DSGVO-Abmahnungen: Google Analytics richtig verwenden - Ärger vermeiden!

DSGVO-Abmahnungen: Google Analytics richtig verwenden - Ärger vermeiden!
21.06.2018 | Lesezeit: 3 min

Kaum ist die Datenschutz-Grundverordnung in Kraft, treten auch schon die ersten Abmahnungen auf den Plan. Der derzeit häufigste Abmahngrund ist die falsche Verwendung des Webanalysedienstes Google-Analytics. Uns liegen bereits mehrere Abmahnungen hierzu vor. Grund genug um diesbezüglich einen aufklärenden Beitrag zu veröffentlichen, wie Sie Google Analytics richtig verwenden und Abmahnungen vermeiden.

I. Worum geht es bei den Abmahnungen zu Google Analytics?

Der Einsatz von Google Analytics ist aus datenschutzrechtlicher Sicht problematisch und umstritten. Praktisch kann Google mit Google Analytics ein umfassendes Nutzerprofil von Webseiten-Besuchern anlegen. Wird ein anmeldungspflichtiger Google-Dienst von den Besuchern verwendet, so kann dieses Nutzerprofil auch bestimmten Personen zugeordnet werden. Hinzu kommt, dass die Datenschutzgrundverordnung in Art. 6 eine Verarbeitung von personenbezogenen Daten nur zulässt, wenn der Benutzer vorher zugestimmt hat oder eine gesetzliche Ermächtigung vorliegt.

Die Wettbewerbsrechtlichen Abmahnungen umfassen lediglich zwei DIN A4 Seiten, die es allerdings in sich haben. Betroffene Internetseiteninhaber werden abgemahnt, da sie den Webanalysedienst Google-Analytics verwenden, hierbei allerdings die IP-Adresse ungekürzt an Google-Analytics weiterleiten.

Bei Verwendung des Webanalysedienstes Google-Analytics in unmodifizierter Form kommt es dazu, dass die IP-Adresse des Seitenbesuchers an die Server von Google in den USA weitergeleitet wird. Bei diesen IP-Adressen handelt es sich um sogenannte personenbezogene Daten. Diese dürfen nur dann Erhoben und in den USA verarbeitet werden, wenn eine entsprechende Rechtfertigung aus der DSGVO dies erlaubt. Die ungekürzte Übertragung der IP-Adresse an Google ist allerdings nicht durch einen Erlaubnissatz der Datenschutz-Grundverordnung zu rechtfertigen.

1

II. Wie kann ich solche Abmahnungen verhindern?

Wenn Sie Google Analytics rechtssicher verwenden möchten, dann beachten Sie bitte die nachfolgenden Punkte:

1. Schließen Sie einen Auftragsverarbeitungsvertrag mit Google ab.

Verwenden Sie Google Analytics, stellen die durch Google hierdurch vollzogenen Datenverarbeitungsvorgänge eine Verarbeitung in Ihrem Auftrag gemäß Art. 28 DSGVO dar. Daher sind Sie gehalten, mit Google einen Vertrag über die Auftragsverarbeitung abzuschließen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ bis zur Rubrik „Zusatz zur Datenverarbeitung“ hinunter. Dort können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen.

2. Aktivierung des „_anonymizeIp()“ Tracking-Codes

Durch den Einsatz eines Tools wie Google Analytics wird mitunter die vollständige IP-Adresse (ein stets personenbezogenes Datum) des Seitenbesuchers an einen Dritten (Google) übermittelt, sofern nicht der „_anonymizeIp()“ Tracking-Code durch den Nutzer von Google Analytics aktiviert wird. Dieser Code verschleiert einen Teil der IP-Adresse (letzte Oktett der IP-Adresse) des Nutzers und verhindert eine personenbezogene Rückverfolgbarkeit.

