Je näher der 25. Mai 2018 rückt – der Stichtag für die Einführung der neuen EU-Datenschutzgrundverordnung (DSGVO, GDPR) – desto mehr Fragen tauchen auf dazu. Ob Google Analytics den neuen Vorschriften gerecht wird, ist sicherlich eine der meistgestellten Fragen zu GDPR.
(Falls Sie nicht wissen, was die EU-DSGVO mit sich bringt, finden Sie nützliche Informationen darüber in unseren beiden Artikeln: «GDPR im Überblick: Was ändert sich?» und «Wie GDPR das Digitale Marketing verändert».)
Warum ist Google Analytics durch die DSGVO betroffen?
In Erwägungsgrund 30 der EU-DSGVO heisst es:
Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet.
Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
Da Google Analytics zur Verfolgung von Sitzungen und Wiedererkennung von Nutzern auf Cookie-Identifikatoren einsetzt, sollte jede Webseite, die Google Analytics nutzt und für Europäische Bürger zugänglich ist, die DSGVO erfüllen.
Warum ist das ein Problem? Ich habe doch bereits einen Cookie-Banner.
Einer der Hauptaspekte der DSGVO ist die Stärkung der Rechte des Datensubjektes (der Webseiten-Besucher). Dies beinhaltet unter anderem:
- Das Recht auf jederzeitigen Widerruf der Einwilligung
- Das Recht auf Einsichtnahme in die gespeicherten Daten
- Das Recht auf Berichtigung gespeicherter Daten
- Das Recht vergessen zu werden (Löschung der Daten)
- Das Recht, die Daten in einem portablen Format zu erhalten.
Aktuell sind die meisten dieser Punkte in Google Analytics nicht umsetzbar. So können Sie beispielsweise Daten, die in Ihrem Google Analytics Property gesammelt wurden, nicht löschen oder korrigieren. Im Moment ist es auch sehr umständlich, die für eine Client-ID gesammelten Daten an einen Besucher auszuhändigen.
Bedeutet dies, dass Google Analytics nicht mit der neuen DSGVO konform ist?
Google Analytics ist zumindest nicht 100%, konform mit den neuen Datenschutzrichtlinien. Da es keinen Präzedenzfall gibt, ist nicht klar, wie das neue Datenschutzgesetz von den Gerichten ausgelegt wird und ob die neuen Nutzer-Rechte auch für Daten gelten, die von Google Analytics gesammelt werden.
Google soll bereits an einer Funktion arbeiten, die das Löschen von Daten ermöglicht. Zudem wurde in Google Analytics eine neue Datenverarbeitungsvereinbarung für die DSGVO hinzugefügt. Dies zeigt, dass Google das Thema ernst nimmt und sich bemüht, bis zum Inkrafttreten der Vereinbarung die Vorschriften zu erfüllen.
Eine weitere neue Regelung der DSGVO betrifft die geografische Lage der Datenspeicherung, denn gemäss DSGVO dürfen persönliche Daten die EU nicht verlassen. Eine Ausnahme bilden nur Länder, die ähnlich strengen Datenschutzbestimmungen unterliegen. Die Datenschutzgesetze der USA genügen den Anforderungen der DSGVO nicht. Da Google Analytics jedoch im August 2016 das EU-US Privacy Shield Framework implementiert hat, wird im Moment davon ausgegangen, dass damit die Anforderungen der DGSVO erfüllt werden.
Schliesslich stellt sich die Frage, ob für Google Analytics die Einwilligung der Webseiten-Besucher erforderlich ist. Dies wird in der neuen e-Privacy Regulation (Entwurf e-Privacy Regulation 2017/0003) geregelt: Sobald diese in Kraft tritt, braucht es kein explizites Opt-in für Google Analytics. Dies könnte sich jedoch noch ändern und hätte folglich einen signifikanten Einfluss auf alle Webanalyse-Tools.
Was kann ich in der Zwischenzeit tun?
Das Wichtigste ist, alle Entwicklungen und Neuigkeiten über das neue Gesetz genau im Auge zu behalten. In der Zeit bis zum Stichtag und in den Monaten nach dem 25. Mai werden viele dieser Fragen beantwortet werden. Um über diese Entwicklungen auf dem Laufenden zu bleiben, tragen Sie sich hier in unseren Newsletter ein.
Sie können jedoch bereits jetzt Änderungen an Ihrem Google Analytics-Setup vornehmen, um für den 25.Mai vorbereitet zu sein.
- Aktivieren Sie die IP-Anonymisierung: Dazu braucht es nur eine zusätzliche Code-Zeile, die Ihrem Google Analytics Code hinzugefügt werden muss.
- Aktualisieren Sie Ihre Datenschutzbestimmungen dahingehend, dass Sie Google Analytics (und alle anderen Tracking-Tools) aufführen.
- Geben Sie den Benutzern die Möglichkeit, sich gegen das Tracking zu entscheiden. Wenn Sie kein Opt-Out-Plugin hinzufügen können, leiten Sie die Besucher zumindest auf eine Seite mit zusätzlichen Informationen weiter. Auf dieser erklären Sie, wie man sich auf Browser-Ebene vom Tracking abmelden kann.
- Loggen Sie sich in Ihr Google Analytics-Konto ein und akzeptieren Sie das «Google Data Processing Amendment». Dieses finden Sie ganz unten in Ihren Kontoeinstellungen.
- Stellen Sie sicher, dass in Google Analytics nicht versehentlich persönliche Daten erfasst werden. Dies können zum Beispiel E-Mail-Adressen in Abfrageparametern oder Sozialversicherungsnummern in einer benutzerdefinierten Dimension sein. Das verstösst gegen die Google Analytics-Bedingungen und müsste zudem in Ihren Datenschutzbestimmungen aufgeführt werden.
Zum jetzigen Zeitpunkt sind wir der Meinung, dass Google Analytics die geforderten EU-DSGVO-Kriterien bis zum Inkrafttreten der neuen Bestimmungen erfüllen wird.
Wenn Sie eine vollständige Prüfung Ihrer Webseite und Ihres Online-Marketings wünschen oder wissen möchten, welche Tools DSGVO-konform sind, nehmen Sie mit uns Kontakt auf.
Bei weiteren Fragen zu Google Analytics und DSGVO/GDPR-Compliance senden Sie mir eine E-Mail.