Speech image
User image

Google Analytics & DSGVO -Webanalyse vs. Datenschutz

Zugegeben: die Rechtslage in Bezug auf den Datenschutz ist in Deutschland äußerst komplex und ist auch mit der Datenschutzgrundverordnung (DSGVO) nicht leichter geworden. Es hat insbesondere Einfluss auf den Datenschutz und die Datenschutzerklärung, wenn Webanalysetools (z.B. Google Analytics, etracker etc.) zum Einsatz kommen, da diese persönliche Daten (unbemerkt) an externe Server übermitteln können. Der Händlerbund hilft dir dabei, die Benutzung von Webanalyse-Tools mit der DSGVO in Einklang zu bringen.

Als Mitglied beim Händlerbund erhältst du u.a. folgende Leistungen:

  1. Individuell erstellte Datenschutzerklärung und weitere Rechtstexte
  2. Cookie Consent-Tool
  3. Hilfe bei Abmahnung
  4. Rechtsberatung
  5. Shop-Tiefenprüfung
intro-leistungen-datenschutz

Individuell erstellte Rechtstexte für Händlerbund-Mitglieder

Neben AGB für Onlineshops beraten unsere Rechtsexperten und stellen folgende weitere Rechtstexte zur Verfügung:

AGB (Allgemeine Geschäftsbedingungen)

Rechtssichere AGB für Online-Shops, Websites oder auf Verkaufsplattformen.

Datenschutzerklärung

Für alle, die auf ihrer Online-Präsenz Daten erheben, speichern und verarbeiten.

Impressum (Gesetzliche Anbieterkennzeichnung)

Dein Impressum mit allen gesetzlich vorgeschriebenen Pflichtangaben.

Widerrufsbelehrung

Informiere deine Kunden mit der aktuellen Widerrufsbelehrung über das bestehende Widerrufsrecht.

Zahlungs- & Versandbedingungen

Das musst du bzgl. der Zahlungs- und Versandbedingungen beachten.

 

Unsere Mitgliedschaftspakete

  • Abmahnsichere Rechtstexte
  • Sichere Cookie-Banner-Lösung
  • Rechtsberatung (ab Premium)
  • Shop-Tiefenprüfung (Unlimited und Professional)
  • Soforthilfe bei Abmahnung** (Unlimited und Professional)
Pakete im Überblick Paketberater starten
mitgliedschaftspakete-4er

Webanalyse-Tools wie Google Analytics & DSGVO: Explizite Einwilligung für das Setzen von Cookies

Der Online-Handel kann in Sachen Tracking dank Cookies und Co. ein transparenteres Bild seiner Kunden nachzeichnen. Viele Händler sind sich aber gar nicht im Klaren, dass sie massenhaft persönliche Daten ihrer Webseitenbesucher abgreifen und an (unbekannte) Server übermitteln. Für jegliche Analysetools gilt Folgendes: werden Cookies verwendet, muss eine ausdrückliche Einwilligung des Besuchers eingeholt werden. Dies kann durch entsprechende Consent-Tools sichergestellt werden.

Sicherheit und Privatsphäre beim Umgang mit Daten

Der Betreiber der Webseite, auf der sich die Analyse- und Tracking-Tools befinden, hat den Besucher insbesondere über die folgenden Punkte zu unterrichten:

  1. ob persönliche Daten erhoben werden
  2. an wen sie übermittelt werden
  3. wofür sie verwendet werden

Hier bedarf es für jedes einzelne Tool einer ergänzenden Regelung in der Datenschutzerklärung, da jeder Anbieter anders arbeitet.

