morefire
MENÜ

Google Analytics & die DSGVO – Der große Ratgeber

Obwohl die DSGVO (Datenschutz-Grundverordnung) erst vor einem Jahr in Kraft getreten ist, wurde bereits viel über die neue Gesetzgebung geschrieben und diskutiert. Eines der heißesten Themen, das diskutiert wurde, ist, ob Unternehmen bei der Verwendung von Google Analytics die DSGVO einhalten müssen. Zur Beantwortung dieser Frage müssen wir herausfinden, ob Google Analytics personenbezogene Daten erhebt. Und wie wir sehen werden, ist die Antwort auf diese Frage eher schwammig.

Aber was ist, wenn Google Analytics personenbezogene Daten sammelt? Müssen Unternehmen dann wirklich die DSGVO einhalten? Und wie können sie dies gewährleisten ohne ihr digitales Geschäftsmodell zu beeinträchtigen? Auf all diese Fragen werde ich eingehen, auch wenn einige nicht so einfach zu beantworten sind.

Inhaltsverzeichnis

  1. Sammelt Google Analytics Daten? Wenn ja, wie?
  2. Welche Daten sammelt Google Analytics?
  3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?
  4. Sind alle pseudonymisierten Daten personenbezogene Daten?
  5. IP Adressen und Datenminimierung
  6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?
  7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss?
  8. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?
  9. Fazit
  10. Bonus: Cookie-Regeln sind nie wirklich gestorben?

An dieser Stelle sollte es nicht mehr notwendig sein zu erklären, was die DSGVO ist. Das wäre ungefähr so langweilig, wie zum x-ten Mal in einem Film Peter Parkers Onkel oder Bruce Waynes Eltern sterben sehen zu müssen. Wenn Du aber gerade erst Deine Höhle verlassen hast 🙂 dann folgt hier eine kurze Erklärung: Die DSGVO ist der wichtigste Rechtsrahmen für den Datenschutz in der Europäischen Union. Falls Du mehr darüber erfahren willst, kannst Du hier den Blogeintrag von einem unserer Geschäftsführer Thorsten Olscha lesen.

Zusätzlich kannst Du Dir dieses Video ansehen, in dem Thorsten einige Dinge erklärt, die Du tun solltest, wenn die DSGVO für Dein Unternehmen gilt:

1. Sammelt Google Analytics Daten? Wenn ja, wie?

Wenn Du Google Analytics benutzt, sollte die Antwort auf diese Frage ziemlich eindeutig sein. Wenn Du Google Analytics nicht benutzt dann musst Du wissen: Ja, Google Analytics sammelt Daten mit Hilfe des Google Analytics Tracking Codes. Beachtet auch, dass Google Analytics Cookies setzt und benutzt (z.B. Unterscheidung von neuen und wiederkehrenden Benutzern, Sammlung zusätzlicher Daten, wenn bestimmte Funktionen aktiviert sind).

Und was sind Cookies genau? Cookies sind kleine Datenmengen, die im Browser des Benutzers installiert werden. Sie können für verschiedene Zwecke verwendet werden. Zum Beispiel verwenden E-Commerce-Webseiten Cookies, um sich die Artikel zu merken, die Du in den Warenkorb gelegt hast. Sonst müsstest Du jeden Artikel einzeln kaufen und das wäre echt nervig, oder? Cookies können auch für die Datenverarbeitung verwendet werden, wie sie von Google Analytics verwendet werden.

Wenn Du mehr über die gesetzten Cookies von Google Analytics erfahren möchtest, dann lies Dir gerne den Developer Guide zum Thema Google Analytics Cookie Usage on Websites durch. Dort findest Du Informationen über die von Google Analytics verwendeten Cookies, einschließlich dessen, was sie tun und wie lange sie auf dem Gerät des Nutzers gespeichert werden.

2. Welche Daten sammelt Google Analytics?

Sobald Google Analytics installiert wurde, werden folgende Daten erhoben und verarbeitet:

➜ Die vom User besuchten Webseiten.

➜ Welches Endgerät (Desktop, Mobile, Tablet) benutzt wird.

➜ Browser und Betriebssystem.

➜ Die IP-Adresse des Users, die dann verwendet wird, um die Position des Nutzers zu ermitteln.

➜ Woher der User auf die Webseite gelangte (Google, Bing, andere Webseite).

➜ Ob der User über eine PPC-Kampagne, organischem Traffic, Social Media etc. auf die Seite gekommen ist.

➜ Und Vieles mehr.

In dieser Phase ist es wichtig, zwei Punkte anzumerken. Erstens erlaubt Google Unternehmen zusätzlichen Daten zu sammeln. Das kann über die Aktivierung verschiedener Funktionen in Google Analytics geschehen (z.B. Werbefunktionen; Site Search-Tracking) oder über individuelle benutzerdefinierte Dimensionen. Beachte auch, dass Google Analytics es ermöglicht, Daten über die Funktion Datenimport zu importieren.

Zweitens werden die von Google Analytics gesammelten Daten in zusammengefasster Form dargestellt. Das bedeutet, dass Unternehmen nicht die Daten einzelner User sehen, sondern stattdessen wie viele Benutzer aus einem bestimmten Land kommen, wie oft eine bestimmte Webseite besucht wurde, wie viel Prozent der Nutzer die Webseite mit einem mobilen Endgerät besucht haben usw. Aber es gibt einen Weg die Daten für einzelne User zu sehen: Der Nutzer-Explorer Report. Um diesen Report sehen zu können, musst Du in Google Analytics im linken Tab auf Zielgruppe und dann auf Nutzer-Explorer klicken.

 

 Nutzer-Explorer Bericht in Google Analytics

(Die letzten 4 Ziffern von  jeder Client-ID wurden abgedeckt)

Die erste Spalte des Berichts enthält Client-IDs. Client-IDs sind eindeutige Kennungen, die jedem Gerät, das auf eine Webseite zugreift, durch das _ga-Cookie zugewiesen werden (schau Dir den zuvor erwähnten Developers-Guide zur Verwendung von Google Analytics-Cookies an). Wenn Du auf eine der Client-IDs klickst, siehst Du ungefähr das hier:

 

 Ansicht von Daten einer einzelnen Client ID in Google Analytics

(Ansicht von Daten einer einzelnen Client ID)

Wie Du vielleicht schon festgestellt hast, kann durch Klicken auf die Client-ID erkannt werden welche Web-Aktivität hinter welchem User steckt. Behalte das im Hinterkopf.

3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?

Wie wir in Teil 1 gesehen haben sammelt Google Analytics Daten von Nutzern und stellt sie in zusammengefasster Form dar. Der Nutzer-Explorer Report stellt eine Ausnahmen dar, da hier die Web-Aktivitäten über die Client-ID individuell betrachtet werden können. Tatsächlich wäre es möglich, mehr Details über jede Client-ID herauszufinden, indem man die Client-ID in eine benutzerdefinierte Dimension umwandelt und sie mit den in Google Analytics verfügbaren Berichten vermischt.

Allerdings können wir durch die von Google Analytics gesammelten Daten nicht herausfinden, wer die Nutzer hinter den Daten sind. Google Analytics zeigt uns z.B. nur an wie oft eine Seite angeklickt und betrachtet wurde. Im besten Fall weist Google Analytics jedem Endgerät eine Client-ID zu, aber diese Client-ID ist nur eine Auflistung von Ziffern und beinhaltet keine Namen oder E-Mail-Adressen.

Wenn das, was ich gerade gesagt habe, wahr ist, dann wäre es unsinnig, die von Google Analytics erhobenen Daten als personenbezogene Daten zu betrachten. Denk mal darüber nach: Obwohl das Tool Daten von Benutzern sammelt, ist es nicht möglich, herauszufinden, wer genau diese Benutzer sind. Darüber hinaus verbieten die Nutzungsbedingungen für Google Analytics (Punkt 7 – Datenschutz) den Kunden ausdrücklich, personenbezogene Daten in Google Analytics einzugeben:

Nutzungsbedingungen für Google Analytics, Abschnitt 7. Datenschutz (Nutzungsbedingungen für Google Analytics, Abschnitt 7. Datenschutz)

Wenn die Nutzungsbedingungen für Google Analytics uns jedoch verbieten, personenbezogene Daten in Google Analytics einzugeben, geben sie implizit zu, dass es möglich ist. Und das ist es auch! Es gibt verschiedene Möglichkeiten personenbezogene Daten in Google Analytics einzugeben, wie benutzerdefinierte Dimensionen oder Datenimport, auch wenn Du es nicht tun solltest! Tatsächlich geben viele Kunden personenbezogene Daten in Google Analytics ein, auch wenn sie sich nicht bewusst darüber sind. Paul Koks hat einen sehr guten Artikel geschrieben, der zeigt, wie persönliche Daten in Google Analytics landen können, ohne dass man es merkt – lohnt sich!

