag nicht gefallen hat.
Vielen Dank für dein Feedback! Es hilft uns sehr weiter.
gar nicht hilfreich
weniger hilfreich
eher hilfreich
sehr hilfreich
ich habe ein anderes Thema gesucht
Meiner Meinung nach fehlt in der obigen Datenschutzerklärung noch der Link mit der Funktion, um auf Mobil-Geräten das entsprechende Opt-Out-Cookie zu setzen.
Hallo lieber Herr Petzolt, danke für Ihren Kommentar. Ihr Hinweis ist bedingt richtig. Für den Opt-Out-Cookie existiert kein Standard-Link. Vielmehr bedarf es einer Implementierung des entsprechenden Codes. Infos dazu gibt Google unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable. Jeder Website-Programmierer sollte damit etwas anfangen können.
Viele liebe Grüße
In der Dokumentation von Google steht leider nicht, dass die Funktion zum Opt-Out in der Datenschutzerklärung integriert werden muss. Ohne diesen Link (mit hinterlegter Funktion) ist die Implementation der Opt-Out-Funktion (wie von Google dokumentiert) ja völlig zweckfrei, da ein Website-Besucher gar keine Möglichkeit hat, diese auszuführen. Und diesen Hinweis habe ich in diesem Artikel hier vermisst (welcher ansonsten sehr gut ausgearbeitet ist).
Wenn wir Sie richtig verstehen, beziehen Sie sich auf die empfohlene „Google Analytics Datenschutzerklärung“? Sie haben Recht, dort ist in der Tat der Hinweis „(bitte einfügen)“ im Zusammenhang mit der Erwähnung eines Opt-Out Cookie nicht ganz selbsterklärend. Wir haben den Satz nach Rücksprache mit unseren Rechtsanwälten noch einmal überarbeitet.
Der Link, der eingefügt wird, muss individuell aufgesetzt werden. Wie Sie diesen aufsetzten können, finden Sie hier: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable – Vielen Dank für Ihren Hinweis.
Vielen Dank für die kompakte und hilfreiche Zusammenfassung. Folgende Fragen sind bei mir noch offen geblieben:
_ Müssen bei der Integration von anonymizeIP über den Google Tag Manager alle Tags entsprechend konfiguriert werden?
_ Wie kann ich bei der Implementierung über den Google Tag Manager anschließen sicherstellen, dass die Anymisierung korrekt funktioniert?
Liebe Melanie, vielen Dank für deine Fragen. Bezüglich deiner zweiten Frage: Wenn du Google Chrome nutzt, dann schau Dir doch einmal das Plug-In WASP an. (Hier kannst du es deinem Browser hinzufügen: https://chrome.google.com/webstore/detail/waspinspector-analytics-s/niaoghengfohplclhbjnjheodgkejpih). Mit Hilfe dieses Tools kannst du die Anonymisierung auf deiner Seite nachverfolgen und sicherstellen, dass sie korrekt funktioniert. In Hinsicht auf deine erste Frage muss ich noch Antworten von unserem Techniker einholen. Wir melden uns, sobald wir Dir damit weiterhelfen können. Lieben Gruß, Theresa
Guten Tag.
Ein sehr guter Artikel.
Genügt rechtlich tatsächlich die Löschung der Datenansicht um das Konto nach dem Abschluss der Auftragsdatenverarbeitung mit Google auf „null“ zu setzen?
Ich dachte, die Daten blieben trotzdem mit dem Konto/Account verbunden, wodurch das Anlegen eines neuen Accounts notwendig wäre, um auf Nummer sicher zu gehen?
Mit freundlichen Grüßen, Moritz
Hallo Moritz, danke für Deinen Kommentar, allerdings ist die Löschung der Datenansicht nicht ausreichend, da ja in Google Analytics die Daten auf Property Ebene gesammelt werden. Auch der Anonymizer wird nach der Property ID (also zum Beispiel UA-xxxxxx-xx)eingesetzt. Die Datenansicht ist somit immer nur eine Berichtsebene.
Hallo Alexander.
Vielen Dank für die Antwort.
Dann stimmt die Aussage von e-recht24.de: das Löschen der Datenansicht genügt (neben allen anderen Maßnahmen: Anonymizer, Vertrag mit Google…) nicht und man muss das komplette Konto löschen / sich ein neues anlegen um ganz auf Nummer sicher zu gehen?
„3. Die bisherigen Google-Analytics-Daten müssen gelöscht werden:
Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.“ – e-recht24.de
Es ist wirklich schwierig eine klare Antwort zu bekommen bzw. abzuwägen welches Risiko man eingeht, wenn man „nur“ die aktuellen „Bestimmungen“ umsetzt, aber die Daten nicht zurücksetzt – und wenn man dies tut, auf welcher Ebene.
