Google Analytics & Datenschutz: Was Sie, als Website-Betreiber, darüber wissen sollten

Google Analytics und DSGVO

Zuerst die gute Nachricht: Google Analytics trotz Datenschutz ist möglich! Sie können Google Analytics für die Analyse Ihres Website-Publikums verwenden und trotzdem rechtskonform im Hinblick auf die Allgemeine Datenschutzverordnung der EU (DSGVO, im englischsprachigen Raum auch GDPR genannt) bleiben.

Hierzu ist es gegebenfalls nötig, dass Sie  Änderungen an Ihren derzeitigen Einstellungen vornehmen und Ihre bereits erfassten und zukünftig zu erfassenden persönliche Daten überprüfen. Diese Aufzeichnungen können von Cookies, Kontaktformularen oder anderen Quellen erfasst werden.. Personenbezogene Daten natürlicher Personen sind ein Grundrecht und müssen geschützt werden.

In diesem Artikel erörtern wir die EU-Datenschutzverpflichtungen, die Sie als  Website-Betreiber haben, und zeigen Ihnen wie Sie diese erfüllen können ohne gänzlich auf die Erhebung und Verarbeitung von personenbezogenen Daten zu verzichten. Neben den Möglichkeiten mit Google Analytics zeigen wir Ihnen auch  alternative Programme . Wir erklären den Unterschied zwischen “aktiver” und “ausdrücklicher” Zustimmung und werden uns einige der derzeit besten verfügbaren Methoden zur Zustimmung von Cookies anschauen.

Inhalt:

DSGVO Strafen

Wissen Sie, dass die Nichteinhaltung und Ignorierung der DSGVO hohe Geldstrafen von bis zu 20 Millionen Euro oder 4% Ihrer weltweiten Einnahmen bedeuten kann?. British Airways (£185 Millionen) und Google (€50 Millionen) sind nur zwei Unternehmen, die bereits stark von DSGVO-Strafen betroffen sind, und diese Liste wächst.

Selbst wenn ihr Unternehmen außerhalb der EU ist, sind Sie betroffen. Wird Ihre Website von Einwohnern der Europäischen Union besucht, müssen die Datenschutzrechte der Europäischen Union respektiert werden. Dies bedeutet, dass Sie vor der Installation von Publikumstrackern und anderen, nicht unbedingt erforderlichen Cookies, auf ihrem Browser-Gerät eine Zustimmung des Nutzers einholen müssen. Lesen Sie weiter, um heruszufinden, wie…

Was sind Cookies?

Einfach ausgedrückt, ist ein Cookie eine kleine digitale Textdatei, die eine Website auf Ihrem Gerät platziert, um  Online-Aktionen von Website-Besuchern aufzuzeichnen. Cookies ermöglichen es Werbetreibenden, Besuchern mit hochspezifischen Anzeigen anzusprechen;Einkaufs-Websites, um Besucher eingeloggt zu halten; und Tools wie Google Analytics, um zu beobachten, wie Besucher sich auf einer Website bewegen.

Es gibt verschiedene Arten von Cookies: Ein “Sitzungs-Cookie” wird beispielsweise gelöscht, sobald Sie die Registerkarte des Browsers schließen, während ein “dauerhaftes” Cookie 12 Monate oder länger auf Ihrem Gerät verbleiben kann. Es gibt auch einen wichtigen Unterschied zwischen “notwendigen” Cookies, die für das Funktionieren einer Website erforderlich sind, und “Leistungs-Cookies” wie Google Analytics.

Eine vollständige Erklärung der verschiedenen Cookie-Typen finden Sie auf der GDPR.eu-Webseite.

Was denken Sie, wie viele Cookies von jeder Website, die Sie besuchen, installiert werden? – laut webcookies.org liegt der Durchschnitt derzeit bei 12!

DSGVO und kleine Unternehmen: Was ist zu beachten?

DSGVO und kleine Unternehmen

Die DSGVO umfasst sowohl persönliche Daten, die über Cookies gesammelt werden, als auch persönliche Daten, die direkt vom Website-Besucher in Kontaktformularen, E-Mails, Abonnentenlisten usw. eingegeben werden.

Hierzu bekommen Sie auf dieser Website ausführliche Informationen und Hintergründe zu den folgenden Punkten:

– Seit Mai 2018 müssen Website-Eigentümer die ausdrückliche Zustimmung jedes EU-Besuchers einholen, bevor sie personenbezogene Daten (PII, “Personally Identifiable Information” auf Englisch), einschließlich IP-Adressen, Telefonnummern und E-Mail-Adressen, verarbeiten dürfen. Mit verarbeiten ist die Erhebung, Verarbeitung und Nutzung gemeint. Siehe auch unser Leitfaden für aktive vs. ausdrückliche Genehmigung unten.

