Was bedeutet die DSGVO für Google Analytics und Google AdWords?

Der 25. Mai 2018 ist Stichtag – Ab diesem Datum muss die neue Datenschutzverordnung EU-weit umgesetzt werden. Viele Unternehmen sind jedoch noch verunsichert, in wie fern die DSGVO die Nutzung von Google-Produkten einschränkt.  Um dies genau beurteilen zu können, ist es wichtig das Gesetz zu kennen und zu verstehen. Daher gibt es an dieser Stelle erst einmal eine kurze Einführung in die Grundsätze der Datenschutz-Grundverordnung.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung soll das Datenschutzrecht in der EU vereinheitlichen, denn bisher galten in den einzelnen EU-Staaten völlig unterschiedliche Datenschutzgesetze. Auch wenn die DSGVO für viele Länder der EU eine deutliche Verschärfung der Datenschutzrichtlinien bedeutet, ist die Umstellung für Deutschland nicht so massiv wie häufig propagiert.

Das Bundesdatenschutzgesetz (BDSG) und auch das Telemediengesetz (TMG) gehörten bisher zu den eher strengen Datenschutzgesetzen der EU, die Umstellung wird für Unternehmen in Deutschland also weniger gravierend ausfallen.

Die DSGVO ist eine generelle Datenschutzverordnung, welche den Umgang mit personenbezogenen Daten sowohl online als auch offline regelt. Eine Verordnung gilt nach EU-Recht verbindlich in allen Mitgliedsstaaten und muss nicht in ein nationales Gesetz überführt werden. Sie ist zudem auch ein erster Schritt, um das Datenschutzrecht an die veränderten Bedingungen im Rahmen der Digitalisierung anzupassen. Betroffen sind daher auch alle Unternehmen, die im Internet (personenbezogene) Daten über ihre Nutzer sammeln oder durch Dritte verarbeiten lassen, häufig mit Hilfe von Google Analytics und anderen Google-Diensten.

Ganz konkret regelt die DSGVO, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen und teilt die einzelnen beteiligten Akteure in unterschiedliche Kategorien:

Die betroffene Person

Jede natürliche Person, von der Daten gesammelt werden. Unter der DSGVO erhalten betroffene Personen deutlich mehr Rechte.

  • Recht auf transparente Information: Der Verantwortliche stellt der betroffenen Person alle Informationen in Bezug auf die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung. Die Sprache sollte leicht verständlich sein, insbesondere dann, wenn sich Informationen an Kinder richten.
  • Recht auf Auskunft: Die betroffene Person hat jederzeit das Recht einzusehen, ob und welche personenbezogenen Daten über sie gesammelt wurden und in welcher Form diese verarbeitet werden.
  • Recht auf Datenübertragbarkeit: Macht die betroffene Person von ihrem Recht auf Auskunft Gebrauch, müssen ihr die Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
  • Recht auf Berichtigung: Die betroffene Person kann jederzeit die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (auch „Recht auf Vergessenwerden“): Die betroffene Person kann jederzeit die unverzügliche Löschung aller personenbezogenen Daten verlangen.
  • Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann vom Verantwortlichen die Beschränkung der Datenverarbeitung verlangen.
  • Recht auf Widerspruch: Eine betroffene Person kann jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten einlegen.

Der Verantwortliche

Der Datenverantwortliche ist, wie der Name verrät, verantwortlich für die Sammlung, Speicherung und Verarbeitung der Daten. Er steht in einer direkten Nutzungsbeziehung zum Betroffenen und bestimmt „wie“ und „warum“ Daten verarbeitet werden. Bei diesen Daten handelt es sich daher in der Regel um First Party-Daten. Sobald Unternehmen personenbezogene Daten über ihre Kunden sammeln, sind sie als Verantwortlicher für den Schutz dieser verantwortlich.

Der Auftragsverarbeiter

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen und arbeitet nur auf Weisung.

