Google Analytics und die DSGVO

Google Analytics und die DSGVO

Diese Woche haben alle Google Analytics Nutzer eine Mail von Google erhalten mit dem Betreff „Action required“. Es geht um Google Analytics und die DSGVO. Im Rahmen der Datenschutzgrundverordnung, die im Mai in Kraft tritt, ist festgelegt, dass personenbezogene Daten gelöscht werden müssen, wenn die Rechtsgrundlage der Verarbeitung wegfällt (mehr Infos dazu unter https://www.activemind.de/magazin/datenschutz-loeschkonzept/)

Personenbezogene Daten in Google Analytics

Zunächst noch einmal kurz erklärt, was denn personenbezogene Daten in Google Analytics sind. Wenn du nämlich jetzt denkst, du siehst gar keine personenbezogenen Daten in Google Analytics, dann musst du wissen, dass IP-Adressen sehr wohl als personenbezogene Daten gelten, auch wenn du selbst vielleicht unmittelbar gar nichts damit anfangen könntest. Gemäß den Google-Richtlinien dürfen aber keine personenbezogenen Daten an Google gesandt werden. Das Problem wird dann akut, wenn du beispielsweise Daten in Google Analytics hochlädst, User-Ids aktiviert hat oder die Anonymisierungsfunktion in Google Analytics nicht aktiviert ist. Häufig passiert es auch unabsichtlich, dass personenbezogene Daten in einer URL beim Ausfüllen eines Formulars übertragen werden, z.B. bei einem Kaufprozess.

Wie das Sammeln von personenbezogenen Daten unterbunden werden kann, wird hier beschrieben: https://www.metrika.de/blog/web-analytics/personenbezogene-daten-pii-analytics/.

Datenaufbewahrung in Google Analyics

In Google Analytics steht ab dem 25.05.2018 ein Tool zur Verfügung, mit dem der Zeitrahmen für die Löschung von Daten (z.B. Website-Besucher, Ereignisdaten) festgelegt werden kann. Du findest es unter Verwaltung/Property-Einstellungen/Tracking-Informationen/Datenaufbewahrung.

Löschung von Daten in Google Analytics

Wenn Du also jetzt z.B. 26 Monate einstellst, werden die Nutzerdaten am Ende dieses Zeitraums gelöscht und dann monatlich die jeweils angesammelten Daten.

Bei neuer Aktivität zurücksetzen“ bedeutet, dass die Aufbewahrungsdauer der Nutzer-ID jedes Mal, wenn der Nutzer die Website besucht, zurückgesetzt werden soll. Kommt also ein Nutzer monatlich auf die Website, beginnt die Aufbewahrungsfrist von neuem und seine Daten würden erst gelöscht, wenn die Website z.B. 26 Monate nicht mehr besucht.

Standardmäßig sind derzeit 26 Monate eingestellt und die Funktion „bei neuer Aktivität zurücksetzen“ automatisch aktiviert. Wenn du das nicht möchtest, muss du aktiv werden. Ansonsten ist keine „Action required“.

Update des Vertrags zur Auftragsverarbeitung mit Google

In den Kontoeinstellungen findest du den Zusatz zur Datenverarbeitung, den du akzeptieren solltest. Einen Vertrag solltest du bereits abgeschlossen haben, wenn du Google Analytics schon jetzt einsetzt. Nach dem 25.05.2018 reicht der Abschluss des Auftragsverarbeitungsvertrags per Mausklick (siehe: https://drschwenke.de/google-analytics-datenschutz-zusatz-zur-datenverarbeitung)

Zusatz zur Datenverarbeitung Google Analytics

Momentan sieht die Eingabemaske noch so aus, ich könnte mir vorstellen, dass es zum Inkrafttreten der DSGVO hier nicht mehr „Zusatz“ heißt, sondern der Vertrag hier direkt abgeschlossen werden kann.

Zusätzliche Informationen zum Datenschutz

Wie Google Analytics generell datenschutzkonform mit WordPress umgesetzt werden kann, habe ich hier in dem laufend aktualisierten Artikel beschrieben: https://www.analytics-fuer-einsteiger.de/google-analytics-fuer-wordpress-websites/

Google stellt hier eine ausführliche Beschreibung auf Deutsch hinsichtlich des Datenschutzes für Unternehmen zur Verfügung: https://privacy.google.com/businesses/

Eine ebenfalls auf Deutsch verfasste Beschreibung wie Google den Datenschutz von Google Analytics regelt, ist hier zu finden: https://support.google.com/analytics/answer/6004245

Hinter dem in der Mail erwähnten Link https://privacy.google.com/businesses/processorterms/ findest du übrigens alle Informationen zum Thema Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte.

Ich verstehe, dass man nicht wirklich Lust hat, sich durch diese Texte zu quälen, aber es ist trotzdem ganz interessant zu erfahren, warum man eigentlich einen Vertrag mit Google abgeschlossen hat und was hinter der Auftragsdatenvereinbarung steckt und wie Google den Datenschutz generell regelt.

Wie gehst du mit dem Thema DSGVO bezüglich Google Analytics um? Hinterlasse mir gerne deine Kommentare!

 

Bildnachweis: Photo by rawpixel.com on Unsplash

About Cathrin Tusche

Hallo, ich bin Cathrin Tusche und ich blogge hier über Google Analytics speziell für Einsteiger. Im Laufe der Zeit werde ich immer wieder auf einzelne Themen eingehen und näher erklären. Also, stay tuned – und abonniere einfach den Newsletter, um auf dem Laufenden zu bleiben.

2 Comments

  1. Tolle Zusammenfassung, danke!
    Wir haben einen externen Datenschutzbeauftragten, mit dem wir alle Bereiche durchgehen und sollten somit optimal für die Umsetzung der DSGVO vorbereitet sein. Ein neues Gesetz, tausend Dinge die man beachten muss… Lieben Gruß, Astrid

Leave a Reply

Your email address will not be published. Required fields are marked *

Ich stimme der Verwendung von Cookies zu und bin mit der Verwendung des Besucherinteraktions-Pixel von Facebook einverstanden. Mehr Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden. Auf dieser Website wird das Besucheraktions-Pixel von Facebook für statistische Zwecke verwendet. Mit Hilfe eines Cookies kann so nachvollzogen werden, wie Marketingmaßnahmen auf Facebook aufgenommen und verbessert werden können. Über Ihr Einverständnis hiermit würde ich mich freuen. Informationen zum „Besucheraktions-Pixel“, zu Cookies und dem Ihnen zustehenden Widerspruchsrecht erhalten Sie in der Datenschutzerklärung

Schließen