Anzumerken ist, dass Google, wenn es feststellt, dass personenbezogene Daten in das Analytics-Konto eingegeben wurden, diese für immer abschalten kann. Dementsprechend ist Vorsicht geboten! Falls Du aber in Deinem Google Analytics-Konto personenbezogene Daten feststellst, diese aber nicht löschen kannst, empfehle ich Dir, sich mit Google in Verbindung zu setzen und sie zu bitten, diese Daten aus Deinem Konto zu löschen. Ich meine mich zu erinnern gelesen zu haben, dass Google auch ohne Vorwarnung manchmal personenbezogene Daten löscht, ohne vorher eine Benachrichtigung an den Kunden rauszuschicken. Allerdings bin ich mit nicht zu 100% sicher, ob das wahr ist (falls Du Dir sicher bist, lass es mich gerne in den Kommentaren wissen).

Nehmen wir an Du hast keine personenbezogenen Daten in Google Analytics eingegeben (bewusst oder unbewusst). Das würde bedeuten, dass Dein Google Analytics keine personenbezogenen Daten erhält. Client-IDs (und sogar IP-Adressen) widerlegen diese Schlussfolgerung nicht, da es in Google Analytics keine Möglichkeit gibt, die Identität des Nutzers hinter einer bestimmten Client-ID (oder IP-Adresse) herauszufinden. Daher können die von Google Analytics erhobenen Daten nicht als personenbezogene Daten betrachtet werden.

Tja, falsch!

Die DSGVO sieht nicht nur Namen oder E-Mail-Adressen als personenbezogenen Daten an. Pseudonymisierte Daten werden von der DSGVO ebenfalls als personenbezogenen Daten betrachtet. Aber was sind pseudonymisierte Daten? Pseudonymisierte Daten sind Daten, die die Identität einer Person nicht preisgeben, es sei denn, sie können mit zusätzlichen Daten abgeglichen werden.

Um das mal etwas zu verdeutlichen, stell Dir vor, ein Arzt würde die Daten seiner Patienten pseudonymisieren, um sie zu schützen. Um die Daten zu schützen erstellt der Arzt ein Blatt Papier mit allen Namen der Patienten und ordnet ihnen jeweils eine eindeutige Kennung zu (diese Kennung kann eine Zahlenfolge, eine Buchstabenfolge, eine Mischung aus beidem usw. sein). Dann erstellt der Arzt ein zweites Blatt, auf dem der Arzt jeder Kennung bestimmte medizinische Daten zuordnet. Oder anders gesagt: Das zweite Blatt beinhaltet pseudonymisierte Daten, das erste Blatt beinhaltet Daten, um die Pseudonymisierung rückgängig zu machen. Wenn nun das zweite Blatt gestohlen werden würde, würde der Dieb daraus keinen Nutzen ziehen, denn er könnte die medizinischen Daten keiner Person zuordnen, da er nur die Kennungen besitzt. Die Sache sieht allerdings ganz anders aus, wenn das erste Blatt auch gestohlen werden würde, dann wäre es dem Dieb möglich, die Personen und deren zugeordneten medizinischen Daten zu entschlüsseln.

Die Frage ist demnach: Sammelt Google Analytics pseudonymisierte Daten? Die Antwortet lautet ja. Um das zu verdeutlichen, schauen wir uns eine Funktion in Google Analytics an, die als User-ID bezeichnet wird. User-IDs sind eindeutige Kennungen, die einzelnen Benutzern zugeordnet werden. Sie funktionieren ähnlich wie Client-IDs. Der Unterschied besteht darin, dass User-IDs einem User zugeordnet sind, während Client-IDs einem Endgerät zugeordnet werden. Die User-ID könnte also als eine Art perfektionierte Client-ID betrachtet werden. Tatsächlich sieht der Bericht zur User-ID in Google Analytics ähnlich aus wie der Bericht zur Client-ID. Wenn Du mir nicht glaubst, schau Dir die Screenshots unten an.

User IDs im Nutzer-Explorer Bericht in Google Analytics

(User IDs im Nutzer-Explorer Report)

Ansicht von Daten einer einzelnen User ID in Google Analytics

(Ansicht von Daten einer einzelnen User ID)

Nicht alle Webseiten können jedoch die User-ID-Funktion aktivieren. Nur Webseiten, die eindeutige IDs generieren können, können das. Wie zum Beispiel bei einer E-Commerce-Webseite, die es den Nutzern ermöglicht, ihr eigenes Konto zu erstellen. Jedes Mal, wenn ein User ein Konto erstellt, generiert die Webseite eine eindeutige ID für diesen User. Diese eindeutige ID kann dann als User-ID an Google Analytics gesendet werden. Wenn dieselbe E-Commerce-Webseite einer Online-Marketing-Agentur Zugang zu Deinem Google Analytics-Konto gewährt, kann die Agentur nun alle an Google Analytics gesendeten User-IDs einsehen. Die Agentur wäre jedoch nicht in der Lage, die Benutzer hinter den User-IDs zu identifizieren. Um dies zu tun, müsste die Agentur Zugang zur Kundendatenbank der E-Commerce-Webseite erhalten und die User-IDs von Google Analytics mit den eindeutigen IDs aus der Kundendatenbank der Webseite abgleichen. Das mag nach viel Arbeit klingen, aber es gibt Plugins, die das in wenigen Sekunden erledigen können. Willst Du einen Beweis? In einem seiner YouTube-Videos zeigt Julian Juenemann von measureschool.com, wie User IDs aus Google Analytics mit eindeutigen IDs aus E-Mail-Systemen oder dem CRM abgleicht. Und das mit Hilfe des Plugin PII Viewer for Google Analytics von David Simpson.

Wichtiger Hinweis, falls Du Dir das Video ansiehst: Die personenbezogenen Daten, die im Nutzer-Explorer Report von Google Analytics nach Aktivierung des Plugins angezeigt werden, werden nicht in Google Analytics, sondern im Browser gespeichert.

Das erste Fazit bisher: User-IDs sind pseudonymisierte Daten. Und da die DSGVO pseudonymisierte Daten auch als personenbezogene Daten ansieht, sind User-IDs auch personenbezogene Daten. 

Aber vielleicht denkst Du jetzt: OK, schön, User-IDs sind personenbezogene Daten. Aber wenn ich die User-ID Funktion bei Google Analytics nicht aktiviert habe, müsste alles in Ordnung sein, oder?

Die Antwort ist: Nicht wirklich.

User-IDs sind nicht die einzigen pseudonymisierten Daten, die Google Analytics sammelt. Client-IDs sind ebenfalls pseudonymisierte Daten. Der Unterschied besteht darin, dass Client-IDs nicht mit dem Namen oder der E-Mail-Adresse von jemandem abgeglichen werden können. Um dies zu tun, müssten Webseiten-Besitzer den User hinter jeder Client-ID herausfinden, allerdings ist das fast unmöglich. Der User kann jedoch seine eigene Client-ID herausfinden. Glaubst Du mir nicht? Gehe zu einer Webseite, von der Du weißt, dass sie Google Analytics verwendet. Wenn Du Firefox verwendest (wie ich es tue), klicke mit der rechten Maustaste auf die Seite und wähle dann Element untersuchen aus. Die Entwickler-Toolbox wird geöffnet. Klicke dann auf speichern. Wähle auf der rechten Seite Cookies, und suche nach dem _ga-Cookie. Sobald es gefunden wurde, wirst Du  einen Wert sehen, der ihm zugeordnet ist:

Client ID in der Firefox Entwickler-Toolbox

(Client ID in der Firefox Entwickler-Toolbox)

Die Zahlenreihe 758671965.1548674440 ist die Client-ID.

Das zweite Fazit bisher: Client-IDs sind ebenfalls pseudonymisierte Daten. Und da es sich bei pseudonymisierten Daten um personenbezogene Daten handelt, sollten Client-IDs als personenbezogene Daten betrachtet werden. Im Gegensatz zu User-IDs können Webseiten-Besitzer jedoch keine Client-IDs mit dem Namen oder der E-Mail-Adresse von Personen zuordnen. Um dies zu tun, müssten Webseiten-Besitzer herausfinden, wer hinter jeder Client-ID steckt, und das ist ziemlich unmöglich. Dieses letzte Detail ist sehr wichtig, wie wir im nächsten Teil sehen werden.

