Update vom 04.03.2022: Nachdem die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln veröffentlichte, sind diese seit dem 27.09.2021 verpflichtend bei allen Neuverträgen mit US-amerikanischen Dienstleistern abzuschließen. Alle Altverträge müssen bis Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Update vom 09.02.2022: Bitte beachten Sie auch unseren Artikel vom 24.01.2022, der sich nach einem Bescheid der Österreichischen Datenschutzbehörde mit der Frage beschäftigt, ob Google Analytics überhaupt noch datenschutzkonform einsetzbar ist.
In diesem Artikel erfahren Sie, wozu „Google Analytics“ dient und welche datenschutzrechtlichen Probleme der Einsatz des beliebten Webseiten-Analyse-Tools bereitet sowie ob es Lösungsmöglichkeiten für diese Probleme gibt.
Google Analytics ist ein beliebtes Instrument zur Auswertung des Verhaltens von Webseitenbesuchern
Betreiber von Online-Shops oder anderer Webseiten lieben dieses Tool von Google, da es dem Webseitenbetreiber eine Vielzahl von Informationen über das Webseiten-Nutzungsverhalten des Besuchers liefert. So zählt Google Analytics z.B. die Zahl der Webseitenbesucher oder wertet das Nutzerverhalten in quantitativer und qualitativer Hinsicht aus. Dies bedeutet, dass der Webseitenbetreiber erfährt, wie lange sich ein Nutzer auf der Webseite aufgehalten hat und wie hoch die Absprungrate auf bestimmten Unterseiten ist. Neben vielen weiteren Informationen lässt sich mithilfe des Tools herausfinden, von welchem Ort der Besucher die Seite aufruft und welches Alter bzw. Geschlecht der Besucher hat.
Es gibt viele datenschutzrechtliche Risiken beim Einsatz von Google Analytics
Damit Google Analytics dem Webseitenbetreiber diese Informationen liefern kann, bindet das Tool einen Tracking-Code in den Code der Webseite ein bzw. setzt Cookies. Dies bedeutet, dass personenbezogene Daten vom Webseitenbesucher verarbeitet werden. Deshalb greift der Datenschutz. Grundsätzlich ist der Einsatz des Tools für Webseitenbetreiber nicht risikofrei möglich, weil die Besucherdaten an Google, meist in die USA, übermittelt werden und unklar ist, zu welchen Zwecken Google die erhobenen Daten nutzt. Als Betreiber einer Webseite sind Sie jedoch dafür verantwortlich, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt.
Webseitenbetreiber können das bestehende Risiko zumindest reduzieren
Wenn Sie Google Analytics auf Ihrer Webseite einsetzen und gleichzeitig maximal datenschutzgerecht arbeiten wollen, müssen Sie eine Reihe von Aufgaben erledigen:
Zunächst sollte mit Google ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden. Zusätzlich dazu müssen bei einer Übermittlung in ein Drittland die EU-Standarddatenschutzklauseln abgeschlossen und ggf. weitere Garantien von Google eingefordert werden.
Allerdings ergibt das beschriebene Vorgehen aus rechtlicher Sicht nur dann Sinn, wenn Google streng nach den Weisungen des Webseitenbetreibers handeln würde. Und hier ist der Knackpunkt: Google weist in seinen Nutzungsbedingungen selbst darauf hin, dass die erhobenen Daten auch für eigene Zwecke verarbeitet werden. Die Datenschutzkonferenz (DSK) hat daher die Einschätzung getroffen, dass der Webseitenbetreiber und Google gemeinsam für die Datenverarbeitung verantwortlich sind und folglich anstatt eines Vertrags zur Auftragsverarbeitung ein sog. „Joint-Controller-Vertrag“ gem. Art. 26 DSGVO abzuschließen ist. Allerdings wird dieser Vertrag von google bisher nicht angeboten.
Des Weiteren muss der Webseitenbetreiber die Einwilligung des Besuchers der Webseite einholen. Dies sollte am besten über einen DSGVO-konformen Cookie-Banner erfolgen. Ohne diese Einwilligung darf Google Analytics nicht eingesetzt werden. Wir empfehlen Ihnen diesen Cookie-Banner: https://www.cookie-banner-dsgvo.de/
Zudem sollten Sie die Standardeinstellungen des Tools vor dem ersten Einsatz anpassen. Sie müssen die Einstellungen so wählen, dass sie maximal dem Grundsatz der Datenminimierung entsprechen und somit möglichst wenige Freigaben an Google erteilt werden.
Entscheidend ist zudem folgendes: Führen Sie eine Anonymisierung der IP-Adressen der Webseitenbesucher durch! Hierzu müssen Sie den jeweiligen Tracking-Code von Google Analytics anpassen. Dies ist eine sehr wichtige Maßnahme, um das Risiko des Einsatzes von Google Analytics zu reduzieren.
Natürlich dürfen Sie auch nicht vergessen, Ihren Informationspflichten gem. Art. 13 DSGVO nachzukommen. Deshalb müssen Sie in der Datenschutzerklärung auf Ihrer Webseite über Google Analytics ausführlich informieren. Hier erfahren Sie mehr zu diesem Thema: https://sidit.de/blog/wann-muss-die-datenschutzerklarung-der-webseite-angepasst-werden
Suchen Sie einen kompetenten Datenschutzbeauftragten? Kontaktieren Sie uns unter: 0931 – 780 877-0 oder info@sidit.de
Kein Kommentar