Google Analytics & die DSGVO – Der große Ratgeber

Die DSGVO (Datenschutz-Grundverordnung) ist vor ca. zwei Jahren in Kraft getreten. Seitdem wurde schon viel über dieses Gesetz geschrieben. Eines der heißesten Themen, das diskutiert wurde, ist, ob Unternehmen bei der Verwendung von Google Analytics die DSGVO einhalten müssen. Zur Beantwortung dieser Frage müssen wir herausfinden, ob Google Analytics personenbezogene Daten erhebt. Und wie wir sehen werden, ist die Antwort auf diese Frage eher schwammig.

Aber was ist, wenn Google Analytics personenbezogene Daten sammelt? Müssen Unternehmen dann wirklich die DSGVO einhalten? Und wie können sie dies gewährleisten ohne ihr digitales Geschäftsmodell zu beeinträchtigen? Auf all diese Fragen werde ich eingehen, auch wenn einige nicht so einfach zu beantworten sind.

Inhaltsverzeichnis

1. Sammelt Google Analytics Daten? Wenn ja, wie?
2. Welche Daten sammelt Google Analytics?
3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?
4. Sind alle pseudonymisierten Daten personenbezogene Daten?
5. Wie lösche ich personenbezogene Daten in Google Analytics?
6. IP-Adressen und Datenminimierung
7. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?
8. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss?
9. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?
10. Einwilligung wird unter bestimmten Umständen immer noch benötigt
11. Welche Rolle spielen CMPs bei all dem?
12. Datennutzung für eigene Zwecke und der Speicherort: Sind das die nächsten Trojanischen Pferde?
13. Fazit

An dieser Stelle sollte es nicht mehr notwendig sein zu erklären, was die DSGVO ist. Das wäre ungefähr so langweilig, wie zum x-ten Mal in einem Film Peter Parkers Onkel oder Bruce Waynes Eltern sterben sehen zu müssen. Wenn Du aber gerade erst Deine Höhle verlassen hast 🙂 dann folgt hier eine kurze Erklärung: Die DSGVO ist der wichtigste Rechtsrahmen für den Datenschutz in der Europäischen Union. Falls Du mehr darüber erfahren willst, kannst Du hier den Blogeintrag von einem unserer Geschäftsführer Thorsten Olscha lesen.

Zusätzlich kannst Du Dir dieses Video ansehen, in dem Thorsten einige Dinge erklärt, die Du tun solltest, wenn die DSGVO für Dein Unternehmen gilt:

1. Sammelt Google Analytics Daten? Wenn ja, wie?

Wenn Du Google Analytics benutzt, sollte die Antwort auf diese Frage ziemlich eindeutig sein. Wenn Du Google Analytics nicht benutzt dann musst Du wissen: Ja, Google Analytics sammelt Daten mit Hilfe des Google Analytics Tracking Codes.

Beachtet auch, dass Google Analytics Cookies setzt und benutzt (z.B. zur Unterscheidung von neuen und wiederkehrenden Benutzern, Sammlung zusätzlicher Daten, wenn bestimmte Funktionen aktiviert sind). Allerdings ist es wichtig zu beachten, dass die Tags gtag.js und analytics.js keine Cookies benötigen, um Daten an Google Analytics zu schicken.

 

(gtag.js und analytics.js benötigen keine Cookies, um Daten an Google Analytics zu schicken; Quelle: hier)

Und was sind Cookies genau? Cookies sind kleine Datenmengen, die im Browser des Benutzers installiert werden. Sie können für verschiedene Zwecke verwendet werden. Zum Beispiel verwenden E-Commerce-Webseiten Cookies, um sich die Artikel zu merken, die Du in den Warenkorb gelegt hast. Sonst müsstest Du jeden Artikel einzeln kaufen und das wäre echt nervig, oder? Cookies können auch für die Datenverarbeitung verwendet werden, wie sie von Google Analytics verwendet werden.

Wenn Du mehr über die gesetzten Cookies von Google Analytics erfahren möchtest, dann lies Dir gerne den Developer Guide zum Thema Google Analytics Cookie Usage on Websites durch. Dort findest Du Informationen über die von Google Analytics verwendeten Cookies, einschließlich dessen, was sie tun und wie lange sie auf dem Gerät des Nutzers gespeichert werden.

2. Welche Daten sammelt Google Analytics?

Sobald Google Analytics installiert wurde, werden folgende Daten erhoben und verarbeitet:

➜ Die vom User besuchten Webseiten.

➜ Welches Endgerät (Desktop, Mobile, Tablet) benutzt wird.

➜ Browser und Betriebssystem.

➜ Die IP-Adresse des Users, die dann verwendet wird, um die Position des Nutzers zu ermitteln.

➜ Woher der User auf die Webseite gelangte (Google, Bing, andere Webseite).

➜ Ob der User über eine PPC-Kampagne, organischem Traffic, Social Media etc. auf die Seite gekommen ist.

➜ Und Vieles mehr.

In dieser Phase ist es wichtig, zwei Punkte anzumerken. Erstens erlaubt Google Unternehmen zusätzlichen Daten zu sammeln. Das kann über die Aktivierung verschiedener Funktionen in Google Analytics geschehen (z.B. Werbefunktionen; Site-Search-Tracking) oder über individuelle benutzerdefinierte Dimensionen. Beachte auch, dass Google Analytics es ermöglicht, Daten über die Funktion Datenimport zu importieren.

Zweitens werden die von Google Analytics gesammelten Daten in zusammengefasster Form dargestellt. Das bedeutet, dass Unternehmen nicht die Daten einzelner User sehen, sondern stattdessen wie viele Benutzer aus einem bestimmten Land kommen, wie oft eine bestimmte Webseite besucht wurde, wie viel Prozent der Nutzer die Webseite mit einem mobilen Endgerät besucht haben usw. Aber es gibt einen Weg die Daten für einzelne User zu sehen: Der Nutzer-Explorer-Report. Um diesen Report sehen zu können, musst Du in Google Analytics im linken Tab auf Zielgruppe und dann auf Nutzer-Explorer klicken.

 

(Die letzten 4 Ziffern von  jeder Client-ID wurden abgedeckt)

Die erste Spalte des Berichts enthält Client-IDs. Client-IDs sind eindeutige Kennungen, die jedem Gerät, das auf eine Webseite zugreift, durch das _ga-Cookie zugewiesen werden (schau Dir den zuvor erwähnten Developers-Guide zur Verwendung von Google-Analytics-Cookies an). Wenn Du auf eine der Client-IDs klickst, siehst Du ungefähr das hier:

 

(Ansicht von Daten einer einzelnen Client ID)

Wie Du vielleicht schon festgestellt hast, kann durch Klicken auf die Client-ID erkannt werden welche Web-Aktivität hinter welchem User steckt. Behalte das im Hinterkopf.

3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?

Wie wir in Teil 1 gesehen haben sammelt Google Analytics Daten von Nutzern und stellt sie in zusammengefasster Form dar. Der Nutzer-Explorer-Report stellt eine Ausnahmen dar, da hier die Web-Aktivitäten über die Client-ID individuell betrachtet werden können. Tatsächlich wäre es möglich, mehr Details über jede Client-ID herauszufinden, indem die Client-ID in eine benutzerdefinierte Dimension umgewandelt wird und mit den in Google Analytics verfügbaren Berichten vermischt wird.

Allerdings können wir durch die von Google Analytics gesammelten Daten nicht herausfinden, wer die Nutzer hinter den Daten sind. Google Analytics zeigt uns z.B. nur an wie oft eine Seite angeklickt und betrachtet wurde. Im besten Fall weist Google Analytics jedem Endgerät eine Client-ID zu, aber diese Client-ID ist nur eine Auflistung von Ziffern und beinhaltet keine Namen oder E-Mail-Adressen.

