Funktionen in Google Analytics für den datenschutzkonformen Einsatz

Diese Woche haben alle Google Analytics Nutzer eine Mail von Google erhalten mit dem Betreff „Action required“. Es geht um Google Analytics und die DSGVO. Im Rahmen der Datenschutzgrundverordnung, die im Mai in Kraft tritt, ist festgelegt, dass personenbezogene Daten gelöscht werden müssen, wenn die Rechtsgrundlage der Verarbeitung wegfällt (mehr Infos dazu unter https://www.activemind.de/magazin/datenschutz-loeschkonzept/)

1. Personenbezogene Daten in Google Analytics

Zunächst noch einmal kurz erklärt, was denn personenbezogene Daten in Google Analytics sind. Wenn du nämlich jetzt denkst, du siehst gar keine personenbezogenen Daten in Google Analytics, dann musst du wissen, dass IP-Adressen sehr wohl als personenbezogene Daten gelten, auch wenn du selbst vielleicht unmittelbar gar nichts damit anfangen könntest. Gemäß den Google-Richtlinien dürfen aber keine personenbezogenen Daten an Google gesandt werden. Das Problem wird dann akut, wenn du beispielsweise Daten in Google Analytics hochlädst, User-Ids aktiviert hat oder die Anonymisierungsfunktion in Google Analytics nicht aktiviert ist. Häufig passiert es auch unabsichtlich, dass personenbezogene Daten in einer URL beim Ausfüllen eines Formulars übertragen werden, z.B. bei einem Kaufprozess.

Wie das Sammeln von personenbezogenen Daten unterbunden werden kann, wird hier beschrieben: https://www.metrika.de/blog/web-analytics/personenbezogene-daten-pii-analytics/.

2. Datenaufbewahrung in Google Analytics

In Google Analytics steht ab dem 25.05.2018 ein Tool zur Verfügung, mit dem der Zeitrahmen für die Löschung von Daten (z.B. Website-Besucher, Ereignisdaten) festgelegt werden kann. Du findest es unter Verwaltung/Property-Einstellungen/Tracking-Informationen/Datenaufbewahrung.

Löschung von Daten in Google Analytics

Wenn Du also jetzt z.B. 26 Monate einstellst, werden die Nutzerdaten am Ende dieses Zeitraums gelöscht und dann monatlich die jeweils angesammelten Daten.

Bei neuer Aktivität zurücksetzen“ bedeutet, dass die Aufbewahrungsdauer der Nutzer-ID jedes Mal, wenn der Nutzer die Website besucht, zurückgesetzt werden soll. Kommt also ein Nutzer monatlich auf die Website, beginnt die Aufbewahrungsfrist von neuem und seine Daten würden erst gelöscht, wenn die Website z.B. 26 Monate nicht mehr besucht.

Standardmäßig sind derzeit 26 Monate eingestellt und die Funktion „bei neuer Aktivität zurücksetzen“ automatisch aktiviert. Wenn du das nicht möchtest, muss du aktiv werden. Ansonsten ist keine „Action required“. Generell wird von Rechtsanwälten empfohlen, die Zeit so kurz wie möglich zu setzen, also auf 14 Monate. Für die meisten Berichterstellungsfunktionen, die sich auf aggregierte Daten beziehen, hat diese Einstellung keine Auswirkung.

3. Update des Vertrags zur Auftragsverarbeitung mit Google

In den Kontoeinstellungen findest du den Zusatz zur Datenverarbeitung, den du akzeptieren solltest. Einen Vertrag solltest du bereits abgeschlossen haben, wenn du Google Analytics schon jetzt einsetzt. Nach dem 25.05.2018 reicht der Abschluss des Auftragsverarbeitungsvertrags per Mausklick (siehe: https://drschwenke.de/google-analytics-datenschutz-zusatz-zur-datenverarbeitung)

Zusatz zur Datenverarbeitung Google Analytics

Momentan sieht die Eingabemaske noch so aus, ich könnte mir vorstellen, dass es zum Inkrafttreten der DSGVO hier nicht mehr „Zusatz“ heißt, sondern der Vertrag hier direkt abgeschlossen werden kann.

4. Zusätzliche Informationen zum Datenschutz

Wie Google Analytics generell datenschutzkonform mit WordPress umgesetzt werden kann, habe ich hier in dem laufend aktualisierten Artikel beschrieben: https://tusche-online.de/google-analytics-fuer-wordpress-websites/

Google stellt hier eine ausführliche Beschreibung auf Deutsch hinsichtlich des Datenschutzes für Unternehmen zur Verfügung: https://privacy.google.com/businesses/

Eine ebenfalls auf Deutsch verfasste Beschreibung wie Google den Datenschutz von Google Analytics regelt, ist hier zu finden: https://support.google.com/analytics/answer/6004245

Hinter dem in der Mail erwähnten Link https://privacy.google.com/businesses/processorterms/ findest du übrigens alle Informationen zum Thema Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte.

Ich verstehe, dass man nicht wirklich Lust hat, sich durch diese Texte zu quälen, aber es ist trotzdem ganz interessant zu erfahren, warum man eigentlich einen Vertrag mit Google abgeschlossen hat und was hinter der Auftragsdatenvereinbarung steckt und wie Google den Datenschutz generell regelt.

Wie gehst du mit dem Thema DSGVO bezüglich Google Analytics um? Hinterlasse mir gerne deine Kommentare!