Wie schon erwähnt verbieten die Nutzungsbedingungen für Google Analytics (Abschnitt 7. Datenschutz) die Eingabe personenbezogener Daten in Google Analytics. Die DSGVO betrachtet pseudonymisierte Daten jedoch als personenbezogene Daten. Und da User-IDs und Client-IDs eine Form von pseudonymisierten Daten sind…. Ja, Du hast richtig verstanden, Google erlaubt sogar, seine eigene Richtlinie zu brechen. Warum? Ich schätze, dass Google die von Google Analytics erhobenen pseudonymisierten Daten nicht als personenbezogene Daten betrachtet. Andernfalls würde Google nicht zulassen, dass Dinge wie Nutzerkennung oder Client-IDs in Google Analytics angezeigt werden. Wir werden im nächsten Teil sehen, warum Google diesen Ansatz gewählt hat.

Wir wissen nun, dass die von Google Analytics gesammelten Daten personenbezogene Daten sind, bzw. um genau zu sein anonymisierte Daten. Dennoch stellt sich uns die Frage, ob anonymisierte Daten gleichzeitig auch immer als personenbezogene Daten angesehen werden? Dieser Frage werden wir uns im jetzt widmen.

4. Sind alle pseudonymisierten Daten personenbezogene Daten?

Viele gehen davon aus, dass es sich bei allen pseudonymisierten Daten um personenbezogene Daten handelt. Tatsächlich stimmen so ziemlich alle zu, dass es sich bei den von Google Analytics erhobenen pseudonymisierten Daten um personenbezogene Daten handelt und dass die DSGVO daher anwendbar ist. Das ist jedoch nicht wahr. Aber bevor wir diese Annahme analysieren, lass uns kurz auf die Pseudonymisierung eingehen.

Es gibt mehrere Möglichkeiten, Daten zu pseudonymisieren. Aufgrund der Verständlichkeit und des Umfangs werden wir die Pseudonymisierung in drei Kategorien einteilen: reversible Pseudonymisierung, irreversible Pseudonymisierung und ziemlich schwer rückgängig zu machende Pseudonymisierung. 

Im ersten Fall (reversible Pseudonymisierung) können die pseudonymisierten Daten der Person zugeordnet werden, zu der sie gehören. Um dies besser zu verstehen, kommen wir auf unser Arztbeispiel aus dem zweiten Teil zurück. Wie Du Dich erinnerst, enthielt das zweite Blatt, das unser Arzt erstellt hat, eindeutige Kennungen zusammen mit medizinischen Daten, die mit jenen Kennungen verknüpft sind. Nur mit diesem Blatt könnte unser Arzt nicht wissen, zu wem die medizinischen Daten gehören. Unser Arzt hatte jedoch auch ein erstes Blatt, das die Namen der Patienten enthielt, die mit den eindeutigen Identifikatoren verbunden waren. In diesem Fall ist es möglich, die pseudonymisierten Daten aus dem zweiten Blatt mit den Namen der Patienten zu vergleichen, da unser Arzt auch das erste Blatt hat. Das wäre ein Beispiel für eine reversible Pseudonymisierung.

Wenn nun der Arzt das erste Blatt verbrennen würde, dann wäre es unmöglich die medizinischen Daten mit den personenbezogenen Daten abzugleichen. Das ist ein Beispiel irreversible Pseudonymisierung.

Stell Dir vor, unser Arzt hat das zweite Dokument an ein Unternehmen verkauft, das auf medizinische Forschung und Behandlung spezialisiert ist. Die Firma, die das Dokument gekauft hat, hätte nur Zugriff auf die pseudonymisierten Daten. Wenn das Unternehmen die Pseudonymisierung rückgängig machen wollen würde, müsste es das erste Blatt von unserem Arzt stehlen, aber das ist riskant und könnte die Manager des Unternehmens eine lange Zeit im Gefängnis kosten. Eine andere Möglichkeit wäre, das erste Dokument zu kaufen, aber der Preis, den unser Arzt verlangt, ist viel zu hoch. Dies wäre ein Beispiel für eine ziemlich schwer rückgängig zu machende Pseudonymisierung.

Nun, da wir etwas mehr über die Pseudonymisierung wissen, kommen wir auf die Annahme zurück, dass pseudonymisierte Daten immer als personenbezogene Daten behandelt werden sollten. Was sagt die DSGVO dazu? Hier wird das sehr interessant dargestellt:

“Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke”.

Ich habe manche Abschnitte oben bewusst fett markiert.

Was dieser Absatz uns eigentlich sagt, ist, dass nicht alle pseudonymisierten Daten als personenbezogene Daten betrachtet werden sollten. In diesem Fall sind pseudonymisierte Daten nur dann als personenbezogene Daten zu betrachten, wenn sie mit zusätzlichen Daten zur Identifizierung eines Nutzers abgeglichen werden können und wenn diese Abgleichung sinnvoll möglich ist. Bei der Beurteilung, ob es sinnhaft möglich ist, sollten Dinge wie Kosten, Zeit und verfügbare Technologie berücksichtigt werden.

Um diesen letzten Absatz zu veranschaulichen, kommen wir auf unser Arztbeispiel zurück. Wenn unser Arzt beschließen würde, das zweite Dokument an das medizinische Unternehmen zu verkaufen, würdest Du dann wirklich glauben, dass die von dem Unternehmen gekauften Daten personenbezogene Daten waren? Das Unternehmen kann es nicht mit den Namen der Patienten abgleichen, da es nicht das erste Dokument hat. Der einzige Weg, das erste Blatt zu bekommen, wäre, es von unserem Arzt zu stehlen oder zu kaufen. Aber, wie wir gesehen haben, ist Stehlen eine sehr riskante Option und unser Arzt ist nicht bereit, das Dokument für ein paar Cent zu verkaufen. Es scheint daher nicht sinnhaft möglich, dass die Identifizierung der Patienten über das zweite Dokument für das Unternehmen sonderlich lohnenswert ist (klingt das nicht nach einer ziemlich schwer rückgängig zu machenden Pseudonymisierung?). Also hat das Unternehmen keine personenbezogene Daten gekauft. (aus Sicht des Unternehmens; aus Sicht des Arztes wären es weiterhin personenbezogene Daten, wenn der Arzt eine Kopie des zweiten Dokuments für sich behalten würde).

Betrachtet man all diese Annahmen, dann ist ziemlich sicher, dass:

Laut DSGVO sind nicht alle pseudonymisierten Daten als personenbezogene Daten zu betrachten. Zu den pseudonymisierten Daten, die nicht als personenbezogene Daten betrachtet werden können, gehören Daten, deren Pseudonymisierung irreversibel ist. Im Gegenteil dazu werden Daten, deren Pseudonymisierung leicht umkehrbar ist, als personenbezogene Daten betrachtet. Schließlich werden Daten, deren Pseudonymisierung nicht leicht rückgängig zu machen ist, als personenbezogene Daten betrachtet, wenn ein Rückgängigmachen der Pseudonymisierung sinnvoll möglich ist. Ob es sinnvollerweise möglich ist, die Pseudonymisierung rückgängig zu machen, hängt von mehreren Faktoren ab, darunter Zeit, Kosten und vorhandene Technologie.

➜ Pseudonymisierte Daten wie User-IDs sind als personenbezogene Daten zu betrachten, da ein Abgleich mit einer Person nach vernünftigem Ermessen möglich ist. Julian von measureschool.com zeigt in seinem YouTube-Video im zweiten Teil, wie man es machen könnte.

➜ Pseudonymisierte Daten wie Client-IDs sollten nicht als personenbezogene Daten betrachtet werden, da, wie beschrieben, der Abgleich mit einer Person für Unternehmen, die Google Analytics verwenden, nicht sinnvoll ist. Es ist sogar ziemlich unmöglich.