Wenn das, was ich gerade gesagt habe, wahr ist, dann wäre es unsinnig, die von Google Analytics erhobenen Daten als personenbezogene Daten zu betrachten. Denk mal darüber nach: Obwohl das Tool Daten von Benutzern sammelt, ist es nicht möglich, herauszufinden, wer genau diese Benutzer sind. Darüber hinaus verbieten die Nutzungsbedingungen für Google Analytics (Punkt 7 – Datenschutz) den Kunden ausdrücklich, personenbezogene Daten in Google Analytics einzugeben:

(Nutzungsbedingungen für Google Analytics, Abschnitt 7. Datenschutz)

Wenn die Nutzungsbedingungen für Google Analytics uns jedoch verbieten, personenbezogene Daten in Google Analytics einzugeben, geben sie implizit zu, dass es möglich ist. Und das ist es auch! Es gibt verschiedene Möglichkeiten personenbezogene Daten in Google Analytics einzugeben, wie benutzerdefinierte Dimensionen oder Datenimport, auch wenn Du es nicht tun solltest! Tatsächlich geben viele Kunden personenbezogene Daten in Google Analytics ein, auch wenn sie sich nicht bewusst darüber sind. Paul Koks hat dazu einen sehr guten Artikel geschrieben, der zeigt, wie persönliche Daten unbemerkt in Google Analytics landen können und wie Du genau das verhindern kannst. Auch Google hat eine Reihe Best Practices veröffentlicht, um das Senden von persönlichen Daten an Google Analytics zu vermeiden. Lesen lohnt sich also bei beiden Artikeln!

Nehmen wir an Du hast keine personenbezogenen Daten in Google Analytics eingegeben (bewusst oder unbewusst). Das würde bedeuten, dass Dein Google Analytics keine personenbezogenen Daten erhält. Client-IDs (und sogar IP-Adressen) widerlegen diese Schlussfolgerung nicht, da es in Google Analytics keine Möglichkeit gibt, die Identität des Nutzers hinter einer bestimmten Client-ID (oder IP-Adresse) herauszufinden. Daher können die von Google Analytics erhobenen Daten nicht als personenbezogene Daten betrachtet werden.

Tja, falsch!

Die DSGVO sieht nicht nur Namen oder E-Mail-Adressen als personenbezogenen Daten an. Pseudonymisierte Daten werden von der DSGVO ebenfalls als personenbezogenen Daten betrachtet. Aber was sind pseudonymisierte Daten? Pseudonymisierte Daten sind Daten, die die Identität einer Person nicht preisgeben, es sei denn, sie können mit zusätzlichen Daten abgeglichen werden.

Um das mal etwas zu verdeutlichen, stell Dir vor, ein Arzt würde die Daten seiner Patienten pseudonymisieren, um sie zu schützen. Um die Daten zu schützen erstellt der Arzt ein Blatt Papier mit allen Namen der Patienten und ordnet ihnen jeweils eine eindeutige Kennung zu (diese Kennung kann eine Zahlenfolge, eine Buchstabenfolge, eine Mischung aus beidem usw. sein). Dann erstellt der Arzt ein zweites Blatt, auf dem der Arzt jeder Kennung bestimmte medizinische Daten zuordnet. Oder anders gesagt: Das zweite Blatt beinhaltet pseudonymisierte Daten, das erste Blatt beinhaltet Daten, um die Pseudonymisierung rückgängig zu machen. Wenn nun das zweite Blatt gestohlen werden würde, würde der Dieb daraus keinen Nutzen ziehen, denn er könnte die medizinischen Daten keiner Person zuordnen, da er nur die Kennungen besitzt. Die Sache sieht allerdings ganz anders aus, wenn das erste Blatt auch gestohlen werden würde, dann wäre es dem Dieb möglich, die Personen und deren zugeordneten medizinischen Daten zu entschlüsseln.

Die Frage ist demnach: Sammelt Google Analytics pseudonymisierte Daten? Die Antwortet lautet ja. Um das zu verdeutlichen, schauen wir uns eine Funktion in Google Analytics an, die als User-ID bezeichnet wird. User-IDs sind eindeutige Kennungen, die einzelnen Benutzern zugeordnet werden. Sie funktionieren ähnlich wie Client-IDs. Der Unterschied besteht darin, dass User-IDs einem User zugeordnet sind, während Client-IDs einem Endgerät zugeordnet werden. Die User-ID könnte also als eine Art perfektionierte Client-ID betrachtet werden. Tatsächlich sieht der Bericht zur User-ID in Google Analytics ähnlich aus wie der Bericht zur Client-ID. Wenn Du mir nicht glaubst, schau Dir die Screenshots unten an.

(User IDs im Nutzer-Explorer Report)

(Ansicht von Daten einer einzelnen User ID)

Nicht alle Webseiten können jedoch die User-ID-Funktion aktivieren. Nur Webseiten, die eindeutige IDs generieren können, können das. Wie zum Beispiel bei einer E-Commerce-Webseite, die es den Nutzern ermöglicht, ihr eigenes Konto zu erstellen. Jedes Mal, wenn ein User ein Konto erstellt, generiert die Webseite eine eindeutige ID für diesen User. Diese eindeutige ID kann dann als User-ID an Google Analytics gesendet werden. Wenn dieselbe E-Commerce-Webseite einer Online-Marketing-Agentur Zugang zu Deinem Google-Analytics-Konto gewährt, kann die Agentur nun alle an Google Analytics gesendeten User-IDs einsehen. Die Agentur wäre jedoch nicht in der Lage, die Benutzer hinter den User-IDs zu identifizieren. Um dies zu tun, müsste die Agentur Zugang zur Kundendatenbank der E-Commerce-Webseite erhalten und die User-IDs von Google Analytics mit den eindeutigen IDs aus der Kundendatenbank der Webseite abgleichen. Das mag nach viel Arbeit klingen, aber es gibt Plugins, die das in wenigen Sekunden erledigen können. Willst Du einen Beweis? In einem seiner YouTube-Videos zeigt Julian Juenemann von measureschool.com, wie User IDs aus Google Analytics mit eindeutigen IDs aus E-Mail-Systemen oder dem CRM abgleicht. Und das mit Hilfe des Plugin PII Viewer for Google Analytics von David Simpson.

Wichtiger Hinweis, falls Du Dir das Video ansiehst: Die personenbezogenen Daten, die im Nutzer-Explorer-Report von Google Analytics nach Aktivierung des Plugins angezeigt werden, werden nicht in Google Analytics, sondern im Browser gespeichert.

Das erste Fazit bisher: User-IDs sind pseudonymisierte Daten. Und da die DSGVO pseudonymisierte Daten auch als personenbezogene Daten ansieht, sind User-IDs auch personenbezogene Daten. 

Aber vielleicht denkst Du jetzt: OK, schön, User-IDs sind personenbezogene Daten. Aber wenn ich die User-ID Funktion bei Google Analytics nicht aktiviert habe, müsste alles in Ordnung sein, oder?

Die Antwort ist: Nicht wirklich.

User-IDs sind nicht die einzigen pseudonymisierten Daten, die Google Analytics sammelt. Client-IDs sind ebenfalls pseudonymisierte Daten. Der Unterschied besteht darin, dass Client-IDs nicht mit dem Namen oder der E-Mail-Adresse von jemandem abgeglichen werden können. Um dies zu tun, müssten Webseiten-Besitzer den User hinter jeder Client-ID herausfinden, allerdings ist das fast unmöglich. Der User kann jedoch seine eigene Client-ID herausfinden. Glaubst Du mir nicht? Gehe zu einer Webseite, von der Du weißt, dass sie Google Analytics verwendet. Wenn Du Firefox verwendest (wie ich es tue), klicke mit der rechten Maustaste auf die Seite und wähle dann Element untersuchen aus. Die Entwickler-Toolbox wird geöffnet. Klicke dann auf speichern. Wähle auf der rechten Seite Cookies, und suche nach dem _ga-Cookie. Sobald es gefunden wurde, wirst Du  einen Wert sehen, der ihm zugeordnet ist:

(Client ID in der Firefox Entwickler-Toolbox)

Die Zahlenreihe 758671965.1548674440 ist die Client-ID.

Das zweite Fazit bisher: Client-IDs sind ebenfalls pseudonymisierte Daten. Und da es sich bei pseudonymisierten Daten um personenbezogene Daten handelt, sollten Client-IDs als personenbezogene Daten betrachtet werden. Im Gegensatz zu User-IDs können Webseiten-Besitzer jedoch keine Client-IDs mit dem Namen oder der E-Mail-Adresse von Personen zuordnen. Um dies zu tun, müssten Webseiten-Besitzer herausfinden, wer hinter jeder Client-ID steckt, und das ist ziemlich unmöglich. Dieses letzte Detail ist sehr wichtig, wie wir im nächsten Teil sehen werden.

