Der 25. Mai 2018 ist Stichtag – Ab diesem Datum muss die neue Datenschutzverordnung EU-weit umgesetzt werden. Viele Unternehmen sind jedoch noch verunsichert, in wie fern die DSGVO die Nutzung von Google-Produkten einschränkt. Um dies genau beurteilen zu können, ist es wichtig das Gesetz zu kennen und zu verstehen. Daher gibt es an dieser Stelle erst einmal eine kurze Einführung in die Grundsätze der Datenschutz-Grundverordnung.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung soll das Datenschutzrecht in der EU vereinheitlichen, denn bisher galten in den einzelnen EU-Staaten völlig unterschiedliche Datenschutzgesetze. Auch wenn die DSGVO für viele Länder der EU eine deutliche Verschärfung der Datenschutzrichtlinien bedeutet, ist die Umstellung für Deutschland nicht so massiv wie häufig propagiert.
Das Bundesdatenschutzgesetz (BDSG) und auch das Telemediengesetz (TMG) gehörten bisher zu den eher strengen Datenschutzgesetzen der EU, die Umstellung wird für Unternehmen in Deutschland also weniger gravierend ausfallen.
Die DSGVO ist eine generelle Datenschutzverordnung, welche den Umgang mit personenbezogenen Daten sowohl online als auch offline regelt. Eine Verordnung gilt nach EU-Recht verbindlich in allen Mitgliedsstaaten und muss nicht in ein nationales Gesetz überführt werden. Sie ist zudem auch ein erster Schritt, um das Datenschutzrecht an die veränderten Bedingungen im Rahmen der Digitalisierung anzupassen. Betroffen sind daher auch alle Unternehmen, die im Internet (personenbezogene) Daten über ihre Nutzer sammeln oder durch Dritte verarbeiten lassen, häufig mit Hilfe von Google Analytics und anderen Google-Diensten.
Ganz konkret regelt die DSGVO, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen und teilt die einzelnen beteiligten Akteure in unterschiedliche Kategorien:
Die betroffene Person
Jede natürliche Person, von der Daten gesammelt werden. Unter der DSGVO erhalten betroffene Personen deutlich mehr Rechte.
- Recht auf transparente Information: Der Verantwortliche stellt der betroffenen Person alle Informationen in Bezug auf die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung. Die Sprache sollte leicht verständlich sein, insbesondere dann, wenn sich Informationen an Kinder richten.
- Recht auf Auskunft: Die betroffene Person hat jederzeit das Recht einzusehen, ob und welche personenbezogenen Daten über sie gesammelt wurden und in welcher Form diese verarbeitet werden.
- Recht auf Datenübertragbarkeit: Macht die betroffene Person von ihrem Recht auf Auskunft Gebrauch, müssen ihr die Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
- Recht auf Berichtigung: Die betroffene Person kann jederzeit die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (auch „Recht auf Vergessenwerden“): Die betroffene Person kann jederzeit die unverzügliche Löschung aller personenbezogenen Daten verlangen.
- Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann vom Verantwortlichen die Beschränkung der Datenverarbeitung verlangen.
- Recht auf Widerspruch: Eine betroffene Person kann jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten einlegen.
Der Verantwortliche
Der Datenverantwortliche ist, wie der Name verrät, verantwortlich für die Sammlung, Speicherung und Verarbeitung der Daten. Er steht in einer direkten Nutzungsbeziehung zum Betroffenen und bestimmt „wie“ und „warum“ Daten verarbeitet werden. Bei diesen Daten handelt es sich daher in der Regel um First Party-Daten. Sobald Unternehmen personenbezogene Daten über ihre Kunden sammeln, sind sie als Verantwortlicher für den Schutz dieser verantwortlich.
Der Auftragsverarbeiter
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen und arbeitet nur auf Weisung.
Google Analytics und die DSGVO
Die DSGVO regelt den Umgang mit personenbezogenen Daten. Das heißt, nur wenn ihr auch ebensolche sammelt und verarbeitet, findet die DSGVO Anwendung. Personenbezogene Daten sind Daten, die den Nutzer direkt oder indirekt identifizierbar machen, also Name, Anschrift, E-Mail-Adresse, Kontodaten oder der Geburtstag. Aber auch die IP-Adresse zählt in Deutschland zu den personenbezogenen Daten. Google untersagt prinzipiell die Speicherung personenbezogener Daten in Analytics, wertet die IP-Adresse allerdings nicht als solche.
Im Rahmen der Nutzung von Google Analytics müssen daher unter der DSGVO die IP-Adressen anonymisiert werden. Dies funktioniert über das Einsetzen eines zusätzlichen Stückes Code in den Tracking-Code. In der Konsequenz werden die letzten Stellen der IP-Adresse anonymisiert, so dass keine Zuordnung mehr stattfinden kann und dementsprechend KEINE personenbezogenen Daten gespeichert werden.
Die Implementierung von Google Analytics sollte daher immer nach dem folgenden Schema durchgeführt werden:
- Es wird ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen. Dieser kann unter der DSGVO nun auch digital erfolgen und muss nicht mehr in Papierform versendet werden – Eine Arbeitserleichterung.
- Mit dem Tracking-Code wird auch die IP-Anonymisierung eingebunden.
