Google Analytics und die DSGVO

Google Analytics und die DSGVO

Diese Woche haben alle Google Analytics Nutzer eine Mail von Google erhalten mit dem Betreff „Action required“. Es geht um Google Analytics und die DSGVO. Im Rahmen der Datenschutzgrundverordnung, die im Mai in Kraft tritt, ist festgelegt, dass personenbezogene Daten gelöscht werden müssen, wenn die Rechtsgrundlage der Verarbeitung wegfällt (mehr Infos dazu unter https://www.activemind.de/magazin/datenschutz-loeschkonzept/)

Personenbezogene Daten in Google Analytics

Zunächst noch einmal kurz erklärt, was denn personenbezogene Daten in Google Analytics sind. Wenn du nämlich jetzt denkst, du siehst gar keine personenbezogenen Daten in Google Analytics, dann musst du wissen, dass IP-Adressen sehr wohl als personenbezogene Daten gelten, auch wenn du selbst vielleicht unmittelbar gar nichts damit anfangen könntest. Gemäß den Google-Richtlinien dürfen aber keine personenbezogenen Daten an Google gesandt werden. Das Problem wird dann akut, wenn du beispielsweise Daten in Google Analytics hochlädst, User-Ids aktiviert hat oder die Anonymisierungsfunktion in Google Analytics nicht aktiviert ist. Häufig passiert es auch unabsichtlich, dass personenbezogene Daten in einer URL beim Ausfüllen eines Formulars übertragen werden, z.B. bei einem Kaufprozess.

Wie das Sammeln von personenbezogenen Daten unterbunden werden kann, wird hier beschrieben: https://www.metrika.de/blog/web-analytics/personenbezogene-daten-pii-analytics/.

Datenaufbewahrung in Google Analyics

In Google Analytics steht ab dem 25.05.2018 ein Tool zur Verfügung, mit dem der Zeitrahmen für die Löschung von Daten (z.B. Website-Besucher, Ereignisdaten) festgelegt werden kann. Du findest es unter Verwaltung/Property-Einstellungen/Tracking-Informationen/Datenaufbewahrung.

Löschung von Daten in Google Analytics

Wenn Du also jetzt z.B. 26 Monate einstellst, werden die Nutzerdaten am Ende dieses Zeitraums gelöscht und dann monatlich die jeweils angesammelten Daten.

Bei neuer Aktivität zurücksetzen“ bedeutet, dass die Aufbewahrungsdauer der Nutzer-ID jedes Mal, wenn der Nutzer die Website besucht, zurückgesetzt werden soll. Kommt also ein Nutzer monatlich auf die Website, beginnt die Aufbewahrungsfrist von neuem und seine Daten würden erst gelöscht, wenn die Website z.B. 26 Monate nicht mehr besucht.

Standardmäßig sind derzeit 26 Monate eingestellt und die Funktion „bei neuer Aktivität zurücksetzen“ automatisch aktiviert. Wenn du das nicht möchtest, muss du aktiv werden. Ansonsten ist keine „Action required“.

Update des Vertrags zur Auftragsverarbeitung mit Google

In den Kontoeinstellungen findest du den Zusatz zur Datenverarbeitung, den du akzeptieren solltest. Einen Vertrag solltest du bereits abgeschlossen haben, wenn du Google Analytics schon jetzt einsetzt. Nach dem 25.05.2018 reicht der Abschluss des Auftragsverarbeitungsvertrags per Mausklick (siehe: https://drschwenke.de/google-analytics-datenschutz-zusatz-zur-datenverarbeitung)

Zusatz zur Datenverarbeitung Google Analytics

Momentan sieht die Eingabemaske noch so aus, ich könnte mir vorstellen, dass es zum Inkrafttreten der DSGVO hier nicht mehr „Zusatz“ heißt, sondern der Vertrag hier direkt abgeschlossen werden kann.