Webanalyse-Tools sollten daher unter folgenden Voraussetzungen zum Einsatz kommen:

  1. In einer Klausel in der Datenschutzerklärung wird für jedes Tool gesondert die Funktionsweise, der Empfänger, das Widerspruchsrecht und die Datennutzung erklärt.
  2. Es muss eine automatische Anonymisierung der Besucher-ID stattfinden, insbesondere bei Google Analytics.
  3. Die Einwilligung des Webseitenbesuchers in das Verwenden von Cookies muss eingeholt werden.
  4. Außerdem bestehen allgemeine Informationspflichten zu Cookies und Analyse-Tools (insbesondere zur Rechtsgrundlage und dem Zweck der Datenverarbeitung).
  5. Respekt vor den „DoNotTrack“-Einstellungen!

Was bei Google-Analytics DSGVO zu beachten ist

Um Google Analytics rechtssicher zu verwenden, sind nachfolgende Voraussetzungen zu erfüllen:

1. Vertrag zur Auftragsverarbeitung

Bei der Verwendung von Google Analytics ist ein Vertrag zur Auftragsdatenverarbeitung nach Art. 28 DSGVO mit Google abzuschließen. Die Verwendung von Google Analytics ist eine so genannte Auftragsdatenverarbeitung. Hierüber ist immer ein Vertrag abzuschließen. Da kein schriftlicher Abschluss des Vertrages mehr erforderlich ist, genügt die entsprechende Auswahl in den Google-Analytics-Einstellungen, um den Vertrag elektronisch zu bestätigen. Hierzu scrollst du unter "Verwaltung > Kontoeinstellungen" runter bis zur Rubrik "Zusatz zur Datenverarbeitung".

Dort kannst du auf "Zusatz anzeigen" klicken und den Vertrag zur Auftragsverarbeitung annehmen. Unter dem Link "Details zum Zusatz zur Datenverarbeitung verwalten" musst du dann noch deine Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche "Speichern" bestätigen. Hast du den Vertrag zur Auftragsverarbeitung bereits mit Google geschlossen, ist kein Abschluss eines neuen Vertrages erforderlich. Nur wenn du den Vertrag mit Google vor September 2016 abgeschlossen hast, musst du tätig werden. Der vor September 2016 verwendete Vertrag basierte auf dem für unwirksam erklärten Safe-Harbor-Beschluss.

2. Anonymisierung der IP-Adressen und Einwilligung

Wenn du Google Analytics DSGVO-konform verwenden willst, muss die Erfassung der IP-Adresse anonymisiert erfolgen. Dazu ist die Erweiterung des Google Analytics Codes im Quellcode erforderlich (Stichwort "anonymizeIP"). Es besteht zudem bei der Erhebung und Verwendung personenbezogener Daten und Cookies, wie durch das Tool Google Analytics, die Pflicht eine Einwilligung einzuholen.

Mit Verwendung der von uns zur Verfügung gestellten Datenschutzerklärung, die im Rahmen eines Händlerbund-Mitgliedschaftspakets erhältlich ist, wird diese Widerspruchsmöglichkeit als Hinweis und Link auf das entsprechende Browser-Plug-in erteilt. Da das Browser-Plug-In nicht auf mobilen Endgeräten funktioniert, ist zusätzlich ein Link zum Setzen eines Opt-Out-Cookies zur Verfügung zu stellen. Auch dazu ist die Anpassung des Quellcodes deiner Internetpräsenzen erforderlich. Über die Nutzung von Google Analytics ist zu dem in der Datenschutzerklärung zu informieren.

3. Löschung von Altdaten

Wurden durch Google Analytics Nutzerprofile ohne anonymizeIP erstellt, sind diese Daten rechtswidrig erhoben und zu löschen. Google bietet in den Analytics-Einstellungen die Möglichkeit, sog. "Properties" und "Datenansichten" in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

Hilfe bei der Umsetzung durch den Händlerbund:

Unsicher bei der Umsetzung der europaweit geltenden DSGVO?
Als Händlerbund-Mitglied erhältst du alle wichtigen Informationen, Tipps, Tricks und rechtliche Beratung. Auch im Abmahnfall sind wir für dich da.

agb-kleingewerbe-handy

Wissenswertes zum Thema Webanalyse, Google Analytics DSGVO


Was ist Google Analytics und welche Vorteile bietet das Tool?