Wie schon erwähnt verbieten die Nutzungsbedingungen für Google Analytics (Abschnitt 7. Datenschutz) die Eingabe personenbezogener Daten in Google Analytics. Die DSGVO betrachtet pseudonymisierte Daten jedoch als personenbezogene Daten. Und da User-IDs und Client-IDs eine Form von pseudonymisierten Daten sind…. Ja, Du hast richtig verstanden, Google erlaubt sogar, seine eigene Richtlinie zu brechen. Warum? Die Antwort darauf ist recht einfach und kann auf Googles Support-Seiten gefunden werden: Google betrachtet Pseudonyme Cookie-IDs oder andere Pseudonyme Endnutzerkennungen nicht als personenbezogene Daten. Andernfalls würde Google nicht zulassen, dass Dinge wie Nutzerkennung oder Client-IDs in Google Analytics angezeigt werden. Die Konsequenzen dieses Ansatzes sehen wir im nächsten Absatz.

(Google betrachtet Pseudonyme Endnutzerkennungen nicht als personenbezogene Daten; Quelle: hier)

Wir wissen nun, dass die von Google Analytics gesammelten Daten personenbezogene Daten sind, bzw. um genau zu sein anonymisierte Daten. Dennoch stellt sich uns die Frage, ob anonymisierte Daten gleichzeitig auch immer als personenbezogene Daten angesehen werden? Dieser Frage werden wir uns im jetzt widmen.

Zurück nach oben

 

4. Sind alle pseudonymisierten Daten personenbezogene Daten?

Viele gehen davon aus, dass es sich bei allen pseudonymisierten Daten um personenbezogene Daten handelt. Tatsächlich stimmen so ziemlich alle zu, dass es sich bei den von Google Analytics erhobenen pseudonymisierten Daten um personenbezogene Daten handelt und dass die DSGVO daher anwendbar ist. Das ist jedoch nicht wahr. Aber bevor wir diese Annahme analysieren, lass uns kurz auf die Pseudonymisierung eingehen.

Es gibt mehrere Möglichkeiten, Daten zu pseudonymisieren. Aufgrund der Verständlichkeit und des Umfangs werden wir die Pseudonymisierung in drei Kategorien einteilen: reversible Pseudonymisierung, irreversible Pseudonymisierung und ziemlich schwer rückgängig zu machende Pseudonymisierung. 

Im ersten Fall (reversible Pseudonymisierung) können die pseudonymisierten Daten der Person zugeordnet werden, zu der sie gehören. Um dies besser zu verstehen, kommen wir auf unser Arztbeispiel aus dem zweiten Teil zurück. Wie Du Dich erinnerst, enthielt das zweite Blatt, das unser Arzt erstellt hat, eindeutige Kennungen zusammen mit medizinischen Daten, die mit jenen Kennungen verknüpft sind. Nur mit diesem Blatt könnte unser Arzt nicht wissen, zu wem die medizinischen Daten gehören. Unser Arzt hatte jedoch auch ein erstes Blatt, das die Namen der Patienten enthielt, die mit den eindeutigen Identifikatoren verbunden waren. In diesem Fall ist es möglich, die pseudonymisierten Daten aus dem zweiten Blatt mit den Namen der Patienten zu vergleichen, da unser Arzt auch das erste Blatt hat. Das wäre ein Beispiel für eine reversible Pseudonymisierung.

Wenn nun der Arzt das erste Blatt verbrennen würde, dann wäre es unmöglich die medizinischen Daten mit den personenbezogenen Daten abzugleichen. Das ist ein Beispiel irreversible Pseudonymisierung.

Stell Dir vor, unser Arzt hat das zweite Dokument an ein Unternehmen verkauft, das auf medizinische Forschung und Behandlung spezialisiert ist. Die Firma, die das Dokument gekauft hat, hätte nur Zugriff auf die pseudonymisierten Daten. Wenn das Unternehmen die Pseudonymisierung rückgängig machen wollen würde, müsste es das erste Blatt von unserem Arzt stehlen, aber das ist riskant und könnte die Manager des Unternehmens eine lange Zeit im Gefängnis kosten. Eine andere Möglichkeit wäre, das erste Dokument zu kaufen, aber der Preis, den unser Arzt verlangt, ist viel zu hoch. Dies wäre ein Beispiel für eine ziemlich schwer rückgängig zu machende Pseudonymisierung.

Nun, da wir etwas mehr über die Pseudonymisierung wissen, kommen wir auf die Annahme zurück, dass pseudonymisierte Daten immer als personenbezogene Daten behandelt werden sollten. Was sagt die DSGVO dazu? Hier wird das sehr interessant dargestellt:

“Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke”.

Ich habe manche Abschnitte oben bewusst fett markiert.

Was dieser Absatz uns eigentlich sagt, ist, dass nicht alle pseudonymisierten Daten als personenbezogene Daten betrachtet werden sollten. In diesem Fall sind pseudonymisierte Daten nur dann als personenbezogene Daten zu betrachten, wenn sie mit zusätzlichen Daten zur Identifizierung eines Nutzers abgeglichen werden können und wenn diese Abgleichung sinnvoll möglich ist. Bei der Beurteilung, ob es sinnhaft möglich ist, sollten Dinge wie Kosten, Zeit und verfügbare Technologie berücksichtigt werden.

Um diesen letzten Absatz zu veranschaulichen, kommen wir auf unser Arztbeispiel zurück. Wenn unser Arzt beschließen würde, das zweite Dokument an das medizinische Unternehmen zu verkaufen, würdest Du dann wirklich glauben, dass die von dem Unternehmen gekauften Daten personenbezogene Daten waren? Das Unternehmen kann es nicht mit den Namen der Patienten abgleichen, da es nicht das erste Dokument hat. Der einzige Weg, das erste Blatt zu bekommen, wäre, es von unserem Arzt zu stehlen oder zu kaufen. Aber, wie wir gesehen haben, ist Stehlen eine sehr riskante Option und unser Arzt ist nicht bereit, das Dokument für ein paar Cent zu verkaufen. Es scheint daher nicht sinnhaft möglich, dass die Identifizierung der Patienten über das zweite Dokument für das Unternehmen sonderlich lohnenswert ist (klingt das nicht nach einer ziemlich schwer rückgängig zu machenden Pseudonymisierung?). Also hat das Unternehmen keine personenbezogene Daten gekauft. (aus Sicht des Unternehmens; aus Sicht des Arztes wären es weiterhin personenbezogene Daten, wenn der Arzt eine Kopie des zweiten Dokuments für sich behalten würde).

Betrachtest Du all diese Annahmen, dann ist ziemlich sicher, dass:

➜ Laut DSGVO sind nicht alle pseudonymisierten Daten als personenbezogene Daten zu betrachten. Zu den pseudonymisierten Daten, die nicht als personenbezogene Daten betrachtet werden können, gehören Daten, deren Pseudonymisierung irreversibel ist. Im Gegenteil dazu werden Daten, deren Pseudonymisierung leicht umkehrbar ist, als personenbezogene Daten betrachtet. Schließlich werden Daten, deren Pseudonymisierung nicht leicht rückgängig zu machen ist, als personenbezogene Daten betrachtet, wenn ein Rückgängigmachen der Pseudonymisierung sinnvoll möglich ist. Ob es sinnvollerweise möglich ist, die Pseudonymisierung rückgängig zu machen, hängt von mehreren Faktoren ab, darunter Zeit, Kosten und vorhandene Technologie.

➜ Pseudonymisierte Daten wie User-IDs sind als personenbezogene Daten zu betrachten, da ein Abgleich mit einer Person nach vernünftigem Ermessen möglich ist. Julian von measureschool.com zeigt in seinem YouTube-Video im zweiten Teil, wie das gehen könnte.

➜ Pseudonymisierte Daten wie Client-IDs sollten nicht als personenbezogene Daten betrachtet werden, da, wie beschrieben, der Abgleich mit einer Person für Unternehmen, die Google Analytics verwenden, nicht sinnvoll ist. Es ist sogar ziemlich unmöglich.

Ein wenig unklar ist es, wenn niemand nicht sinnvoll erkennen kann wer sich hinter einer bestimmten Client-ID verbirgt. Schließlich wäre es möglich, eine Client-ID mit einer bestimmten Person abzugleichen, wenn der Nutzer seine Client-ID (wie im vorherigen Teil erläutert) herausfindet und per E-Mail an das Unternehmen sendet, das Google Analytics benutzt. Das mag ziemlich seltsam klingen, aber wie würdest Du reagieren, wenn Du folgende Mail erhalten würdest?:

‚”Hi,

Mein Name ist Nelson und ich habe bemerkt, dass Sie Google Analytics verwenden. Ich habe herausgefunden, dass meine Client-ID 5393128914.4793520816 lautet. Als Betroffener möchte ich von meinem Recht auf Löschung Gebrauch machen. Bitte löschen Sie alle Daten, die mit dieser Kundennummer verbunden sind.

