Die EU-Datenschutz-Grundverordnung (DSGVO) trat bekanntlich mit 25.05.2018 in Kraft und bringt eine Verschärfung des Datenschutzes in der gesamten Europäischen Union. Vor allem „personenbezogene Daten“ – also sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – stehen hier im Mittelpunkt. Davon ist auch die Verwendung des kostenlosen Webanalyse-Tool „Google Analytics“ betroffen: Dieser Dienst analysiert etwa die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten sowie die Nutzung von Suchmaschinen. Anhand dieser Daten lassen sich Werbekampagnen optimieren. Da Google Analytics personenbezogene Daten, insbesondere die IP-Adressen, der Website User sammelt, ist die DSGVO zu beachten. Insofern ist Ihr Unternehmen verpflichtet, auch in diesem Fall die DSGVO anzuwenden.

Nein, denn auch hier gilt: Personenbezogene Daten müssen so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Von Unternehmen sollte daher zu allererst sichergestellt werden, dass nur berechtigte Personen Zugang zu den Google Analytics Daten erhalten.

Diese Personen sind in Regel namhaft zu machen. Im Falle einer Agentur wären dies in den meisten Fällen wohl die Geschäftsführung, so vorhanden auch die Marketing-Abteilung oder aber mit der Website betraute Personen. Achtung: Nicht zulässig ist es, wenn sämtliche Mitarbeiter eines Unternehmens auf die Google Analytics Daten zugreifen könnten, obwohl die Website Betreuung bzw das Marketing nicht in ihren Verantwortungsbereich fällt.

Sie sollten in jedem Fall sicherstellten, dass der Google Analytics Account vom Unternehmen selbst gesteuert und betreut wird und nicht von Dritten. Sollte ein IT-Dienstleister den Account verwalten, so wäre dieser wohl als Auftragsverarbeiter zu qualifizieren. In diesem Fall müssen ein Auftragsverarbeitervertrag geschlossen und DSGVO-Pflichten auf den Auftragsverarbeiter überbunden werden.

Es ist richtig, dass eine Reihe technischer Maßnahmen notwendig ist, um eine DSGVO – konforme Verwendung von Google Analytics sicherzustellen. Doch der hinter Google Analytics stehende Großkonzern Google bzw Alphabet hat bereits reagiert und auf die Vorgaben der DSGVO Rücksicht genommen. Es wird online auf diversen Support-Seiten auf die Thematik eingegangen und mit technischen Anleitungen wird den Unternehmen ausgeholfen.

Google Analytics bietet seit Kurzem auch die Möglichkeit an, eine IP-Adressen-Anonymisierung auf der Website einzubauen. Dabei werden die IP-Adressen um die letzten Ziffern gekürzt. Diese technischen Vorgaben sind direkt in Google Analytics vorzunehmen. Es gibt dazu bereits eine ausführliche Erklärung seitens Google Analytics, welche über die Support-Website von Google erreicht werden kann (https://support.google.com/analytics/answer/2763052). Da diese Vorgaben äußerst technisch sind, wird an der Implementierung ein IT-Dienstleister mitwirken müssen. Eine IP-Adressen-Anonymisierung sollte jedenfalls vorgenommen werden.

Ja, User einer Website müssen über die Verwendung von Google Analytics informiert werden. Es muss aufgelistet werden, welche Arten von Daten erfasst werden und zu welchem Zweck dies geschieht. Die Wirtschaftskammer bietet hierzu ein unverbindliches Muster an (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html). Google Analytics setzt Cookies ein, weshalb auch über die Verwendung und den Einsatz von Cookies auf der Website zu informieren ist. Eine Information über Cookies ist auch im genannten Muster der Datenschutzerklärung der WKO enthalten.

Diese Datenschutzerklärung sollte deutlich sichtbar auf der Website angebracht werden etwa als eigener Punkt oder im Rahmen des Impressums. An dieser Stelle sollte dem Nutzer auch die Möglichkeit des „Opt-Out“ gegeben werden. Ein entsprechender Link wird von Google Analytics zur Verfügung gestellt und sollte auf der Website implementiert werden, damit der User auch der Datenverarbeitung über Google Analytics jederzeit widersprechen kann.

Eine schwierige Frage! Nur für den Fall, dass Google Analytics keinerlei personenbezogene Daten sammelt und auch aus den sonstigen Daten weder direkt noch indirekt auf die Identität einer Person geschlossen werden kann, ist ein „Opt-Out“ ausreichend. Da von Google Analytics eine Reihe von Cookies gesetzt (zB Client-ID/User-ID) und hiermit eine Vielzahl an Daten über einen Nutzer gesammelt werden, ist es zweifelhaft, ob eine vollständige Anonymisierung möglich ist. Gemäß § 96 TKG ist es erforderlich, beim Einsatz von Cookies eine separate Einwilligung einzuholen. Dieses „Opt-In“ ist daher im Zweifel bei der Anwendung von Google Analytics verpflichtend. Die Zustimmung muss etwa über ein Pop-Up erfolgen – eine „Zustimmung“ über eine Erklärung im Impressum reicht nicht.

Google Analytics wird von Website-Betreibern eingesetzt, womit Google Analytics im Auftrag des jeweiligen Website-Betreibers agiert und daher als Auftragsverarbeiter im Sinne der DSGVO anzusehen ist. Der Website-Betreiber als Verantwortlicher hat dafür zu sorgen, dass der Auftragsverarbeiter die Regelungen der DSGVO einhält. Mit dem Auftragsverarbeiter – das wäre in diesem Google – ist daher ein Vertrag zu schließen. Es ist möglich, einen bereitgestellten Vertrag per Post an die Google-Zentrale in Irland zu schicken, es reicht jedoch aus, in den Kontoeinstellungen von Google Analytics den „Zusatz zur Datenverarbeitung“ zu akzeptieren. Auf der Support-Website von Google findet sich dazu eine technische Anleitung (https://support.google.com/analytics/answer/3379636?hl=de). Die Vereinbarung stellt einen Vertrag zwischen Auftragsverarbeiter und Verantwortlichem dar, der die Anforderungen der DSGVO auch auf Google überbindet. Dieser Vertrag sollte ausgedruckt und gesichert werden, um ihn auf Nachfrage der Datenschutzbehörde vorlegen zu können.

Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Das Verzeichnis hat etwa Zweck der Datenverarbeitung und Kategorien der Daten anzuführen. Da mit Google Analytics personenbezogene Daten verarbeitet werden, wäre die Google Analytics Verarbeitung auch in dieses Verzeichnis aufzunehmen.

Google Analytics Nutzern wird die Funktion zur Verfügung gestellt, Daten automatisch nach einer bestimmten Aufbewahrungsfrist zu löschen. Diese Funktion sollte jedenfalls genutzt werden, da eine unbefristete Aufbewahrung von Google Analytics Daten keinesfalls DSGVO – konform ist. Es wäre zu beurteilen, wie lange das berechtigte Interesse des Websitebetreibers an der Nachverfolgung von Websitedaten für statistische Zwecke dem Interesse des Users überwiegt. Dieser Zeitraum sollte auf eine möglichst kurze Aufbewahrungszeit eingeschränkt werden.

Zu den wenigen inhaltlichen echten Neuerungen, die aus der DSGVO resultieren, zählt die Ausdehnung der Rechte der Betroffenen, insbesondere erweiterte Informationsrechte (z.B. Dauer der Speicherung), das Recht auf Datenübertragbarkeit und das Recht auf Löschung („Recht auf Vergessenwerden“).