DSGVO-Abmahnungen: Google Analytics richtig verwenden - Ärger vermeiden!
Kaum ist die Datenschutz-Grundverordnung in Kraft, treten auch schon die ersten Abmahnungen auf den Plan. Der derzeit häufigste Abmahngrund ist die falsche Verwendung des Webanalysedienstes Google-Analytics. Uns liegen bereits mehrere Abmahnungen hierzu vor. Grund genug um diesbezüglich einen aufklärenden Beitrag zu veröffentlichen, wie Sie Google Analytics richtig verwenden und Abmahnungen vermeiden.
I. Worum geht es bei den Abmahnungen zu Google Analytics?
Der Einsatz von Google Analytics ist aus datenschutzrechtlicher Sicht problematisch und umstritten. Praktisch kann Google mit Google Analytics ein umfassendes Nutzerprofil von Webseiten-Besuchern anlegen. Wird ein anmeldungspflichtiger Google-Dienst von den Besuchern verwendet, so kann dieses Nutzerprofil auch bestimmten Personen zugeordnet werden. Hinzu kommt, dass die Datenschutzgrundverordnung in Art. 6 eine Verarbeitung von personenbezogenen Daten nur zulässt, wenn der Benutzer vorher zugestimmt hat oder eine gesetzliche Ermächtigung vorliegt.
Die Wettbewerbsrechtlichen Abmahnungen umfassen lediglich zwei DIN A4 Seiten, die es allerdings in sich haben. Betroffene Internetseiteninhaber werden abgemahnt, da sie den Webanalysedienst Google-Analytics verwenden, hierbei allerdings die IP-Adresse ungekürzt an Google-Analytics weiterleiten.
Bei Verwendung des Webanalysedienstes Google-Analytics in unmodifizierter Form kommt es dazu, dass die IP-Adresse des Seitenbesuchers an die Server von Google in den USA weitergeleitet wird. Bei diesen IP-Adressen handelt es sich um sogenannte personenbezogene Daten. Diese dürfen nur dann Erhoben und in den USA verarbeitet werden, wenn eine entsprechende Rechtfertigung aus der DSGVO dies erlaubt. Die ungekürzte Übertragung der IP-Adresse an Google ist allerdings nicht durch einen Erlaubnissatz der Datenschutz-Grundverordnung zu rechtfertigen.
II. Wie kann ich solche Abmahnungen verhindern?
Wenn Sie Google Analytics rechtssicher verwenden möchten, dann beachten Sie bitte die nachfolgenden Punkte:
1. Schließen Sie einen Auftragsverarbeitungsvertrag mit Google ab.
Verwenden Sie Google Analytics, stellen die durch Google hierdurch vollzogenen Datenverarbeitungsvorgänge eine Verarbeitung in Ihrem Auftrag gemäß Art. 28 DSGVO dar. Daher sind Sie gehalten, mit Google einen Vertrag über die Auftragsverarbeitung abzuschließen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ bis zur Rubrik „Zusatz zur Datenverarbeitung“ hinunter. Dort können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen.
2. Aktivierung des „_anonymizeIp()“ Tracking-Codes
Durch den Einsatz eines Tools wie Google Analytics wird mitunter die vollständige IP-Adresse (ein stets personenbezogenes Datum) des Seitenbesuchers an einen Dritten (Google) übermittelt, sofern nicht der „_anonymizeIp()“ Tracking-Code durch den Nutzer von Google Analytics aktiviert wird. Dieser Code verschleiert einen Teil der IP-Adresse (letzte Oktett der IP-Adresse) des Nutzers und verhindert eine personenbezogene Rückverfolgbarkeit.
3. Ergänzung der Datenschutzerklärung
Wenn Sie Google Analytics im Einsatz haben, müssen Sie den Seitenbesucher hierüber informieren. Mandanten unserer Kanzlei erhalten selbstverständlich die passende Datenschutzerklärung für Google Analytics zur Verfügung gestellt.
4. Herstellung einer Widerspruchsmöglichkeit
Die Verwendung von „Google Analytics“ ermöglicht die Aufzeichnung personenbezogener Besucherdaten und ist nur zulässig, wenn sie hinreichende Möglichkeiten bereithält, mit denen Nutzer der Anwendung des Dienstes widersprechen können. Hierbei ist im Rahmen der Datenschutzklausel zu Google Analytics zum einen über das Opt-Out Browser Add-On zu informieren. Ergänzend muss über den Opt-Out-Cookie informiert werden, da mobilen Seitenbesuchern eine effektive Widerspruchslösung per eingeräumt werden muss, da die Lösung über das Widerspruchs-Add-On im mobilen Bereich nicht funktioniert.
5. Löschung von (rechtswidrigen) Altdaten
Haben Sie mit Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und umgehend zu löschen.
Weitergehende Informationen stellen wir unseren Mandanten in unserem Beitrag Handlungsanleitung: Google Analytics nach DSGVO richtig einbinden bereit!
III. Fazit
Vermeiden Sie also unnötige Abmahnung wegen der falschen Verwendung von Google Analytics und beachten Sie die Tipps der IT-Recht Kanzlei zur rechtskonformen Verwendung des beliebtesten Webanalysetools.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
Sind sie sicher, dass stand heute der Opt-Out noch ausreichend ist? Ist es nicht notwendig, dass Seitenbesucher ihr Opt-In geben müssen, bevor auch nur ein Datum an Google geschickt wird, und dieses Opt-In auch nicht vormarkiert sein darf, damit es auf jeden Fall freiwillig ist?
Ich kenne derzeit eigentlich nur noch Auslegungen, dass der Seitenbesucher vorab gut informiert werden muss und aktiv einen Haken setzen und bestätigen muss, bevor Google Analytics als Script eingebunden wird und Daten erhält. Zuletzt überträgt ja die Einbindung des Scriptes die IP des Seitenbesuchers ja immer nicht anonymisiert - wie bei jedem anderen Third-Party-Script auch.
Ich bin sehr neugierig auf Ihre Antwort und danke optimistisch.
Herzliche Grüße aus Paderborn
Stefan Freise