So nutzen Sie bei ihrer Website Google Analytics DSGVO konform

Die DSGVO und Google Analytics

Google Analytics ist in der Regel unerlässlich um zu sehen wie viele User auf die eigene Website kommen, woher sie stammen und was sie überhaupt auf der Seite machen.
Wer seinen Sitz in der EU hat, für den gelten strenge Regeln beim Einsatz solcher Analyse Tools. Die Privatsphäre des Users muss berücksichtigt werden.
Zumindest die folgenden fünf Punkte sollte man daher beachten, um rechtlich auf der sicheren Seite zu sein:

• Eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen
• Den User auf den Einsatz von Cookies hinweisen
• IP-Adressen anonymisieren
• Eine Möglichkeit zum OptOut anbieten
• Google Analytics in der Datenschutzerklärung

Vereinbarung zur Auftragsdatenverarbeitung

Weil Google rechtlich gesehen im Auftrag des Webseitenbetreibers handelt, sollte man auch eine Vereinbarung zur Auftragsdatenverarbeitung abschließen.

Diese Auftragsdatenverarbeitung wird auch nach der DSGVO zukünftig erlaubt bleiben. Das heißt, dass jeder der auf seiner Seite Google Analytics einsetzt einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen muss. Dieser darf elektronisch gezeichnet werden.

Dazu einfach in der Verwaltungsansicht auf Kontoebene in den Kontoeinstellungen ganz unten auf „Zusatz anzeigen“ klicken, dann auf „Zustimmen“ und schließlich abspeichern.

Cookie Consent

Google Analytics setzt beim User Cookies im Browser. Für alle Cookies, die nicht unbedingt erforderlich sind, damit der Nutzer die Webseite uneingeschränkt nutzen kann, ist aber laut europäischer Rechtsprechung eine informierte Zustimmung des Nutzers erforderlich.

Um diese Zustimmung einzuholen setzt man am besten auf ein Cookie Consent Overlay, das den User beim ersten Aufruf der Website auf den Einsatz von Cookies hinweist. Neben einem Button zur Zustimmung sollte man außerdem wohl einen Link zu mehr Informationen auf der Datenschutzseite hinzufügen. Dafür gibt es verschiedene vorgefertigte Lösungen, wie die frei zu verwendende Lösung von silktide oder verschiedene WordPress-Plugins.

IP Adressen anonymisieren

Auch im Google Analytics Code sollten einige Veränderungen vorgenommen werden. Zum einen sollte man die IP-Adressen anonymisieren.

Hat man den Code hardcoded – also direkt über die header.php Datei oder ähnliches – eingebunden, erweitert man den Tracking Code einfach um ein paar Zeichen. Verwendet man das Universal Analytics Snippet fügt man im Code VOR der Zeile ga(’send‘, ‚pageview‘); das Schnipsel

ga(’set‘, ‚anonymizeIp‘, true);

ein. Wer dagegen schon das neue Global Site Tag im Einsatz hat, erweitert die Zeile mit dem Snippet

gtag(‚config‘, ‚UA-XXXXXXXX-X‘);

um die Anonymize IP Info:

gtag(‚config‘, ‚UA-XXXXXXXX-X‘, { ‚anonymize_ip‘: true });

Wer ein Plugin wie etwa MonsterInsights(Früher yoast Google Analytics) nutzt, findet in den Einstellungen ein Häckchen.

Dadurch werden die letzten Stellen der IP-Adresse des Users anonymisiert, sodass man den User nicht mehr auf einen einzelnen Rechner zurückverfolgen können sollte. Keine Angst, die Information reicht immer noch, um die Herkunft der User zu bestimmen.

IP-Adressen über GTM anonymisieren

Wer den Google Tag Manager (GTM) nutzt, um Daten an Google Analytics weiterzugeben, muss beim Erstellen des Tags unter Weiteren Einstellungen – Festzulegende Felder (fields to set)e in Feld namens “anonymizeIp” und dem Wert “true” hinzufügen.

Da man mittlerweile die Google Analytics in einer eigenen Google-Analytics-Settings-Variable abspeichern kann, macht es natürlich Sinn die IP Anonymisierung einmal als festzulegendes Feld in dieser globalen Variable abzuspeichern, um es nicht für jeden Tag einzeln machen zu müssen.