– Die DSGVO-Regeln besagen, dass nur die für bestimmte, eindeutige und legitime Zwecke erforderlichen personenbezogenen Daten erhoben werden dürfen; sie dürfen nur so lange aufbewahrt werden, wie unbedingt notwendig ist; und sie müssen vor unbefugter Verarbeitung oder versehentlichem Verlust geschützt werden.

– Im Falle einer Verletzung der personenbezogenen Daten müssen die Aufsichtsbehörde und die betroffenen Nutzer innerhalb von 72 Stunden benachrichtigt werden.

– Einwohner der Europäischen Union haben das „Recht auf „Vergessenwerden“, auch Recht auf Löschung genannt. Website-Betreiber sind damit verpflichtet auf Anfrage die personenbezogenen Daten unverzüglich zu löschen. Auch hier besteht die Gefahr, dass bei Missachtung solcher Anträge hohe Geldstrafen verhängt werden.

– Schließlich müssen Sie auch eine Datenschutzerklärung veröffentlichen, die in klarer und einfacher Sprache erklärt, wie persönliche Daten auf Ihrer Website gesammelt, verarbeitet und gespeichert werden.  Die Datenschutzerklärung muss überall dort wo aktiv personenbezogene Daten erhoben werden zu finden sein. Es gilt: lieber einmal zu viel Informationen bereitstellen, als zu wenig!

Die DSGVO regelt den Schutz personenbezogener Daten natürlicher Personen und erwähnt Cookies dabei nur einmal direkt in der Präambel, und zwar im Kontext anderer Online-Identifikatoren, einschließlich der IP-Adressen, die zu personenbezogenen Daten kombiniert werden können. Cookies werden nämlich bereits in einer anderen EU-Richtlinie geregelt…

Die ePrivacy-Richtlinie: Was ist der Unterschied zur DSGVO?

Die Datenschutzrichtlinie für elektronische Kommunikation – allgemein bekannt als die  “ePrivacy-Richtlinie” – trat 2002 in Kraft und kann als eine ältere Version der DSGVO angesehen werden. Sie schützt in erster Linie die Privatsphäre der Einwohner der Europäischen Union in der Telekommunikation. Seit 2009 ist sie auch als Cookie-Richtlinie bekannt und fordert eine Einwilligung der Nutzer zur Verwendung von Cookies auf Websites.

Die Europäische Union bereitet derzeit die ePrivacy-Verordnung vor, die auch Kommunikationsdienste wie WhatsApp und Skype abdeckt, vor Spam schützt und die Zustimmung von Cookies durch die Berücksichtigung der Browsereinstellungen vereinfacht. Es wird erwartet, dass sie  im Jahr 2020 oder 2021 in Kraft treten wird.

Aktive vs. ausdrückliche Zustimmung

“Aktive Zustimmung” bedeutet, dass ein Website-Besucher darüber informiert wird, welche Cookies verwendet werden, wobei er die Möglichkeit hat, nicht erforderliche Cookies abzuwählen, und die weitere Nutzung einer Website als gegebene Zustimmung interpretiert wird. Ein kürzliches Urteil des Gerichtshofs der Europäischen Union (CJEU) legt jedoch nahe, dass eine aktive Zustimmung nicht ausreicht, wie das folgende Beispiel zeigt:

Bad cookie

“Ausdrückliche Zustimmung” bedeutet, dass ein Website-Eigentümer vor der expliziten Zustimmung keine nicht notwendigen Cookies einsetzen kann – was bedeutet, dass statistische Cookies wie Google Analytics nicht eingesetzt werden dürfen. In diesem Fall muss ein Benutzer vor dem Laden von Cookies explizit die Schaltfläche “Akzeptieren” klicken, und das Cookie-Banner verschwindet, wie im folgenden Beispiel zu sehen ist:

Good cookie

Welche Funktionen hat dabei Google Analytics?

Wenn Sie als Website-Betreiber Google Analytics verwenden ist nach den neuen DSGVO-Regeln Google der Datenverarbeiter und Sie der Daten-Kontrolleur. Sie müssen also kontrollieren welche Daten an Google Analytics gesendet werden (und es lohnt sich, sich genau zu überlegen, welche Daten hierher gesendet werden, da Sie sich auch mit für Sie nicht relevanten Daten strafbar machen können).