Ein wenig unklar ist es, wenn man nicht sinnvoll erkennen kann wer sich hinter einer bestimmten Client-ID verbirgt. Schließlich wäre es möglich, eine Client-ID mit einer bestimmten Person abzugleichen, wenn der Nutzer seine Client-ID (wie im vorherigen Teil erläutert) herausfindet und per E-Mail an das Unternehmen sendet, das Google Analytics benutzt. Das mag ziemlich seltsam klingen, aber wie würdest Du reagieren, wenn Du folgende Mail erhalten würdest?:

‚”Hi,

Mein Name ist Nelson und ich habe bemerkt, dass Sie Google Analytics verwenden. Ich habe herausgefunden, dass meine Client-ID 5393128914.4793520816 lautet. Als Betroffener möchte ich von meinem Recht auf Löschung Gebrauch machen. Bitte löschen Sie alle Daten, die mit dieser Kundennummer verbunden sind.

Danke,

Glücklicherweise können sie neuerdings die Daten, die mit einer bestimmten Client-ID verbunden sind ganz einfach löschen.

Benutzer löschen Button im Client ID Bericht in Google Analytics

(Der Benutzer löschen-Button erlaubt es Daten zu löschen, die mit einer Client-ID verbunden sind)

Benutzer löschen Button im User ID Bericht in Google Analytics

(Benutzer löschen-Button im User ID Bericht in Google Analytics)

Würdest Du trotzdem der Ansicht sein, dass es unmöglich ist festzustellen, wer hinter einer bestimmten Kundennummer steckt? Du könntest antworten: Sicher nicht. Die Tatsache, dass ein Benutzer Dir seine Kundennummer per E-Mail zusenden kann, erscheint nicht ausreichend, um Kundennummern als personenbezogene Daten zu betrachten. Es wäre sinnvoll, wenn das Unternehmen, das Google Analytics verwendet, aus eigener Kraft die Identität des Nutzers herausfinden könnte. Aber das ist nunmal nicht möglich.

Bist Du da sicher?

Vor einigen Jahren hat der Gerichtshof der Europäischen Union eine recht überraschende Entscheidung getroffen (Du  kannst das ganze Urteil hier nachlesen oder hier die Kurzversion). Der Fall betraf einen deutschen Staatsbürger, der mehrere Seiten der Bundesregierung besucht hatte. Bei jedem Zugriff auf eine dieser Webseiten wurde seine IP-Adresse in einer Protokolldatei (log file) gespeichert. Unser deutscher Staatsbürger dachte, dass es nicht notwendig sei, dass die Regierung seine IP-Adresse verarbeitet, und machte dies vor Gericht deutlich. Schließlich sind IP-Adressen personenbezogene Daten und die Bundesregierung sollte keine personenbezogenen Daten verarbeiten, es sei denn, dies ist wirklich notwendig.

Die deutsche Regierung dachte anders. Ihr Argument war ziemlich simpel: Selbst wenn die Regierung Zugriff auf die Protokolldateien (und auf die in diesen Protokolldateien gespeicherten IP-Adressen) hätte, wäre sie immer noch nicht in der Lage, die Benutzer hinter den IP-Adressen zu identifizieren. Dazu benötigt die Bundesregierung zusätzliche Informationen, Informationen, die sich in den Händen eines Dritten befinden: eines Internet Providers.

Übrigens, wenn Du nicht weißt was Protokolldateien (log files) sind und wie sie für SEO genutzt werden können, dann lies Dir gerne den Artikel meines Kollegen Stefan zum Thema SEO Logfile Analyse durch.

Also war die Frage einfach: Wenn man bedenkt, dass die Bundesregierung nicht in der Lage war, die Nutzer hinter den IP-Adressen selbst zu identifizieren, sollten die IP-Adressen als personenbezogene Daten betrachtet werden? Beachte, dass diese Situation dem Aspekt der Client-IDs sehr ähnlich ist. Der einzige Unterschied besteht darin, dass bei Client-IDs die zur Identifizierung des Users erforderlichen Informationen beim User verbleiben (der seine Client-ID über die Entwickler-Toolbox leicht herausfinden kann), während beim Gerichtsverfahren die Informationen in den Händen eines Internet Providers sind.

Also, was ist passiert? Das liegt auf der Hand: Das Gericht entschied, dass die von der Bundesregierung gespeicherten IP-Adressen als personenbezogene Daten (WTF?) zu betrachten sind. Warum? Nun, unter außergewöhnlichen Umständen (wie bei einem Cyberangriff) können Internet Provider verpflichtet sein, ihre Daten (einschließlich des Namens des Users hinter einer bestimmten IP-Adresse) weiterzugeben, um zur Aufklärung beizutragen. Für das Gericht machte es dieser Umstand möglich, von der Bundesregierung die zusätzlichen Daten zu erhalten, die zur Identifizierung der Benutzer hinter den IP-Adressen nötig sind. Resultat: Die IP-Adressen sind aus Sicht der Regierung als personenbezogene Daten zu betrachten.

Was bedeutet das eigentlich? Vereinfacht ausgedrückt bedeutet dies, dass pseudonymisierte Daten als personenbezogene Daten anzusehen sind. Selbst wenn sich die erforderlichen zusätzlichen Daten in den Händen eines Dritten befinden und wenn irgendwie die Möglichkeit besteht, dass der Inhaber der pseudonymisierten Daten Zugang zu diesen zusätzlichen Daten erhält (auch wenn dies in Ausnahmefällen nur durch eine gerichtliche Anordnung möglich ist).

Die Entscheidung bietet die Grundlage dafür, dass viele pseudonymisierte Daten als personenbezogene Daten betrachtet werden können. Theoretisch könnte dies bedeuten, dass Client-IDs immer als personenbezogene Daten behandelt werden sollten. Schließlich besteht die Möglichkeit, dass ein Benutzer eine E-Mail schickt und Dich auffordert, die mit seiner Client-ID verbundenen Daten zu löschen. Aber lass uns nicht über die Sinnhaftigkeit dieser Gerichtsentscheidung sprechen. Das Einzige, was Du wissen solltest ist, dass mit einer Argumentation, wie sie vom Gericht verwendet wird, Daten wie Client-IDs als personenbezogene Daten betrachtet werden können. Im Sinne der DSGVO-Konformität wäre es daher sicherer anzunehmen, dass es sich bei den Client-IDs um personenbezogene Daten handelt. Ich glaube jedoch, dass nicht alle nationalen Datenschutzbehörden in der EU sich dessen bewusst sind. Wenn dies der Fall wäre, würden sie wahrscheinlich nicht Google Analytics verwenden. Aber einige tun es. Dazu gehören:

➜ Die bulgarische Datenschutzbehörde (https://www.cpdp.bg/):

(Die bulgarische Datenschutzbehörde-Webseite)

➜ Die kroatische Datenschutzbehörde (https://azop.hr/):

Die bulgarische Datenschutzbehörde-Webseite

(Die kroatische Datenschutzbehörde-Webseite –Im Falle der kroatischen Datenschutzbehörde, wird das Google Analytics Tracking nur ermöglicht, wenn der Nutzer es via dem Cookie-Banner akzeptiert)

➜ Die tschechische Datenschutzbehörde (https://www.uoou.cz/):

Die kroatische Datenschutzbehörde-Webseite

(Die tschechische Datenschutzbehörde-Webseite)

➜ Die britische Datenschutzbehörde (https://ico.org.uk/):

Die britische Datenschutzbehörde-Webseite

(Die britische Datenschutzbehörde-Webseite)

➜ Und die polnische Datenschutzbehörde (https://uodo.gov.pl/)

Die polnische Datenschutzbehörde-Webseite

(Die polnische Datenschutzbehörde-Webseite)

Ein letzter Aspekt: Wenn Du Dich erinnerst habe ich bereits geschrieben, dass Google die pseudonymisierten Daten, die Google Analytics sammelt, nicht als personenbezogene Daten betrachtet. Andernfalls würde Google nicht zulassen, dass Dinge wie User-IDs oder Client-IDs in Google Analytics enthalten sind. Ich glaube, Google verfolgt den gleichen Ansatz, den die deutsche Regierung in dem von uns beschriebenen Gerichtsverfahren verfolgt hat. Aber wie wir gesehen haben, lag die deutsche Regierung falsch, und Google auch.

Wir wissen nun, dass Daten wie z.B. die Client ID als personenbezogene Daten angesehen werden sollten. Folgend werden wir uns mit IP-Adressen beschäftigen, warum Google Analytics sie braucht und was Du in dem Fall beachten solltest, falls Dein Unternehmen von der DSGVO betroffen ist. Außerdem zeigen wir Dir was mit Deinen Google Analytics Daten passieren kann, wenn Du Dich vor der Einbindung einer datenschutzkonformen Lösung nicht richtig informierst.