Zusätzliche Informationen zum Datenschutz

Wie Google Analytics generell datenschutzkonform mit WordPress umgesetzt werden kann, habe ich hier in dem laufend aktualisierten Artikel beschrieben: https://www.analytics-fuer-einsteiger.de/google-analytics-fuer-wordpress-websites/

Google stellt hier eine ausführliche Beschreibung auf Deutsch hinsichtlich des Datenschutzes für Unternehmen zur Verfügung: https://privacy.google.com/businesses/

Eine ebenfalls auf Deutsch verfasste Beschreibung wie Google den Datenschutz von Google Analytics regelt, ist hier zu finden: https://support.google.com/analytics/answer/6004245

Hinter dem in der Mail erwähnten Link https://privacy.google.com/businesses/processorterms/ findest du übrigens alle Informationen zum Thema Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte.

Ich verstehe, dass man nicht wirklich Lust hat, sich durch diese Texte zu quälen, aber es ist trotzdem ganz interessant zu erfahren, warum man eigentlich einen Vertrag mit Google abgeschlossen hat und was hinter der Auftragsdatenvereinbarung steckt und wie Google den Datenschutz generell regelt.

Wie gehst du mit dem Thema DSGVO bezüglich Google Analytics um? Hinterlasse mir gerne deine Kommentare!

 

Bildnachweis: Photo by rawpixel.com on Unsplash

About Cathrin Tusche

Hallo, ich bin Cathrin Tusche und ich blogge hier über Google Analytics speziell für Einsteiger. Im Laufe der Zeit werde ich immer wieder auf einzelne Themen eingehen und näher erklären. Also, stay tuned – und abonniere einfach den Newsletter, um auf dem Laufenden zu bleiben.

6 Comments

  1. Tolle Zusammenfassung, danke!
    Wir haben einen externen Datenschutzbeauftragten, mit dem wir alle Bereiche durchgehen und sollten somit optimal für die Umsetzung der DSGVO vorbereitet sein. Ein neues Gesetz, tausend Dinge die man beachten muss… Lieben Gruß, Astrid

  2. Danke für die Zusammenfassung!
    Bleibt die Frage, welcher Zeitraum bei der Datenaufbewahrung DSGVO-konform ist. Bei meiner Recherche bin ich auf zwei Ansichten gestoßen: Mal wird gemutmaßt, dass die Aufbewahrung max. 2 Jahre betragen darf, die Standardeinstellung von 26 Monaten also zu weit gefasst und damit nicht gesetzeskonform sei. Mal wird auf die Privacy by Default-Richtlinie hingewiesen, die ja auch für Google gelten müsse, so dass man als Analytics-Nutzer davon ausgehen können dürfe, dass die Voreinstellung von 26 Monaten gesetzeskonform sei.
    Hmmm? :)

    1. Danke für Deinen Kommentar. In vieler Hinsicht ist die DSGVO noch wirklich unausgegoren und es scheint auch bei den Anwälten nicht unbedingt Einigkeit zu herrschen. Wahrscheinlich reichen 14 Monate auch aus, denn es werden ja nicht die Nutzerdaten an sich gelöscht, sondern die Cookies etc. Es werden sicher im Laufe der Zeit mehr Informationen zur Verfügung stehen, was man hier einstellen sollte.

  3. Hallo, bevor ich auf deinen sehr interessanten Artikel gestoßen bin, habe ich mein Google analytics Konto gelöscht und auf meiner homepage den analytics code entfernt. Dennoch wird mir über ghostery und andere trackinganalyser mitgeteilt, dass der google tag manager noch aktiv ist. Wie kann das sein? Hast du einen Tipp? Ich habe sonst keine plugins oder ähnliches installiert. Wäre schön, wenn du eine Idee hast.

    Viele Grüße und by the way, interessante Seite die du da hast!
    Ulrike

    1. Hallo Ulrike,
      vielen Dank für Deinen Kommentar. Der Google Analytics Code ist noch enthalten (zumindest auf der Startseite), nämlich wie im Quelltext zu sehen unter „Global site tag“ etc. Er muss von jeder Seite entfernt werden, außer man hat eine übergreifende Head-Datei.
      Ich hoffe das hilft Dir weiter.
      Viele Grüße,
      Cathrin

Leave a Reply

Your email address will not be published.

Ich stimme der Verwendung von Cookies zu. Mehr Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen