DSGVO & Google Analytics – Ist ein Handlungsbedarf vorhanden?

(Update vom 25.05.2018)

 

Nutzer von Google Analytics müssen im Rahmen der Datenschutzgrundverordnung der EU (DSGVO) bis zum 25. Mai 2018 Anpassungen vornehmen. Dieser Beitrag gibt eine Übersicht über die wichtigsten Anpassungen für alle, die Google Analytics verwenden.

 

Ist Ihr Unternehmen betroffen?

Vorerst müssen sich nur Schweizer Unternehmen an die DSGVO halten, die personenbezogene Daten von natürlichen Personen im EU Raum für Werbung und Remarketing verarbeiten, insbesondere:

  • natürlichen Personen in der EU Produkte oder Dienstleistungen anbieten (entgeltlich oder unentgeltlich).
  • das Verhalten von Nutzern ihrer Website/App aus der EU analysieren.
  • an der Datenverarbeitung von EU-Unternehmen teilnehmen (z.B. als Auftragsverarbeiter oder als Schweizer Konzerngesellschaft)

 

Ich bin betroffen. Was muss ich tun mit welchem Empfehlungsgrad?

6 Schritte in der Übersicht:

  • Cookie Hinweis auf Website implementieren (Empfehlung dotpulse: Ja, aber aus rechtlicher Sicht kein Must)
  • Datenschutzerklärung auf der Website angeben / überarbeiten (Empfehlung dotpulse: Ist ein Must)
  • Double Opt-in für Newsletter Anmeldungen (Empfehlung dotpulse: Ist ein Must, wenn Subscriber sich über eine Web-Form anmelden können)
  • IP Anonymisierung in Google Analytics (Empfehlung dotpulse: Ist ein Must)
  • ADV-Zustimmung in Google Analytics (Empfehlung dotpulse: Ist ein Must)
  • Aufbewahrungsdauer in Google Analytics definieren (Empfehlung dotpulse: muss manuell definiert werden, wenn Daten länger als der Default von 26 Monaten gespeichert werden sollen)

 

Cookie Hinweis

Das Einrichten eines Cookie Hinweises ist aus rechtlicher Sicht nicht zwingend, aber wir empfehlen es. Beim Öffnen der Website erscheint ein Pop-up-Fenster mit diesem möglichen Text:

Wir verwenden Cookies, um unsere Webseite für Sie möglichst benutzerfreundlich zu gestalten. Wenn Sie fortfahren, nehmen wir an, dass Sie mit der Verwendung von Cookies auf xxxx.xx Webseite einverstanden sind.

Die Besucher akzeptieren mit „OK“ und können auf einen Link zur Datenschutzerklärung der Website gelangen.

 

Datenschutzerklärung

Die Datenschutzerklärung muss gemäss der DSGVO angepasst werden. Tools, die zur Datensammlung eingesetzt werden, sollen beschrieben werden.

Die Datenschutzerklärung sollte folgende Punkte enthalten:

  • Hinweis zu Widerspruchsmöglichkeit
  • Hinweis zur Speicherung bei einem externen Dienstleister (Google) im Ausland (USA) und Hinweis zur Vertragsbeziehung zwischen Ihnen und dem Dienstleister (Auftragsdatenverarbeiter)
  • Speicherdauer der erhobenen Daten
  • Zweck bzw. die Rechtsgrundlage der Datenerhebung
  • Umfang der Datenerhebung bzw. Auflistung der erhobenen Daten (ggf. inklusive Hinweis auf IP-Anonymisierung)

Die genauen Änderungen, die Sie in Ihrer Datenschutzerklärung im Bezug auf Google Analytics machen sollten, finden Sie hier als Mustervorlage.

 

Double Opt-in

Double Opt-in ist ein Verfahren im Online-Marketing, bei dem die Empfänger eines Newsletters oder Unternehmensinformationen ihre Zustimmung zum Erhalt zusätzlich in einem zweiten Schritt bestätigen. Damit stellt man sicher, dass die Person selbst den Newsletter abonniert hat. Diese Massnahme ist nur zwingend, wenn Subscriber sich via einem Formular auf Ihrer Website für den Newsletter anmelden können.

Melden sich die Subscriber nicht via einem Formular auf Ihrer Website für den Newsletter an, sondern Sie importieren die Kontaktdaten zum Beispiel über ein CRM-Tool in die Datenbank, ist ein Double Opt-in nicht zwingend. In diesem Fall ist die Herkunft der Adresse und der Bezug nachvollziehbar.

Die Verwendung eingekaufter Adresslisten empfehlen wir nicht, da die auf keinem gemeinsamen Bezug fussen.

 

IP Anonymisierung

Ein Tracking Code ist ein kleiner Code, der meist als JavaScript in den HTML-Quellcode einer Webseite implementiert wird. Diese Codezeilen ermöglichen es Advertisern, Webmaster und Marketern, die Besucherströme auf Webseiten und die Aktivitäten der Nutzer zu analysieren. Wenn entsprechende Codes eingesetzt werden, müssen die Datenschutzbestimmungen angepasst werden. Mittels einer minimalen programmiertechnischen Anpassung kann die IP-Adresse anonymisiert werden. Dieses Anpassung ist ein Must.

 

Code Vorlage für die IP-Anonymisierung

Damit die IP Adressen anonymisiert werden ist das Google Analytics Tracking Script zu erweitern.

