Google Analytics & DSGVO

Seit dem 25.05.2018 ist die DSGVO EU-weit umgesetzt und wurde mit durchaus gemischten Gefühlen angenommen. Zwar blieb die befürchtete Abmahnwelle bislang aus – trotzdem ist bei Datenschutzverstößen Vorsicht geboten. Auch Plugins wie das beliebte Anti-Spam-Tool Akismet bekommen derzeit die Auswirkungen der DSGVO zu spüren, und ein Fehler in der Datenschutzerklärung kann mitunter schnell recht teuer werden.

Grundsätzlich ist es begrüßenswert, dass der Datenschutz in Deutschland und in der EU so groß geschrieben wird. Im Marketing hat die Datenschutzgrundverordnung allerdings den ein oder anderen aufgeschreckt. Was ist noch erlaubt in Remarketing, Tracking, Analyse? Wir haben uns damit auseinandergesetzt und diverse Expertenmeinungen zusammengetragen. Wie steht es eigentlich um Google Analytics?

Wissen ist Macht

Der größte Vorteil von Google Analytics ist gleichzeitig auch seine größte Schwäche: Die ungeheure Daten-Sammelwut. Die Plattform kann analysieren, welche Unterseiten einer Webseite am häufigsten angeklickt werden, wie lange sich Nutzer auf der Seite aufhalten, Absprungrate, wie viele Nutzer in welchem Zeitraum die Seite besucht haben und ob sie den Link zur Seite direkt in ihrem Browser eingegeben haben oder über Google auf der Seite gelandet sind…

Aus der schieren Anzahl Daten aus Google Analytics lassen sich Strategien schmieden und anpassen, Geschäftsziele formulieren oder korrigieren. Kampagnen mit laufender Erfolgskontrolle haben enorme Vorteile und sind sehr flexibel. Mit etwas Gespür und Sinn für Strategie erweisen sich die Statistiken aus Analytics als wahre Goldgrube. Das Tool besticht außerdem über seine Einfachheit – Konto erstellen, Tracking-Code auf der Webseite einbinden, fertig. So die Theorie.

Tracking kann teuer sein

Datenschützern stehen bei solchen Features allerdings die Haare zu Berge. Immerhin zaubert Google die Daten ja nicht aus dem Nichts herbei. Im Hintergrund bemüht sich die Datenkrake, möglichst genaue Nutzerprofile zu erstellen. Dass dabei links und rechts private Daten an Server in den USA abfließen, liegt in der Natur der Sache. Wegen Google’s Marktmacht  – man denke hier nur an das Smartphone-Betriebssystem Android und den Chrome-Browser – sind solche Bedenken sicherlich auch nicht unberechtigt. Zwar hat es auch in der Vergangenheit schon Abmahnungen für gegeben, mit der DSGVO wurden die Regeln allerdings nochmal verschärft. Ohne einschlägige Gerichtsurteile ist sind die Grenzen des Machbaren bestenfalls schwammig. Derzeit ist Auslegungssache, ob Analytics überhaupt benutzt werden darf – Experten zufolge ist die Antwort “Ja, aber…”. Bedeutet im Klartext: Sie sind wahrscheinlich sicher(er), falls Sie einige Vorgaben einhalten.

Google Analytics im Zeitalter der DSGVO aufsetzen: So geht’s!

Im ersten Schritt sollten Sie den von Google zur Verfügung gestellten Datenverarbeitungsauftrag abschließen. Unter dem Titel “Zusatz zur Datenverarbeitung” finden Sie diesen in Ihren Analytics-Kontoeinstellungen. Tragen Sie alle in dem Dokument geforderten Kontaktdaten ein und klicken Sie anschließend auf “Fertig”.

Anschließend sollten Sie sicherstellen, dass IPs Ihrer Besucher auf jeden Fall anonymisiert werden. Fügen Sie dazu im Analytics-Code folgende Funktion ein: “_anonymizeIp”. Der kleine Codeschnipsel macht viel aus, denn anonymizeIp schneidet die letzten beiden Zahlen der IP-Adresse Ihrer Besucher ab. Eine IP-Adresse ist eine Art Adresse für jedes einzelne Gerät im Internet, egal ob Computer, Server oder Mobiltelefon. Zusammen mit anderen Daten (wie einer E-Mail Adresse) kann eine IP einzelne Nutzer eindeutig identifizieren und zählt deswegen zu den ‘persönlichen Daten’. Datenschützer sind sich weitestgehend einig, dass die Anonymisierung solcher Adressen in Analytics unerlässlich ist.