Mit Google als Ihrem Datenverarbeiter sind sie also verpflichtet, die DSGVO der EU einzuhalten und die EU-weite Datenverarbeitungsvereinbarung zu akzeptieren, bevor sie Google Analytics verwenden.

Sie haben vielleicht schon von Privacy Shield gehört, das zum Schutz europäischer personenbezogener Daten bei der Speicherung in entfernten Serverstandorten wie den USA und Asien entwickelt wurde. Die derzeitige Auffassung ist, dass Privacy Shield eine gültige Methode für den Datenschutz ist, aber keine Garantie ist, dass derDatenverantwortliche, also Sie,  seinen Verpflichtungen trotzdem nachkommen muss. Andere Methoden um personenbezogene Daten ihrer Website-Besucher zu verarbeiten finden Sie in diesem Artikel weiter unten.

DSGVO-Checkliste für Google Analytics

DSGVO-Checkliste

1. Überprüfen Sie als erstes alle von Ihrer Website gesammelten Daten auf persönlich identifizierbare Informationen wie IP-Adressen (viele Kontaktformulare erfassen diese immer noch automatisch, ohne dass eine Zustimmung erforderlich ist), Namen, E-Mails usw. Wenn Ihre Website persönliche Daten erhebt oder speichert, überlegen Sie, ob diese für bestimmte, eindeutige und legitime Zwecke benötigt werden, ob sie länger als unbedingt notwendig aufbewahrt werden müssen, ob Sie die aktive Zustimmung zur Erhebung und Speicherung dieser Daten erhalten haben und ob die Daten gegen Diebstahl oder Verlust geschützt sind. Wenn die Antwort auf eine dieser Fragen “nein” lautet, empfehlen wir, diese Daten zusammen mit eventuellen Backups unverzüglich und sicher zu löschen.

2. Um den oben genannten Bestimmungen zu entsprechen, verbietet Google den Website-Besitzern lediglich die Übertragung von personenbezogenen Daten an Google Analytics. Dies kann persönliche Identifizierungsmerkmale wie Nutzer-IDs umfassen. Hier erfahren Sie, wie Sie sich daran halten können. Google Analytics unterstützt jetzt auch die Löschung von Nutzer-ID-Daten: Wenn ein Website-Besucher jemals verlangt, dass Sie seine persönlichen Daten löschen, haben Sie einen Monat Zeit, um darauf zu reagieren.

3. Schalten Sie als Nächstes die IP-Anonymisierung in Google Analytics ein: Standardmäßig zeichnet Google Analytics IP-Adressen auf, die nach DSGVO als persönlich identifizierbare Informationen gelten, insbesondere wenn sie mit anderen persönlichen Daten wie dem Browserverlauf kombiniert werden. Wenn Sie diese Option ausschalten, werden die letzten Ziffern herausgenommen und die Genauigkeit der Geolokalisierung wird etwas verringert.  Die Einhaltung der DSGVO-Bestimmungen wird trotzdem gewährleistet.

4. Ein weiteres potentielles Minenfeld für die DSGVO-Konformität ist, dass Google gerne Daten zwischen seinen Produkten wie YouTube und AdWords austauscht -. Am sichersten ist es also, den Datenaustausch zwischen den Google-Produkten abzuschalten (Anweisungen dazu finden Sie hier).

5. Implementieren Sie eine DSGVO-konforme Lösung für die Zustimmung von Cookies. Dadurch wird die Zustimmung der Nutzer zur Platzierung nicht notwendiger Cookies auf dem  Endgerät ausdrücklich eingeholt. Sie sollten auch erklären, welche Cookies platziert wurden, und es dem Nutzer ermöglichen, sie zu einem späteren Zeitpunkt zu widerrufen. Wir werden unten einige Methoden dazu aufführen.

6. Überprüfen Sie Ihre Einstellungen zur Datenspeicherung in Google Analytics. Standardmäßig ist sie auf 26 Monate eingestellt, aber dies kann angepasst werden. Bewahren Sie Besucherdaten nur so lange auf, wie sie benötigt werden, und überlegen Sie sich geschäftliche Gründe für die Verarbeitung und Speicherung der Daten.

7. Aktualisieren Sie schließlich die Datenschutzrichtlinie auf Ihrer Website, um sie für den Website-Besucher klar, einfach und verständlich zu machen. Sie muss Folgendes beinhalten: Welche persönlichen Daten werden gesammelt (und wie); wofür werden diese Datenverwendet , werden die Daten an Dritte weitergegeben und noch vieles mehr. Eine nützliche Vorlage finden Sie auf GDPR.eu.