- Die Datenschutzerklärung muss an die neuen Begebenheiten angepasst werden.
- Der Nutzer muss jederzeit von seinem Widerspruchsrecht Gebrauch machen können, z.B. durch ein Opt-out Cookie.
Aber Achtung: Unter Umständen, können personenbezogene Daten über URL-Parameter unbewusst in Google Analytics landen. Hier sollte genauer hingeschaut werden, damit es nicht zu unabsichtlichen Verstößen kommt – denn die können unter der DSGVO teuer werden und Google kann das Konto wegen Verstößen gegen die AGBs löschen.
Im Prinzip unterscheidet sich das Vorgehen also nicht sonderlich von der bisherigen Praxis.
Warum dann die Aufregung rund um die DSGVO?
Schwieriger wird die Sachlage, wenn personenbezogene Daten gesammelt und durch dritte Parteien weiterverarbeitet werden sollen, zum Beispiel im Rahmen von Remarketing-Kampagnen oder wenn Webanalyse-Daten mit personenbezogenen Kundendaten kombiniert werden.
In manchen Meldungen zur DSGVO werden hierzu förmlich Horrorszenarien heraufbeschworen, dabei gilt ein ganz einfacher Grundsatz:
Ihr möchtet personenbezogene Daten eurer Nutzer sammeln oder zur Verarbeitung an Dritte weitergeben? Dann bittet sie um Einwilligung! „Consent“ – im deutschen „Zustimmung“ – ist das Zauberwort der DSGVO. Denn gibt der Nutzer vor der Datenerhebung/-verarbeitung sein Einverständnis, dürft ihr die Daten auch weiterhin zu dem, in der Zustimmung festgelegten, Zweck nutzen.
Um personenbezogene Daten sammeln und verarbeiten zu können, muss die betroffene Person also in die Verarbeitung eingewilligt haben. Diese Praxis soll die Abläufe für die Nutzer transparenter machen und ihnen mehr Macht über die eigenen Daten geben.
Die Einwilligung ist zweckgebunden, ihr dürft die Daten also nur zu dem in der Einwilligung beschriebenen Zweck nutzen. Möchtet ihr darüber hinaus tätig werden, braucht ihr für jede Aktion eine erneute Zustimmung (siehe hierzu Art. 6 “Rechtmäßigkeit der Verarbeitungâ€). Neu ist dabei aber vor allem die erweiterte Rechenschaftspflicht des Verantwortlichen. Dieser muss die Einwilligungen seiner Nutzer dokumentieren und auf Anfrage durch die Behörden jederzeit vorweisen können.
Andere Google-Dienste
Im Falle von Google Analytics fungiert Google als Auftragsverarbeiter, dies gilt auch für Google Analytics 360 und die DoubleClick-Suite für Werbetreibende. Hier muss also vor der Nutzung ein Vertrag zur Datenverarbeitung mit Google geschlossen werden, die eigentliche Verantwortung für die Daten verbleiben bei dem Unternehmen, welches die Daten mit dem Google-Produkt sammelt und verarbeitet. Hierzu schickt Google momentan aktualisierte Allgemeine Geschäftsbedingungen für alle betroffenen Produkte an die Nutzer.
Google-Dienste wie AdWords, DoubleClick for Publishers, AdExchange und AdSense verwaltet Google hingegen als Verantwortlicher, denn Google nutzt hierfür eigene Nutzerdaten.
Bei der Nutzung dieser Dienste profitiert ihr zwar von den großen Datenmengen, die Google zur Verfügung stehen, die Daten werden jedoch nicht direkt mit euch geteilt, so dass Google hier keine personenbezogenen Daten an euch weitergibt. Die datenschutzrechtliche Beziehung besteht dann nur zwischen den betroffenen Personen und Google.
Alle Informationen rund um den Datenschutz in Bezug auf Unternehmenskunden findet ihr auch auf der Privacy-Seite von Google.
Fazit
Die DSGVO kommt und ja, sie wird Auswirkungen auf die Art, wie wir Daten sammeln, haben. Es besteht jedoch kein Grund zur Panik – Solange ihr keine personenbezogenen Daten eurer Nutzer erhebt, seid ihr auf der sicheren Seite. Personenbezogenen Daten hingegen dürfen nur noch unter Zustimmung der betroffenen Person gesammelt werden. Nutzt ihr Produkte von Google, so achtet darauf, ob ihr oder Google in der Vertragsbeziehung als Verantwortlicher fungiert und trefft entsprechende Maßnahmen zum Datenschutz.
Auch wenn alle Welt von der DSGVO redet: Viel relevanter wird für online tätige Unternehmen das Update der ePrivacy-Verordnung sein. Diese sollte ursprünglich zeitgleich mit der DSGVO in Kraft treten, verzögert sich nun aber auf unbestimmte Zeit. Diese Richtlinie soll explizit den Datenschutz und die Datenverarbeitung online regeln und gilt im jetzigen Entwurf als eine viel größere Herausforderung, da die Nutzung von Cookies z.B. zum Targeting in Frage gestellt wird. Wir halten euch auf dem laufenden – Meldet euch gerne zu unserem Newsletter an oder postet eure Fragen und Erfahrungen in den Kommentaren.