morefire
MENÜ

Die DSGVO, Cookies und andere Tracking-Fragen: Der Fall Google Analytics (Teil 4)

Wie hängt die DSGVO mit der Art und Weise zusammen wie Google Analytics Nutzer trackt? Falls Du Dir jemals diese Frage gestellt hast, können wir Dir mit Freude mitteilen, dass Du hier genau richtig bist. Wie dem auch sei, dies ist der vierte von fünf Teilen. Falls Du also all das besser nachvollziehen willst, empfehlen wir Dir die Teile eins, zwei und drei vorab zu lesen.

 

Hier eine Übersicht, welche Themen wir in den fünf Artikeln behandeln:

 

  1. Sammelt Google Analytics Daten? Wenn ja, wie?
  2. Welche Daten sammelt Google Analytics?
  3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?
  4. Sind alle pseudonymisierten Daten personenbezogene Daten?
  5. IP Adressen und Datenminimierung
  6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?
  7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss?
  8. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?
  9. Fazit
  10. Bonus: Cookie-Regeln sind nie wirklich gestorben?

Vergangene Woche haben wir uns mit Punkt 4 beschäftigt (Sind alle pseudonymisierten Daten personenbezogene Daten?). Heute wiederum schauen wir uns die Punkt 5-7 genauer an.

Zur Info: Der fünfte Teil wird in genau einer Woche veröffentlicht. Falls Du aber nicht so lange warten willst, kannst Du hier das komplette eBook herunterladen.

Los geht´s!

5. IP Adressen und Datenminimierung

Und was ist mit IP-Adressen? Google Analytics muss sie verarbeiten, um den Standort eines Nutzers zu ermitteln. Und wir haben im letzten Teil gesehen, dass IP-Adressen als personenbezogene Daten betrachtet werden können, auch wenn ihnen zusätzliche Daten zur Identifizierung des Benutzers fehlen.

Zuerst sollten wir ein paar Vermutungen aufstellen, wie das Marketer nunmal machen.

Erste Vermutung: Unternehmen mit Sitz in der EU sollten immer eine IP-Anonymisierung aktivieren. Ich persönlich stimme dem zu.

Übrigens, wenn Du Dich fragst, was IP-Anonymisierung ist und wie sie funktioniert, schau Dir auf jeden Fall diese Google-Support-Seite an, welche sich mit der IP-Anonymisierung in Google Analytics beschäftigt.

Zweite Vermutung: Unternehmen mit Sitz in der EU sollten die IP-Anonymisierung immer aktivieren, da Google Analytics sonst personenbezogene Daten sammelt und das ist etwas Verbotenes. Ich bin damit nicht einverstanden. Wie wir bereits in den vorherigen Teilen gesehen haben, verarbeitet Google Analytics personenbezogene Daten (z.B. User-IDs oder, je nachdem, wie man es sieht, Client-IDs). Wenn die Ausrede wäre, dass Google Analytics keine personenbezogenen Daten erheben kann, dann würde Google einen schrecklichen Fehler begehen, in dem es den Bericht des Nutzer Explorers anzeigt oder den Werbetreibenden die User-ID-Funktion anbietet.

Es ist daher falsch zu sagen, dass die IP-Anonymisierung aktiviert werden sollte, nur weil Google Analytics keine personenbezogenen Daten erheben darf. Warum sollten dann Unternehmen innerhalb der EU eine IP-Anonymisierung ermöglichen (wie ich es eigentlich denke)?

Die Wahrheit ist, dass Google nicht die gesamte IP-Adresse benötigt, um den genauen Standort eines Nutzers zu ermitteln. Darüber hinaus gibt es im Datenschutz ein Prinzip namens Datenminimierung, das besagt, dass nur die Daten gesammelt werden sollen, die man benötigt, nicht die Daten, die man will. Auf IP-Adressen angewendet, würde das Prinzip so aussehen: Google Analytics muss die Nutzer finden; dazu muss Google Analytics jedoch nicht die gesamte IP-Adresse des Nutzers verarbeiten; wenn die gesamte IP-Adresse nicht für die Standortbestimmung des Nutzers erforderlich ist, sollte Google Analytics nur den Teil der IP-Adresse verarbeiten, der für die Standortbestimmung des Nutzers erforderlich ist; daher solltest Du die IP-Anonymisierung aktivieren.

