< zurück zum Blog

Lieblingstool: Google Analytics und der Datenschutz

11.05.2021

In diesem Artikel erfahren Sie, wozu „Google Analytics“ dient und welche datenschutzrechtlichen Probleme der Einsatz des beliebten Webseiten-Analyse-Tools bereitet sowie ob es Lösungsmöglichkeiten für diese Probleme gibt.

Google Analytics ist ein beliebtes Instrument zur Auswertung des Verhaltens von Webseitenbesuchern

Betreiber von Online-Shops oder anderer Webseiten lieben dieses Tool von Google, da es dem Webseitenbetreiber eine Vielzahl von Informationen über das Webseiten-Nutzungsverhalten des Besuchers liefert. So zählt Google Analytics z.B. die Zahl der Webseitenbesucher oder wertet das Nutzerverhalten in quantitativer und qualitativer Hinsicht aus. Dies bedeutet, dass der Webseitenbetreiber erfährt, wie lange sich ein Nutzer auf der Webseite aufgehalten hat und wie hoch die Absprungrate auf bestimmten Unterseiten ist. Neben vielen weiteren Informationen lässt sich mithilfe des Tools herausfinden, von welchem Ort der Besucher die Seite aufruft und welches Alter bzw. Geschlecht der Besucher hat.

Es gibt viele datenschutzrechtliche Risiken beim Einsatz von Google Analytics

Damit Google Analytics dem Webseitenbetreiber diese Informationen liefern kann, bindet das Tool einen Tracking-Code in den Code der Webseite ein bzw. setzt Cookies. Dies bedeutet, dass personenbezogene Daten vom Webseitenbesucher verarbeitet werden. Deshalb greift der Datenschutz. Grundsätzlich ist der Einsatz des Tools für Webseitenbetreiber nicht risikofrei möglich, weil die Besucherdaten an Google, meist in die USA, übermittelt werden und unklar ist, zu welchen Zwecken Google die erhobenen Daten nutzt. Als Betreiber einer Webseite sind Sie jedoch dafür verantwortlich, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt.

Webseitenbetreiber können das bestehende Risiko zumindest reduzieren

Wenn Sie Google Analytics auf Ihrer Webseite einsetzen und gleichzeitig maximal datenschutzgerecht arbeiten wollen, müssen Sie eine Reihe von Aufgaben erledigen:

Zunächst sollte mit Google ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden. Zusätzlich dazu müssen bei einer Übermittlung in ein Drittland die EU-Standarddatenschutzklauseln abgeschlossen und ggf. weitere Garantien von Google eingefordert werden.

Allerdings ergibt das beschriebene Vorgehen aus rechtlicher Sicht nur dann Sinn, wenn Google streng nach den Weisungen des Webseitenbetreibers handeln würde. Und hier ist der Knackpunkt: Google weist in seinen Nutzungsbedingungen selbst darauf hin, dass die erhobenen Daten auch für eigene Zwecke verarbeitet werden. Die Datenschutzkonferenz (DSK) hat daher die Einschätzung getroffen, dass der Webseitenbetreiber und Google gemeinsam für die Datenverarbeitung verantwortlich sind und folglich anstatt eines Vertrags zur Auftragsverarbeitung ein sog. „Joint-Controller-Vertrag“ gem. Art. 26 DSGVO abzuschließen ist. Allerdings wird dieser Vertrag von google bisher nicht angeboten.

Des Weiteren muss der Webseitenbetreiber die Einwilligung des Besuchers der Webseite einholen. Dies sollte am besten über einen DSGVO-konformen Cookie-Banner erfolgen. Ohne diese Einwilligung darf Google Analytics nicht eingesetzt werden. Wir empfehlen Ihnen diesen Cookie-Banner: https://www.cookie-banner-dsgvo.de/

Zudem sollten Sie die Standardeinstellungen des Tools vor dem ersten Einsatz anpassen. Sie müssen die Einstellungen so wählen, dass sie maximal dem Grundsatz der Datenminimierung entsprechen und somit möglichst wenige Freigaben an Google erteilt werden.

Entscheidend ist zudem folgendes: Führen Sie eine Anonymisierung der IP-Adressen der Webseitenbesucher durch! Hierzu müssen Sie den jeweiligen Tracking-Code von Google Analytics anpassen. Dies ist eine sehr wichtige Maßnahme, um das Risiko des Einsatzes von Google Analytics zu reduzieren.

Natürlich dürfen Sie auch nicht vergessen, Ihren Informationspflichten gem. Art. 13 DSGVO nachzukommen. Deshalb müssen Sie in der Datenschutzerklärung auf Ihrer Webseite über Google Analytics ausführlich informieren. Hier erfahren Sie mehr zu diesem Thema: https://sidit.de/blog/wann-muss-die-datenschutzerklarung-der-webseite-angepasst-werden

Suchen Sie einen kompetenten Datenschutzbeauftragten? Kontaktieren Sie uns unter: 0931 – 780 877-0 oder info@sidit.de

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.