Die Datenschutzgrundverordnung (DSGVO) ist 2018 in Kraft getreten. Dadurch haben sich die Regeln zum Umgang mit personenbezogenen Daten erheblich verschärft. Auch in Bezug auf Tracking-Tools, wie Google-Analytics, gibt es einiges zu beachten.
1. Vertrag zur Auftragsverarbeitung
Sobald ein Webseitenbetreiber Daten an einen Dritten weitergibt, damit dieser sie verarbeitet, ist gem. Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung notwendig. Dieser Vertrag wird zwischen dem für die Daten Verantwortlichen und dem Dienstleister geschlossen und enthält Details zum Umgang mit den Daten. Da Google Analytics die Daten sammelt, speichert, verarbeitet und weitergibt, muss ein solcher Vertrag geschlossen werden. Dies kann in den Kontoeinstellungen getan werden. Wenn jedoch die Standard-Einstellungen von Google Analytics unverändert gelassen werden, reicht dies allein nicht aus. Vielmehr sind der Webseitenbetreiber und Google in diesem Fall gemeinsam für die Daten verantwortlich. Aus diesem Grund sollten die Standardeinstellungen genauestens auf die eigenen Bedürfnisse und die rechtliche Zulässigkeit geprüft werden.
2. IP Anonymisierung
Google-Analytics erfasst die IP-Adressen der Nutzer. Der Tracking-Code kann jedoch händisch an die Anforderungen der DSGVO angepasst werden.
3. Einwilligung
Der Zweck der DSGVO und auch deutscher Vorschriften zum Datenschutz ist es, dem Nutzer möglichst viel Kontrolle über die Nutzung seiner eigenen Daten zurückzugeben. Aus diesem Grund dürfen seine Daten nur aus rechtlich vorgegebenen Gründen oder aufgrund seiner Einwilligung getrackt werden. Sowohl der Europäische Gerichtshof als auch die Aufsichtsbehörden haben bekannt gegeben, dass für die Verwendung von Google Analytics nur eine Einwilligung in Betracht kommt. Dafür muss der Nutzer zunächst ausführlich informiert werden, bevor er freiwillig und aktiv zustimmt.
4. Möglichkeit zum Widerruf
Der Nutzer muss die Möglichkeit haben, seine Einwilligung zu widerrufen. Dafür kann entweder ein Consent Tool oder ein Browser PlugIn verwendet werden. Da letzteres auf mobilen Endgeräten nicht funktioniert, kann stattdessen ein Opt-out Cookie zum Einsatz kommen. Dafür muss ein html-Code mit Javascript eingefügt werden.
5. Datenschutzerklärung
In der Datenschutzerklärung wird der Nutzer darüber aufgeklärt, welche seiner personenbezogenen Daten gesammelt werden und was mit ihnen passiert. In Bezug auf Google Analytics ist anzugeben, aufgrund welcher Rechtsgrundlage und in welchem Umfang Daten erhoben werden. Weiterhin muss die Speicherdauer der Daten genannt und der Nutzer über sein Widerrufsrecht aufgeklärt werden.