Aktuell findet man im Internet wiederholt Berichte, dass laut einer Entscheidung der österreichischen Datenschutzbehörde, die Verwendung von Google Analytics nicht datenschutzkonform ist. Dies ist sehr allgemein gehalten und zu widerlegen.
Laut Medienberichtung des Standards vom 13. Und 28. Jänner 2022, kam die österreichische Datenschutzbehörde im Zuge eines Musterprozesses zu dem Schluss, dass die Einbindung von Google Analytics auf Webseiten gegen die DSGVO verstößt. Laut Bescheid wurde einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO stattgegeben. Im konkreten geht es um die Weitergabe personenbezogener Daten an ein Drittland, bzw. an eine internationale Organisation.
Die Datenschutzbehörde stellte fest, dass in diesem einen konkret vorliegenden Fall, der zu dem Musterprozess führte, folgende Mängel bei der damaligen Einbindung von Google Analytics aufschienen
- Die Nutzung von Google Analytics wurde lediglich auf die Standardvertragsklauseln der Europäischen Union gestützt
- Verabsäumt wurde eine Einwilligung zur Datenverarbeitung
- Es erfolgte keine Anonymisierung der IP-Adresse
Mängel bei der Einbindung von Google Analytics
Unseren Beobachten zufolge vernachlässigen sehr viele Webseitenbetreiber die DSGVO. Dies mag an fehlenden technischen Kenntnissen, oder aber auch an fehlender Exekutierung liegen. Zwar haben viele Webseitenbetreiber den Cookie-Banner/Hinweis eingerichtet, jedoch ohne dabei sämtliche Cookies zu blockieren, ehe der User seine Einwilligung dazu gab. Dies hatte zur Folge, dass Google Analytics, Facebook, Pixel und viele weitere Dienste, uneingeschränkt und ohne Einwilligung die Daten sammeln konnten.
Die Einbindung von Google Analytics auf der eigenen Webseite war selten einfacher wie heute und bei vielen Contentmanagement-Systemen oder auch Baukastenanbietern lässt sich Google Analytics beinahe mit einem Klick ohne viel technischem know how einbinden. Dennoch sollte man die Einstellungen und richtige Konfiguration von Google Analytics nicht vernachlässigen. Essentielle Funktionen wie beispielsweise die IP-Anonymisierung benötigen entsprechendes Fachwissen bei der Konfiguration welches leider oft fehlt. Dies führt dazu, dass die Einbindung von Analytics nicht datenschutzkonform ist.
Wie prüft man die eigene Webseite?
Um Verunsicherungen und Panik vorzubeugen, erklären wir dir gerne, wie du feststellen kannst, ob deine Website sicher ist. Wir empfehlen dir das kostenfreie Browser Addon Ghostery zu nutzen. Dieses gibt es für Safari, Chrome, Firefox, Edge und Opera. Ghostery ist grundsätzlich dazu gedacht deine Online-Privatsphäre zu schützen und genau diese Tracking-Dienste zu blocken. Da Ghostery anzeigt was er blockiert ist es auch ein gutes Tool um den Cookie Banner zu testen.
Hier ein Beispiel: Ehe die Cookies akzeptiert werden und der User die Einwilligung gegeben hat darf Ghostery keine Tracker anzeigen:
Nach der Einwilligung werden die Tracker erst geladen und ausgeführt:
Wie man trotzdem noch Google Analytics verwenden kann
In Folge halten wir fest, welche Einstellungen erforderlich sind, damit du Google Analytics auch weiterhin effektiv und DSGVO-konform nutzen kannst.
Worauf ist zu achten bei der Konfiguration von Google Analytics:
1. Achte auf eine korrekte Konfiguration des Cookie-Banner/Hinweis
Eine rechtskonforme Einholung der Einwilligung von Usern ist essentiell. Diese muss erfolgen noch bevor das Tracking durch Google Analytics beginnt. Gleichzeitig muss dem User auch die Möglichkeit angeboten werden die Cookies abzulehnen und das Tracking zu verweigern.
Eine Generalanleitung wie man dies macht gibt es leider nicht da die Einrichtung je nach Contentmanagement-System bzw. Baukasten variiert. In den meisten Fällen installiert man den Cookie Banner bzw. das Cookie Banner Plugin und konfiguriert den Bannertext sowie die Buttons. Anschließend müssen die Cookies und Scripte identifiziert werden, welche bis zur Einwilligung geblockt werden. Bei der Identifizierung kann wie oben beschrieben auch Ghostery optimal verwendet werden. Das Ergebnis ist entsprechend zu scripten oder zu konfigurieren.
2. Google Data Processing Terms und Datenschutzerklärung
Google hat die „Google Data Processing Terms for all Google Products“ angepasst, um den Anforderungen gerecht zu werden. Akzeptiere die Standardvertragsklauseln (DPAs) in den Google Analytics Settings. Zusätzlich sollte deine Datenschutzerklärung zwingend auf den Einsatz von Google Analytics hinweisen, und auch auf eine mögliche Datenübermittlung an Drittstaaten. Unsere Empfehlung ist es bei der Datenschutzerklärung immer einen Rechtsprofi hinzu zu ziehen.
3. IP-Anonymization
AnonymizeIP ist eine Funktion von Google Analytics bei welcher ein Teil der IP durch eine 0 ersetzt wird und daher anonymisiert wird. Diese Funktion ist bei dem neuen Google Analytics 4 automatisch aktiv. Bei der alten Version muss diese über den Trackingcode durch folgende Erweiterung des Codes: gtag(‚config‘, ‚<GA_MEASUREMENT_ID>‘, { ‚anonymize_ip‘: true }); aktiviert werden.
4. Umstellung auf Serverseitiges Tracking
Serverseitiges Tracking bei Google Analytics ermöglicht die Kontrolle über die Daten welche an Google weitergegeben werden.
Das Tracking von Useraktionen findet im Gegensatz zum herkömmlichen Tracking indirekt statt. Anstatt dass z.B. aus dem Browser heraus direkt Daten an Google Analytics geschickt werden, findet dieser Datentransfer über einen Vermittler statt. Dieser Vermittler sammelt die Protokolldaten ein und sendet sie dann weiter. Bei der Weiterleitung der Daten kann genau definiert werden was gesendet wird. Klingt grundsätzlich ideal jedoch ist die Einrichtung nicht einfach und erfordert entsprechendes Fachwissen gleichzeitig ist der „Vermittler“ zumeist nicht kostenlos.
Fazit
Unter Beachtung der Punkt 1-4 lässt sich Google Analytics nach wie vor einsetzen. Der wichtigste Grundsatz ist: Ein fundiertes Gesamtkonzept und eine professionelle, nachhaltige Implementierung. Zusätzlich empfehlen wir immer auch einen Rechtsprofi für die Erstellung der Datenschutzgrundverordung hinzu zu ziehen.
0 Kommentare