wissenswertes

Mit Hilfe von Google Analytics können Internetseiten-Betreiber das Verhalten der Website-Besucher nachvollziehen. Es kann beispielsweise verfolgt werden, wie lange die Nutzer auf der Website bleiben, welche Unterseiten sie aufrufen und welche Aktionen sie ausführen. Neben Google Analytics erfüllen auch andere Tools diese Aufgaben. Google Analytics ist jedoch das am häufigsten genutzte Tracking Tool. Das liegt zunächst an der Bekanntheit von Google und Googles Kenntnisse über Nutzerdaten. Darüber hinaus sind die meisten Funktionen von Google Analytics kostenlos nutzbar.

Wie funktioniert Google Analytics?
Um Google Analytics verwenden zu können, brauchst du zunächst ein Google-Konto. Mit diesem kannst du die Website anmelden, deren Nutzung du nachverfolgen willst. Dafür erhältst du von Google eine ID, die du in den Quellcode deiner Website einbaust. Sobald die Website aufgerufen wird, werden Daten gesammelt, an einen Server gesendet und dir in deinem Konto zur Verfügung gestellt.

Welche Daten werden erhoben?
Google Analytics erhebt zahlreiche Daten, um dem Website-Betreiber möglichst viele Informationen über den Erfolg seiner Website mitzuteilen.

  1. Google Analytics sammelt Daten über den Nutzer selbst, also beispielsweise seinen Herkunftsort und sein Endgerät, mit dem er die Website aufruft.
  2. Ein weiterer wichtiger Datensatz betrifft den Datenverkehr. Es werden unter anderem folgende Fragen beantwortet: Von welcher Website kam der Nutzer? Welche Accounts hat er?
  3. Für viele Seitenbetreiber ist das Verhalten des Nutzers auf der Website am wichtigsten. Es geht unter anderem darum, wie viel Zeit er auf ihr verbracht und welche Links er angeklickt hat.
  4. Teilweise werden darüber hinaus die Umsatzzahlen durch Werbung oder Online-Shops gespeichert.

Außerdem erhebt Google Analytics Daten, die der Betreiber der Website nicht zu sehen bekommt. Zur letzten Kategorie gehören insbesondere die vollständigen IP-Adressen der Nutzer.

Wie werden sie erhoben?
Die Daten werden mithilfe von mehreren verschiedenen Cookies erhoben. Welche Cookies verwendet werden, hängt von der Konfiguration von Google Analytics ab. Folgende Cookies sind möglich:

  1. Der Wiedererkennungs-Cookie stellt fest, ob der Nutzer bereits zuvor auf der Website war.
  2. Der Session-Cookie stellt fest, wie lange der Nutzer die Website besucht hat.
  3. Der Segmentierungs-Cookie teilt Nutzer in Kategorien ein.
  4. Der Kampagnen-Cookie ordnet den Nutzern eine Online-Kampagne zu.
  5. Mit Hilfe eines Tracking-Codes werden die Daten an einen Server übermittelt und dem konkreten Google-Nutzerkonto zugeordnet.

Wozu werden die Daten genutzt?
Website-Betreiber nutzen die von Google Analytics gesammelten Daten, um ihr Angebot zu optimieren. Sie lernen beispielsweise, welche Inhalte viele Klicks generieren und die Nutzer lange auf der Website halten. Sie erfahren auch, ob sie ihre Zielgruppe erreichen oder vielleicht zufällig eine andere Gruppe von Internetnutzern.

Welche Bedeutung haben Newsletter für das Marketing eines Online-Händlers?

Um erfolgreich zu sein, müssen Online-Händler aus der Masse der Konkurrenten herausstechen. Dies gelingt mit einer guten Marketing-Strategie. Besonders für kleine Unternehmen mit wenig Budget können Newsletter ein wichtiger Teil des Marketing-Mixes sein. Newsletter-Software gibt es bereits für wenig Geld und Newsletter sind perfekt, um bei Bestandskunden in Erinnerung zu bleiben, da die Mail-Adresse beim Bestellvorgang abgefragt werden kann.