Die Aktivierung der IP-Anonymisierung wurde bereits von Experten empfohlen, darunter auch von der Hamburger Datenschutzbehörde. Da die Datenminimierung jedoch ein Kernprinzip der DSGVO ist, sollten alle Unternehmen, die Google Analytics nutzen und für die die DSGVO gilt, eine IP-Anonymisierung ermöglichen, nicht nur deutsche Unternehmen.

Bist Du jetzt davon überzeugt, dass die IP-Anonymisierung aktiviert werden sollte? Ja? Dann lies Dir diesen großartigen Artikel von Optimize Smart durch, in welchem gezeigt wird, wie Du diese Funktion aktivierst.

Aber bevor wir zum nächsten Abschnitt übergehen, ein letztes Wort zu IP-Adressen. In den letzten Jahren haben wir gesehen, wie Google ernsthafte Anstrengungen unternommen hat, um seine Dienste an die europäischen Datenschutzbestimmungen anzupassen. Tatsächlich denke ich, dass Google eines der amerikanischen Unternehmen ist, das am meisten getan hat, um die Regeln einzuhalten. Wenn Google jedoch wirklich den besten Service bieten will, wäre es vielleicht eine gute Idee, die IP-Anonymisierung standardmäßig (zumindest innerhalb der EU) zu verwenden und Marketern die Möglichkeit zu geben, diese manuell auszuschalten. Schließlich ist der Datenschutz durch datenschutzfreundliche Voreinstellungen standardmäßig ein Prinzip, das auch in die DSGVO aufgenommen wurde.

6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?

Antwort: Es kommt drauf an.

Im Allgemeinen gilt die DSGVO für Dich, wenn Dein Unternehmen seinen Sitz in der EU hat oder Dienstleistungen oder Waren für Kunden in der EU anbietet. Wenn Du also ein lokales Unternehmen in, sagen wir, Seattle hast, Deine Produkte oder Dienstleistungen lokalen Kunden anbietest und eine Webseite hast, die auf die Region Seattle ausgerichtet ist, bist Du ziemlich safe.

Das Gleiche gilt nicht für Unternehmen wie Google, Facebook oder Amazon, da Kunden auf der ganzen Welt angesprochen werden und diese über Büros und Einrichtungen in der EU verfügen.

Wenn Dein Unternehmen jedoch außerhalb der EU ansässig ist und sich nicht an europäische Kunden richtet, kann es vorkommen, dass es versehentlich personenbezogene Daten von Personen in der EU verarbeitet. Wie? Stell Dir vor, ein Bürger mit Sitz in der EU landet auf der Webseite des lokalen Unternehmens in Seattle, das zufällig Google Analytics verwendet. So schnell geht das! Aber keine Sorge: Solange Du nicht aktiv Menschen in der EU ansprichst, sollte alles in Ordnung sein.

7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss ?

Seit dem Inkrafttreten der DSGVO haben viele Unternehmen versucht, Wege zu finden, um die neuen Regeln einzuhalten und gleichzeitig ihre Google Analytics-Daten intakt zu halten. Um sicher zu gehen, verlangen einige Unternehmen nun von den Nutzern, dass sie das Google Analytics-Tracking ausdrücklich akzeptieren, bevor das Tool mit der Verfolgung der Aktivitäten des Nutzers beginnt. Mit dieser Maßnahme soll die Zustimmung des Nutzers eingeholt werden. Wie Du vielleicht weißt ist das eine der grundlegenden rechtlichen Praktiken, um personenbezogene Daten zu verarbeiten. Die bisher beliebteste Lösung zur Einholung der Zustimmung des Benutzers ist die Verwendung von Tools von Drittanbietern, wie z.B. Cybots Cookiebot oder OneTrusts cookie consent management tool. Tatsächlich bist Du wahrscheinlich schon auf einer Seite gelandet, die diese Tools verwendet (morefire ist eine von ihnen).