5. IP Adressen und Datenminimierung

Und was ist mit IP-Adressen? Google Analytics muss sie verarbeiten, um den Standort eines Nutzers zu ermitteln. Und wir haben im letzten Teil gesehen, dass IP-Adressen als personenbezogene Daten betrachtet werden können, auch wenn ihnen zusätzliche Daten zur Identifizierung des Benutzers fehlen.

Zuerst sollten wir ein paar Vermutungen aufstellen, wie das Marketer nunmal machen.

Erste Vermutung: Unternehmen mit Sitz in der EU sollten immer eine IP-Anonymisierung aktivieren. Ich persönlich stimme dem zu.

Übrigens, wenn Du Dich fragst, was IP-Anonymisierung ist und wie sie funktioniert, schau Dir auf jeden Fall diese Google-Support-Seite an, welche sich mit der IP-Anonymisierung in Google Analytics beschäftigt.

Zweite Vermutung: Unternehmen mit Sitz in der EU sollten die IP-Anonymisierung immer aktivieren, da Google Analytics sonst personenbezogene Daten sammelt und das ist etwas Verbotenes. Ich bin damit nicht einverstanden. Wie wir bereits in den vorherigen Teilen gesehen haben, verarbeitet Google Analytics personenbezogene Daten (z.B. User-IDs oder, je nachdem, wie man es sieht, Client-IDs). Wenn die Ausrede wäre, dass Google Analytics keine personenbezogenen Daten erheben kann, dann würde Google einen schrecklichen Fehler begehen, in dem es den Bericht des Nutzer Explorers anzeigt oder den Werbetreibenden die User-ID-Funktion anbietet.

Es ist daher falsch zu sagen, dass die IP-Anonymisierung aktiviert werden sollte, nur weil Google Analytics keine personenbezogenen Daten erheben darf. Warum sollten dann Unternehmen innerhalb der EU eine IP-Anonymisierung ermöglichen (wie ich es eigentlich denke)?

Die Wahrheit ist, dass Google nicht die gesamte IP-Adresse benötigt, um den genauen Standort eines Nutzers zu ermitteln. Darüber hinaus gibt es im Datenschutz ein Prinzip namens Datenminimierung, das besagt, dass nur die Daten gesammelt werden sollen, die man benötigt, nicht die Daten, die man will. Auf IP-Adressen angewendet, würde das Prinzip so aussehen: Google Analytics muss die Nutzer finden; dazu muss Google Analytics jedoch nicht die gesamte IP-Adresse des Nutzers verarbeiten; wenn die gesamte IP-Adresse nicht für die Standortbestimmung des Nutzers erforderlich ist, sollte Google Analytics nur den Teil der IP-Adresse verarbeiten, der für die Standortbestimmung des Nutzers erforderlich ist; daher solltest Du die IP-Anonymisierung aktivieren.

Die Aktivierung der IP-Anonymisierung wurde bereits von Experten empfohlen, darunter auch von der Hamburger Datenschutzbehörde. Da die Datenminimierung jedoch ein Kernprinzip der DSGVO ist, sollten alle Unternehmen, die Google Analytics nutzen und für die die DSGVO gilt, eine IP-Anonymisierung ermöglichen, nicht nur deutsche Unternehmen.

Bist Du jetzt davon überzeugt, dass die IP-Anonymisierung aktiviert werden sollte? Ja? Dann lies Dir diesen großartigen Artikel von Optimize Smart durch, in welchem gezeigt wird, wie Du diese Funktion aktivierst.

Aber bevor wir zum nächsten Abschnitt übergehen, ein letztes Wort zu IP-Adressen. In den letzten Jahren haben wir gesehen, wie Google ernsthafte Anstrengungen unternommen hat, um seine Dienste an die europäischen Datenschutzbestimmungen anzupassen. Tatsächlich denke ich, dass Google eines der amerikanischen Unternehmen ist, das am meisten getan hat, um die Regeln einzuhalten. Wenn Google jedoch wirklich den besten Service bieten will, wäre es vielleicht eine gute Idee, die IP-Anonymisierung standardmäßig (zumindest innerhalb der EU) zu verwenden und Marketern die Möglichkeit zu geben, diese manuell auszuschalten. Schließlich ist der Datenschutz durch datenschutzfreundliche Voreinstellungen standardmäßig ein Prinzip, das auch in die DSGVO aufgenommen wurde.

6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?

Antwort: Es kommt drauf an.

Im Allgemeinen gilt die DSGVO für Dich, wenn Dein Unternehmen seinen Sitz in der EU hat oder Dienstleistungen oder Waren für Kunden in der EU anbietet. Wenn Du also ein lokales Unternehmen in, sagen wir, Seattle hast, Deine Produkte oder Dienstleistungen lokalen Kunden anbietest und eine Webseite hast, die auf die Region Seattle ausgerichtet ist, bist Du ziemlich safe.

Das Gleiche gilt nicht für Unternehmen wie Google, Facebook oder Amazon, da Kunden auf der ganzen Welt angesprochen werden und diese über Büros und Einrichtungen in der EU verfügen.

Wenn Dein Unternehmen jedoch außerhalb der EU ansässig ist und sich nicht an europäische Kunden richtet, kann es vorkommen, dass es versehentlich personenbezogene Daten von Personen in der EU verarbeitet. Wie? Stell Dir vor, ein Bürger mit Sitz in der EU landet auf der Webseite des lokalen Unternehmens in Seattle, das zufällig Google Analytics verwendet. So schnell geht das! Aber keine Sorge: Solange Du nicht aktiv Menschen in der EU ansprichst, sollte alles in Ordnung sein.

7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss ?

Seit dem Inkrafttreten der DSGVO haben viele Unternehmen versucht, Wege zu finden, um die neuen Regeln einzuhalten und gleichzeitig ihre Google Analytics-Daten intakt zu halten. Um sicher zu gehen, verlangen einige Unternehmen nun von den Nutzern, dass sie das Google Analytics-Tracking ausdrücklich akzeptieren, bevor das Tool mit der Verfolgung der Aktivitäten des Nutzers beginnt. Mit dieser Maßnahme soll die Zustimmung des Nutzers eingeholt werden. Wie Du vielleicht weißt ist das eine der grundlegenden rechtlichen Praktiken, um personenbezogene Daten zu verarbeiten. Die bisher beliebteste Lösung zur Einholung der Zustimmung des Benutzers ist die Verwendung von Tools von Drittanbietern, wie z.B. Cybots Cookiebot oder OneTrusts cookie consent management tool. Tatsächlich bist Du wahrscheinlich schon auf einer Seite gelandet, die diese Tools verwendet (morefire ist eine von ihnen).

Aber viele Unternehmen waren bei der Einholung der Zustimmung nicht sicher, welche Konsequenzen auf sie zukommen würden. Anhand des nächsten Screenshots siehst Du was mit den Daten eines meiner Kunden passiert ist:

Rückgang im Internetdatenverkehr bei Google Analytics, hervorgebracht durch Einhaltung von DSGVO

(Zeitraum: 01.01. 2018 – 31.07. 2018)

Die Daten sind weg!!! Naja, nicht alle, aber die meisten. Stell Dir vor, die verlorenen Daten machen 60% (mehr oder weniger) des Datenverkehrs aus, der unter normalen Umständen aufgezeichnet wurde. Thanos, der beliebteste Superheldenfilm-Bösewicht des letzten Jahrzehnts, könnte sich als harter Konkurrent erwiesen haben! Eine weitere lustige Tatsache: Avengers Infinity War erschien im April 2018, nur einen Monat vor Inkrafttreten der DSGVO. Wohl mehr als ein Zufall…

Okay, ernsthaft jetzt. Die obigen Screenshots zeigen die Anzahl der Benutzer, die vor und nach dem Inkrafttreten der DSGVO auf der Webseite meines Kunden gelandet sind. Wie ich bereits erwähnt habe, entspricht der Prozentsatz des verlorenen Datenverkehrs (mehr oder weniger) 60% des Datenverkehrs, den mein Kunde normalerweise erzeugt hat. Werfen wir nun einen Blick auf die Conversions:

Rückgang in Konversionen bei Google Analytics hervorgebracht durch Einhaltung von DSGVO

(Zeitraum: 01.01. 2018 – 31.07. 2018)

Im Durchschnitt machen verlorene Conversions 40% der unter normalen Umständen erfassten Conversions aus. Das ist ziemlich schlecht für jemanden, der versucht anständige Webanalysen durchzuführen, oder?