Cookie Banners

Wie oben beschrieben, sind bei einer DSGVO-konformen Lösung folgende wesentliche Merkmale zu berücksichtigen: die ausdrückliche Zustimmung des Benutzers zu nicht notwendigen Cookies, bevor diese auf dem Browser platziert werden; eine klare Beschreibung, welche Cookies platziert werden und warum; die Möglichkeit, die Zustimmung jederzeit zu widerrufen; und ein Link zu Ihrer Datenschutzerklärung.

Je nachdem wie und wofür Sie die erhobenen Daten verwenden wollen finden Sie hier drei Lösungsansätze:

1. Cookiebot. Eine Cloud-gesteuerte Möglichkeit, die einen kostenlosen Plan für kleine Websites unter 100 Seiten bietet und ein sehr anpassbares Einwilligungsbanner mit vollständigen monatlichen Scans Ihrer Website kombiniert, um alle Tracks und Cookies zu erkennen, sowie Übersetzungen für 44 Sprachen und vieles mehr. Cookiebot bietet auch einen kostenlosen Cookiebot-Scan Ihrer Website an.

2. GDPR Cookie Consent. Dies ist ein kostenloses WordPress-Plugin, das ein anpassbares Cookie-Banner anbietet. Es kann für eine ausdrückliche oder aktive Zustimmung konfiguriert werden und zeigt an, welche Cookies Ihre Website verwendet. Es kann auch so konfiguriert werden, dass die Seite mit nicht notwendigen Skripten neu geladen wird, sobald die ausdrückliche Zustimmung erteilt wurde.

3. Cookie Notice. Eine freie und quelloffene, DSGVO-konforme Einwilligungslösung, die für persönliche und kommerzielle Projekte verwendet werden kann. Enthält eine anpassbare Cookie-Nachricht, aktive/ausdrückliche Zustimmung, Seitenneuladen bei Zustimmung zum Cookies und mehr.

6 Alternativen zu Google Analytics

Google Analytics wurde so populär, weil es überzeugende Funktionen wie benutzerdefinierte Berichte, Conversion-Tracking und Website-Besuche in Echtzeit bietet, die in eine intuitive, schlanke Benutzeroberfläche verpackt sind.

Wir alle wissen hoffentlich inzwischen, dass das Geschäftsmodell von Google funktioniert, indem es die Nutzerdaten, die es aus seinen “kostenlosen” Produkten und Dienstleistungen bezieht, monetarisiert. Standardmäßig gibt es persönliche Daten an Google Ads, YouTube und andere Programme weiter und speichert diese Daten an entfernten Serverstandorten außerhalb der EU.

Was sind also die Alternativen?

1. Matomo. Beginnt mit 19 € pro Monat, kann selbst gehostet werden, so dass keine Daten ausgetauscht werden. Wird unter anderem von der Website der Europäischen Kommission verwendet. Enthält einen ‘GDPR-Manager’, weitere ausführliche Informationen hier.  Funktionsumfang höher als bei Fathom oder Simple Analytics.

2. Fathom. Die selbst gehostete Version ist kostenlos, die gehostete Version beginnt bei $14/Monat – DSGVO-konforme, einfache Analyseplattform. Verlässt sich nicht auf Cookies/Tracker, also kein “Opt-in”-Dialog erforderlich.

3. Simple Analytics. Ähnlich wie Fathom. Beginnt bei $9/Monat.

4. GoSquared. Kostenlose Version (1k monatliche Seitenaufrufe), kostenpflichtige Pläne verfügbar. WordPress-Plugin.

5. Clicky. simpel, DSGVO-konform. Kostenlose bis zu 3k tägliche Seitenaufrufe.

6. Open Web Analytics. Leistungsstark (Hallo Heatmaps!), quelloffen, kostenlos. DSGVO-kompatibel.


HAFTUNGSAUSSCHLUSS: Diese Informationen waren nach unserem besten Wissen im Februar 2020 korrekt. Wir übernehmen jedoch keine Verantwortung für Handlungen, die als Ergebnis der Lektüre dieses Artikels unternommen werden. Konsultieren Sie einen Rechtsexperten, um die Einhaltung der DSGVO für Ihre Organisation sicherzustellen.


Quellen:

Leave a Reply

Your email address will not be published. Required fields are marked *