Wer Google Analytics auf AMP-Seiten verwendet muss sich um die Anonymisierung der IP-Adressen keine Sorgen machen, denn AMP-Analytics anonymisieren die IPs per default. (Darum auch nicht wundern, dass es bei Tags in GTM AMP Containern keine Möglichkeit gibt ein Festzulegendes Feld anzugeben.)

Opt Out Möglichkeiten anbieten

Google bietet Nutzern selbst die Möglichkeit aus der Datenerfassung aller Google Analytics Installationen auszusteigen, entweder über das Setzen eines Cookies oder über ein Browser AddOn.

Als Betreiber sollte man trotzdem den Nutzern die Möglichkeit anbieten nur aus der Datenerfassung auf der eigenen Website auszusteigen. Und das funktioniert wie folgt:

Wer seinen Google Analytics Code „per Hand“ in den Head seiner Website eingebunden hat, der stellt einfach den folgenden Code VOR den Google Analytics Tracking Code. Für den Universal Analytics Code

<script>
var gaProperty = ‚UA-XXXXXXXX-X‘;

var disableStr = ‚ga-disable-‚ + gaProperty; if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true; }

function gaOptout() { document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘; window[disableStr] = true; } </script>

Dabei muss man natürlich UA-XXXXXXXXX-X mit der Zahlenkombination der eigenen Google Analytics Property ersetzen. Ist das geschafft, kann man dem User einen Opt-Out Link anbieten, der unsere neue Funktion ausführt und damit ein Cookie im Browser des Users setzt. Dazu einfach javascript:gaOptout() verlinken:

<a href=“javascript:gaOptout()“>Mein GA OptOut Link</a>

Das Cookie beim im Browser des Users gespeichert. Löscht dieser seine Cookies geht natürlich auch das OptOut Cookie verloren. Surft er mit einem anderen Gerät oder Browser eure Seite an, hat er das Cookie auch nicht und müsste den OptOut Vorgang nochmals durchführen.

Dieses Opt-Out Cookie greift auch, wenn der Google Analytics Tag über den Tag Manager auf der Seite eingespeist wird.Und natürlich kann der gesamte Opt-Out Code auch mit über Tag Manager auf der Seite eingebunden werden.

Google Analytics in der Datenschutzerklärung

Fügen Sie folgende Erklärung in die Datenschutzerklärung:

Um den Aufbau und die Navigation unseres Webauftritts zu analysieren, zu verbessern und diesen auf Ihre Bedürfnisse zuzuschneiden, verwenden wir auf unserer Website Analysetools.

Diese Website verwendet Google Analytics. Dabei handelt es sich um einen Webanalysedienst von Google Inc. („Google“). Dieser Analysedienst verwendet Cookies, also kleine Dateien, die auf dem Computer gespeichert werden und die eine Analyse der Nutzung unserer Website ermöglichen. Informationen über die Nutzung unserer Webseite, die unter Verwendung von Cookies gesammelt werden, dienen dazu, die allgemeine Nutzung der Website auszuwerten, um es uns zu ermöglichen, Reports über die Websiteaktivitäten zusammenzustellen und so in der Lage zu sein, unsere Webseite weiter zu optimieren und um weitere mit der Webseiten- und Internetnutzung verbundene Services zu erbringen. Die von Google Analytics mit Hilfe von Cookies erzeugten Informationen über die Nutzung der Webseite werden – einschließlich der anonymisierten IP-Adresse an einen Server von Google Inc. in die USA übermittelt. Die Anonymisierung erfolgt durch die Entfernung der letzten acht Bit der IP-Adresse, wodurch eine eindeutige Zuordnung der ermittelten Daten zu einer bestimmten IP-Adresse nicht mehr möglich ist. Diese Information wird an Behörden oder Dritte übermittelt, wenn diese Übermittlung gesetzlich erforderlich ist oder wenn Dritte im Auftrag von Google als Dienstleister tätig sind. Es besteht jedoch die Möglichkeit, die Speicherung von Cookies durch entsprechende Einstellungen im Browser zu verhindern. Wenn in den Einstellungen des Browsers die Zustimmung zur Speicherung von Cookies verweigert wird, kann es jedoch sein, dass bestimmte Funktionen unserer Webseite nicht mehr zur Verfügung stehen. Mit der Nutzung unserer Webseite erklärt man sich mit der Verwendung von Google Analytics einverstanden. Weitere Informationen zu Google Analytics finden sich unter: http://www.google.at/intl/de/analytics. Informationen zur Privacy Policy von Google findet man unter http://www.google.de/policies/privacy. Hier findet man eine Möglichkeit, wie man die Nutzung von Google Analytics und die damit verbundene Datenübermittlung an Google unterbinden kann https://tools.google.com/dlpage/gaoptout?hl=de.