Google Analytics und die DSGVO

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Das heißt, nur wenn ihr auch ebensolche sammelt und verarbeitet, findet die DSGVO Anwendung. Personenbezogene Daten sind Daten, die den Nutzer direkt oder indirekt identifizierbar machen, also Name, Anschrift, E-Mail-Adresse, Kontodaten oder der Geburtstag. Aber auch die IP-Adresse zählt in Deutschland zu den personenbezogenen Daten. Google untersagt prinzipiell die Speicherung personenbezogener Daten in Analytics, wertet die IP-Adresse allerdings nicht als solche.

Im Rahmen der Nutzung von Google Analytics müssen daher unter der DSGVO die IP-Adressen anonymisiert werden. Dies funktioniert über das Einsetzen eines zusätzlichen Stückes Code in den Tracking-Code. In der Konsequenz werden die letzten Stellen der IP-Adresse anonymisiert, so dass keine Zuordnung mehr stattfinden kann und dementsprechend KEINE personenbezogenen Daten gespeichert werden.

Die Implementierung von Google Analytics sollte daher immer nach dem folgenden Schema durchgeführt werden:

  1. Es wird ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen. Dieser kann unter der DSGVO nun auch digital erfolgen und muss nicht mehr in Papierform versendet werden – Eine Arbeitserleichterung.
  2. Mit dem Tracking-Code wird auch die IP-Anonymisierung eingebunden.
  3. Die Datenschutzerklärung muss an die neuen Begebenheiten angepasst werden.
  4. Der Nutzer muss jederzeit von seinem Widerspruchsrecht Gebrauch machen können, z.B. durch ein Opt-out Cookie.

Aber Achtung: Unter Umständen, können personenbezogene Daten über URL-Parameter unbewusst in Google Analytics landen. Hier sollte genauer hingeschaut werden, damit es nicht zu unabsichtlichen Verstößen kommt – denn die können unter der DSGVO teuer werden und Google kann das Konto wegen Verstößen gegen die AGBs löschen.

Im Prinzip unterscheidet sich das Vorgehen also nicht sonderlich von der bisherigen Praxis.

Warum dann die Aufregung rund um die DSGVO?

Schwieriger wird die Sachlage, wenn personenbezogene Daten gesammelt und durch dritte Parteien weiterverarbeitet werden sollen, zum Beispiel im Rahmen von Remarketing-Kampagnen oder wenn Webanalyse-Daten mit personenbezogenen Kundendaten kombiniert werden.

In manchen Meldungen zur DSGVO werden hierzu förmlich Horrorszenarien heraufbeschworen, dabei gilt ein ganz einfacher Grundsatz:

Ihr möchtet personenbezogene Daten eurer Nutzer sammeln oder zur Verarbeitung an Dritte weitergeben? Dann bittet sie um Einwilligung! „Consent“ – im deutschen „Zustimmung“ – ist das Zauberwort der DSGVO. Denn gibt der Nutzer vor der Datenerhebung/-verarbeitung sein Einverständnis, dürft ihr die Daten auch weiterhin zu dem, in der Zustimmung festgelegten, Zweck nutzen.

Um personenbezogene Daten sammeln und verarbeiten zu können, muss die betroffene Person also in die Verarbeitung eingewilligt haben. Diese Praxis soll die Abläufe für die Nutzer transparenter machen und ihnen mehr Macht über die eigenen Daten geben.

Die Einwilligung ist zweckgebunden, ihr dürft die Daten also nur zu dem in der Einwilligung beschriebenen Zweck nutzen. Möchtet ihr darüber hinaus tätig werden, braucht ihr für jede Aktion eine erneute Zustimmung (siehe hierzu Art. 6 “Rechtmäßigkeit der Verarbeitung”). Neu ist dabei aber vor allem die erweiterte Rechenschaftspflicht des Verantwortlichen. Dieser muss die Einwilligungen seiner Nutzer dokumentieren und auf Anfrage durch die Behörden jederzeit vorweisen können.

Andere Google-Dienste

Im Falle von Google Analytics fungiert Google als Auftragsverarbeiter, dies gilt auch für Google Analytics 360 und die DoubleClick-Suite für Werbetreibende. Hier muss also vor der Nutzung ein Vertrag zur Datenverarbeitung mit Google geschlossen werden, die eigentliche Verantwortung für die Daten verbleiben bei dem Unternehmen, welches die Daten mit dem Google-Produkt sammelt und verarbeitet. Hierzu schickt Google momentan aktualisierte Allgemeine Geschäftsbedingungen für alle betroffenen Produkte an die Nutzer.