Ich freue mich auf eine Antwort.
Mit freundlichen Grüßen, Moritz
Hallo Moritz ick kann nur noch mal auf dieses Dokument hinweisen, was sehr klar sagt, das wenn Du die Daten nicht datenschutzkonform erhoben hast, du alle bisher gesammelten Daten löschen musst. Praktisch heisst das, das du einen Property mit einer neuen ID anlegen musst. Siehe hier noch mal https://www.lda.bayern.de/media/info_google_analytics.pdf
Das ist eine Quelle nach der ich gesucht habe.
Vielen Dank für den Link.
Mit freundlichen Grüßen, Moritz
Was kann ich machen wenn ich schon seit Wochen darauf warten den Vertrag von google zurückzubekommen?
Üblicherweise dauert es ca. 4 – 6 Wochen bis der Vertrag zur Auftragsdatenverarbeitung aus Dublin von Google zurückkommt.
Besten Dank für den tollen Beitrag.
Wirklich sehr sehr hilfreich.
Eine Sache weiß ich aber noch immer nicht. Betrifft die auf der eigenen Website zu hinterlegende „Google Analytics-Datenschutzerklärung“.
Ist der unter der gleichnamigen Überschrift zu findende Inhalte so rechtlich geprüft und kann dementsprechend auch 1:1 auf der eigenen Website genutzt werden (samt Hinweis auf Universal Analytics) – und das ohne die Gefahr hin abgemahnt zu werden?
Versteht die Frage bitte nicht als Kritik. Möchte nur alles richtig verstanden haben. Gerade hier ist das ja wichtig.
… und als Nicht-Jurist kann ich einen korrekten Datenschutzhinweis natürlich auch nicht einfach selbst schreiben.
Danke!
Hallo Markus, nein wir können hier nie vollkommen rechtssicher eine Empfehlung abgeben. Schon alleine, weil hier ja auch die Rechtssprechung im Fluß ist. Ab nächstes Jahr erwarten wir ja auch die EU-DSGVO. Am Ende bleibt immer der Gang zu einem Fachanwalt, der noch einmal eine Überprüfung vornehmen sollte. Beste Grüße Alexander
Hi Alex, danke für die Erweiterung des Artikels hinsichtlich der DSGVO :)
Bezüglich des Analytics Add-On: Hier fehlt m.E. eine Möglichkeit für Mobile-Browser (dort laufen ja noch immer keine Plugins). Was den Abschnitt noch rund machen würde, wäre ein Beispiel (Screenshot), wie ein solches Add-On dann auf der Website aussehen könnte.
Hallo und einen schönen guten Morgen Andi, vielen Dank für deinen Kommentar. Ja das sollten wir vielleicht noch eintragen.
Wie sieht es aus, wenn man eine LTD auf Malta betreibt, welche dann wiederum die Webseiten in Deutschland, bzw. für den deutschen Markt, betreibt? Muss hier dann die LTD auf Malta den Vertrag (auf Deutsch?) mit Google abschließen?
Grüße!
Nils
Hallo Nils,
in diesem Fall muss die LTD den AV-Vertrag abschließen (falls bereits nicht geschehen; Sprache: Maltesisch oder Englisch) oder zumindest den Zusatz zur Datenverarbeitung zustimmen.
Viele Grüße
Marius
Wenn ich eine Zweigniederlassung in einem anderen europäischen Land habe, wie z.B. Luxemburg, muss ich dann auch einen Auftragsdatenverarbeitungsvertrag abschließen (ist das nur was deutsches) oder reicht der digitale Zusatz in Google Analytics?
Danke :)
Hallo Nino,
die Thematik mit dem AV-Vertrag betrifft alle, die unter die DSGVO fallen (kurz: Alle Unternehmen, die in der EU ansässig sind oder Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten). Solltet Ihr bereits einen AV-Vertrag (ehemals ADV-Vertrag) mit Google haben, reicht der digitale Zusatz aus.
Viele Grüße
Marius
Vielen Dank für den Artikel! Frage: Mit dem Betreten der Webseite werden ohne vorherige Zustimmung Daten übertragen. Opt out hin oder her – sie werden übertragen. Inwiefern kann das in Ordnung sein und warum brauche ich, wenn das i.O. ist überhaupt ein Opt out? Entweder es ist ok anonymisierte Daten zu übertragen oder es ist nicht ok – so mein Verständnis?