Quellen:
www.kloos.at
www.drschwenke.de

Die DSGVO und das WhatsApp – Problem

Wir wurden bereits mehrfach mit der Frage konfrontiert, ob der Einsatz von WhatsApp datenschutzrechtlich gedeckt ist. Leider kann man diese Frage zum derzeitigen Zeitpunkt nicht wirklich klar und rechtssicher beantworten. Auch die Datenschutzbehörde gibt bis dato dazu keine Auskunft.

Nach Ansicht einiger fachlich versierter Juristen ist der Einsatz von WhatsApp im Unternehmen nicht bedenkenlos datenschutzkonform da damit viele grundsätzliche Datenschutzbedenken einhergehen.

Wird WhatsApp auf Diensttelefonen verwendet, so werden alle Telefonnummern im Telefonbuch des Handys (dh. auch berufliche Kontakte) an die Server von WhatsApp in den USA übertragen. USA gilt in Bezug auf Datenschutz als unsicheres Drittland, da die dortigen gesetzlichen Datenschutz-Regelungen deutlich schwächer ausgelegt sind als in Österreich und der EU. Auch werden Nachrichten, die nicht unverzüglich zugestellt werden können, auf den Servern von WhatsApp bis zu 30 Tage gespeichert. Dazu zählen dann auch jegliche Informationen über das Unternehmen und die jeweiligen Geschäftsprozesse, falls diese darüber ausgetauscht werden.

Andererseits ist die Kommunikation Ende-zu-Ende-verschlüsselt und WhatsApp verfügt seit März 2018 über eine Privacy-Shield-Zertifizierung (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active) die möglicherweise als Rechtsgrundlage für die Verwendung von WhatsApp  herangezogen werden kann (das EU-US Privacy-Shield Abkommen regelt den Datenschutz zwischen der EU und den USA). Die datenschutzrechtlichen Hinweise sowie Richtlinien von WhatsApp selbst sind unter dem Link https://www.whatsapp.com/legal/#key-updatesabrufbar.

Gemäß der Datenschutz-Grundverordnung (Art. 15 Abs. 3 DSGVO) haben die Betroffenen das Recht, eine Kopie der personenbezogenen Daten die Gegenstand der Verarbeitung sind, anzufordern. Sofern der Antrag darauf in elektronischer Form erfolgt ist, muss die verantwortliche Stelle die Informationen in einem gängigen elektronischen Format zur Verfügung stellen. Laut WhatsApp soll spätestens ab Mai die gesetzliche Anforderung zum Auskunftsrecht implimentiert sein.

Unserer Einschätzung nach wäre es daher wichtig zu regeln, was über WhatsApp kommuniziert werden darf: betriebsinterna, sensible oder einem Berufsgeheimnis unterliegende Daten usw. sollten nicht über WhatsApp kommuniziert werden. Erforderlich  ist hier, daß eine explizite Anweisung der Geschäftsleitung an die Mitarbeiter besteht (z.B. über die Datenschutz- und IT-Sicherheitsrichtlinien), dies nicht zu tun. Eine einfache Terminvereinbarung o.ä. sehen wir aber eher als bedenkenlos an.

Eine datenschutzrechtliche Stellungnahme durch die Behörde wäre auf jeden Fall begrüßenswert, um Rechte und Pflichten im Umgang mit Messengerdiensten klar zu definieren.