von Rechtsanwalt Dr. Ronald Kandelhard

Google Analytics, ein herkömmlicher Datenschutz Generator allein schützt nicht vor Abmahnungen – erfahre hier alles über die richtige Verwendung von Googles Tracking Tool inklusive Mustern und Ressourcen

Google Analytics ist sicher das am meisten verwendete Tool zur Analyse des Traffics auf Deiner Website. Wird das Analysetool jedoch nicht rechtssicher eingesetzt, drohen Abmahnungen und Bußgelder. Erfahre hier schnell, welche Maßnahmen Du ergreifen musst, um abmahnfrei Google Analytics zu verwenden.

1. Was bringt Google Analytics?

 

Mit Google Analytics kannst Du eine umfassende, auf statistischen Methoden basierende Analyse Deiner Website erstellen. Du erhälst so Informationen über das Verhalten Deiner Kunden auf Deiner Website. Daraus lassen sich Schlüsse für das Marketing ziehen.

2. Welche Daten werden bei Google Analytics erhoben?

Google Analytics erhebt eine Vielzahl von Daten, um das Verhalten der Besucher einer Website zu analysieren. Dazu zählt die Verweildauer eines Besuchers, Zeit und Ort des Aufrufs, IP-Adresse, die Anzahl der aufgerufenen Seiten pro Sitzung und die Anzahl Besucher insgesamt.

3. AnonymizeIP

Datenschützern war Google vor allem deshalb ein Dorn im Auge, weil die vollständige IP-Adresse des Nutzers erfasst wird. Dafür ist an sich eine vorherige Einwilligung des Nutzers erforderlich. Diese einzuholen ist jedoch wenigstens unpraktisch. Daher muss Google Analytics so eingestellt werden, dass die IP-Adresse des Nutzers nur verkürzt erfasst und damit anonymisiert wird. Dazu ist der Tracking-Code um die _anonymizelp() Funktion zu ergänzen. Eine Anleitung dazu findest Du etwa bei Google selbst.

4. Vertrag zur Auftragsdatenverarbeitung mit Google

Darüber hinaus ist mit Google ein Vertrag zur Auftragsdatenverarbeitung (mit den Inhalten gem. § 11 BDSG) zu schließen.

Inzwischen mehren sich aber die Stimmen und Einschätzungen, nach denen bei der Nutzung von Google Analytics ein Auftragsverarbeitungsvertrag nicht ausreicht. Unter anderem die Datenschutzkonferenz ist dieser Auffassung (s. 3 im Link). Diese Ansicht hat das LG Rostock (K&R 2021, 210) inzwischen bestätigt. Auch wenn es noch keine obergerichtliche Entscheidung ist, die Wahrscheinlichkeit, dass die Nutzung von Analytics damit noch komplexer geworden ist, ist groß. Bei gemeinsamer Verarbeitung reicht der Auftragsverarbeitungsvertrag mit Google nicht mehr aus, vielmehr müssen auch die Voraussetzungen des Art. 26 DSGVO eingehalten werden. Das bedeutet, das Du eine “Vereinbarung in transparenter Form” brauchst, “wer (…) welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt”. 

Die Nutzung von Google Analytics ist damit noch komplexer geworden. Hier ist derzeit nicht bekannt, ob Google eine solche Vereinbarung anbietet. Wenn Du etwas weißt, schreib gern in die Kommentare. 

5. Datenschutzfreundliche Einstellungen

Jedenfalls solltest Du, um sicherzugehen, Google Analytics so einstellen, dass möglichst wenige Daten mit Google geteilt werden. Je mehr Daten Google für eigene Zwecke verarbeitet, desto eher ist ein Vertrag über die gemeinsame Verantwortlichkeit erforderlich.

Wir empfehlen Dir daher, folgende Einstellung: Wähle erst den Punkt „Verwaltung“, dann „Kontoeinstellungen“. Dort solltest Du unter „Einstellungen für die Datenfreigabe“ den Haken bei „Google-Produkte und -Dienste“ deaktivieren.

Es gibt die Auffassung, dass jedenfalls mit diesen Einstellungen der Auftragsverarbeitungsvertrag genügt; auch wenn sonst ein Vertrag über die gemeinsame Verantwortlichkeit erforderlich wäre. Ob sich diese Auffassung durchsetzen wird, ist jedoch unklar. Du solltest Dich deshalb nicht zu sehr auf diese Einstellungen verlassen. Vielmehr empfehlen wir Dir die Einstellungen als Vorsichtsmaßnahme, falls Du Google Analytics trotz der eben beschriebenen Problematik verwenden möchtest.

 6. Datenschutzerklärung

Am Ende ist dann natürlich noch erforderlich, dass Du die Verwendung von Google Analytics in Deiner Datenschutzerklärung beschreibst. Dabei sind die von Dir getroffenen Vorkehrungen, also insbesondere die Verwendung der AnonymizeIP sowie die Verweise auf die Widerspruchsrechte des Kunden ebenfalls richtig anzugeben (Achtung: das berücksichtigt nicht jeder Generator, zum Generator von easyRechtssicher gelangst Du hier).

Ein gutes Tool für die Einbindung des Google Analytics Codes in Deiner Datenschutzerklärung, welches zugleich auch noch die richtige Installation der AnonymizeIP prüft, findest Du hier.

7. Neueste Entwicklungen: Einwilligung erforderlich!

Inzwischen steht Google Analytics wieder sehr stark im Fokus der Datenschutzbehörden. Es sollen Beschwerden über 20.000 (!) Websites wegen der Verwendung von Google Analytics eingegangen sein. Dabei geht es insbesondere um die hier genannten Vorgaben, aber auch um den Cookie Opt In (dazu näher in diesem Beitrag), der inzwischen obligatorisch ist und ohne den Du Google Analytics nicht verwenden darfst. Daher haben die Datenschutzbehörden Google Analytics eindeutig auf der Rechnung und mit einem Einschreiten muss gerechnet werden. Bußgelder wegen der nicht ordnungsgemäßen Verwendung von Google Analytics sind bald zu erwarten. Lass nicht zu, dass Deine Website dabei ist.

8. Ist Google Analytics DSGVO konform?

Diese Frage ist derzeit leider nicht klar zu beantworten. Falls ein Vertrag über die gemeinsame Verantwortlichkeit erforderlich ist, muss sie verneint werden. In jedem Fall musst Du einen Auftragsverarbeitungsvertrag abschließen und die Einwilligung einholen.

Mehr über die DSGVO erfährst du hier.

 

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.