Hallo Tobias,
vielen Dank für deine Frage. Ich kann dir die Frage anhand unserer eigenen Vorgehensweise beantworten: Beim Besuch unserer Website erhältst du bei deinen erstmaligen Besuch einen Cookie Hinweis. Diesen kannst du akzeptieren oder du lässt dich auf unsere Datenschutzerklärung leiten: Dort kannst du dann zum Beispiel für Google Analytics das „Add-on“ oder das „Opt-out“ aktivieren. Ab diesen Zeitpunkt werden dann keine Daten mehr gesammelt. Zwischen deinen erstmalige Besuch und des „Opt-outs“ werden die Daten in Google Analytics hinterlegt. Willst du diese Daten ebenfalls nicht freigeben, kannst du von deinem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen. Dann werden auch diese Daten gelöscht.
Jetzt stellt sich natürlich auch die Frage, ob in diesem Fall nicht ein Opt-in verwendet werden muss. Hier noch einmal zum Verständnis: Um die Daten erfassen und verarbeiten zu können, benötige wir in der Regel die Einwilligung der Website-Besucher (Opt-in) oder ich habe ein berechtigtes Interesse daran, diese Daten zu erfassen. Dann wäre nämlich kein Opt-in erforderlich. Diesbezüglich hat Dr. Martin Schirmbacher ebenfalls einen interessanten Artikel verfasst, der sich mit dieser Frage und mit dem Beschluss der Datenschutzkonferenz beschäftigt. Wenn wir nun diesen Beschluss betrachten heißt das im Klartext, dass wir beim Tracking immer die Einwilligung der Website-Besucher benötigen. Die DSGVO lässt aber anders als das BDSG auch für das Tracking eine Rechtfertigung mit berechtigten Unternehmerinteressen zu. Maßgeblich ist hier eine ausführliche Interessenabwägung.
Viele Grüße
Marius
Super Artikel und eine spezielle Frage dazu: Welche deutsche Aufsichtsbehörde oder welche seriöse Quelle hat die Google Vertragsvorlage zur Auftragsdatenverarbeitung wann geprüft und für gut befunden? Auf Grundlage von diesem Artikel habe ich argumentiert, dass der Vertragsentwurf geprüft wurde aber konnte leider nicht beantworten wann und von wem. Viele Grüße
Hallo Moritz,
vielen Dank für deine Anfrage. Das ist natürlich eine sehr gute Frage, die ich dir sehr gerne beantworten werde: Welche deutsche Aufsichtsbehörde die Vorlage für gut empfunden hat, kann dahingestellt bleiben. Denn die „Art. 29-Datenschutzgruppe der EU“ nahm das Vorgehen der deutschen Aufsichtsbehörden im Bezug auf Google Analytics zum Vorbild für die europaweite Umsetzung der Datenschutzanforderungen. Darüberhinaus vereinbarte die „Art. 29-Datenschutzgruppe der EU“ mit Google die Möglichkeit der elektronischen Zustimmung zur Datenverarbeitung. Der genaue Wortlaut sieht wie folgt aus: „For analytics purposes, Google should also extend to all European users the process designed in Germany (enhanced information of the data subjects by the website, limited use of the data to the purpose of analytics and IP anonymisation).“ Die Stellungnahmen der Datenschutzgruppe findest du hier.
Viele Grüße
Marius
Schöner Artikel, mir fehlt ein Aspekt (oder habe ihn übersehen), dass laut Deutscher Interpretation der DSGVO der Bdesucher eine ausdrückliche Einwilligung zum Tracken seines Besuches geben muss. So gelesen unter: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ Punkt 5
Wie interpretiert Ihr das? Bei WordPress gibt es m.W. Plugins, die dem schon Rechnung tragen, nur wenn sich diese Praxis durchsetzt, können wir Webanalyse verabschieden aus unserem Marketingarsenal.
Viele Grüße
Gerd
Hallo Gerd, deine Anmerkung ist berechtigt und die Thematik wird momentan auch sehr stark diskutiert. Wir haben die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder in unserem Beitrag thematisiert und auch die Stellungnahme von Dr. Martin Schirmbacher verlinkt. Diese ausführliche Stellungnahme findest du hier.
Meine Meinung deckt sich mit die von Dr. Martin Schirmbacher: Das Opt-in ist nach meiner Ansicht noch nicht erforderlich, da u.a. die Begründung der Konferenz sehr dünn ist und viel Platz für Interpretationen zulässt. Wirklich sicher können wir erst sein, wenn es die ersten Entscheidungen von Seiten des EuGH vorliegen. Für unsere Praxis bleiben wir weiterhin bei dem Opt-out. Natürlich nur so lange, bis eine rechtssichere Entscheidung vorliegt.
Viele Grüße
Marius
Super Beitrag, vielen Dank! Ich habe eine Frage zu dem „Zusatz zur Auftragsdatenverarbeitung“. Wen trage ich als juristische Person ein, wenn ich ein als Einzelunternehmer ein Nebengewerbe betreibe? Rechtlich gesehen bin ich doch eine „natürliche Person“!?