Danke,”

Glücklicherweise können sie neuerdings die Daten, die mit einer bestimmten Client-ID verbunden sind ganz einfach löschen.

(Der Benutzer löschen-Button erlaubt es Daten zu löschen, die mit einer Client-ID verbunden sind)

(Benutzer löschen-Button im User ID Bericht in Google Analytics)

Würdest Du trotzdem der Ansicht sein, dass es unmöglich ist festzustellen, wer hinter einer bestimmten Kundennummer steckt? Du könntest antworten: Sicher nicht. Die Tatsache, dass ein Benutzer Dir seine Kundennummer per E-Mail zusenden kann, erscheint nicht ausreichend, um Kundennummern als personenbezogene Daten zu betrachten. Es wäre sinnvoll, wenn das Unternehmen, das Google Analytics verwendet, aus eigener Kraft die Identität des Nutzers herausfinden könnte. Aber das ist nunmal nicht möglich.

Bist Du da sicher?

Vor einigen Jahren hat der Gerichtshof der Europäischen Union eine recht überraschende Entscheidung getroffen (Du  kannst das ganze Urteil hier nachlesen oder hier die Kurzversion). Der Fall betraf einen deutschen Staatsbürger, der mehrere Seiten der Bundesregierung besucht hatte. Bei jedem Zugriff auf eine dieser Webseiten wurde seine IP-Adresse in einer Protokolldatei (log file) gespeichert. Unser deutscher Staatsbürger dachte, dass es nicht notwendig sei, dass die Regierung seine IP-Adresse verarbeitet, und machte dies vor Gericht deutlich. Schließlich sind IP-Adressen personenbezogene Daten und die Bundesregierung sollte keine personenbezogenen Daten verarbeiten, es sei denn, dies ist wirklich notwendig.

Die deutsche Regierung dachte anders. Ihr Argument war ziemlich simpel: Selbst wenn die Regierung Zugriff auf die Protokolldateien (und auf die in diesen Protokolldateien gespeicherten IP-Adressen) hätte, wäre sie immer noch nicht in der Lage, die Benutzer hinter den IP-Adressen zu identifizieren. Dazu benötigt die Bundesregierung zusätzliche Informationen, Informationen, die sich in den Händen eines Dritten befinden: eines Internet Providers.

Übrigens, wenn Du nicht weißt was Protokolldateien (log files) sind und wie sie für SEO genutzt werden können, dann lies Dir gerne den Artikel meines Kollegen Stefan zum Thema SEO Logfile Analyse durch.

Also war die Frage einfach: Wenn Du bedenkst, dass die Bundesregierung nicht in der Lage war, die Nutzer hinter den IP-Adressen selbst zu identifizieren, sollten die IP-Adressen als personenbezogene Daten betrachtet werden? Beachte, dass diese Situation dem Aspekt der Client-IDs sehr ähnlich ist. Der einzige Unterschied besteht darin, dass bei Client-IDs die zur Identifizierung des Users erforderlichen Informationen beim User verbleiben (der seine Client-ID über die Entwickler-Toolbox leicht herausfinden kann), während beim Gerichtsverfahren die Informationen in den Händen eines Internet Providers sind.

Also, was ist passiert? Das liegt auf der Hand: Das Gericht entschied, dass die von der Bundesregierung gespeicherten IP-Adressen als personenbezogene Daten (WTF?) zu betrachten sind. Warum? Nun, unter außergewöhnlichen Umständen (wie bei einem Cyberangriff) können Internet Provider verpflichtet sein, ihre Daten (einschließlich des Namens des Users hinter einer bestimmten IP-Adresse) weiterzugeben, um zur Aufklärung beizutragen. Für das Gericht machte es dieser Umstand möglich, von der Bundesregierung die zusätzlichen Daten zu erhalten, die zur Identifizierung der Benutzer hinter den IP-Adressen nötig sind. Resultat: Die IP-Adressen sind aus Sicht der Regierung als personenbezogene Daten zu betrachten.

Was bedeutet das eigentlich? Vereinfacht ausgedrückt bedeutet dies, dass pseudonymisierte Daten als personenbezogene Daten anzusehen sind. Selbst wenn sich die erforderlichen zusätzlichen Daten in den Händen eines Dritten befinden und wenn irgendwie die Möglichkeit besteht, dass der Inhaber der pseudonymisierten Daten Zugang zu diesen zusätzlichen Daten erhält (auch wenn dies in Ausnahmefällen nur durch eine gerichtliche Anordnung möglich ist).

Die Entscheidung bietet die Grundlage dafür, dass viele pseudonymisierte Daten als personenbezogene Daten betrachtet werden können. Theoretisch könnte dies bedeuten, dass Client-IDs immer als personenbezogene Daten behandelt werden sollten. Schließlich besteht die Möglichkeit, dass ein Benutzer eine E-Mail schickt und Dich auffordert, die mit seiner Client-ID verbundenen Daten zu löschen. Aber lass uns nicht über die Sinnhaftigkeit dieser Gerichtsentscheidung sprechen. Das Einzige, was Du wissen solltest ist, dass mit einer Argumentation, wie sie vom Gericht verwendet wird, Daten wie Client-IDs als personenbezogene Daten betrachtet werden können. Im Sinne der DSGVO-Konformität wäre es daher sicherer anzunehmen, dass es sich bei den Client-IDs um personenbezogene Daten handelt. 

Als dieser Artikel veröffentlicht wurde (Oktober 2019), schien nicht allen Datenschutzbehörden der Europäischen Union bewusst gewesen zu sein, dass Daten wie Client-IDs potenziell als personenbezogene Daten betrachtet werden können. Andernfalls hätten sie wahrscheinlich die Verwendung von Google Analytics eingestellt. Zu diesen Behörden zählten:

➜ Die bulgarische Datenschutzbehörde (https://www.cpdp.bg/):

(Die bulgarische Datenschutzbehörde-Webseite)

➜ Die kroatische Datenschutzbehörde (https://azop.hr/):

(Die kroatische Datenschutzbehörde-Webseite –Im Falle der kroatischen Datenschutzbehörde, wird das Google -Analytics-Tracking nur ermöglicht, wenn der Nutzer es via dem Cookie-Banner akzeptiert)

➜ Die tschechische Datenschutzbehörde (https://www.uoou.cz/):

(Die tschechische Datenschutzbehörde-Webseite)

➜ Die britische Datenschutzbehörde (https://ico.org.uk/):

(Die britische Datenschutzbehörde-Webseite)

➜ Und die polnische Datenschutzbehörde (https://uodo.gov.pl/)

(Die polnische Datenschutzbehörde-Webseite)

Seitdem haben sich allerdings einige Dinge geändert, vor allem nachdem der Europäische Gerichtshof im Oktober 2019 eine wichtige Entscheidung über die Verwendung von Cookies getroffen hat.

 

• Die Website der bulgarischen Datenschutzbehörde verwendet nicht mehr Google Analytics
  
• Die Website der tschechischen Datenschutzbehörde verwendet weiterhin Google Analytics ohne einen Cookie Banner anzuzeigen und ohne Nutzer zuvor um ihre Zustimmung zu bitten:
  
• Die Website der britischen Datenschutzbehörde verwendet nach wie vor Google Analytics, aber das Google-Analytics-Skript wird erst nach Zustimmung des Nutzers gefeuert.
  
• Die Website der polnischen Datenschutzbehörden verwendet nicht mehr Google Analytics:

 

Ein letzter Aspekt: Wenn Du Dich erinnerst habe ich bereits geschrieben, dass Google die pseudonymisierten Daten, die Google Analytics sammelt, nicht als personenbezogene Daten betrachtet. Andernfalls würde Google nicht zulassen, dass Dinge wie User-IDs oder Client-IDs in Google Analytics enthalten sind.

Was passiert, ist, dass Google den gleichen Ansatz verfolgt, den die deutsche Regierung in dem von uns beschriebenen Gerichtsverfahren verfolgt hat. Google ist jedoch auch bewusst, dass dieser Ansatz nicht mit der Interpretation von “personenbezogenen Daten” der DSGVO übereinstimmt. Tatsächlich macht Google dies sehr deutlich, da es sagt, dass Daten, die nicht unter Googles Interpretation von personenbezogen Daten fallen, von der DSGVO immer noch als personenbezogene Daten angesehen werden können:

(Daten, die Google nicht als personenbezogene Daten sieht, können von der DSGVO immer noch als solche gesehen werden; Quelle: hier)

Wir wissen nun, dass Daten wie z.B. die Client ID als personenbezogene Daten angesehen werden sollten. Folgend werden wir uns mit IP-Adressen beschäftigen, warum Google Analytics sie braucht und was Du in dem Fall beachten solltest, falls Dein Unternehmen von der DSGVO betroffen ist. Außerdem zeigen wir Dir was mit Deinen Google Analytics Daten passieren kann, wenn Du Dich vor der Einbindung einer datenschutzkonformen Lösung nicht richtig informierst.

