Der Datenschutz innerhalb der EU erfährt am 25. Mai 2018 eine gravierende Veränderung. Genau an diesem Datum tritt die neue DSGVO (Datenschutzgrundverordnung) der Europäischen Union definitiv in Kraft. Bisher befanden wir uns in einer Übergangsphase von mehreren Jahren, die ermöglichen sollte, sich entsprechend auf die Verordnung einzustellen. Ab 25. Mai aber wird es ernst.
In Vergleich zu den Richtlinien wird die Verordnung direkt zu einem geltenden Recht und deshalb müssen die einzelnen EU-Mitgliedstaaten sie nicht erst in ein nationales Recht umsetzen. Die Datenschutzgrundverordnung betrifft viele Bereiche von Datenschutz für Arbeitnehmer bis hin zu Videoüberwachung. Mit der Einführung der DSGVO werden die bisherige ePrivacy-Richtlinie und die Cookie-Richtlinie von einer neuen ePrivacy-Verordnung abgelöst.
Alle Webseiten-Betreiber interessieren sich dafür, wie sich die Besucher ihrer Seiten verhalten. Die meisten Betreiber verwenden Tools wie Google Analytics, um zu analysieren, woher ihre Besucher kommen und was sie tun. Nun stellt sich die Frage, ob diese Verfahren ab dem 25. Mai noch erlaubt sind?
Ist der Einsatz von Google Analytics nach der DSGVO noch erlaubt?
Bei der neuen Datenschutzgrundverordnung dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, außer das Gesetz erlaubt dies ausdrücklich. Folgende Ausnahmen sind möglich:
- Die Nutzer erteilen ihre Einwilligung zur Datenverarbeitung
- Eine Datenverarbeitung ist im Rahmen eines Vertrages erforderlich
- Die Verarbeitung ist zur Erfüllung von einer rechtlichen Verpflichtung erforderlich
- Eine Datenverarbeitung ist zur Interessenwahrung erforderlich und überwiegt keine schutzwürdigen Interessen
Das Besucher-Tracking gilt als berechtigtes Interesse
Bei einem normalen Tracking werden pseudonymisierte Daten aufgezeichnet, verarbeitet und für statistische Zwecke (wie bei Google Analytics) verwendet. Damit handelt es sich um ein berechtigtes Interesse von einem Webseiten-Betreiber, welches von keinen schutzwürdigen Interessen überwogen wird.
So wird Google Analytics datenschutzkonform eingerichtet
Laut den Aussagen des deutschen Anwalts für Datenschutz Dr. Thomas Schwenke sind Online-Marketingmaßnahmen zulässig, falls der Schutz der Privatsphäre nicht höher wiegt.
https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/
Damit Tools wie Google Analytics zukünftig rechtssicher verwendet werden können, sollten folgende 4 Punkte erfüllt sein:
- Die IP-Adresse der Nutzer muss anonymisiert werden. Die letzten Stellen der Adresse werden gelöscht bevor die Daten auf dem Server von Google gespeichert werden. Diese Konfiguration wird deshalb direkt im Code Snippet vorgenommen.
- Die Nutzer müssen in der Datenschutzerklärung über die Funktionsweise und Verwendung von Google Analytics aufgeklärt werden. Zusätzlich müssen die Webseitenbetreiber auflisten, welche Daten erfasst werden.
- Die Nutzer müssen die Möglichkeit eines Opt-Outs haben.
- Rechtlich gesehen findet die Datenverarbeitung durch einen Dritten (Google) statt. Aus diesem Grund muss der Betreiber einen Vertrag für die Auftragsdatenverarbeitung abschließen.
Nach der DSGVO ist die Auftragsdatenverarbeitung erlaubt. Jeder Webseitenbetreiber, der auf seiner Webseite das Tool Google Analytics muss einen Vertrag für die Auftragsdatenverarbeitung mit Google abschließen. Deutsche Webseiten-Betreiber müssen einen Vertrag von Google ausdrucken, unterschreiben und nach Irland zu Google senden. In der Schweiz, Österreich und in anderen EU-Ländern reicht es, wenn die Betreiber online den “Zusatz für die Datenverarbeitung” akzeptieren. Sie finden den Zusatz in den Kontoeinstellungen im unteren Seitenbereich und müssen nur auf “zustimmen” klicken.