Kann man Google Analytics DSGVO-konform einsetzen?

Datenschützer kritisieren Google Analytics, weil es die Daten, insbesondere die vollständigen IP-Adressen, an einen Server in den USA übermittelt und speichert. Über die Verwendung und Verarbeitung klärt Google die Nutzer jedoch nur unzureichend auf. Dennoch ist es möglich Google Analytics rechtskonform zu verwenden, wenn die Vorgaben der DSGVO eingehalten werden. Dafür ist es wichtig, im Google Konto die richtigen Einstellungen vorzunehmen und die eigene Website an Datenschutz-Bestimmungen (insbes. die DSGVO) anzupassen. Details zu beiden Themen findest du im nächsten Absatz. Solltest du Google Analytics bisher nicht DSGVO-konform verwendet haben, ist es empfehlenswert alle gesammelten Daten zu löschen, da diese auf einem rechtlich unzulässigen Weg gesammelt worden sind.

Worauf sollte man beim Einsatz von Google Analytics aufgrund der DSGVO achten?

Die Datenschutzgrundverordnung (DSGVO) ist 2018 in Kraft getreten. Dadurch haben sich die Regeln zum Umgang mit personenbezogenen Daten erheblich verschärft. Auch in Bezug auf Tracking-Tools, wie Google-Analytics, gibt es einiges zu beachten.

1. Vertrag zur Auftragsverarbeitung
Sobald ein Webseitenbetreiber Daten an einen Dritten weitergibt, damit dieser sie verarbeitet, ist gem. Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung notwendig. Dieser Vertrag wird zwischen dem für die Daten Verantwortlichen und dem Dienstleister geschlossen und enthält Details zum Umgang mit den Daten. Da Google Analytics die Daten sammelt, speichert, verarbeitet und weitergibt, muss ein solcher Vertrag geschlossen werden. Dies kann in den Kontoeinstellungen getan werden. Wenn jedoch die Standard-Einstellungen von Google Analytics unverändert gelassen werden, reicht dies allein nicht aus. Vielmehr sind der Webseitenbetreiber und Google in diesem Fall gemeinsam für die Daten verantwortlich. Aus diesem Grund sollten die Standardeinstellungen genauestens auf die eigenen Bedürfnisse und die rechtliche Zulässigkeit geprüft werden.

2. IP Anonymisierung
Google-Analytics erfasst die IP-Adressen der Nutzer. Der Tracking-Code kann jedoch händisch an die Anforderungen der DSGVO angepasst werden.

3. Einwilligung
Der Zweck der DSGVO und auch deutscher Vorschriften zum Datenschutz ist es, dem Nutzer möglichst viel Kontrolle über die Nutzung seiner eigenen Daten zurückzugeben. Aus diesem Grund dürfen seine Daten nur aus rechtlich vorgegebenen Gründen oder aufgrund seiner Einwilligung getrackt werden. Sowohl der Europäische Gerichtshof als auch die Aufsichtsbehörden haben bekannt gegeben, dass für die Verwendung von Google Analytics nur eine Einwilligung in Betracht kommt. Dafür muss der Nutzer zunächst ausführlich informiert werden, bevor er freiwillig und aktiv zustimmt.

4. Möglichkeit zum Widerruf
Der Nutzer muss die Möglichkeit haben, seine Einwilligung zu widerrufen. Dafür kann entweder ein Consent Tool oder ein Browser PlugIn verwendet werden. Da letzteres auf mobilen Endgeräten nicht funktioniert, kann stattdessen ein Opt-out Cookie zum Einsatz kommen. Dafür muss ein html-Code mit Javascript eingefügt werden.

