Google Analytics und die DSGVO – Zusatz zur Datenverarbeitung oder schriftlicher Vertrag?

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung oder kurz DSGVO in Kraft. Ich bin gerade dabei eine große und ausführliche Checkliste zu erstellen, an was du als Webseitenbetreiber alles denken solltest.

Ein Tipp kann ich dir jetzt schon geben: Mache dein Google Analytics jetzt DSGVO Datenschutzkonform!

Wenn du – wie ich – Google Analytics auf deiner WordPress-Webseite einsetzt, wirst du sicherlich auch ein Tool benutzen, welches den Quellcode in WordPress einbettet.

Damit du Google Analytics nach dem Stichtag Datenschutzkonform nach DSGVO einsetzen kannst, solltest du als erstes mal die IP-Adresse des Nutzer anonymisieren.

Wenn dein Plugin wie zb.Google Analytics for WordPress by MonsterInsights dies direkt umsetzen kann, aktiviere es oder erweiterte deinen eingebauten Code um folgendes, was die IP des Nutzer anonymisiert:

ga(’set‘, ‚anonymizeIp‘, true);

Nun aber zu etwas wichtigeren: Wie machst du Google Analytics nach DSGVO Datenschutzkonform?

Es wird in den letzten Daten viel über Auftragsdatenverarbeitungsverträge (ab 25. Mai heißt dies nur noch Auftragsdatenverarbeitung) gesprochen. Auch bei Google kannst du einen solchen abschließen, doch dies ist weniger kompliziert, als du es dir vorstellen wirst.

Bevor ich dir zeige, wie du es ganz einfach umsetzen kannst, erkläre ich dir kurz welche Datenschutzvorgaben für Google Analytics vorgeschrieben sind:

  • Du musst die IP-Adresse des Nutzers anonymisieren
  • Du musst in der Datenschutzerklärung über die Funktionsweise (Passus) aufklären, was Google Analytics macht
  • Du musst eine Widerspruchsmöglichkeit bzw ein Opt-Out anbieten (benutze hierfür am besten das WordPress-Plugin) Google Analytics Opt-Out (DSGVO / GDPR)
  • Du musst einen Vertrag zur Datenverarbeitung mit Google abschließen (Zeige ich dir hier)
  • Du musst einen Zusatz zur Datenverarbeitung mit Google abschließen (Zeige ich dir hier)

Information: Ich bin weder ein Jurist, noch Datenschutztechnisch ein Vollprofi. Alle meine Anleitungen und Hilfestellungen sind zwar von mehreren Experten zusammen geschrieben worden, jedoch kann ich nicht Gewähren, dass meine Anleitung vollständig und rechtssicher ist! 

So passt du Google Analytics nach DSGVO an:

Für den deutschsprachigen Raum gibt es zwei Rechtsprechungen bzw Anpassungen an geltende Gesetze:

  • Für Webseitenbetreibern in der Schweiz und in Österreich reicht die einfache Regelung – „Zusatz zur Datenverarbeitung“. Diesen kannst du ganz einfach wie im Screenshot oben aktivieren.
  • Für Webseitenbetreibern in Deutschland wird die ausführliche Varianteschriftlicher Vertrag zur Auftragsdatenverarbeitung – benötigt.
    Nach dem 25. Mai (mit Beginn des DSGVO) genügt die einfache Regelung auch in Deutschland.

In Deutschland galt bislang die Anpassung nach BDGS (Bundesdatenschutzgesetz), welches eine handschriftliche Unterschrift voraussetzt. Nach EU-DSGVO gilt die „Schriftform“, welches auch die digitale Version (per Haken in ein Kästchen) möglich machen würde.

Daher greift für Deutschland bis zum 25. Mai die alte Regelung und nach dem Stichtag die neue Regelung, wie auch für Österreich und Schweiz.

Was musst du nun konkret tun und umsetzen?

Einfache Regelung

Du solltest auf jeden Fall, wenn du es noch nicht getan hast, den Zusatz zur Datenverarbeitung“ in Google Analytics anklicken und den akzeptieren. Diesen findest du unter Google Konto – Verwaltung – Kontoeinstellung – Zusatz zur Datenverarbeitung. Das wars erstmal.

Ausführliche Variante

Wenn du eine Webseite aus Deutschland betreibst, musst du bis zum 25. Mai noch etwas ausführlicher tätig werden. Dafür musst du den Auftragsdatenverarbeitungsvertrag mit Google (Mustervertrag zum Download), welchen du auch auf dieser oben verlinkten Seite findest, in zweifacher Version ausdrucken und per Post nach Irland schicken. Die Adresse steht auf dem Dokument. Ebenso musst du einen frankierten Rückumschlag mit in die Sendung packen, da Google dir sonst keine Kopie des abgestempelten Vertrages zusenden kann. Ja, das ist extrem umständlich.

Grund: Du musst eine Kopie des Vertrages auf Anfrage an den Interessenten oder Unternehmen zeitnah rausgeben können, sofern dieser nachfragt. Dabei reicht es nicht, wenn du erst dann eine Kopie in Auftrag gibts, du musst eine vorrätig haben.

Mit Inkraftsetzung des DSGVO reicht jedoch auch die einfache Lösung. Um rechtlich auf der sicheren Seite zu sein (zumindest nach aktuellen Stand), solltest du es sicherheitshalber ausführlich machen. Die Schar an Abmahnanwälten reiben sich bereits die Hände..

tldr;

  • Altes BDSG = Schriftform mit unterschriebenen Vertrag nach Irland
  • Neues DSGVO = elektronische Form reicht aus.

Nun hast du Google Analytics Datenschutzkonform nach DSGVO bzw EU-DSGVO angepasst. Es gibt aber noch weitere Felder, die die du unbedingt beachten musst. Einen ausführlichen Artikel darfst du in wenigen Tagen erwarten.. Dran bleiben lohnt sich!

Ein Gedanke zu „Google Analytics und die DSGVO – Zusatz zur Datenverarbeitung oder schriftlicher Vertrag?

  1. Pingback: DSGVO 2018 – eine Checkliste für Blogger | Dennis Vitt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.