Stand heute (28.05.18) gibt es den schriftlichen Vertrag mit Google nicht mehr. Scheint wohl so, dass nur noch der Zusatz zur ADV online abgeschlossen werden kann/soll.
Danke, viele Grüße
Julia
Hallo Julia,
vielen Dank. Ich hoffe, dass wir Dir mit unserem Beitrag helfen konnten. In Deinem Fall würde ich das Feld auslassen, da es nach meinem Wissensstand kein Pflichtfeld ist. Und es gibt natürlich die Fälle, wo keine juristische Person vorliegt. Dann bleibt ja auch nichts anderes übrig. Aber Du müsstest Dich zum Beispiel als primären Kontakt hinterlegen.
Seit dem 25. Mai ist der Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO in elektronischer Form ausreichend. Die Zusendung eines schriftlichen AV-Vertrages ist also nicht mehr nötig.
Viele Grüße
Marius
Hallo Marius,
vielen Dank für die schnelle Antwort. Der Beitrag und die Beantwortung meiner Frage helfen mir auf jeden Fall weiter :-)
Viele Grüße
Julia
Super Zusammenfassung!
Muss ich als Datenverantwortlicher dafür sorgen, dass ein Kunde meines Onlineshops in dem ich Google Analytics verwende, Einsicht in seine gespeicherten Daten bei Google gewähren kann, oder diese löschen lassen kann?
Hallo David,
vielen Dank für dein Feedback. Die Rechte der Nutzer, zum Beispiel auf die Löschung der personenbezogenen Daten, findet auch dort Anwendung. Du als Datenverantwortlicher deiner Website musst dafür sorgen, dass die Löschung der personenbezogenen Daten vollzogen wird. Sollte nun ein Nutzer die Löschung seiner personenbezogener Daten verlangen, dann musst du diese Löschung in Google Analytics durchführen. Für diese Löschung ist die Client-ID aus dem Google-Cookie des Nutzers notwendig. Mit Hilfe dieser ID kannst du die Daten des Nutzers im „Nutzer-Explorer“ ausfindig machen. Diesen „Nutzer-Explorer“-Bericht findest du unter dem Navigationspunkt „Zielgruppe“. Wenn du dann die bestimmte Client-ID öffnest, kannst du unten links den Nutzer löschen. Die Daten, die mit dieser Nutzer-ID verbunden sind, werden dann innerhalb von 72h aus dem Bericht zu den einzelnen Nutzern entfernt. Außerdem werden diese Daten beim nächsten Löschvorgang innerhalb von 63 Tagen von den Analytics-Servern restlos gelöscht.
Viele Grüße
Marius
Hallo.
Danke für den ausführlichen Artikel.
Eine Frage hätte ich.
Warum sollte man im GTM der Datenübermittlung an Google und nicht näher beschriebene „Weitere“ zustimmen?
Dem Hinweis nach sammelt Google an dieser Stelle Daten fürs Benchmarking.
Ich wüsste jetzt nicht wieso das jetzt DSGVO förderlich wäre.
Oder glaubt ihr, dass Google sonst die Daten trotzdem verwendet aber dann nicht anonymisiert?
Viele Grüße
Vitali
Hallo Vitali,
vielen Dank für deine Frage. Nach der aktuellen Rechtsprechung dürfen wir personenbezogene Daten erst dann übermitteln, sobald die Einwilligung des Nutzers vorliegt. Dabei muss auch festgestellt werden, um welche Daten es sich handelt, wie zum Beispiel die anonymisierte IP-Adresse. Hierbei kommt es auch darauf an, dass die Erhebung der Einwilligung auch eine „echte“ informierte Einwilligung vom Nutzer ist. Diesbezüglich gab es gerade eine neue Entscheidung des LG Rostocks (Urt. v. 15.09.2020 – Az.: 3 O 762/19). Wird die Einwilligung nach diesen Grundsätzen erhoben, dürfen wir diese Daten erheben und die Datenübermittlung an Google muss ebenfalls transparent dargestellt werden. Und ganz klar: Google darf darüberhinaus keine weiteren Daten erheben und verwenden.
Ich hoffe, ich konnte deine Frage beantworten.
Viele Grüße
Marius
Hallo,
Ich danke Ihnen für die ausführlichen Informationen. Ich hätte eine Frage bzg. der Aktualität der Angaben. Hat sich etwas geändert seitdem Sie den Blog geschrieben haben, was Sie noch nicht angepasst haben?
Viele Grüße
Hallo,
vielen Dank für deine Frage. Wir aktualisieren diesen Beitrag, sobald eine neue Entscheidung vorliegt. Die Informationen sind also aktuell.
Viele Grüße
Marius