5. Wie lösche ich personenbezogene Daten in Google Analytics?

Das Gute an Google ist, dass es von Zeit zu Zeit neue Features zu Google Analytics hinzufügt.  Datenlöschung ist dafür ein gutes Beispiel.

Bevor wir uns damit in Detail auseinandersetzen, muss nochmal gesagt werden, dass Google einen sehr strikten Ansatz verfolgt, wenn es um das Einfügen personenbezogener Daten in Google Analytics geht. Wenn Google feststellt, dass personenbezogene Daten in Dein Google-Analytics-Konto eingefügt wurden, wird es möglicherweise für immer geschlossen.

 

(Google kann Google Analytics-Konten kündigen und die darin enthaltenen Daten vernichten, wenn personenbezogene Daten erkannt werden; Quelle: hier)

 

Folglich sollte Dein Ansatz also sein, zu verhindern, dass personenbezogene Daten jemals Dein Google-Analytics-Konto erreichen und sie nicht erst zu löschen, nachdem das Übel schon geschehen ist. Google hat Best Practices veröffentlicht, um das Senden von personenbezogenen Daten an Google Analytics zu vermeiden (hier und hier erhältlich), die Du Dir unbedingt anschauen solltest. In jedem Fall ist empfohlen, dass Du:

• sicherstellst, dass URLs, die in Deinem Google-Analytics-Konto eingefügt werden, keine personenbezogenen Daten wie Namen oder Email-Adressen enthalten.
• sicherstellst, dass die von Dir erstellten benutzerdefinierten Dimensionen keine personenbezogenen Daten an Google Analytics senden.
• sicherstellst, dass Du keine personenbezogenen Date via Datenimport in Dein Google-Analytics-Konto einfügst.

Und was ist, wenn das Übel schon geschehen ist und personenbezogene Daten zu Deinem Google-Analytics-Konto geschickt wurden? In diesem Fall hast Du zwei Möglichkeiten. Die erste besteht darin, die von Google Analytics bereitgestellten Schaltflächen für Datenlöschung zu verwenden, um bestimmte Datensätze zu löschen. Dies ist möglich für Client-IDs und Benutzer-IDs, wie wir bereits gesehen haben. Zusätzlich kannst du einen Aufbewahrungszeitraum unter Datenaufbewahrung festlegen, um Daten auf Benutzerebene nach einem bestimmten Zeitraum automatisch zu löschen.

(Datenaufbewahrungseinstellungen in Google Analytics)

Falls die personenbezogenen Daten nicht mit der Datenlöschungs-Schaltfläche oder unter Datenaufbewahrung gelöscht werden können, kannst Du deren Löschung mit der Funktion Löschanfragen für Daten beantragen. Diese Funktion befindet sich im Verwaltungsbereich Deines Google Analytics Accounts unter Property:

 

(Löschanfragen für Daten in Google Analytics)

Es kann vorkommen, dass Google schneller als Du personenbezogene Daten in Deinem Google Analytics Konto erkennt. Falls das passiert, bekommst Du wahrscheinlich eine Benachrichtigung in Google Analytics, die Dich dazu auffordert, Maßnahmen zu ergreifen.  Die Details dieser Benachrichtigungen findest Du unter Löschanfragen für Daten. Simo Ahava hat auf Twitter geteilt, wie so eine Benachrichtigung aussieht: 

Tweet:

Ever wondered what happens when @GoogleAnalytics flags your property for PII (Personally Identifiable Information)? You get served with a Data Deletion Request, which lets you explain what happened. If you approve the PII flag, only the violating fields are removed. #measure pic.twitter.com/N7zJCtMVIc

— Simo Ahava (@SimoAhava) July 19, 2018

(Benachrichtigung in Löschanfragen für Daten; Quelle: hier)

 

Eine wichtige Anmerkung:  Falls Du eine Löschanfrage für Daten stellst, musst Du das/die Feld(er) angeben, in denen sich die personenbezogenen Daten befinden, sowie ein Start- und Enddatum. Sobald Du die Anfrage eingereicht hast, werden alle Daten in dem/den ausgewählten Feld(ern) und Zeitraum gelöscht, unabhängig davon ob es sich personenbezogene Daten handelt oder nicht. Falls Du Anweisungen für die Löschanfrage von Daten benötigst, kannst Du die auf dieser Website aufgeführten Schritte befolgen.

Zurück nach oben

6. IP-Adressen und Datenminimierung

Und was ist mit IP-Adressen? Google Analytics muss sie verarbeiten, um den Standort eines Nutzers zu ermitteln. Und wir haben im letzten Teil gesehen, dass IP-Adressen als personenbezogene Daten betrachtet werden können, auch wenn ihnen zusätzliche Daten zur Identifizierung des Benutzers fehlen.

Bevor wir weitermachen, ist es wichtig zu beachten, dass Google IP Adressen nicht als personenbezogene Daten sieht, obwohl diese als solche von der DSGVO gesehen werden. Tatsächlich ist die Debatte, ob IP Adressen personenbezogene Daten sind oder nicht, schon seit geraumer Zeit abgeschlossen: die vorher genannte Entscheidung des Gerichtshof der Europäischen Union besagt, dass sowohl statische als auch dynamische IP Adressen als personenbezogene Daten anzusehen sind.

 

Betrachten wir nun einige Annahmen, die Marketer normalerweise in Bezug auf IP-Adressen und Google Analytics treffen.

Erste Vermutung: Unternehmen mit Sitz in der EU sollten immer eine IP-Anonymisierung aktivieren. Ich persönlich stimme dem zu.

Übrigens, wenn Du Dich fragst, was IP-Anonymisierung ist und wie sie funktioniert, schau Dir auf jeden Fall diese Google-Support-Seite an, welche sich mit der IP-Anonymisierung in Google Analytics beschäftigt.

Zweite Vermutung: Unternehmen mit Sitz in der EU sollten die IP-Anonymisierung immer aktivieren, da Google Analytics sonst personenbezogene Daten sammelt und das ist etwas Verbotenes. Ich bin damit nicht einverstanden. Wie wir bereits in den vorherigen Teilen gesehen haben, verarbeitet Google Analytics personenbezogene Daten (z.B. User-IDs oder, je nachdem, wie Du es siehst, Client-IDs). Wenn die Ausrede wäre, dass Google Analytics keine personenbezogenen Daten erheben kann, dann würde Google einen schrecklichen Fehler begehen, in dem es den Bericht des Nutzer Explorers anzeigt oder den Werbetreibenden die User-ID-Funktion anbietet.

Es ist daher falsch zu sagen, dass die IP-Anonymisierung aktiviert werden sollte, nur weil Google Analytics keine personenbezogenen Daten erheben darf. Warum sollten dann Unternehmen innerhalb der EU eine IP-Anonymisierung ermöglichen (wie ich es eigentlich denke)?

Die Wahrheit ist, dass Google nicht die gesamte IP-Adresse benötigt, um den genauen Standort eines Nutzers zu ermitteln. Darüber hinaus gibt es im Datenschutz ein Prinzip namens Datenminimierung, das besagt, dass nur die Daten gesammelt werden sollen, die benötigt werden, nicht die Daten, die Du willst. Auf IP-Adressen angewendet, würde das Prinzip so aussehen: Google Analytics muss die Nutzer finden; dazu muss Google Analytics jedoch nicht die gesamte IP-Adresse des Nutzers verarbeiten; wenn die gesamte IP-Adresse nicht für die Standortbestimmung des Nutzers erforderlich ist, sollte Google Analytics nur den Teil der IP-Adresse verarbeiten, der für die Standortbestimmung des Nutzers erforderlich ist; daher solltest Du die IP-Anonymisierung aktivieren.

Die Aktivierung der IP-Anonymisierung wurde bereits von Experten empfohlen, darunter auch von der Hamburger Datenschutzbehörde. Da die Datenminimierung jedoch ein Kernprinzip der DSGVO ist, sollten alle Unternehmen, die Google Analytics nutzen und für die die DSGVO gilt, eine IP-Anonymisierung ermöglichen, nicht nur deutsche Unternehmen.

