Der Einsatz von Google Analytics ist mit der DSGVO (Datenschutzgrundverordnung) an bestimmte Voraussetzungen gebunden. Datenschutz und Google Analytics standen schon länger in einem Spannungsfeld. Spätestens seit dem EuGH-Urteil zum Tracking ist bei Google Analytics ein Opt-in vorgesehen. In diesem Zusammenhang ist unter anderem die Frage nach der Verarbeitung von Google- Analytics-Cookies von Bedeutung. Bei der rechtssicheren Einbindung von Google Analytics finden Sie Unterstützung durch Consent-Management-Provider (CMPs). Mit Cookie-Consent-Lösungen tragen Sie zum Datenschutz in Google Analytics bei.
Google Analytics im Überblick: Stellenwert des Datenschutzes
Die Mehrheit größerer Webseiten setzt auf Analyse-Tools, um Rückschlüsse auf das Verhalten der Besucher zu erhalten. Das mit Abstand beliebteste Nutzeranalyse-Werkzeug ist Google-Analytics. Wie aus verschiedenen Statistiken hervorgeht, kommt dieses Tool je nach Erhebung auf etwa der Hälfte aller Webseiten zur Anwendung. Diese Beliebtheit hängt zum einen damit zusammen, dass Google Zugriff auf besonders viele Nutzerdaten hat. Zum anderen rührt die Beliebtheit daher, dass ein großer Funktionsumfang von Google Analytics kostenlos für alle Anwender ist.
Zur Auswertung der Nutzerdaten benutzt Google Analytics Cookies. Diese kleinen Dateien werden im Browser der Besucher abgelegt. Anwender haben hierbei zahlreiche Optionen, unterschiedliche Daten nach angepassten Einstellungen zu erheben. Google Analytics ermöglicht es den Webseiten-Betreibern anschließend, die Daten nach verschiedenartigen Parametern aufzubereiten und auszuwerten. Auf dieser Basis lassen sich wertvolle Kennzahlen wie Seitenaufrufe, Nutzerverhalten oder Verweildauer auf der Seite nachvollziehen. Ebenso ermöglicht Google Analytics, einzelne Aktionen genau nachzuvollziehen, darunter die Anmeldung zu einem Newsletter oder den Download bestimmter Dateien. Mittels Optionen des Conversion-Trackings lässt sich ablesen, an welchen Punkten Besucher zu Kunden werden. Dies legt Optimierungs-Potenzial offen und trägt zu einer fortlaufenden Verbesserung der Seiten-Performance bei.
Aus Perspektive des Datenschutzes sind die Unmengen an Daten, die Google Analytics hierbei erhebt und auswertet, kritisch zu beurteilen. Datenschützer monieren insbesondere die Speicherung und Übermittlung vollständiger IP-Adressen der Besucher an Google (direkt in die USA). Weiterhin kritisieren Datenschützer, dass Google im Rahmen seiner Datenschutzbestimmungen keine hinreichende Aufklärung darüber bietet, welche Daten der Seiten-Besucher überhaupt erhoben, gespeichert und übertragen werden.
Gerade aufgrund des Zugriffs auf viele Nutzerdaten ist der Datenschutz in Google Analytics schon lange umstritten. Mit Inkrafttreten der DSGVO (auch GDPR: General Data Protection Regulation) und noch mehr seit dem EuGH-Urteil zu Cookies von 2019 ist der rechtssichere Einsatz von Google Analytics an bestimmte Voraussetzungen gebunden. Bei fehlender Abstimmung von Google Analytics mit der DSGVO droht Seitenbetreiber die Konsequenz empfindlicher Abmahnungen oder Bußgelder.
Google Analytics: Rechtlicher Hintergrund (DSGVO und EuGH-Urteil)
Eine Abstimmung von Google Analytics mit der DSGVO wird spätestens seit Inkrafttreten der letzteren unabdingbar. Datenschutzbehörden drohten Website-Betreibern für die Nutzung dieses Tools bereits in der Vergangenheit mit Bußgeldern. Vor der DSGVO war Google Analytics auch ohne Einwilligung nutzbar, sofern nur wenige Vorgaben eingehalten wurden (beispielsweise IP-Anonymisierung und AV-Vertrag). Mit der DSGVO verbunden war die Hoffnung, dass die Frage nach der Einwilligung erst mit der ePrivacy- Verordnung ihre Regelung findet. Betreiber von Webseiten wollten sich bis dahin hinsichtlich der Erhebung von Google-Analytics-Cookies auf das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO berufen.