3. Ergänzung der Datenschutzerklärung

Wenn Sie Google Analytics im Einsatz haben, müssen Sie den Seitenbesucher hierüber informieren. Mandanten unserer Kanzlei erhalten selbstverständlich die passende Datenschutzerklärung für Google Analytics zur Verfügung gestellt.

4. Herstellung einer Widerspruchsmöglichkeit

Die Verwendung von „Google Analytics“ ermöglicht die Aufzeichnung personenbezogener Besucherdaten und ist nur zulässig, wenn sie hinreichende Möglichkeiten bereithält, mit denen Nutzer der Anwendung des Dienstes widersprechen können. Hierbei ist im Rahmen der Datenschutzklausel zu Google Analytics zum einen über das Opt-Out Browser Add-On zu informieren. Ergänzend muss über den Opt-Out-Cookie informiert werden, da mobilen Seitenbesuchern eine effektive Widerspruchslösung per eingeräumt werden muss, da die Lösung über das Widerspruchs-Add-On im mobilen Bereich nicht funktioniert.

5. Löschung von (rechtswidrigen) Altdaten

Haben Sie mit Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und umgehend zu löschen.

Weitergehende Informationen stellen wir unseren Mandanten in unserem Beitrag Handlungsanleitung: Google Analytics nach DSGVO richtig einbinden bereit!

III. Fazit

Vermeiden Sie also unnötige Abmahnung wegen der falschen Verwendung von Google Analytics und beachten Sie die Tipps der IT-Recht Kanzlei zur rechtskonformen Verwendung des beliebtesten Webanalysetools.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle:
© Trueffelpix - Fotolia.com (2)

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

I
IT-Recht Kanzlei 06.09.2019, 15:49 Uhr
Antwort an Herrn Freise
Haben Sie vielen Dank für Ihren Kommentar und Ihre diesbezügliche Frage! Ob in Zukunft bei der Verwendung von Cookies immer auf eine Einwilligung als Rechtfertigungsgrund abzustellen sein wird, halten wir für noch nicht abschließend geklärt. Der EuGH wird zu dieser Frage zeitnah (Anfang Oktober 2019) Stellung nehmen und hierbei höchstwahrscheinlich die Richtung für die Zukunft vorgeben. Wir warten daher die EuGH-Entscheidung einmal ab - wir werden auf jeden Fall unsere Mandanten mit den notwendigen rechtssicheren Texten in diesem Fall ausstatten!
S
Stefan Freise 02.09.2019, 15:31 Uhr
Opt-Out oder Opt-In
Hallo und Danke für den Beitrag.

Sind sie sicher, dass stand heute der Opt-Out noch ausreichend ist? Ist es nicht notwendig, dass Seitenbesucher ihr Opt-In geben müssen, bevor auch nur ein Datum an Google geschickt wird, und dieses Opt-In auch nicht vormarkiert sein darf, damit es auf jeden Fall freiwillig ist?

Ich kenne derzeit eigentlich nur noch Auslegungen, dass der Seitenbesucher vorab gut informiert werden muss und aktiv einen Haken setzen und bestätigen muss, bevor Google Analytics als Script eingebunden wird und Daten erhält. Zuletzt überträgt ja die Einbindung des Scriptes die IP des Seitenbesuchers ja immer nicht anonymisiert - wie bei jedem anderen Third-Party-Script auch.

Ich bin sehr neugierig auf Ihre Antwort und danke optimistisch.

Herzliche Grüße aus Paderborn

Stefan Freise

Weitere News

Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
(07.06.2024, 16:18 Uhr)
Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
Frage des Tages: Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
(04.06.2024, 07:30 Uhr)
Frage des Tages: Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
(16.10.2023, 07:57 Uhr)
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
Aktualisierung der Datenschutzerklärung für Otto.de
(23.06.2023, 11:28 Uhr)
Aktualisierung der Datenschutzerklärung für Otto.de
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
(06.06.2023, 10:42 Uhr)
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
(31.05.2023, 09:28 Uhr)
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
© 2004-2024 · IT-Recht Kanzlei