5. Datenschutzerklärung
In der Datenschutzerklärung wird der Nutzer darüber aufgeklärt, welche seiner personenbezogenen Daten gesammelt werden und was mit ihnen passiert. In Bezug auf Google Analytics ist anzugeben, aufgrund welcher Rechtsgrundlage und in welchem Umfang Daten erhoben werden. Weiterhin muss die Speicherdauer der Daten genannt und der Nutzer über sein Widerrufsrecht aufgeklärt werden.

Welche Alternativen gibt es zu Google Analytics?

Auch bei einem sehr sorgsamen Umgang mit Google Analytics bleiben bei der Verwendung datenschutzrechtliche Bedenken. Um diesen zu entgehen, können verschiedene Alternativen genutzt werden.

  1. Die bekannteste Alternative heißt Matomo. Dabei handelt es sich um ein Open-Source Tracking-Tool, das unabhängig von Unternehmen arbeitet. Auf die gesammelten Daten kann nur der Webseitenbetreiber und nicht Matomo zugreifen. Matomo anonymisiert die gesammelten IP-Adressen, wenn die Standardeinstellungen beibehalten werden.
  2. Fathom ist eine kostenlose Alternative, die ausschließlich die Verwendung der Website (also beispielsweise Besucherzahlen) trackt und dabei keinerlei weitere personenbezogene Daten über die Nutzer sammelt.
  3. Etracker trackt das Verhalten der Besucher der Website. Dazu gehören das Live-Tracking, die Klickpfad-Analyse und das Maus-Tracking. Die gesammelten Daten werden anonymisiert und nicht weitergegeben. Der dazu gehörende Datenschutzhinweis genügt den Anforderungen der DSGVO.
  4. Open Web Analytics ist ein kostenloses Open-Source-Tool, das dem Nutzer die volle Kontrolle über die Verwendung der Daten gibt. Allerdings überlässt es dem Nutzer ebenfalls die Einhaltung der Anforderungen der DSGVO, sodass ein erhöhtes Maß an Eigeninitiative gefragt ist.
  5. Mithilfe von Mixpanel kann der Websitebetreiber herausfinden, wo seine Website optimiert werden sollte und welche Aktionen bei den Nutzern besonders beliebt sind. Mixpanel hat sich bereits früh an die DSGVO angepasst.

Es ist empfehlenswert vor der Nutzung eines Webanalyse-Tools herauszufinden, welche Daten gebraucht werden. Das verwendete Tool sollte möglichst ausschließlich diese Daten sammeln und sie nicht an Dritte weitergeben. Für die datenschutzkonforme Verwendung des Tools ist in jedem Fall der Betreiber der Website verantwortlich. Deshalb sollte regelmäßig überprüft werden, ob das Tool im allgemeinen und die konkrete Verwendung mit dem derzeit geltenden Recht vereinbar sind.

Was droht dem Webseitenbetreiber, wenn er das Tracking-Tool nicht datenschutzkonform einsetzt?

Die Einhaltung der Vorgaben zum Datenschutz dient nicht nur den Nutzern der Website, sondern auch seinem Betreiber. Einerseits sichert der Betreiber durch die Auseinandersetzung mit dem Datenschutz auch seine eigenen Daten. Andererseits kann die Einhaltung der Datenschutzvorschriften zu Werbezwecken verwendet werden. Das Bewusstsein für Datenschutz steigt. Google Analytics und andere Tracking Tools werden immer offener kritisiert. Dadurch kann der Umgang mit Tracking-Tools den Ausschlag bei der Wahl für oder gegen ein Unternehmen geben.

Rechtlich bedeutet eine falsche Einbindung von Tracking-Tools ein Verstoß gegen die DSGVO. Einen solchen kann die Aufsichtsbehörde mit einem hohen Bußgeld belegen. Außerdem bietet eine rechtlich unzulässige Einbindung dem Betreiber einer kommerziellen Website einen Wettbewerbsvorteil gegenüber seinen Konkurrenten. Diese können ihn deshalb kostenpflichtig abmahnen. Das gleich egilt für Verbraucherschutzverbände.