Eine wichtige Änderung kam mit dem EuGH-Urteil von 2019 in der Rechtssache Planet49 (Az.: C-673/17). Mit dem Urteil gehen klare Angaben einher, was die Einwilligung in die Nutzung von Google-Analytics- Cookies und anderen Cookies betrifft. Die Ausgestaltung der Einwilligung sollte so aussehen, dass Besucher der Nutzung der Google-Analytics-Cookies zunächst ausdrücklich zustimmen müssen. Daher ist Google Analytics auf Opt-in angewiesen: Nutzer müssen zunächst freiwillig zustimmen, bevor ein Betreiber überhaupt Google-Analytics-Cookies erheben und verarbeiten darf. Eine Ausnahme besteht hinsichtlich Cookies, die zwingend erforderlich sind zur technischen Funktionsweise der Seite.
Der EuGH wies in seinem Urteil darauf hin, dass schon nach der ePrivacy-Verordnung (Art. 5, Abs. 3) eine Einwilligung selbst in nicht zwingend notwendige Cookies vorgesehen war. Schon aus früherer Rechtsprechung sind vergleichbare Aussagen des EuGH bekannt.
Die rechtlichen Voraussetzungen des Einsatzes von Google-Analytics-Cookies ist mit Beschluss vom 12.05.2020 durch das Koordinationsgremium der deutschen Datenschutzaufsichtsbehörden (DSK) neu bewertet worden. Mit diesem Beschluss gibt es gleichermaßen eine Ergänzung der Orientierungshilfe für Telemedien-Anbieter. Diese Orientierungshilfe erläutert verschiedene Einstellungen beim Google- Analytics-Einsatz im Sinne einer rechtssicheren Verwendung.
Rechtssicherer Einsatz von Google Analytics: Maßnahmen für Webseiten-Betreiber
Wer als Website-Betreiber etwa im Medien-Bereich oder im E-Commerce weiterhin auf Google Analytics setzt, ist gut beraten bestimmte Maßnahmen umzusetzen, die eine Rechtssicherheit des Tracking-Tools gewähren.
Gewährleistung von Transparenz in den Datenschutzbestimmungen
Website-Betreiber sollten in den Datenschutzbestimmungen eine umfassende Aufklärung über die Verwendung und Verarbeitung personenbezogener Daten bieten. Diese Transparenz ist gemäß Art. 13 DSGVO zu gewährleisten, damit eine Abstimmung von Google Analytics mit der DSGVO möglich ist.
Hinsichtlich der konkreten Anforderungen der Informationspflicht verweisen Datenschutzexperten auf die Leitlinie zur Transparenz des Europäischen Datenschutzausschusses. Bei der Anpassung der Datenschutzerklärung ist unter Berücksichtigung der DSK-Anforderungen nach Art. 12 und 13 DSGVO mindestens der folgende Informationsgehalt anzugeben: Der Umfang der Datenerhebung ist deutlich zu kommunizieren. Weiterhin muss die Datenschutzerklärung Rückschluss darauf geben, auf welcher Rechtsgrundlage die Datenerhebung erfolgt. Ebenso muss in der Datenschutzerklärung erläutert werden, um
welche Speicherdauer der Daten es sich handelt. In diesem Zusammenhang sollten auch die
Kriterien zur Festlegung der Speicherdauer offengelegt werden. Ebenso sollte die Datenschutzerklärung einen Hinweis auf das Widerrufsrecht sowie dessen Umsetzung geben.
IP-Adresse kürzen
Als weitere Maßnahme zur Abstimmung von Google Analytics mit der DSGVO sollten Betreiber einer Webseite mit diesem Tracking-Tool eine Kürzung der IP-Adresse veranlassen. Dies lässt sich umsetzen durch eine Ergänzung des Tracking-Codes um den Befehl „_anonymizeIp()“ . Dies bezieht sich auf jede Internetseite, die über eine Google-Analytics-Einbindung verfügt. Technische Details zu dieser Art der Kürzung der IP-Adresse lassen sich direkt einer Anleitung auf der Developers-Seite von Google entnehmen.
Die Kürzung der IP-Adresse ist eine wichtige Maßnahme zum Schutz der Nutzer gemäß Art. 25 Abs. 1 DSGVO. Dennoch genügt die alleinige Kürzung der IP-Adresse nicht, um eine anonymisierte Datenverarbeitung zu gewährleisten. Die Anwendung von Google Analytics ist neben der reinen IP-Adresse mit der Erhebung zahlreicher weiterer Nutzungsdaten verbunden. Dazu gehören personenbezogene Daten, wie sie etwa als Identifizierungsmerkmale der Anwender zum Einsatz kommen (zum Beispiel im Sinne der Verknüpfung mit einem vorhandenen Google-Account).