Bist Du jetzt davon überzeugt, dass die IP-Anonymisierung aktiviert werden sollte? Ja? Dann lies Dir diesen großartigen Artikel von Optimize Smart durch, in welchem gezeigt wird, wie Du diese Funktion aktivierst.

Aber bevor wir zum nächsten Abschnitt übergehen, ein letztes Wort zu IP-Adressen. In den letzten Jahren haben wir gesehen, wie Google ernsthafte Anstrengungen unternommen hat, um seine Dienste an die europäischen Datenschutzbestimmungen anzupassen. Tatsächlich denke ich, dass Google eines der amerikanischen Unternehmen ist, das am meisten getan hat, um die Regeln einzuhalten. Wenn Google jedoch wirklich den besten Service bieten will, wäre es vielleicht eine gute Idee, die IP-Anonymisierung standardmäßig (zumindest innerhalb der EU) zu verwenden und Marketern die Möglichkeit zu geben, diese manuell auszuschalten. Schließlich ist der Datenschutz durch datenschutzfreundliche Voreinstellungen standardmäßig ein Prinzip, das auch in die DSGVO aufgenommen wurde.

7. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?

Antwort: Es kommt drauf an.

Im Allgemeinen gilt die DSGVO für Dich, wenn Dein Unternehmen seinen Sitz in der EU hat oder Dienstleistungen oder Waren für Kunden in der EU anbietet. Wenn Du also ein lokales Unternehmen in, sagen wir, Seattle hast, Deine Produkte oder Dienstleistungen lokalen Kunden anbietest und eine Webseite hast, die auf die Region Seattle ausgerichtet ist, bist Du ziemlich safe.

Das Gleiche gilt nicht für Unternehmen wie Google, Facebook oder Amazon, da Kunden auf der ganzen Welt angesprochen werden und diese über Büros und Einrichtungen in der EU verfügen.

Wenn Dein Unternehmen jedoch außerhalb der EU ansässig ist und sich nicht an europäische Kunden richtet, kann es vorkommen, dass es versehentlich personenbezogene Daten von Personen in der EU verarbeitet. Wie? Stell Dir vor, ein Bürger mit Sitz in der EU landet auf der Webseite des lokalen Unternehmens in Seattle, das zufällig Google Analytics verwendet. So schnell geht das! Aber keine Sorge: Solange Du nicht aktiv Menschen in der EU ansprichst, sollte alles in Ordnung sein.

Die Tatsache, dass die DSGVO nicht für Dein Unternehmen gilt, sollte nicht als Sieg gesehen werden. Es kann andere Datenschutzbestimmungen mit weitreichenden territorialen Geltungsbereichen geben, die Dich stattdessen betreffen. Ein Beispiel dafür ist das neue allgemeine brasilianische Datenschutzgesetz, das einen ähnlichen territorialen Geltungsbereich wie die DSGVO hat. Das CCPA ist ein weiteres gutes Beispiel.

8. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss ?

Seit dem Inkrafttreten der DSGVO haben viele Unternehmen versucht, Wege zu finden, um die neuen Regeln einzuhalten und gleichzeitig ihre Google-Analytics-Daten intakt zu halten. Um sicher zu gehen, verlangen einige Unternehmen nun von den Nutzern, dass sie das Google-Analytics-Tracking ausdrücklich akzeptieren, bevor das Tool mit der Verfolgung der Aktivitäten des Nutzers beginnt. Mit dieser Maßnahme soll die Zustimmung des Nutzers eingeholt werden. Wie Du vielleicht weißt ist das eine der grundlegenden rechtlichen Praktiken, um personenbezogene Daten zu verarbeiten. Die bisher beliebteste Lösung zur Einholung der Zustimmung des Benutzers ist die Verwendung von Tools von Drittanbietern, wie z.B. Cybots Cookiebot oder OneTrusts cookie consent management tool. Tatsächlich bist Du wahrscheinlich schon auf einer Seite gelandet, die diese Tools verwendet (morefire ist eine von ihnen).

Aber viele Unternehmen waren bei der Einholung der Zustimmung nicht sicher, welche Konsequenzen auf sie zukommen würden. Anhand des nächsten Screenshots siehst Du was mit den Daten eines meiner Kunden passiert ist:

(Zeitraum: 01.01. 2018 – 31.07. 2018)

Die Daten sind weg!!! Naja, nicht alle, aber die meisten. Stell Dir vor, die verlorenen Daten machen 60% (mehr oder weniger) des Datenverkehrs aus, der unter normalen Umständen aufgezeichnet wurde. Thanos, der beliebteste Superheldenfilm-Bösewicht des letzten Jahrzehnts, könnte sich als harter Konkurrent erwiesen haben! Eine weitere lustige Tatsache: Avengers Infinity War erschien im April 2018, nur einen Monat vor Inkrafttreten der DSGVO. Wohl mehr als ein Zufall…

Okay, ernsthaft jetzt. Die obigen Screenshots zeigen die Anzahl der Benutzer, die vor und nach dem Inkrafttreten der DSGVO auf der Webseite meines Kunden gelandet sind. Wie ich bereits erwähnt habe, entspricht der Prozentsatz des verlorenen Datenverkehrs (mehr oder weniger) 60% des Datenverkehrs, den mein Kunde normalerweise erzeugt hat. Werfen wir nun einen Blick auf die Conversions:

(Zeitraum: 01.01. 2018 – 31.07. 2018)

Im Durchschnitt machen verlorene Conversions 40% der unter normalen Umständen erfassten Conversions aus. Das ist ziemlich schlecht für jemanden, der versucht anständige Webanalysen durchzuführen, oder?

9. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?

Wie wir bereits im letzten Teil gesehen haben, wird die Einwilligung des Nutzers, bevor das Google-Analytics-Tracking ausgelöst wird, mit Sicherheit die Daten in Analytics schädigen. Die Frage ist also: Kann ich die DSGVO noch einhalten, ohne den Nutzer zu verpflichten, seine Zustimmung zu geben?

Die Antwort darauf hat deutlich mehr Nuance als viele denken.

 

Der erste Schritt ist herauszufinden, ob das Skript, Pixel, Cookie oder wie auch immer Du es nennen möchtest, personenbezogene Daten verarbeitet. Ist die Antwort darauf ja, gilt die DSGVO (außer Dein Unternehmen fällt nicht in ihren Geltungsbereich) und es wird eine rechtliche Grundlage für die Verarbeitung personenbezogenen Daten benötigt.

Die DSGVO listet dazu die Rechtsgrundlagen auf, die Unternehmen für die Datenverarbeitung verwenden können. Als erstes wird die Einwilligung des Nutzers  aufgeführt, als letztes ein berechtigtes Interesse.

Leider definiert die DSGVO nicht, was ein berechtigtes Interesse ist. Aber es sagt etwas anderes aus:

“Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden”

Ähnlich wie beim Konzept des berechtigten Interesses wird Direktwerbung nicht durch die DSGVO definiert. Wir wissen jedoch, dass das Marketing letztendlich als berechtigtes Interesse angesehen werden könnte, basierend auf dem, was die DSGVO sagt. Und da Google Analytics ein Werkzeug für Marketing-Zwecke ist, sollte es relativ sicher sein, das berechtigte Interesse als Grundlage zu nutzen, anstatt die Einwilligung des Nutzers zur Verarbeitung personenbezogener Daten einzuholen.

 Die Nutzung der berechtigten Interessengrundlage zur Datenverarbeitung mit Google Analytics behebt jedoch alle Probleme. Du wirst immer noch verschiedene Verpflichtung einhalten müssen, wie zum Beispiel:

• Die Unterzeichnung eines Auftragsverarbeitungsvertrags mit Google.
• Das Informieren Deiner Nutzer darüber, wie Google Analytics ihre Daten verarbeitet.
• Das Ergreifen von Sicherheitsmaßnahmen, damit Dein Google-Analytics-Konto und die darin enthaltenen Daten nicht gefährdet werden.

 Übrigens schlägt der Europäische Datenschutzausschuss in seinen Transparenz-Richtlinien im Rahmen der DSGVO auch vor, die Abwägungsprüfung für den Nutzer oder auf Wunsch dessen verfügbar zu machen. Falls du dich fragst, was eine Abwägungsprüfung ist: Diese ist ein Test, den jede Organisation durchführen muss, um festzustellen, ob das berechtigte Interesse, auf dessen Basis die personenbezogenen Daten verarbeitet werden, nicht durch die Interessen und Rechte der Person, der die Daten gehören, überlagert wird.

