▷ Google Analytics » DSGVO
Google hat für Google Analytics seine „Hausaufgaben“ gemacht und in einem Mail an alle Analytics-Administratoren veröffentlicht.
Das beschützt allerdings die Nutzer nicht vor Strafen: Bussgelder, die bei Verstößen verhängt werden können (nach Eintreten der EU-DSGVO) bis 20.000.000 Euro bzw. 4% des Umsatzes, zielen eindeutig auf große Unternehmen – doch betroffen davon sind leider alle Deutschen.
Unter dem Betreff „Wichtige Neuigkeiten zur Aufbewahrung von Google Analytics-Daten und zur Datenschutzgrundverordnung (DSGVO)“ mit dem Vermerk „[Bitte unbedingt lesen]“ hat Google am 19.04.2018 folgende Mail versendet:
Lieber Google Analytics-Administrator,
im Laufe des letzten Jahres haben wir Ihnen mitgeteilt (nur in Engl.), welche Vorbereitungen wir treffen, um den Anforderungen der Datenschutzgrundverordnung (DSGVO) zu entsprechen. Dieses neue Datenschutzgesetz tritt am 25. Mai 2018 in Kraft. Wir möchten Sie heute über wichtige Produktänderungen informieren, die möglicherweise Auswirkungen auf Ihre Google Analytics-Daten haben, und Ihnen weitere Neuigkeiten zur Vorbereitung auf die DSGVO mitteilen. Diese E-Mail ist für Sie auch dann relevant, wenn Ihre Nutzer sich nicht im Europäischen Wirtschaftsraum (EWR (nur in Engl.)) befinden.
Produktupdates
Wir haben kürzlich detaillierte Einstellungen für die Datenaufbewahrung eingeführt, mit deren Hilfe Sie regeln können, wie lange Ihre Nutzer- und Ereignisdaten auf unseren Servern vorgehalten werden. Ab dem 25. Mai 2018 werden Nutzer- und Ereignisdaten gemäß dieser neuen Einstellungen aufbewahrt. Daten, bei denen der von Ihnen gewählte Aufbewahrungszeitraum abgelaufen ist, werden von Google Analytics automatisch gelöscht. Berichte, die auf aggregierten Daten basieren, sind von diesen Einstellungen nicht betroffen.
Bitte überprüfen Sie die genannten Einstellungen für die Datenaufbewahrung und nehmen Sie gegebenenfalls Änderungen vor.
Noch vor dem 25. Mai führen wir außerdem ein neues Tool zum Löschen von Nutzern ein. Mit diesem Tool können Sie alle mit einem einzelnen Nutzer (z. B. einem Websitebesucher) verknüpften Daten in Google Analytics- und/oder Analytics 360-Properties löschen. Die Funktionsweise des neuen automatisierten Tools basiert auf gängigen Kennzeichnungen, die an Analytics gesendet werden: Client-ID (z. B. eigener standardmäßiger Google Analytics-First Party Cookie), Nutzer-ID (sofern aktiviert) oder Anwendungsinstanz-ID (bei Verwendung von Google Analytics für Firebase). Auf unserer Entwicklerseite werden in Kürze weitere Details dazu veröffentlicht.
Wir bieten Ihnen auch weiterhin Möglichkeiten zur Sicherung Ihrer Daten. Google Analytics und Analytics 360 beinhalten eine Reihe von Funktionen und Richtlinien zur Erfassung, Nutzung und Aufbewahrung von Daten, um Sie bei der Sicherung Ihrer Daten zu unterstützen. Funktionen wie anpassbare Cookie-Einstellungen (nur in Engl.), Datenschutzkontrollen, Datenfreigabeeinstellungen, die Datenlöschung bei Kündigung eines Kontos und die IP-Anonymisierung können sich als nützlich erweisen, wenn Sie die Auswirkungen der DSGVO auf Ihr eigenes Unternehmen und Ihre Analytics-Implementierung bewerten.
Aktualisierungen der Verträge und Neuigkeiten zum Einwilligungserfordernis
Vertragsänderungen
Seit letztem August hat Google die Verträge für viele Produkte dahingehend aktualisiert, dass Google nun gemäß den Vorgaben des neuen Gesetzes entweder die Rolle eines Auftragsverarbeiters oder eines Verantwortlichen einnimmt. Weitere Informationen dazu finden Sie unter der Übersicht zur vollständigen Einordnung unserer Anzeigenprodukte. Die neuen DSGVO-Bedingungen werden Ihren bestehenden Vertrag mit Google ergänzen und treten am 25. Mai 2018 in Kraft.
Bei Google Analytics und Analytics 360 agiert Google als Auftragsverarbeiter der personenbezogenen Daten, die im Rahmen dieser Dienste verarbeitet werden.