Gemäß der ePrivacy-Verordnung, die wohl erst 2019 kommt, dürfen die Cookies auf den Geräten der Nutzer nur noch verwendet werden, wenn diese der Nutzung ausdrücklich zustimmen. Nur technisch notwendige Cookies, wie die Session-Cookies, dürfen ohne eine Einwilligung gesetzt werden. Durch die Auftragsdatenverarbeitung wären die Cookies von Google Analytics ohne eine Zustimmung erlaubt. Die Web-Agentur sitefactor kennt sich mit diesen Themen hervorragend aus und kann Webseiten-Betreiber selbstverständlich individuell beraten und aktiv unterstützen.
Nutzertracking ohne Cookies
Passend zum Thema möchten wir noch auf diesen Artikel aus dem Jahr 2014 hinweisen: http://www.janberens.de/om-technik/tracking-methoden/
Jan Behrens hat damals einen sehr guten Artikel über Trackingmethoden zusammengetragen, die weit über Cookies, Privatsphäre und Datenschutz hinausgehen. Der Artikel zeigt: Tracking mittels kommerzieller Software wie Google Analytics, Adobe Analytics, Matomo (ehem. Piwik) ist nur die Spitze des Eisbergs. Technisch ginge da noch sehr viel mehr; datenschutzrechtlich ist das meist völlig inakzeptabel.
Hallo Matthias,
ich betreue Online-Marketing-Accounts für meine Kunden, konkret: Google AdWords, Amazon Sponsored Products, Facebook Ads. Zu diesem Zwecke bekomme ich von meinen Kunden auch Zugriff auf zusätzliche Webanalysedaten, z.B. Google Analytics.
Meine Frage: schließt ihr mit euren Kunden einen Vertrag zur Auftragsverarbeitung, wenn ihr Online-Marketing- und Webanalyse-Accounts betreut? Oder anders: müssen meine Kunden mit mir einen Vertrag zur Auftragsverarbeitung abschließen?
Ich würde eher sagen „nein“, weil die Kunden mir ja keine personenbezogenen Daten weitergeben, damit ich damit etwas mache (ich versende keine Newsletter an Kunden meiner Kunden, etc.).
Allerdings kann man vermutlich in bestimmten Konstellationen mit technischen Mitteln Rückschlüsse auf Personen ziehen, wenn man Zugriff auf die Accounts von Analytics, Facebook und Amazon hat und wenn es nur IP-Adressen oder die von dir genannten Tracking-URL-Besonderheiten sind. Zudem bieten Remarketing- und Zielgruppen-Funktionen gewisse Auswertungsmöglichkeiten und dienen dazu, personenbezogene Anzeigen auszuspielen.
In gewisser Weise verarbeite ich dann „personenbeziehbare Daten im weiteren Sinne“, wenn ich entsprechende Analysen mache und Kampagnen aufsetze. Daher ist mir nicht klar, ob meine Kunden nun einen Vertrag zur Auftragsverarbeitung mit mir schließen müssen oder nicht.
Ich würde mich sehr über deine Einschätzung freuen!
VG Gunther
Ich teile deine Einschätzung im ersten Teil. Vertrag zur Auftragsdatenverarbeitung nicht notwendig. Bei dem geht es vor allem um die technische Gegebenheit: Speichert man die personenbezogenen Daten des Kunden lokal? Das kann man als Onlinemarketing-Dienstleister in den von dir beschriebenen Beispielen wahrscheinlich immer verneinen. Sich Daten im Backend des Onlineshops vom Kunden anzuschauen ist noch keine Auftragsdatenverarbeitung.
Anders ist die Situation, wenn deine Kunden dir eine Exceltabelle mit Newsletterempfängern schicken würden. Sobald die auf deiner Platte landet, bist du vermutlich Auftragsdatenverarbeiter, und musst dich entsprechend um den Schutz der Daten kümmern.
Soweit meine Meinung als Nicht-Jurist.