Google-Dienste wie AdWords, DoubleClick for Publishers, AdExchange und AdSense verwaltet Google hingegen als Verantwortlicher, denn Google nutzt hierfür eigene Nutzerdaten.

Bei der Nutzung dieser Dienste profitiert ihr zwar von den großen Datenmengen, die Google zur Verfügung stehen, die Daten werden jedoch nicht direkt mit euch geteilt, so dass Google hier keine personenbezogenen Daten an euch weitergibt. Die datenschutzrechtliche Beziehung besteht dann nur zwischen den betroffenen Personen und Google.

Alle Informationen rund um den Datenschutz in Bezug auf Unternehmenskunden findet ihr auch auf der Privacy-Seite von Google.

Fazit

Die DSGVO kommt und ja, sie wird Auswirkungen auf die Art, wie wir Daten sammeln, haben. Es besteht jedoch kein Grund zur Panik – Solange ihr keine personenbezogenen Daten eurer Nutzer erhebt, seid ihr auf der sicheren Seite. Personenbezogenen Daten hingegen dürfen nur noch unter Zustimmung der betroffenen Person gesammelt werden. Nutzt ihr Produkte von Google, so achtet darauf, ob ihr oder Google in der Vertragsbeziehung als Verantwortlicher fungiert und trefft entsprechende Maßnahmen zum Datenschutz.

Auch wenn alle Welt von der DSGVO redet: Viel relevanter wird für online tätige Unternehmen das Update der ePrivacy-Verordnung sein. Diese sollte ursprünglich zeitgleich mit der DSGVO in Kraft treten, verzögert sich nun aber auf unbestimmte Zeit. Diese Richtlinie soll explizit den Datenschutz und die Datenverarbeitung online regeln und gilt im jetzigen Entwurf als eine viel größere Herausforderung, da die Nutzung von Cookies z.B. zum Targeting in Frage gestellt wird. Wir halten euch auf dem laufenden – Meldet euch gerne zu unserem Newsletter an oder postet eure Fragen und Erfahrungen in den Kommentaren.

Verwandte Artikel

  • AdWords mit Google Analytics Verknüpfen
  • Recap zur SEO Campixx 2018

    Zum zehnten Mal fand in diesem Jahr die SEO Campixx in Berlin am Müggelsee statt. Am 01. und 02.03.2018 fanden sich bei eisigen Temperaturen erneut 500 SEO-Begeisterte am Müggelsee …

8 Kommentare
  1. Gunther
    Gunther sagte:

    Hallo Saskia,

    ich betreue Online-Marketing-Accounts für meine Kunden, konkret: Google AdWords, Amazon Sponsored Products, Facebook Ads. Zu diesem Zwecke bekomme ich von meinen Kunden auch Zugriff auf zusätzliche Webanalysedaten, z.B. Google Analytics.

    Müssen meine Kunden mit mir einen Vertrag zur Auftragsverarbeitung abschließen?

    Ich würde eher sagen „nein“, weil die Kunden mir ja keine personenbezogenen Daten weitergeben, damit ich damit etwas mache (ich versende keine Newsletter an Kunden meiner Kunden, etc.).

    Allerdings kann man vermutlich in bestimmten Konstellationen mit technischen Mitteln Rückschlüsse auf Personen ziehen, wenn man Zugriff auf die Accounts von Analytics, Facebook und Amazon hat und wenn es nur IP-Adressen oder die von dir genannten Tracking-URL-Besonderheiten sind. Zudem bieten Remarketing- und Zielgruppen-Funktionen gewisse Auswertungsmöglichkeiten und dienen dazu, personenbezogene Anzeigen auszuspielen.