Daher sind auch nach der Kürzung der IP-Adresse weitere Anforderungen zur Abstimmung von Google Analytics mit der DSGVO zu beachten. Ebenso ist in der zuvor erwähnten Datenschutzerklärung ein Hinweis darüber anzugeben, ob eine Kürzung der IP-Adresse veranlasst wurde.
Festlegung der Aufbewahrungsdauer der Daten
Im Sinne der Abstimmung von Google Analytics mit der DSGVO ist weiterhin genau festzulegen, welche Aufbewahrungsdauer für die Daten vorgesehen ist. Google Analytics beinhaltet bestimmte Steuerelemente zur Aufbewahrung der Daten. Die standardmäßige Voreinstellung ist so ausgelegt, dass es automatisch zu einer Speicherung der Nutzerdaten und Ereignisdaten von 26 Monaten kommt. Oft ist der Button „Bei neuer Aktivität zurücksetzen“ in den Standardeinstellungen deaktiviert. Zur Abstimmung von Google Analytics mit der DSGVO (vergleiche Art. 25: Datenschutz durch Technikgestaltung) sollte dieser Button deaktiviert werden. Die Aufbewahrungsdauer der Daten sollte auf 14 Monate beschränkt bleiben.
Zur Änderung der Aufbewahrungsdauer der Daten sollte unter dem Reiter „Verwaltung“ die zu bearbeitende Property ausgewählt werden. In der entsprechenden Spalte „Property“ lassen sich unter „Tracking- Informationen – Datenaufbewahrung“ Einstellungen zur Dauer der Aufbewahrung vornehmen. Nachdem hier eine andere Einstellung gewählt wurde, ist daran zu denken, die Datenschutzerklärung an diese Modifikationen anzupassen.
Ausdrückliche Einwilligung in die Nutzung der Cookies
Eine der wichtigsten Voraussetzungen zur rechtssicheren Gestaltung der Nutzung von Google Analytics ist die Gewährleistung eines durchdachten Cookie-Consents. Eine Einwilligung der Besucher in die Nutzung von Google Analytics und Cookies muss dabei bestimmte Angaben enthalten: zunächst muss die Überschrift klar und eindeutig formuliert sein. Aus ihr muss hervorgehen, dass der Nutzer nach seiner Einwilligung der Datenverarbeitung durch Google zustimmt. Weiterhin müssen Nutzer darüber aufgeklärt werden, dass im Rahmen der Datenverarbeitung personenbezogene Daten sowie Daten zum Nutzungsverhalten auf der Webseite an Google übertragen werden. Ebenso soll die Einwilligungs- Aufforderung genaue Informationen darüber enthalten, um welche Arten von Daten es sich hierbei handelt.
Weiterhin ist die Information von Relevanz, dass die Verarbeitung der erhobenen Daten hauptsächlich durch Google erfolgt. Hierbei ist zu betonen, dass der Betreiber der Website diesbezüglich keinen Einfluss auf die Datenverarbeitung hat. Google verarbeitet die Daten zu eigenen Zwecken (beispielsweise Profilbildung).
Zudem ist die Information wichtig, ob die erhobenen Daten auch mit aus anderen Quellen stammenden Informationen verknüpft werden können. Zu ergänzen ist zudem die Information, ob es sich um eine Speicherung der Daten in den USA handelt und ob möglicherweise staatliche Behörden einen Zugriff auf diese Daten haben.
Technische Anforderungen an die Einwilligung und den Widerruf
Die Einwilligungs-Option darf weiterhin keine allumfassende Einwilligung in die Cookie-Nutzung darstellen. Eine wichtige technische Voraussetzung für die Einwilligung ist die aktive Einbindung des Nutzers. Der Nutzer muss die Möglichkeit haben, der Datennutzung aktiv zuzustimmen. Dies schließt vor- angekreuzte Kästchen oder Checkboxen aus!
Damit verbunden ist die Voraussetzung, dass das Tracking-Tool und entsprechende Google-Analytics- Cookies erst aktiv werden können, nachdem Nutzer aktiv eingewilligt haben. Vorher dürfen Google Analytics Cookies nicht gesetzt werden.
Die Daten dürfen erst erhoben werden, nachdem Nutzer aktiv ihr Häkchen gesetzt haben. Weiterhin muss diese Einwilligung freiwillig sein. Damit verbunden ist auch die Möglichkeit für Nutzer, die Einwilligung jederzeit zu verweigern.