-
Google Analytics-Kunden, die ihren Unternehmenssitz außerhalb des EWR haben, sowie alle Analytics 360-Kunden können die aktualisierten Datenverarbeitungsbedingungen in ihren Konten einsehen und bestätigen (Verwaltung > Kontoeinstellungen).
-
Bei Google Analytics-Kunden, die zum EWR gehören, sind die aktualisierten Datenverarbeitungsbedingungen bereits in den Nutzungsbedingungen enthalten.
-
Falls Sie nicht direkt mit Google einen Vertrag über die Verwendung ihrer Google-Measurement-Produkte abgeschlossen haben, sollten Sie sich stattdessen an Ihre jeweiligen Vertragspartner wenden.
Aktualisierte Richtlinie zur Einwilligung der Nutzer in der EU
Gemäß unserer Richtlinie für Werbefunktionen müssen sowohl Google Analytics- als auch Analytics 360-Kunden, die die Werbefunktionen einsetzen, die Richtlinie zur Einwilligung der Nutzer in der EU von Google einhalten. Diese Richtlinie wird an die neuen gesetzlichen Anforderungen der DSGVO angepasst. In der Richtlinie werden Ihre Informationspflichten gegenüber Endnutzern Ihrer Webseiten oder Ihrer Apps im EWR und Ihre Verpflichtung, Einwilligungen einzuholen, festgelegt.
Erforderliche Maßnahme: Auch wenn sich Ihr Unternehmenssitz nicht im EWR befindet, empfehlen wir, mit Ihrer Rechtsabteilung oder Ihren Rechtsberatern zu klären, ob Ihre Nutzung von Google Analytics und Analytics 360 in den Anwendungsbereich der DSGVO fällt. Zudem sollten Sie die aktualisierten Datenverarbeitungsbedingungen prüfen und abschließen sowie die Vorgehensweise klären, wie Sie die Richtlinie zur Einwilligung der Nutzer in der EU befolgen werden.
Weitere Informationen
Unter privacy.google.com/businesses erhalten Sie zusätzliche Informationen zum Thema Datenschutz bei Google und zu unseren Datenschutzrichtlinien. Außerdem können Sie sich über unsere Datenverarbeitungsbedingungen informieren.
In den kommenden Wochen geben wir weitere Informationen zu unseren Plänen bekannt und aktualisieren gegebenenfalls relevante Dokumente für Entwickler und in der Hilfe.
Mit freundlichen Grüßen
Ihr Google Analytics-Team
Fazit
Die Links in den Links
Wenn man alle unter den genannten Links aufgeführten Texte in einem Dokument zusammenfasst, ergibt sich ein Dokument mit mehreren hundert Seiten. Denn man MUSS auch den Links folgen, die in den Dokumenten der o.g. Links stecken. Das ist die Krux am Fall: es ist nicht mehr ausdruckbar und damit auch nicht mehr vollständig erfassbar.
Wenn es nicht erfassbar ist, bleiben 2 Möglichkeiten:
- Komplette Ignoranz und man läßt alles wie es ist.
- Man ist ein großes Unternehmen und kann sich die Mitarbeiter-Abteilung (inkl. Juristen) leisten, die hierfür benötigt wird.
Zu 1.: Komplette Ignoranz
Ich gehe davon aus, dass das 80% der Webseiten in Deutschland mit Google Analytics im Einsatz betrifft. Kleine Shop- & Web-Seiten sind froh, wenn der Google Analytics Code „ordentlich läuft“ (von Google Analytics Enhanced Ecommerce möchte ich da nicht sprechen!) und vom Einsatz des Google Tag Managers sind wir weit entfernt.
Wo kein Kläger, da kein Richter
Wie sagt der Anwalt „Da müssen wir erstmal die ersten Urteile abwarten und dann sehen wir weiter.“
- Wer prüft die Einhaltung der DSGVO-Richtlinien im Tracking-Programm bei Unternehmen? Die Steuerbehörde bei der Betriebsprüfung? Das kann ja lustig werden…
- Gibt es im Gesetz wieder ein „offenes Tor“ für die Abmahnanwälte? Die Frage steht für mich noch offen, aber wir werden im Netz sicher davon lesen, falls es so ist (Opfer).
Zu 2.: Mitarbeiter-Abteilung
Ein Mitarbeiter allein kann die Punkte nicht abarbeiten: juristische Texte lesen, beurteilen und für die Webseite, AGB etc. die Text-Änderungen verfassen; Programmiertechnisch (ja, da muss man an den Code ran, wenn man noch alte Analytics Tracking-Codes verwendet, was bei jeder 2. Seite der Fall sein dürfte), Webseiten-Text aktualisieren und nicht zuletzt: wer löscht die Daten dann, wenn es ein Kunde beantragt – auch dafür muss mind. 1 Mitarbeiter zuständig sein.