Wie lange können Sie die Daten behalten?

Wie lange Sie die privaten Daten Ihrer Besucher speichern, bleibt völlig Ihnen überlassen. Als Minimum legt Google allerdings einen Wert von 14 Monaten fest. Unter “Tracking-Informationen” in Ihren Kontoeinstellungen finden Sie die Option unter “Aufbewahrung von Nutzer- und Ereignisdaten”. Damit sollten Sie zumindest nicht in die eventuelle Schwierigkeit geraten, Datenaufbewahrung von über 14 Monaten begründen zu müssen. Denn: In der Regel dürfen Sie die Daten zwar so lange speichern, wie Sie es für notwendig halten, allerdings müssen Ihre Gründe für die Speicherung gewichtiger sein als das Interesse Ihrer Besucher an einer zeitnahen Löschung. Zumal Google die unterste Grenze mit 14 Monaten äußerst großzügig gewählt hat.

Im dritten Schritt empfiehlt es sich, das sogenannte Cross-Device-Tracking auszuschalten – oder gar nicht erst zu aktivieren, falls es gerade inaktiv ist. Cross-Device-Tracking erlaubt es Google, Nutzer mit hoher Präzision über mehrere Sitzungen und – wie der Name andeutet – über mehrere Geräte zu verfolgen. Der Wechsel eines Nutzers zwischen Computer, Laptop und Smartphone entgeht der Datenkrake nicht. Obwohl Cross-Device-Tracking enorme Vorteile beispielsweise im Remarketing bringt, schrillen spätestens hier bei Datenschützern die Alarmglocken. Kritischen Stimmen zufolge sollte derartiges Tracking ohne explizite Einwilligung seitens der Besucher gar nicht erfolgen. Um Cross-Device-Tracking auszuschalten, gehen Sie in Ihre Analytics-Kontoeinstellungen und klicken Sie im Untermenü “Tracking” auf “User ID”. Stellen Sie dann sicher, dass der Schalter am unteren Ende der User ID-Seite auf “Aus” gestellt ist.

Ganz wichtig: Datenschutzerklärung vollständig und aktuell halten

Datenschutzerklärungen waren schon vor der DSGVO wichtig, jetzt sind sie ein Kernpunkt verantwortungsvoll aufgesetzter Webseiten. Aus der Datenschutzerklärung sollte hervorgehen, dass Sie Google Analytics nutzen, welche Teile von Analytics Sie nutzen, wofür die Daten verwendet werden und wie lange sie gespeichert werden. Außerdem sollte die Datenschutzerklärung einen Hinweis auf die Möglichkeit zum Widerspruch enthalten. Mittlerweile stehen online eine ganze Reihe an Generatoren zur Verfügung, die auf Knopfdruck eine personalisierte Datenschutzerklärung aufsetzen. Denken Sie außerdem daran, neben der Datenschutzerklärung einen Opt-Out bereitzustellen. Google stellt einen solchen zur Verfügung, auf mobilen Endgeräten hakt es derzeit allerdings noch an der Umsetzung.

Klar ist: Ohne Gerichtsurteile lassen sich auch Experten schwer zu einem Urteil bewegen. Was für den einen nicht erlaubt scheint, ist dem anderen recht und billig. Die DSGVO und ihre Folgen werden zukünftig die Gerichte bewerten müssen. Bis dahin hoffen wir, dass diese aus dem Internet zusammengetragenen Tips Ihnen helfen, mit möglichst geringem Risiko das Maximum aus Analytics herauszuholen. Die DSGVO hat mit Klauseln zum “berechtigten Interesse” Werbetreibenden einen Weg geöffnet, wie das Marketing im Internet trotz Datenschutz möglich sein kann. Es lohnt sich allemal, auch in Zukunft einen genauen Blick auf den Markt zu werfen. Denn das Abmahnrisiko besteht nach wie vor findige Anwälte werden nach Wegen suchen, Nachlässigkeiten mit einer solchen zu bestrafen. Letztendlich werden höchstrichterliche Entscheidungen hier in den kommenden Jahren hoffentlich mehr Rechtssicherheit schaffen.

Haftungsausschluss:

Dieser Inhalt ist nicht als Rechtsberatung auszulegen.

Wir stehen Ihnen bei einer Beratung zu Ihrem persönlichen Internetauftritt, Content Marketing und den sozialen Medien gerne zur Seite – setzen Sie sich mit uns in Verbindung!

Sagen Sie etwas...