Weiterhin ist technisch zu gewährleisten, dass Nutzern im Falle einer Nicht-Einwilligung keine Nachteile entstehen. Für die Gewährleistung und Umsetzung der Einwilligung sind Nutzern übersichtliche und nutzerfreundliche technische Lösungen bereitzustellen. Eine Möglichkeit hierfür bieten Consent-Tools. Diese sollten auch nach einer bereits erfolgten Einwilligung jederzeit die Möglichkeit bieten, diese Einwilligung wieder zu widerrufen. Auch in sämtlichen Apps oder Cookie-Consent-Lösungen muss es in den Einstellungen eine leicht zugängliche Möglichkeit für einen wirksamen Widerruf geben.
Grundsätzlich bietet Google ein Browser Add-on, welches die Deaktivierung von Google Analytics erwirkt. Es ist zu berücksichtigen, dass es nicht hinreichend ist, Nutzer auf dieses Add-on zu verweisen. Dies bietet Nutzern keine ausreichende Widerrufsmöglichkeit. Nach Art. 7 Abs. 3 S.4 DSGVO muss der Widerruf der Einwilligung ebenso einfach ausgestaltet sein wie die Einwilligung. Das Google-Add-on genügt diesen Anforderungen nicht, da es vom Nutzer erst den Download eines Programms in Form des Add-ons abverlangt.
Stellenwert des Opt-in-Verfahrens
Eine aktive und ausdrückliche Einwilligung in die Nutzung der Google-Analytics-Cookies ist auch als Opt- in-Verfahren bekannt. Die Ausgestaltung der Einwilligung in die Nutzung muss spätestens seit dem EuGH- Urteil zu Cookies als echtes Google-Analytics-Opt-in ausgestaltet sein. Grundsätzlich ist bereits seit den Datenschutz-Richtlinien der EU von 2009 vorgesehen, dass Webseiten-Nutzer nach ihrer Einwilligung gefragt werden. Bislang legten viele Betreiber diese Einwilligung jedoch als Opt-out aus. In der Praxis bedeutet dies, dass ohne Zutun des Nutzers Cookies erhoben werden. Besucher haben lediglich die Möglichkeit, die Cookie-Erhebung zu unterbinden. Nach dem EuGH-Urteil zu Cookies darf eine Webseite keine Cookies mehr setzen, bevor die ausdrückliche und aktive Zustimmung des Besuchers erfolgt ist. Das heißt, Google-Analytics-Cookies können nur noch dann überhaupt gesetzt werden, nachdem der Besucher dafür optiert (Opt-in).
CMP: Consent-Management-Lösungen für Websites und ihre Vorteile
Für Website-Betreiber und Unternehmen ist es wichtig, rechtzeitig Vorkehrungen für wirksamen Consent in die Nutzung von Google Analytics zu schaffen. Consent-Management-Banner informieren einerseits Nutzer umfassend über die Nutzung der Daten und fordern sie gleichzeitig zur Einwilligung auf.
Die technische Realisation eines rechtssicheren Cookie-Managements profitiert von so genannten Consent-
Lösungen. Ein guter Consent-Manager berücksichtigt sowohl die Vorgaben aus DSGVO und dem EuGH- Urteil als auch ein positives Nutzererlebnis. Zu den wichtigsten Aspekten einer positiven User Experience gehören eine hohe Verweildauer und eine hohe Akzeptanz Rate. Entsprechend ist die Absprung-Rate oder Bounce-Rate möglichst niedrig zu halten. Gute Consent-Management-Lösungen tragen dazu bei, die Akzeptanz-Rate zu erhöhen und gleichermaßen die Bounce-Rate zu minimieren. Damit sorgen sie für eine gute Performance der Website und leisten ihren Beitrag zur Kundengewinnung und Kundenbindung.
Eine durchdachte Consent-Management-Lösung gibt einen Echtzeit-Überblick über Akzeptanz- und Absprung-Raten. Damit lassen sich wertvolle Rückschlüsse auf die aktuelle Website-Performance und entsprechendes Verbesserungs-Potenzial gewinnen.
Consent-Lösungen sind international ausgerichtet. Das ausgespielte Banner erscheint automatisiert in der jeweiligen Sprache des Landes im DSGVO-Raum, von dem aus auf die Website zugegriffen wird. Insgesamt spielt der Consent-Management-Provider die Informationen in 29 Sprachen aus. Ebenso versteht sich eine responsive Ausgestaltung und Anpassung bei einer modernen Consent-Lösung von selbst. Die Consent- Lösung berücksichtigt dabei Endgerät, Betriebssystem und Bildschirmgröße und spielt das Consent-Banner dahingehend optimiert aus.