    In gewisser Weise verarbeite ich dann „personenbeziehbare Daten im weiteren Sinne“, wenn ich entsprechende Analysen mache und Kampagnen aufsetze. Daher ist mir nicht klar, ob meine Kunden nun einen Vertrag zur Auftragsverarbeitung mit mir schließen müssen oder nicht.
    Ich würde mich sehr über deine Einschätzung freuen!
    VG Gunther

    Antworten
    • Saskia
      Saskia sagte:

      Hallo Gunther,

      für Adwords, Amazon etc. ist kein eigener AV-Vertrag zwischen dir und dem Kunden nötig. Der Vertrag besteht hier ja bereits zwischen dem Kunden und dem Anbieter. Außerdem agiert der Anbieter (also Google z.B. bei Adwords) in dem Fall selbst als Datenverantwortlicher und du nutzt zwar deren Datenbasis, kannst aber nicht auf sie zugreifen.

      Bei Webanalyse-Daten sind die Aussagen hierzu oft etwas widersprüchlich, deswegen möchte ich mich da (noch) nicht festlegen. Im Zweifel ist das Abschließen eines AV-Vertrages natürlich die sicherste Option.

      Wir hoffen, dass sich da in den nächsten Wochen noch einiges klärt. Dazu lohnt übrigens die Investition in den t3n Datenschutz-Guide unter https://t3n.de/news/dsgvo-fuer-unternehmer-t3n-guide-911252/ , der wohl auch nach dem 25.5. weiterhin aktualisiert wird.

      Viele Grüße

      Saskia

      Antworten
  2. John
    John sagte:

    Hey,

    super Beitrag und danke auch dafür. Allerdings habe ich da eine Frage zum Punkt:

    „Es wird ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen. Dieser kann unter der DSGVO nun auch digital erfolgen und muss nicht mehr in Papierform versendet werden – Eine Arbeitserleichterung.“

    Wie kann man bitte mit Google einen Vertrag in digitaler Form abschließen? Dazu finde ich nichts bei Google und auch Google reagiert auf Anfrage nicht 🙂 Ist es eine Vertragliche Option von DSGVO, die jedoch Google nicht bereitstellt und es weiterhin schriftlich (per Post) erfolgen muss?)

    Antworten
    • Tobbe
      Tobbe sagte:

      Hi John,

      in Deinem Analytics-Konto gibt es in der „Verwaltung“ die Möglichkeit, Unter dem Punkt „Kontoeinstellungen“ dem neuen „Zusatz zur Datenverarbeitung“ zuzustimmen.

      Antworten
  3. we-love-webdesign
    we-love-webdesign sagte:

    Hey,

    vielen Dank für deinen Beitrag.

    Auch wir sind gerade dabei jeden unserer Kunden zu kontaktieren. Die neusten Hinweise die wir rausgesendet haben sind, dass das Kontaktformular auf der Webseite geupdatet werden muss, da neuerdings ein kleines Häkchen gesetzt werden muss…

    Aber das ist ja alles zu unserer Sicherheit :)!

    GLG und weiterhin ein schönes Jahr 2018

    Antworten
  4. Arne Kriedemann
    Arne Kriedemann sagte:

    Hallo Saskia,

    vielen Dank für den Beitrag.
    Den Hinweis auf den digitalen Versand des Vertrags zur Auftragsdatenverarbeitung ist mir entgangen oder wird diese erst zum Stichtag erfolgen?

    Schöne Grüße nach Köln

    Arne

    Antworten
    • Saskia
      Saskia sagte:

      Hallo Arne,

      vielen Dank für deinen Kommentar.

      In Artikel 28, Absatz 9 der DSGVO ist dies festgelegt:

      (9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

      Viele Grüße

      Saskia

      Antworten
  5. Sebastian
    Sebastian sagte:

    Wie bekommt man denn als „normales“ Unternehmen einen Vertrag zur Auftragsdatenverarbeitung mit Google hin? Da es keine DSVGO Zertifizierung gibt kann sich kein Unternehmen sich sein, ob es „konform“ ist und wird daher nur bedingt das Risiko auf sich nehmen, einem anderen vertragliche diese Konformität zuzusichern…
    Leider eine weitere Regelung aus Brüssel, die gut gemeint ist, aber an der Realität gehörig vorbei geht.

    Antworten

Dein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.