Eine komplett andere Lösung zur Vermeidung von Nutzereinwilligung wäre es, die Daten von Google Analytics überhaupt nicht als personenbezogene Daten zu betrachten.  Wie wir in den vorherigen Teilen gesehen haben, ist es nicht klar, ob Daten wie Client-IDs als personenbezogene Daten betrachtet werden sollten. Wenn Du also Client-IDs nicht als personenbezogene Daten betrachtest und zusätzliche Vorkehrungen wie die Aktivierung der IP-Anonymisierung getroffen haben, kannst Du durchaus davon ausgehen, dass Google Analytics keine personenbezogenen Daten verarbeitet.

Das klingt aber etwas riskant und würde irgendwie allen technischen Maßnahmen und Funktionen von Google widersprechen, damit Google Analytics im Einklang mit der DSGVO steht.

10. Einwilligung wird unter bestimmten Umständen immer noch benötigt

Wie wir gerade gesehen haben, muss Einwilligung nicht unbedingt die Rechtsgrundlage für die Verarbeitung der von Google Analytics gesammelten Daten sein. Allerdings wird die Einwilligung des Nutzers immer noch benötigt, um Tracking-Skripte oder Cookies zu verwenden. 

Die Verpflichtung, Nutzereinwilligung einzuholen, falls Tracking-Skripte oder Cookies verwendet werden, ist nicht in der DSGVO festgelegt, sondern in einer alten EU Richtlinie aus dem Jahr 2002. Diese Richtlinie ist allgemein als die e-Datenschutz-Richtlinie bekannt und enthält unter anderem Regeln für Cookies und andere kommerzorienterte elektronische Kommunikation (z.b. Marketing-E-Mails).

Die e-Datenschutz-Richtlinie unterscheidet zwischen:

• Cookies, die unbedingt notwendig sind, um einen Leistung zu erbringen, die explizit vom Nutzer gewünscht wurde.
• Alle anderen Cookies.

Für die erste Art der Cookies (solche, die unbedingt notwendig sind, um eine vom Nutzer gewünschte Leistung zu erbringen), wird eine Einwilligung nicht benötigt. Für die zweite Art (alle anderen Cookies), ist eine Einwilligung zwingend notwendig.

 

Übrigens ist die Tatsache, dass das Cookie oder Tracking Script personenbezogene Daten verarbeitet, irrelevant. Falls das Cookie nicht-personenbezogene Daten verarbeitet, aber nicht unbedingt notwendig ist, um eine vom Nutzer ausdrücklich erwünschte Leistung zu erbringen, ist eine Einwilligung immer noch notwendig. Dafür gibt es genügend Beweise, die das belegen:

• In ihrer Stellungnahme 2/2010 zur Werbung auf Basis von von Behavioral Targeting, besagt die Artikel 29 Arbeitsgruppe: Artikel 5(3) der e-Datenschutz-Richtlinie (welcher die Nutzung von Cookies regelt) “(…) gilt für ‘Informationen’ (gespeicherte Informationen und/oder Informationen, auf die Zugriff genommen wird). Er macht hier keinen Unterschied. Für die Anwendung dieser Bestimmung ist es nicht erforderlich, dass es sich bei den Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46/EG handelt.”
• In ihrer Stellungnahme 4/2020 zur Ausnahme von Cookies von der Einwilligungspflicht, besagt die Artikel 29 Arbeitsgruppe, dass eine Einwilligung “(…) für alle Arten von Informationen, die auf dem Endgerät des Nutzers gespeichert werden oder auf die dort zugegriffen wird (…)” gilt.
• Gemäß der ICO (der Britischen Datenschutzbehörde) gelten die Regeln für Cookies, die in der e-Datenschutz-Richtlinie festgelegt wurden, unabhängig davon, ob der Zugriff oder das Speichern von Informationen auf Nutzer-Endgeräten personenbezogene Daten involviert.
• Auf einer anderen Webseite, besagt die ICO, dass, obwohl Cookies, die personenbezogene Daten verarbeiten ein größeres Risiko für Sicherheit und Privatsphäre sind als solche, die anonyme Daten verarbeiten, die PECR für alle Cookies gilt. Die PECR, falls Du dich fragst, sind die von der britischen Regierung verabschiedeten Regeln zur Umsetzung der e-Datenschutz-Richtlinie im britischen Rechtsrahmen.

 

Als Folge kann die Kombination aus DSGVO und der e-Datenschutz-Richtlinie kann zu merkwürdigen Situationen wie den folgenden führen:

 

• Ein Cookie, das personenbezogene Daten verarbeitet, benötigt eine Rechtsgrundlage (die nicht zwangsweise eine Einwilligung sein muss) für die Verarbeitung, aber benötigt keine wie unter der e-Datenschutz-Richtlinie festgelegte Einwilligung, falls das Cookie zwingend notwendig ist, um eine vom Nutzer geforderte Leistung zu erbringen.

 

• Ein Cookie, das keine personenbezogenen Daten verarbeitet, benötigt keine Rechtsgrundlage (da keine personenbezogenen Daten verarbeitet werden), aber benötigt eine Einwilligung, wie in der e-Datenschutz-Richtlinie festgelegt, wenn das Cookie nicht zwingend notwendig ist, um eine vom Nutzer geforderte Leistung zu erbringen.

 

Um das ganze noch verwirrender zu machen, ist die Frage, ob ein Cookie für die Erbringung einer vom Nutzer geforderten Leistung zwingend notwendig ist oder nicht, eine Frage, die innerhalb der EU unterschiedliche Antworten hat. Zum Beispiel: Die ICO sieht Analytics-Cookies nicht als zwingend notwendig, um eine vom Nutzer geforderte Leistung zu erbringen; die CNIL (die französische Datenschutzbehörde) hingegen sieht Analytics-Cookies als zwingend notwendig, um eine vom Nutzer geforderte Leistung zu erbringen, solange sie einer Liste verschiedener Anforderungen entsprechen.

Zurück nach oben

 

11. Welche Rolle spielen CMPs bei all dem?

CMPs (Consent Management Platforms) sind ein wesentlicher Bestandteil vieler Websites geworden. Warum? Ganz einfach: Eine Einwilligung ist notwendig, sobald Cookies nicht zwingend notwendig sind, um eine vom Nutzer geforderte Leistung zu erbringen.

Eine interessante Tatsache über CMPs ist, dass sie erst zum Zeitpunkt der Verabschiedung der DSGVO an Bekanntheit gewannen. Bis dahin haben die meisten Websites keine CMP verwendet oder nur mit einem Banner ihre Besucher auf die Cookie-Nutzung aufmerksam gemacht. Diese Tatsache ist insofern interessant, da die Einwilligungspflicht schon in der e-Datenschutz-Richtlinie im Jahr 2009 festgelegt wurde. Seit der Verabschiedung der DSGVO im Jahr 2016, sind Cookies eine riesige Sache geworden, aber zwischen 2009 und 2016 hat sich scheinbar niemand dafür interessiert. Die Frage ist also, warum Datenschutzbehörden erst ab dem Zeitpunkt der DSGVO-Verabschiedung und nicht schon vorher an Cookies interessiert waren.

So oder so, CMPs wie OneTrust, Cookiebot oder Quantcast werden immer häufiger gesehen und es ist unwahrscheinlich, dass dieser Trend gestoppt wird. Allerdings sollte im Kopf behalten werden, dass nicht alle CMPs die Vorschriften der e-Datenschutz-Richtlinie und der DSGVO auf dem gleichen Grad einhalten. Bei manchen fehlen wesentliche Bestandteile wie Protokolle der Einwilligungen oder enthalten diese nur in kostenpflichtigen Angeboten. Darüber hinaus ist es schwer zu sagen, welche Funktionen ein CMP bieten sollte, da die Gesetzgebung und ihre Auslegung alles andere als deutlich sind. Allerdings scheint es sicher zu sein, das eine CMP zumindest die folgenden Elemente bieten sollte: 

• Einen Cookie-Banner, der sofort darüber informiert, dass die Website Cookies verwendet.
• Jeweils einen “Akzeptieren”-und “Ablehnen”-Knopf. Dabei ist es erwähnenswert, dass viele Website-Eigentümer keinen “Ablehnen”-Knopf bieten. Stattdessen bieten sie einen “Konfigurieren”-Knopf, den der Nutzer verwenden muss, um die Cookies abzulehnen. Wirklich gefügig ist dieser Ansatz nicht, vor allem angesichts der Tatsache, dass eine Einwilligung von der DSGVO genauso interpretiert wird wie von der e-Datenschutz-Richtlinie und dass sehr strenge Richtlinien zum Thema Einwilligung vom Europäischen Datenschutzausschuss erlassen wurden.
• Einen “Konfigurieren”-Knopf, welchen der Nutzer verwenden kann, um seine Cookie-Einstellungen zu verwalten.
• Protokolle der Einwilligungen, welche der Eigentümer der Website nutzen kann, um zu beweisen, dass ein Nutzer die Cookies akzeptiert hat.