Aber viele Unternehmen waren bei der Einholung der Zustimmung nicht sicher, welche Konsequenzen auf sie zukommen würden. Anhand des nächsten Screenshots siehst Du was mit den Daten eines meiner Kunden passiert ist:

Rückgang im Internetdatenverkehr bei Google Analytics, hervorgebracht durch Einhaltung von DSGVO(Zeitraum: 01.01. 2018 – 31.07. 2018)

Die Daten sind weg!!! Naja, nicht alle, aber die meisten. Stell Dir vor, die verlorenen Daten machen 60% (mehr oder weniger) des Datenverkehrs aus, der unter normalen Umständen aufgezeichnet wurde. Thanos, der beliebteste Superheldenfilm-Bösewicht des letzten Jahrzehnts, könnte sich als harter Konkurrent erwiesen haben! Eine weitere lustige Tatsache: Avengers Infinity War erschien im April 2018, nur einen Monat vor Inkrafttreten der DSGVO. Wohl mehr als ein Zufall…

Okay, ernsthaft jetzt. Die obigen Screenshots zeigen die Anzahl der Benutzer, die vor und nach dem Inkrafttreten der DSGVO auf der Webseite meines Kunden gelandet sind. Wie ich bereits erwähnt habe, entspricht der Prozentsatz des verlorenen Datenverkehrs (mehr oder weniger) 60% des Datenverkehrs, den mein Kunde normalerweise erzeugt hat. Werfen wir nun einen Blick auf die Conversions:

 

Rückgang in Konversionen bei Google Analytics hervorgebracht durch Einhaltung von DSGVO

(Zeitraum: 01.01. 2018 – 31.07. 2018)

Im Durchschnitt machen verlorene Conversions 40% der unter normalen Umständen erfassten Conversions aus. Das ist ziemlich schlecht für jemanden, der versucht anständige Webanalysen durchzuführen, oder?

Das Fazit ist offensichtlich: Überlege zweimal, bevor Du Dich entscheidest, die Zustimmung des Nutzers einzuholen. Aber interpretiere mich nicht falsch: Ich habe nichts gegen die Verwendung eines Tools wie Cookiebot oder OneTrust’s Cookie consent management tool. Tatsächlich denke ich, dass diese beiden Tools großartig sind! Sie haben ein schönes Layout, sind einfach von den Usern zu verwalten und Du kannst sie so konfigurieren, dass das Tracking standardmäßig aktiviert ist, anstatt nachdem der User seine Zustimmung gegeben hat.

Es gibt noch ein paar weitere Probleme, die sich ergeben werden, wenn Du von der DSGVO betroffen bist. Vor der Aktivierung des Trackings, musst Du eine Aufzeichnung führen, die belegt, dass der Benutzer das Tracking akzeptiert hat. Tools wie Cookiebot oder OneTrust’s Cookie Consent Management Tool erledigen dies bereits für Dich, so dass Du Dir keine Sorgen machen brauchst. Zudem musst Du einen Auftragsverarbeitungsvertrag (AVV) mit Google unterzeichnen. Drittens musst Du Deine Nutzer darüber informieren, wie Google Analytics die Daten verarbeitet (dies kann durch die Bearbeitung der Datenschutzerklärung geschehen). Viertens musst Du einige Sicherheitsmaßnahmen implementieren, damit Dein Google Analytics-Konto sicher bleibt. Das bedeutet, dass Du ein sicheres Passwort verwendest oder sicherstellen musst, dass nur Personen, die Zugang zu Google Analytics benötigen, es erhalten.

Follow up

Nachdem Du nun den Artikel gelesen hast denkst Du Dir vielleicht: Ok, wenn mein Unternehmen von der DSGVO betroffen ist, brauche ich die Zustimmung des Nutzers. Aber wenn ich die Einwilligung der Nutzer brauche, verliere ich meine Daten in Google Analytics. 

Die Frage die also bleibt ist: Kann ich Google Analytics auch nutzen ohne die Einwilligung des Nutzers? Um die Antwort auf diese Fragen zu erfahren, komm in genau einer Woche wieder oder lade Dir hier das komplette eBook dazu runter.

Nelson Rodrigues Conde

Geschrieben von

Außerhalb seiner Arbeit als Digital Consultant ist Nelson ein
Fan von Metal Musik und ein wahrer Enzyklopädist. Er hat
viele Interessen, einschließlich Geschichte, Psychologie und
Wirtschaft.

5 / 5 (2 votes)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.