Das Fazit ist offensichtlich: Überlege zweimal, bevor Du Dich entscheidest, die Zustimmung des Nutzers einzuholen. Aber interpretiere mich nicht falsch: Ich habe nichts gegen die Verwendung eines Tools wie Cookiebot oder OneTrust’s Cookie consent management tool. Tatsächlich denke ich, dass diese beiden Tools großartig sind! Sie haben ein schönes Layout, sind einfach von den Usern zu verwalten und Du kannst sie so konfigurieren, dass das Tracking standardmäßig aktiviert ist, anstatt nachdem der User seine Zustimmung gegeben hat.

Es gibt noch ein paar weitere Probleme, die sich ergeben werden, wenn Du von der DSGVO betroffen bist. Vor der Aktivierung des Trackings, musst Du eine Aufzeichnung führen, die belegt, dass der Benutzer das Tracking akzeptiert hat. Tools wie Cookiebot oder OneTrust’s Cookie Consent Management Tool erledigen dies bereits für Dich, so dass Du Dir keine Sorgen machen brauchst. Zudem musst Du einen Auftragsverarbeitungsvertrag (AVV) mit Google unterzeichnen. Drittens musst Du Deine Nutzer darüber informieren, wie Google Analytics die Daten verarbeitet (dies kann durch die Bearbeitung der Datenschutzerklärung geschehen). Viertens musst Du einige Sicherheitsmaßnahmen implementieren, damit Dein Google Analytics-Konto sicher bleibt. Das bedeutet, dass Du ein sicheres Passwort verwendest oder sicherstellen musst, dass nur Personen, die Zugang zu Google Analytics benötigen, es erhalten.

Nachdem Du nun das gelesen hast denkst Du Dir vielleicht: Ok, wenn mein Unternehmen von der DSGVO betroffen ist, brauche ich die Zustimmung des Nutzers. Aber wenn ich die Einwilligung der Nutzer brauche, verliere ich meine Daten in Google Analytics. 

Die Frage die also bleibt ist: Kann ich Google Analytics auch nutzen ohne die Einwilligung des Nutzers? Um die Antwort auf diese Fragen zu erfahren,  solltest Du weiter lesen!

8. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?

Wie wir bereits im letzten Teil gesehen haben, wird die Einwilligung des Nutzers, bevor das Google Analytics-Tracking ausgelöst wird, mit Sicherheit die Daten in Analytics schädigen. Die Frage ist also: Kann ich die DSGVO noch einhalten, ohne den Nutzer zu verpflichten, seine Zustimmung zu geben?

Zum Glück für Dich ist die Zustimmung nicht die einzige Rechtsgrundlage für die Datenverarbeitung, die Unternehmen nutzen können. Die DSGVO erlaubt auch die Datenverarbeitung, wenn ein berechtigtes Interesse besteht. Leider definiert die DSGVO nicht, was ein berechtigtes Interesse ist. Aber es sagt etwas anderes aus:

“Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden”

Ähnlich wie beim Konzept des berechtigten Interesses wird Direktwerbung nicht durch die DSGVO definiert. Wir wissen jedoch, dass das Marketing letztendlich als berechtigtes Interesse angesehen werden könnte, basierend auf dem, was die DSGVO sagt. Und da Google Analytics ein Werkzeug für Marketingzwecke ist, sollte es relativ sicher sein, die berechtigte Interessengrundlage zu nutzen, anstatt die Zustimmung des Nutzers einzuholen. Wenn Du Bulgarisch, Kroatisch, Tschechisch, Englisch oder Polnisch sprichst, empfehle ich Dir, eine E-Mail an die bulgarische, kroatische, tschechische, britische oder polnische Datenschutzbehörde zu senden und sie zu fragen, auf welcher Rechtsgrundlage sie die über Google Analytics erfassten Daten verarbeiten. Ich bin mir ziemlich sicher, dass die Antwort ein berechtigtes Interesse sein wird.

Die Nutzung der berechtigten Interessengrundlage zur Datenverarbeitung mit Google Analytics behebt jedoch nicht die Probleme, die ich bereits im letzten Abschnitt erwähnt habe. In diesem Sinne musst Du noch einen Auftragsverarbeitungsvertrag mit Google abschließen, Deine Nutzer darüber informieren, wie Google Analytics ihre Daten verarbeitet, und Sicherheitsmaßnahmen ergreifen, damit Dein Google Analytics-Konto und Deine Datenbasis nicht beeinträchtigt werden.

Eine weitere mögliche Lösung wäre, die Daten von Google Analytics überhaupt nicht als personenbezogene Daten zu betrachten. Wie wir in den vorherigen Teilen gesehen haben, ist es nicht klar, ob Daten wie Client-IDs als personenbezogene Daten betrachtet werden sollten. Wenn Du also Client-IDs nicht als personenbezogene Daten betrachtest und zusätzliche Vorkehrungen wie die Aktivierung der IP-Anonymisierung getroffen haben, kannst Du durchaus davon ausgehen, dass Google Analytics keine personenbezogenen Daten verarbeitet. Das klingt aber etwas riskant und würde irgendwie allen technischen Maßnahmen und Funktionen von Google widersprechen, damit Google Analytics die Privatsphäre der Nutzer respektiert.

Fazit

Die wichtigsten Fakten  noch einmal zusammengefasst:

➜ Google Analytics sammelt Nutzerdaten.

➜ Daten wie User-IDs oder Client-IDs sind pseudonymisierte Daten. Das bedeutet, dass sie die Identität einer Person nur dann preisgeben können, wenn zusätzliche Daten verwendet werden.

➜ Pseudonymisierte Daten werden im Rahmen der DSGVO als personenbezogene Daten behandelt.

➜ Allerdings werden nicht alle pseudonymisierten Daten von der DSGVO als personenbezogene Daten betrachtet. In diesem Sinne sind pseudonymisierte Daten nur dann als personenbezogene Daten zu betrachten, wenn ein Widerruf der Pseudonymisierung möglich ist.

➜ Es ist möglich, User-IDs mit zusätzlichen Daten abzugleichen und somit die Identität eines Nutzers herauszufinden. Daher sollten User-IDs als personenbezogene Daten betrachtet werden.

➜ Nach Ansicht des Gerichtshofs der Europäischen Union sind pseudonymisierte Daten als personenbezogene Daten zu betrachten, auch wenn die zur Identifizierung des Nutzers erforderlichen zusätzlichen Daten nicht in den Händen des Unternehmens liegen, das die pseudonymisierten Daten hat. Daher wäre es sicherer, Client-IDs als personenbezogene Daten zu behandeln.

➜ In jedem Fall ist es sicherer anzunehmen, dass Google Analytics personenbezogene Daten verarbeitet.

➜ Nach dem Prinzip der Datenminimierung sollte die IP-Anonymisierung von allen Unternehmen aktiviert werden, für die die DSGVO gilt. Denn die gesamte IP-Adresse ist nicht notwendig, um den Standort eines Benutzers zu ermitteln.

➜ Einige Unternehmen verlangen nun von den Nutzern, dass sie ihre Zustimmung geben, bevor das Google Analytics-Tracking aktiviert wird. Dies führt jedoch zu einem erheblichen Verlust an Traffic und Conversions.

➜ Die berechtigte Interessengrundlage könnte von Unternehmen genutzt werden, um die Datenverarbeitung durch Google Analytics zu rechtfertigen. Die DSGVO selbst sagt, dass Direktwerbung als berechtigtes Interesse angesehen werden kann.

➜ Unabhängig davon, ob die von Unternehmen zur Datenverarbeitung verwendete Grundlage die Einwilligung oder ein berechtigtes Interesse ist, müssen andere Probleme gelöst werden, wie z.B. der Abschluss eines Auftragsverarbeitungsvertrags, die Information der Nutzer darüber, wie Google Analytics ihre Daten verarbeitet oder die Umsetzung von Sicherheitsmaßnahmen erfolgt, damit Google Analytics nicht beeinträchtigt wird.

Das ist alles. Ich hoffe, ich habe Dir geholfen, einige der Probleme im Zusammenhang mit Google Analytics und der DSGVO zu verstehen. Ich hoffe auch, dass ich mit der Reihe einige Fragen zu diesem Thema aufgeworfen habe. Wenn Du Fragen dazu hast, melde Dich gerne jederzeit bei uns. Cheers!