 

Es gibt noch weitere Anforderungen, die sich aus der Gesetzgebung ableiten lassen, aber es ist immer noch sehr schwierig, eine Liste mit allen relevanten Funktionen und Merkmalen zu erstellen, die eine CMP haben sollte. Bei diesem Thema sind Richtlinien entscheidend, und da das Internet keine Grenzen hat, wäre es eine gute Idee, wenn sie von jemandem wie dem Europäischen Datenschutzausschuss kommen würden.

 

 

12. Datennutzung für eigene Zwecke und der Speicherort: Sind das die nächsten Trojanischen Pferde?

 

Neben der Cookie-Einwilligung, wirft Google Analytics einige zusätzlich Probleme auf, die sich in der Zukunft zu Trojanischen Pferden entwickeln könnten. Dazu gehört die Tatsache, dass Google Analytics Daten von Google für seine eigenen Zwecke verwendet, sowie der Speicherort, an dem Google Analytics-Daten aufbewahrt werden.

 

In Bezug auf den ersten Punkt stellt Google klar, dass, unabhängig von den Datenfreigabeeinstellungen, Google die Google Analytics-Daten, die Website-Eigentümer in ihren Konten haben, verwenden darf, sofern dies zur Aufrechterhaltung und zum Schutz des Google-Analytics-Dienstes erforderlich ist. Diese Tatsache könnte für Website-Eigentümer zum Problem werden, die sich auf die Einwilligung des Nutzers verlassen, um von Google Analytics gesammelte personenbezogene Daten zu verarbeiten: technisch ist es nicht praktikabel, Googles Verwendungszweck (Aufrechterhaltung und Schutz des Google-Analytics-Dienstes) von den Verwendungszwecken der Website-Eigentümer, die Google Analytics nutzen, zu trennen. Eine mögliche Lösung dafür bestünde darin, die Daten unter einem berechtigten Interesse zu verarbeiten. Diese Rechtsgrundlage kann auch zu Gunsten Dritter verwendet werden. Allerdings wären die in der DSGVO festgelegten Informationspflichten nach wie vor ein Problem, da Google nur sehr wenige Informationen über die Datenverarbeitung, die sie zur Aufrechterhaltung und Schutz des Google Analytics-Dienstes nutzen, liefert.

 

(Google verwendet Google-Analytics-Daten zur Aufrechterhaltung und zum Schutz seines Dienstes; Quelle: hier)

Das andere, und wahrscheinlich größte, trojanische Pferd ist der Speicherort der Daten. Die kostenlose Version von Google Analytics ermöglicht Website-Eigentümern nicht, auswählen, wo ihre Daten gespeichert werden. Das bedeutet, dass Google entscheiden kann, in welches seiner Datenzentren die Daten gesendet werden. Google verfügt über mehrere Datenzentren, von denen sich einige in Ländern befinden, die weder EU-Mitglieder sind noch einen Angemessenheitsbeschluss von der Europäischen Kommission erhalten haben (z.B. Chile oder Singapur). Darüber hinaus lagert Google die Verarbeitung von Google Analytics-Daten an Dritte aus, die auf der ganzen Welt verteilt sind. Um das legal zu machen, verpflichtet Google die Website-Eigentümer dazu, einen Auftragsverarbeitungsvertrag zu akzeptieren, welcher die von der Europäischen Kommission genehmigten Standardvertragsklauseln zu einer Übertragung von Daten in Länder, die keinen Angemessenheitsbeschluss erhalten haben, enthält. Dies scheint jedoch aus verschiedenen Gründen nicht genug zu sein. Erstens, die DSVGO verpflichtet Website-Eigentümer dazu, ihren Nutzern mitzuteilen, falls ihre Daten in Länder außerhalb der EU transferiert werden. Allerdings ist es schwer, dieser Verpflichtung nachzukommen, wenn niemand nicht weiß, wo die Daten gespeichert werden. Zweitens, für den Fall, dass die Daten in ein Land außerhalb der EU transferiert werden, verpflichtet die DSGVO Website-Eigentümer zu sagen, ob das Land, in das die Daten transferiert werden, einen Angemessenheitsbeschluss erhalten haben. Schwierig, wenn der Datenspeicherort unbekannt ist. Drittens, wenn die vom Europäischen Datenschutzausschuss erlassenen Richtlinien zur  Transparenz streng ausgelegt werden, könnten Website-Eigentümer verpflichtet sein, den Namen ihrer Datenverarbeiter offenzulegen. Im Falle von Google Analytics ist das logischerweise nicht möglich, da wir nicht wissen wo sich die Daten befinden und wer sie speichert.

13. Fazit

Die wichtigsten Fakten  noch einmal zusammengefasst:

➜ Google Analytics sammelt Nutzerdaten.

➜ Daten wie User-IDs oder Client-IDs sind pseudonymisierte Daten. Das bedeutet, dass sie die Identität einer Person nur dann preisgeben können, wenn zusätzliche Daten verwendet werden.

➜ Pseudonymisierte Daten werden im Rahmen der DSGVO als personenbezogene Daten behandelt.

➜ Allerdings werden nicht alle pseudonymisierten Daten von der DSGVO als personenbezogene Daten betrachtet. In diesem Sinne sind pseudonymisierte Daten nur dann als personenbezogene Daten zu betrachten, wenn ein Widerruf der Pseudonymisierung möglich ist.

➜ Es ist möglich, User-IDs mit zusätzlichen Daten abzugleichen und somit die Identität eines Nutzers herauszufinden. Daher sollten User-IDs als personenbezogene Daten betrachtet werden.

➜ Nach Ansicht des Gerichtshofs der Europäischen Union sind pseudonymisierte Daten als personenbezogene Daten zu betrachten, auch wenn die zur Identifizierung des Nutzers erforderlichen zusätzlichen Daten nicht in den Händen des Unternehmens liegen, das die pseudonymisierten Daten hat. Daher wäre es sicherer, Client-IDs als personenbezogene Daten zu behandeln.

➜ In jedem Fall ist es sicherer anzunehmen, dass Google Analytics personenbezogene Daten verarbeitet.

➜ Nach dem Prinzip der Datenminimierung sollte die IP-Anonymisierung von allen Unternehmen aktiviert werden, für die die DSGVO gilt. Denn die gesamte IP-Adresse ist nicht notwendig, um den Standort eines Benutzers zu ermitteln.

➜ Einige Unternehmen verlangen nun von den Nutzern, dass sie ihre Zustimmung geben, bevor das Google-Analytics-Tracking aktiviert wird. Dies führt jedoch zu einem erheblichen Verlust an Traffic und Conversions.

➜ Die berechtigte Interessengrundlage könnte von Unternehmen genutzt werden, um die Datenverarbeitung durch Google Analytics zu rechtfertigen. Die DSGVO selbst sagt, dass Direktwerbung als berechtigtes Interesse angesehen werden kann.

➜ Unabhängig davon, ob die von Unternehmen zur Datenverarbeitung verwendete Grundlage die Einwilligung oder ein berechtigtes Interesse ist, müssen andere Probleme gelöst werden, wie z.B. der Abschluss eines Auftragsverarbeitungsvertrags, die Information der Nutzer darüber, wie Google Analytics ihre Daten verarbeitet oder die Umsetzung von Sicherheitsmaßnahmen erfolgt, damit Google Analytics nicht beeinträchtigt wird.

Das ist alles. Ich hoffe, ich habe Dir geholfen, einige der Probleme im Zusammenhang mit Google Analytics und der DSGVO zu verstehen. Ich hoffe auch, dass ich mit der Reihe einige Fragen zu diesem Thema aufgeworfen habe. Wenn Du Fragen dazu hast, melde Dich gerne jederzeit bei uns. Cheers!

In meinem kostenlosen E-Book „Google Analytics und die DSGVO – Alles, was Unternehmen wissen müssen“ erhältst Du auf 35 Seiten noch mehr detaillierte Informationen rund um das Thema DSGVO, Google Analytics und Tracking – Hier geht’s zum Download.

Zurück nach oben