Heutzutage wird in der digitalen Welt nur wenig dem Zufall überlassen. So ist es auch bei Websites nicht verwunderlich, dass durch sogenannte Tracking Tools, die Aktivität eines Websitebesuchers analysiert wird, um daraus die bestmöglichen Ableitungen zu treffen, i. S. v. „Wo platziere ich die Werbung am besten, um die meisten Klicks zu generieren“. In der Regel wird der Nutzer einer Website „getracked“ (deutsch: erfasst/verfolgt) und sein Verhalten untersucht. Dadurch kann gut nachvollzogen werden, ob der Websitenutzer z.B. männlich oder weiblich ist, wann der Nutzer auf welche Schaltfläche klickt, woher der Nutzer kommt und noch vieles mehr. Das wohl bekannteste Tracking Tools heißt Google Analytics.

Da mit Google Analytics die eigene Website hinsichtlich des Nutzerverhaltens optimiert werden kann, möchten viele Betreiber nicht auf den Einsatz von Google Analytics verzichten. Jedoch birgt die unachtsame Verwendung von Google Analytics potenzielle DSGVO-Verstöße. Dieser Blogbeitrag dient dazu dem Leser ein paar Grundbegriffe, Tipps und Tricks an die Hand zu geben, um z.B. einen Kunden, der Google Analytics verwendet, bestmöglich auf die Risiken aufmerksam zu machen. Dabei dient dieser Blogbeitrag lediglich zur Aufklärung und stellt keine juristische Beratung dar. Der Beitrag fokussiert sich auf potenzielle DSGVO-Verstöße, wenn das Unternehmen Google Analytics mit den Standardeinstellungen verwendet.

Datenaufbewahrung

In den Standardeinstellungen ist die Speicherung der Nutzerdaten auf 26 Monate eingestellt (Quelle: https://support.google.com/analytics/answer/7667196?hl=de). Zudem wird die Zeit bei erneutem Besuch standardmäßig zurückgesetzt. Nach Art. 25 der DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollte allerdings die Zeit auf die Mindesteinstellung 14 Monate reduziert und die Zurücksetzung bei erneuter Aktivität deaktiviert werden.

Datenschutzerklärung

Nach Art. 12 und 13 der DSGVO ist die Datenschutzerklärung zwingend notwendig und muss mindestens die folgenden Informationen beinhalten:

  • Umfang der Datenerhebung
  • Rechtsgrundlage
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer
  • Hinweis auf das Widerrufsrecht und dessen Umsetzung
  • Hinweis zu der Verwendung anonymisierter IP-Adressen

Da die Datenschutzerklärung statisch ist, kopieren viele Unternehmen die Datenschutzerklärung ohne eine technische Überprüfung der Richtigkeit. Zu welchen Problemen das führen kann, wird in dem nächsten Absatz IP-Anonymisierung beschrieben.

IP-Anonymisierung

Grundsätzlich sollte nach dem Prinzip der Datensparsamkeit die IP-Adresse des Benutzers maskiert (also unkenntlich gemacht) werden. Dies muss zum einen in der Datenschutzerklärung angegeben aber auch technisch umgesetzt werden, da in den Standardeinstellungen von Google Analytics die IP-Adresse nicht verschleiert wird (Quelle: https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp). Da viele Unternehmen nun die Datenschutzerklärung einfach kopieren oder ohne eine technische Prüfung erstellen lassen, kommt es regelmäßig zu dem Fall, dass zwar angegeben wird, dass die IP verschleiert wird, dies allerdings in Wirklichkeit gar nicht passiert. Der Nutzer der Website wird in dem Fall getäuscht und der Betreiber der Website verstößt gegen die DSGVO. Um zu überprüfen, ob die IP-Anonymisierung technisch korrekt funktioniert, bieten sich externe IT-Sicherheitsscan an, die die technische Umsetzung überprüfen.

Einwilligung des Nutzers

Die Aufsichtsbehörde hat am 14.11.2019 folgendes beschlossen: „Website-Betreibende benötigen eine Einwilligung der Website-Besuchenden, wenn sie Dritt-Dienste einbinden wollen, bei denen der Anbieter personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics.“ (Quelle: https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics)

Fazit

Die einzelnen Punkte verdeutlichen, wie viele juristische Fallstricke es allein bei dem Einsatz von Google Analytics gibt. Selbst bei Umsetzung aller Handlungsempfehlungen ist man nicht zwangsläufig auf der sicheren Seite. Neue Urteile oder Gesetzesänderungen können von heute auf morgen neue Erkenntnisse und Anpassungszwänge mit sich führen. Ein Vertriebler sollte den Kunden auf jeden Fall auf diese Problematik hinweisen und durch die Serviceleistungen einer Cyberversicherung dem Kunden unter die Arme greifen.

Linus Töbke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Artikel