<script> 
    var gaProperty = 'UA-XXXXXXXX-X'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Das Tracking ist jetzt deaktiviert'); 
    } 
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ 
            (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), 
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) 
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); 

    ga('create', 'UA-XXXXXXXX-X', 'auto'); 
    ga('set', 'anonymizeIp', true); 
    ga('send', 'pageview'); 
</script>

Die rot-markierte Tracking-ID ist zu ändern. Sollten Sie noch das veraltete „Klassische Analytics“ verwenden, finden Sie Informationen zur IP-Anonymisierung hier.

 

Opt-Out Möglichkeiten bieten

Google hat ein Deaktivierungs-Add-on entwickelt, mit welchem der User die Erfassung seiner Daten verhindern kann. Dieses kann bei Google hier oder direkt im Browser als Extension heruntergeladen werden. Ein Hinweis darauf sollte im Impressum Ihrer Webseite zu finden sein.

Opt-out Browser Add-on für Google Analytics

 

Google Tag Manager (GTM)

GTM Nutzer können das  Google Analytics Opt-Out Link im Google Tag Manager einfach einbinden und den Zusatz zur Datenvereinbarung online akzeptieren. Vorgehen für das Akzeptieren des Zusatz zur Datenvereinbarung für GTM Nutzer.

  1. Tab Verwaltung aufrufen.
  2. Kontoeinstellungen öffnen.
  3. Das Feld „Daten anonym an Google und andere weitergeben“ aktivieren.
  4. Den Link „Zusatz zur Datenverarbeitung anzeigen“ anklicken und den Vertrag akzeptieren.

 

ADV Zustimmung (Datenverarbeitung im Auftrag)

Die EU-Aufsichtsbehörden sind der Ansicht, dass der Websitebetreiber beim Einsatz von Google Analytics Auftraggeber ist und Google Auftragnehmer. Darum hat der Auftraggeber mit Google einen Vertrag zur Auftragsverarbeitung, eine Nutzungsvereinbarung, abzuschliessen.

Für Kunden in der Schweiz ist dies leicht vorzunehmen, sprich kann elektronisch erfolgen, ein Klick im Konto genügt.

Kunden z.B. aus Deutschland müssen die Nutzungsvereinbarung ausdrucken, unterschreiben und an Google schicken. ADV-Vertrages von Google. Achtung: Handschriftliche Ergänzungen auf diesem Ausdruck sind einseitig und daher nicht rechtsverbindlich.

Mehr Informationen zum Thema ADV Zustimmung und eine Anleitung für die elektronische Zustimmung finden Sie hier.

 

Festlegen der Aufbewahrungsdauer

Wenn Cookies- und Werbe-IDs zur Nutzerkennung für Werbung, Remarketing etc. im Einsatz und mit Google Analytics verknüpft sind, ist festzulegen, wie lange diese Daten in Google Analytics zu speichern sind. Es stehen folgende Möglichkeiten zur Auswahl:

  • 14 Monate
  • 26 Monate
  • 38 Monate
  • 50 Monate
  • Nicht automatisch löschen

Nach Ablauf des Zeitraums löscht Google automatisch ausschliesslich die Daten auf Nutzer- und Ereignisebene von den Servern. Die Daten zur Website-Nutzung sind von der Löschung ausgeschlossen!

 

Die Änderung der Aufbewahrungsdauer

  1. Bei “Verwaltung” auf die Proberty (mittlere Spalte) klicken, die bearbeitet werden soll.
  2. In der Spalte “Proberty” auf “Tracking-Informationen” klicken, danach auf “Datenaufbewahrung”.
  3. Die passende Zeitspanne der Datenaufbewahrung auswählen und speichern.

Weitere Informationen von Google

1. Schritt: Einrichtung Aufbewahrungsfrist von Nutzer- & Ereignisdaten

 

2. Schritt: Einrichtung Aufbewahrungsfrist von Nutzer- & Ereignisdaten

 

Was ist bei der Nutzung von Facebook und Linkedin zu tun?

Wenn Sie als Unternehmen Werbung auf Facebook oder Linkedin schalten, können Sie das weiterhin so tun, wie gewohnt, sofern der Cookie Hinweis auf der Website aktiv ist.

 

Wie weiter?

Gerne sind wir von dotpulse bei der technischen Umsetzung der notwendigen Anpassungen und der Webseite behilflich.

Für Sie zuständig sind Diego Beck und Marc Rufener, Sie erreichen uns per Mail oder telefonisch unter .

 

 

Disclaimer

Dieser Blogbeitrag bezieht sich hauptsächlich auf die Veränderungen in Google Analytics, die sich durch die DSGVO ergeben. Wenn Sie Unterstützung zu Einstellungen benötigen oder weitere Fragen zur DSGVO haben, dann wenden Sie sich bitte ungeniert bei uns.

Hinweis: Wir weisen Sie darauf hin, dass dieser Artikel keine Rechtsberatung darstellt und wir für rechtliche Folgen keinerlei Gewähr übernehmen. Für rechtlich geltende Auskünfte raten wir Ihnen, sich an einen Rechtsexperten zu wenden. Zudem kann nicht ausgeschlossen werden, dass Gesetzesänderungen noch weitere Anpassungen erfordern.

 

Quellenverzeichnis für Google Analytics

 

Quellenverzeichnis für Facebook

 

Quellenverzeichnis für LinkedIn