Bonus: Cookie-Regeln sind nie wirklich gestorben

Es stimmt, die Cookie-Regeln sind nicht wirklich tot. Warum ist das wichtig? Nun, wir haben über die Auswirkungen der DSGVO auf Unternehmen gesprochen, die Google Analytics verwenden, aber wir haben nicht wirklich über die Regeln gesprochen, die für Cookies gelten.

Also, was ist mit den Cookies? Das Erste, was Du wissen solltest ist, dass Cookies nicht in der DSGVO, sondern in einer alten europäischen Richtlinie aus dem Jahr 2002 geregelt sind. Was bedeutet das für die Unternehmen? Ganz einfach: Neben der Einhaltung der DSGVO müssen sie auch die alten Cookie-Regeln einhalten.

Im Allgemeinen erlauben die Cookie-Regeln von 2002 Unternehmen die Verwendung von Cookies, wenn der Benutzer ihnen zugestimmt hat. Die Zustimmung ist jedoch nicht erforderlich für Cookies, die gespeichert werden müssen, damit bestimmte Funktionen einer Webseite tatsächlich funktionieren (z.B. das Erinnern an die Artikel, die einem Warenkorb auf einer E-Commerce-Webseite hinzugefügt wurden).

Abgesehen davon, dass die Cookie-Regeln in der gesamten EU nicht in gleicher Weise angewendet werden, setzen die Datenschutzbehörden diese Regeln sehr sanft um. Einige haben zwar offen gesagt, dass die Einwilligung abgeleitet werden kann, wenn der Nutzer weiterhin auf einer Webseite navigiert, aber das ist kaum gerechtfertigt, wenn man bedenkt, dass Cookies normalerweise im Browser des Nutzers gespeichert werden, sobald der Nutzer auf einer Webseite landet. Daraus folgt, dass Unternehmen, die wirklich konform sein wollen warten müssen, bis der User seine Zustimmung zur Installation der Cookies gegeben hat. Aber das ist bei über 90% der Webseiten nicht der Fall…

Dies alles führt zu einer recht interessanten Situation: Obwohl die Verwendung von Google Analytics eine Rechtfertigung für die Verfolgung eines berechtigten Interesses sein kann, ist vor der Installation der Google Analytics-Cookies noch eine Zustimmung erforderlich. Wie kann so etwas erklärt werden? Gute Frage. Die Tatsache, dass die Cookie-Regeln vor mehr als 15 Jahren verabschiedet wurden und die Regulierungsbehörden nicht immer genau wissen, wie der Hase bei der Technologie läuft, könnte etwas damit zu tun haben. Auf jeden Fall wird sich diese Situation wahrscheinlich ändern: Die EU bereitet ein neues Regelwerk vor, das die alten Cookie-Regeln ersetzt und hoffentlich mit der DSGVO übereinstimmt. In der Zwischenzeit sollten Unternehmen versuchen, die Richtlinien der Datenschutzbehörden einzuhalten, wie beispielsweise vom Amt für den Datenschutz und die Informationsfreiheit Baden Württembergs.

In meinem kostenlosen E-Book „Google Analytics und die DSGVO – Alles, was Unternehmen wissen müssen“ erhältst Du auf 35 Seiten noch mehr detaillierte Informationen rund um das Thema DSGVO, Google Analytics und Tracking – Hier geht’s zum Download.

Nelson Rodrigues Conde

Geschrieben von

Außerhalb seiner Arbeit als Digital Consultant ist Nelson ein
Fan von Metal Musik und ein wahrer Enzyklopädist. Er hat
viele Interessen, einschließlich Geschichte, Psychologie und
Wirtschaft.

5 / 5 (1 votes)

8 Kommentare

Pigmentfleck schrieb am 15. Oktober, 2019 @ 19:31

Sehr interessanter Artikel der mich nur wieder in meiner Meinung bestärkt auf Google Analytics zu verzichten. Für kleine Seiten ist der Aufwand einfach größer als der Nutzen.

Nelson Rodrigues Conde

Nelson Rodrigues Conde schrieb am 21. Oktober, 2019 @ 11:48

Hey Pigmentfleck,

Danke für Deinen Kommentar. Du hast vollkommen Recht damit, dass es kleinere Unternehmen viel schwieriger haben, ihren Google Analytics Account mit der DSGVO abzustimmen. Darüber hinaus widersprechen sich viele Quellen, die Dir dabei helfen sollten, das Google Analytics Konto so anzupassen, dass es DSGVO konform ist, was nicht sehr hilfreich ist. Im nächsten Blogpost der veröffentlicht wird, nennen wir ein paar zuverlässige Quellen, die kleinen Unternehmen für konforme Gestaltung des Google Analytics Konto nutzen können. Vielleicht können Dir diese helfen, falls Du immer noch überlegst, ob du Google Analytics nutzen solltest oder nicht.

Viele Grüße,

Nelson

WildsauSEO schrieb am 18. Oktober, 2019 @ 13:12

DSGVO – da bekomm ich heute noch schwache Knie, wenn ich diese fünf Buchstaben lese. In meinem Betrieb hat das Ganze viel Arbeit, Zeit und natürlich Geld gekostet hier konform dazustehen. Naja. Danke jedenfalls für den Beitrag hier!

Nelson Rodrigues Conde

Nelson Rodrigues Conde schrieb am 21. Oktober, 2019 @ 11:46

Hi WildsauSEO,

Danke, dass du einen Kommentar dagelassen und uns über die Erfahrungen deines Unternehmens mit der DSGVO berichtet hast. Es ist richtig, dass das Erfüllen der DSGVO mit viel Zeit und Geld einhergeht, das zeigt auch dein Fall, aber die EU-Behörden scheinen das nicht zu verstehen. Tatsächlich hat die Europäische Kommission vor ein paar Monaten ein DSGVO Mythbusting Factsheet herausgebracht (unter diesem Link: https://ec.europa.eu/commission/sites/beta-political/files/100124_gdpr_factsheet_mythbusting.pdf), in sie sagen, dass die DSGVO für kleine Unternehmen nicht erdrückend ist (Mythos Nummer 4). Ich bin mir nicht sicher, was die Europäische Kommission unter „erdrückend“ oder „kleinen Unternehmen“ versteht, aber ich habe das Gefühl, dass es nicht ganz der Realität entspricht.

Viele Grüße,

Nelson

Skeptiker schrieb am 15. November, 2019 @ 18:16

Die neuesten Erkenntnisse und Entscheidungen der deutschen Datenschützer erklären Google mit seinem Analysedienst nun grundsätzlich als zustimmungspflichtig: https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics und https://www.golem.de/news/nutzertracking-datenschuetzer-fordern-einwilligung-bei-google-analytics-1911-144988.html.
Google verarbeitet selbst die Daten und stellt nicht nur ein Analysetool für Webseitenbetreiber zur Verfügung. Somit bleibt einem wohl nur die Wahl zwischen Verzicht auf GA oder Einbau einer echten Zustimmungslösung, die Ga erst aktiviert, wenn der Nutzer selbst einen Haken gesetzt hat.

Nelson Rodrigues Conde

Nelson Rodrigues Conde schrieb am 22. November, 2019 @ 14:53

Hallo Skeptiker,

Vielen Dank für Deinen Kommentar und das Teilen dieser Links.
Du hast Recht, die einzige Möglichkeit Google Analytics zu nutzen besteht darin, das Tracking zu verhindern, bis der Nutzer eingewilligt hat und zwar unabhängig davon, ob Google die Daten für eigene Zwecke verwendet.

Auf jeden Fall ist die Tatsache, dass Google die Google Analytics Daten für eigene Zwecke verwendet, ein äußerst wichtiger Punkt. Denn dies wird wahrscheinlich mehr Fragen aufwerfen, wie die Einwilligung eingeholt und widerrufen wird. Ich schätze hier müssen wir warten und sehen was passiert.

Mit freundlichen Grüßen
Nelson

Carsten Feller schrieb am 15. November, 2019 @ 22:18

Moin Nelson, Du bist echt ein Optimist… 🙂

Ich hoffe, Du hast eine gute Betriebshaftpflichtversicherung, wenn Du diesen Ansatz deinen Kunden gegenüber fährst…

–> Aus dem 4. Teil deiner Serie:
„Das Fazit ist offensichtlich: Überlege zweimal, bevor Du Dich entscheidest, die Zustimmung des Nutzers einzuholen. … … einfach von den Usern zu verwalten und Du kannst sie so konfigurieren, dass das Tracking standardmäßig aktiviert ist, anstatt nachdem der User seine Zustimmung gegeben hat.“

Das ist ein recht riskanter Tipp, der eindeutig gegen die aktuelle Auslegung der Richtlinie geht. Damit macht man sich angreifbar.