Gehen wir doch an 1 Punkt ins Detail und schauen uns die privaten Nutzerdaten in Google Analytics und die zukünftige Anwendung des DSGVO an:
Cookie-Einstellungen in Google Analytics
Link-URL (nur in Engl. verfügbar): https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
Da ist die „übersichtliche Tabelle“ für die Einstellungen:
gtag.js and analytics.js – cookie usage
The analytics.js JavaScript library is part of Universal Analytics and uses first-party cookies to:
- Distinguish unique users
- Throttle the request rate
When using the recommended JavaScript snippet, gtag.js and analytics.js set cookies on the highest level domain they can. For example, if your website address is
blog.example.co.uk, analytics.js will set the cookie domain to.example.co.uk. Setting cookies on the highest level domain possible allows users to be tracked across subdomains without any extra configuration.gtag.js and analytics.js set the following cookies:
| Cookie Name | Expiration Time | Description |
|---|---|---|
_ga |
2 years | Used to distinguish users. |
_gid |
24 hours | Used to distinguish users. |
_gat |
1 minute | Used to throttle request rate. If Google Analytics is deployed via Google Tag Manager, this cookie will be named _dc_gtm_<property-id>. |
AMP_TOKEN |
30 seconds to 1 year | Contains a token that can be used to retrieve a Client ID from AMP Client ID service. Other possible values indicate opt-out, inflight request or an error retrieving a Client ID from AMP Client ID service. |
_gac_<property-id> |
90 days | Contains campaign related information for the user. If you have linked your Google Analytics and AdWords accounts, AdWords website conversion tags will read this cookie unless you opt-out. Learn more. |
Customization
Read the analytics.js Domains & Cookies developer guide to learn all the ways these default settings can be customized.
Read the Security and privacy in Universal Analytics document for more information about Universal Analytics and cookies.
Aktuell sieht ein (roher, unbearbeiteter) Google Analytics Tracking-Code so aus:
< script async src=“https://www.googletagmanager.com/gtag/js?id=UA-xxxxxxxx-1″>< /script >
< script >
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());gtag(‚config‘, ‚UA-xxxxxxxx-1‘);
< /script >
Vergleich: „alter“ Analytics Code aus 2014
Ganz klar, das bauen wir Abends nach unserem Haupt-Job für unseren kleinen Nebenverdienst-Onlineshop mal schnell eben so ein bzw. um – / ironie.
Allein mit dieser einen Anleitung sind normale Analytics User auf kleinen Webseiten überfordert. Was ist wenn es falsch eingebaut wird, wenn ein Mensch einen Fehler macht? Wenn die Shop-Daten dann verfälscht sind, wenn die User-Daten nicht mehr stimmen? Wenn ein Abmahn-Anwalt einen Fehler schneller findet?
Sind wir wieder bei 1. IGNORIEREN
Persönlich überlege ich ja, ob ich am 24. Mai Google Analytics erstmal aus allen Webseiten ausbaue – immerhin ist das weniger Aufwand, als mich mit den o.g. Dokumenten, Links und Anleitungen zu beschäftigen.
Wo keine Daten gesammelt werden, muss ich auch nicht aufpassen – eigentlich ist es damit eine 3. Lösung.
Und ob der Shop gut läuft, sieht man ja auch an den Umsatzzahlen.
Wenigstens bis sich die Abmahn-Anwälte ausgetobt haben bzw. das System so eingelaufen ist, dass man erste Erkenntnisse nutzen kann ohne immensen Zeitaufwand.
Und ich hab noch die klitzekleine Hoffnung, dass das DSGVO scheitert – denn es ist einfach nicht 100% umsetzbar und für mich damit ein Politik-Rohrkrepierer wie das Leistungsschutzrecht.
Was habt Ihr bezüglich DSGVO so vor mit Google Analytics?
Kommentare
Michael 26. April 2018 um 06:31
Ich bin auch mal gespannt wie sich das Thema entwickelt. Egal wie viel man sich im Internet durchliest oder anschaut, eine wirklich einfache Lösung scheint es bisher nicht zu geben. Die Strategie mit abschalten und abzuwarten finde ich gar nicht schlecht, werde denk auch in die Richtung gehen.
Viele Grüße
Michael
Konny 30. April 2018 um 07:31
Diese ganze DSVGO Thema nervt richtig. Ich werde wie du Google Analytics erstmal raushauen, der Aufwand lohnt sich für mich als kleinen Hobby-Website Betreiber einfach nicht. Erwägst du Alternativen zu nutzen? Z.B. Piwik, wie sieht es da datenschutzrechtlich aus?
LG
Tanja 22. Mai 2018 um 14:48
Vielen Dank für diesen tollen Beitrag!
Nicolas 27. Juni 2018 um 09:33
Wirklich nerviges Thema! 😀 Das zeigt wieder mal, dass die europäische Politik leider überhaupt nicht zukunftsorientiert ist.