Inhaltsverzeichnis
Was ist die DSGVO?
Die Datenschutz-Grundverordnung soll das Datenschutzrecht in der EU vereinheitlichen, denn bisher galten in den einzelnen EU-Staaten völlig unterschiedliche Datenschutzgesetze. Auch wenn die DSGVO für viele Länder der EU eine deutliche Verschärfung der Datenschutzrichtlinien bedeutet, ist die Umstellung für Deutschland nicht so massiv wie häufig propagiert. Das Bundesdatenschutzgesetz (BDSG) und auch das Telemediengesetz (TMG) gehörten bisher zu den eher strengen Datenschutzgesetzen der EU, die Umstellung wird für Unternehmen in Deutschland also weniger gravierend ausfallen. Die DSGVO ist eine generelle Datenschutzverordnung, welche den Umgang mit personenbezogenen Daten sowohl online als auch offline regelt. Eine Verordnung gilt nach EU-Recht verbindlich in allen Mitgliedsstaaten und muss nicht in ein nationales Gesetz überführt werden. Sie ist zudem auch ein erster Schritt, um das Datenschutzrecht an die veränderten Bedingungen im Rahmen der Digitalisierung anzupassen. Betroffen sind daher auch alle Unternehmen, die im Internet (personenbezogene) Daten über ihre Nutzer sammeln oder durch Dritte verarbeiten lassen, häufig mit Hilfe von Google Analytics und anderen Google-Diensten. Ganz konkret regelt die DSGVO, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen und teilt die einzelnen beteiligten Akteure in unterschiedliche Kategorien:Die betroffene Person
Jede natürliche Person, von der Daten gesammelt werden. Unter der DSGVO erhalten betroffene Personen deutlich mehr Rechte.- Recht auf transparente Information: Der Verantwortliche stellt der betroffenen Person alle Informationen in Bezug auf die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung. Die Sprache sollte leicht verständlich sein, insbesondere dann, wenn sich Informationen an Kinder richten.
- Recht auf Auskunft: Die betroffene Person hat jederzeit das Recht einzusehen, ob und welche personenbezogenen Daten über sie gesammelt wurden und in welcher Form diese verarbeitet werden.
- Recht auf Datenübertragbarkeit: Macht die betroffene Person von ihrem Recht auf Auskunft Gebrauch, müssen ihr die Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
- Recht auf Berichtigung: Die betroffene Person kann jederzeit die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (auch „Recht auf Vergessenwerden“): Die betroffene Person kann jederzeit die unverzügliche Löschung aller personenbezogenen Daten verlangen.
- Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann vom Verantwortlichen die Beschränkung der Datenverarbeitung verlangen.
- Recht auf Widerspruch: Eine betroffene Person kann jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten einlegen.
Der Verantwortliche
Der Datenverantwortliche ist, wie der Name verrät, verantwortlich für die Sammlung, Speicherung und Verarbeitung der Daten. Er steht in einer direkten Nutzungsbeziehung zum Betroffenen und bestimmt „wie“ und „warum“ Daten verarbeitet werden. Bei diesen Daten handelt es sich daher in der Regel um First Party-Daten. Sobald Unternehmen personenbezogene Daten über ihre Kunden sammeln, sind sie als Verantwortlicher für den Schutz dieser verantwortlich.Der Auftragsverarbeiter
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen und arbeitet nur auf Weisung.Google Analytics und die DSGVO
Die DSGVO regelt den Umgang mit personenbezogenen Daten. Das heißt, nur wenn ihr auch ebensolche sammelt und verarbeitet, findet die DSGVO Anwendung. Personenbezogene Daten sind Daten, die den Nutzer direkt oder indirekt identifizierbar machen, also Name, Anschrift, E-Mail-Adresse, Kontodaten oder der Geburtstag. Aber auch die IP-Adresse zählt in Deutschland zu den personenbezogenen Daten. Google untersagt prinzipiell die Speicherung personenbezogener Daten in Analytics, wertet die IP-Adresse allerdings nicht als solche. Im Rahmen der Nutzung von Google Analytics müssen daher unter der DSGVO die IP-Adressen anonymisiert werden. Dies funktioniert über das Einsetzen eines zusätzlichen Stückes Code in den Tracking-Code. In der Konsequenz werden die letzten Stellen der IP-Adresse anonymisiert, so dass keine Zuordnung mehr stattfinden kann und dementsprechend KEINE personenbezogenen Daten gespeichert werden. Die Implementierung von Google Analytics sollte daher immer nach dem folgenden Schema durchgeführt werden:- Es wird ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen. Dieser kann unter der DSGVO nun auch digital erfolgen und muss nicht mehr in Papierform versendet werden – Eine Arbeitserleichterung.
- Mit dem Tracking-Code wird auch die IP-Anonymisierung eingebunden.
- Die Datenschutzerklärung muss an die neuen Begebenheiten angepasst werden.
- Der Nutzer muss jederzeit von seinem Widerspruchsrecht Gebrauch machen können, z.B. durch ein Opt-out Cookie.