Ich glaube auch, Du mixt da einige Dinge zusammen, die so nichts miteinander zu tun haben:

–> „Die DSGVO selbst sagt, dass Direktwerbung als berechtigtes Interesse angesehen werden kann.“ <–

Zitat E-Recht24: "Unter Direktwerbung versteht man das Werben neuer Kunden über eine direkte Kontaktaufnahme. Sie umfasst sämtliche Kommunikationswege, beispielsweise Werbe-E-Mails, Telefonanrufe, Warenproben, Prospekte und Kataloge."

Was hat z. B. Direktmarketing mit dem Einsatz eines Analyse-/ Tracking-Tools auf einer Website zu tun? Bei dem einen mag es ein berechtigtes Interesse geben, beim anderen wohl eher nicht.

Ganz ehrlich, wenn man das Absenden eines Formulars zum Double-Opt-In für einen Newsletter ans Ende eines Tunnels setzt, dem den Wert 1 € zuordnet, das ganze dann tracken will und sich dann drüber aufregt, dass eben dieses jetzt nicht mehr funktioniert, hat man viel grundsätzlichere Probleme als die neue Cookie Verordnung. 😉

Der neue Wirbel seit Anfang Oktober ist doch nur wg. der strikteren Umsetzung der Cookie Richtlinien entstanden.
GA Nutzung ist ja ein alter Hut. Anonymisierung, Vertrag zur Datenverarbeitung mit Google, Opt-Out in der Datenschutzerklärung und fertig. Wurde und wird so gehandhabt.

Du machst da einen großen Rundumschlag rund ums GA Tracking und beleuchtest die verschiedensten Aspekte rund um Tracking und DSGVO, das ist grundsätzlich mal nett, aber am Ende bleiben dem Websitebetreiber aktuell doch nur 3 ziemlich klare Strategien, wenn es um Cookies, GA und Tracking geht:

1. Man verstößt bewusst gegen die neuen Richtlinien, weil man sich ausgerechnet hat, dass einen schlechtes Tracking teurer zu stehen kommt als eine Strafe.

Aktuell wärmen sich übrigens die Datenschutzbehörden in Niedersachsen und Bayern auf, dort werden Verfahren wg. genau dieses Themas (Benutzertracking ohne vorherige Einwilligung) gegen einige größere Shops vorbereitet.

2. Man stellt auf Cookieless Tracking (dann vorzugsweise ohne GA) um und behält so bis auf kleinere Einschränkungen den Überblick.

Restrisiko beim Cookieless Tracking bei GA: https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html

3. Man schaltet das Tracking ab.

Ist alles nicht so prall, da müssen wir aber wohl erst Mal mit leben.

Wer was zu bieten hat, wird weniger Probleme haben. Ist ja immer so. Sind die Kunden interessiert und erst Mal im Shop ist es auch mit der Einwilligung und dem Tracking kein Problem. Muss man sich dort halt OnSite mehr Mühe geben.
Wohl dem, der viele Stammkunden hat.

Für alle anderen wird es immer schwerer. Aber auch nicht erst seit Anfang Oktober.

Ich wünsche Dir noch einen schönen Tag.
VG
Carsten

Nelson Rodrigues Conde

Nelson Rodrigues Conde schrieb am 22. November, 2019 @ 14:58

Hey Carsten,

Vielen Dank für Deinen Kommentar und dass Du so viele interessante Punkte angesprochen hast!

Bitte beachte, dass ich mich bei Direktwerbung und berechtigtem Interesse nicht auf die Installation von Cookies beziehe, sondern auf die Daten Verarbeitung von Google Analytics. Das sind zwei verschiedene Dinge, die unterschiedlich bearbeitet werden (das erste unter der E-Privacy-Richtlinie, das zweite unter der DSGVO). Der Artikel, den Du in deinem Kommentar verlinkt hast, hebt dies ebenso hervor.

Es ist unbestreitbar, dass das Google Analytics Tracking nicht ohne die Einwilligung des Users ausgelöst werden kann. Darum geht es auch im letzten Teil des Posts (Bonus: Cookie-Regeln sind nie wirklich gestorben), in dem Ich betone, dass die Einwilligungsregel durch die E-Privacy-Richtlinie festgelegt ist. Fun Fact: Diese Regel gibt es so formuliert schon seit 2009. Es ist etwas schwer zu verstehen, warum die Behörden 10 Jahre später hinter den Webseiten Besitzern her sind. Was haben die die ganzen Jahre gemacht? Ich frage mich auch, ob sie auch hinter Unternehmen wie Google oder Facebook hinter her sind, vielleicht weißt Du ja etwas darüber.

Andererseits muss die Datenverarbeitung, die durch das Google Analytics Tracking erfolgt, der DSGVO entsprechen. Dies bedeutet, dass eine Rechtsgrundlage erforderlich ist.

Die Grundlage, die verwendet wird um DSGVO konform zu sein, ist die Zustimmung. (Was Sinn macht, da Du bereits eine Zustimmung brauchst, um das Tracking zu ermöglichen).

Die Frage ist: Gibt es eine andere Grundlage, die anstelle der Zustimmung verwendet werden kann? Könnte die berechtigte Interessensgrundlage anstelle der Zustimmung genutzt werden? Das mag vielleicht seltsam klingen (auch für mich, das muss ich zugeben), aber es gibt ein paar Dinge, die mich zum Nachdenken angeregt haben:

– Einige Behörden sagen, dass die Zustimmung nur als letzte Ressource verwendet werden sollte, also wenn es keine andere passende Grundlage mehr gibt. Zumindest hat dies die griechische Aufsichtsbehörde im Fall einer bekannten Beratungsfirma gesagt (eine Zusammenfassung der Entscheidung findest Du hier).
– Die herausgegebene Verordnung des Europäischen Datenschutzausschusses interpretieren die Anforderungen an eine gültige Einwilligung sehr streng und machen diese Basis nahezu unwirksam. Tatsächlich stellt diese Verordnung die sogenannte „Klickermüdgung“ in Frage. Hier ein Zitat:

‘Im digitalen Kontext benötigen viele Dienstleistungen personenbezogene Daten, um funktionieren zu können. Folglich erhalten die betroffenen Personen zahlreiche Einwilligungsaufforderungen, die jeden Tag durch Anklicken oder Wischen beantwortet werden müssen. Das kann zu einem gewissen Maß an Müdigkeit gegenüber dem Anklicken führen: wenn die betroffenen Personen zu häufig mit dem Einwilligungsmechanismus konfrontiert werden, nimmt seine warnende Wirkung ab.

Dies führt zu einer Situation, in der Ersuchen um Einwilligung nicht mehr gelesen werden. Dies stellt insbesondere für die betroffenen Personen ein Risiko dar, da üblicherweise um Einwilligung in Vorgänge ersucht wird, die ohne Einwilligung grundsätzlich rechtswidrig sind. Die DS-GVO verpflichtet die Verantwortlichen dazu, Wege zu finden, um dieses Problem zu lösen.’

In Bezug auf die Lösungen, die Unternehmen haben und die in Deinem Kommentar aufgeführt sind:
– Kein Google Analytics ist eine legitime Option für diejenigen, die auf der sicheren Seite sein wollen
– Google Analytics ohne Cookies löst meiner Meinung nach das Problem nicht. Google Analytics arbeitet mit oder ohne Cookies, aber ich denke, dass es noch schädlicher ist keine Cookies zu verwenden. Vor allem da dies bedeutet die Möglichkeit zu verlieren, einzelne Nutzer innerhalb von Google Analytics zu identifizieren und dem Auskunftsrecht so nicht nachkommen zu können.
– Nutzung von Google Analytics mit Gefahr auf eine Geldstrafe: Ich kenne ein paar solcher Fälle und ich glaube Du auch.
– Es gibt jedoch etwas Licht am Ende des Tunnels: Der Vorschlag zur ePrivacy Verordnung beinhaltet die Messung des Webpublikums als gültige Grundlage für den Einsatz von Trackern. Obwohl das nicht alles beinhalten wird was Google Analytics kann (z.B. Remarketing), ist es eine Verbesserung im Vergleich zu heute.

Mit freundlichen Grüßen
Nelson

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.