seo-nerd® – digital success
Bundesallee 39-40a, 10717, Berlin, Berlin, Deutschland

DSGVO Checkliste

Webseiten abmahnsicher gestalten
Lesedauer: 6 Minuten
DSGVO konforme Nutzung von Google Analytics

DSGVO konforme Nutzung von Google Analytics

Am 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die Richtlinien gelten EU-weit und betreffen im Grunde jeden, der personenbezogene Daten speichert und sie nutzt. Rechtssicher handeln müssen alle Webseitenbetreiber – vom „kleinen Blog“ über die Online-Präsenz von Unternehmen, Vereinen oder Behörden bis hin zu Online-Shops und großen Portalen. Auch wer Newsletter verschickt, Werbebanner oder Affiliate-Links einsetzt, muss dies künftig DSGB-konform tun. Der seo-nerd hat eine DSGVO Checkliste zusammengestellt, in der Du unter anderem auch erfährst, wie Du Google Analytics DSGVO-konform nutzt.

Was ist die DSGVO?

Die DSGVO vereinheitlich das Datenschutzrecht in der EU. Da es sich um eine Verordnung handelt, muss sie nicht erst in nationales Recht übertragen werden. Die neuen Datenschutzrichtlinien gelten daher auch in Deutschland ab dem Stichtag, 25. Mai 2018.

Absicht der Verordnung ist es, die Rechte von Personen zu stärken, deren Daten gesammelt werden wie etwa die von Internet-Usern. Die DSGVO bezieht sich insbesondere auf das Recht auf …

  • Transparente Information: Sobald Daten erhoben werden, muss dies leicht zugänglich, präzise und verständlich angegeben werden (übrigens so verständlich, dass auch Kinder diese Informationen verstehen)
  • Auskunft: User haben das Recht einzusehen, ob und welche personenbezogen Daten über sie gesammelt wurden. Die Auskunft muss einem gängigen, strukturierten und maschinenlesbaren Format erfolgen
  • Berichtigung: der User darf jederzeit verlangen, dass unrichtige Daten korrigiert werden
  • Löschung: ein betroffener User darf jederzeit verlangen, dass seine personenbezogenen Daten gelöscht werden
  • Einschränkung der Verarbeitung: der betroffene User darf vom Verantwortlichen (das ist in der Regel der Webseitenbetreiber) verlangen, dass die Daten nur eingeschränkt verarbeitet werden dürfen
  • Widerspruch: User müssen jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können

Was sind personenbezogene Daten?

Durch personenbezogene Daten ist ein Mensch direkt oder indirekt identifizierbar. Daher gelten etwa der Name, die Anschrift, die E-Mail-Adresse, das Geburtsdatum oder die Telefonnummer zu den personenbezogenen Daten.

Streitfall IP-Adresse

In Deutschland zählt zudem auch die IP-Adresse zu den personenbezogenen Daten. Diese Einschätzung ist rechtlich jedoch sehr umstritten. Einerseits kommt die IP-Adresse einer Online-Kennung gleich, da sie (auf gerichtliche Weisung) zumindest vom Provider einer bestimmten Person zugeordnet werden kann. Andererseits wäre trotz dieser Zuweisung immer nur der Besitzer der IP-Adresse auszumachen. Ob dieser auch tatsächlich auf den Seiten war oder nicht vielleicht eine andere Person, darüber ließe sich dann zumindest stets streiten.

Google zählt die IP-Adresse daher nicht zu den personenbezogenen Daten. Das ist insofern wichtig, als Google die Speicherung personenbezogener Daten in Analytics generell untersagt. Die IP-Adresse jedoch darf gespeichert werden. Damit dies auch in Zukunft konform mit dem neuen Datenschutz gelingt, gibt es die folgende Lösung:

Die IP-Adresse muss unter der DSVGO anonymisiert werden

Das Problem dabei: der von Google angebotene Tracking-Code erfüllt nicht die datenschutzrechtlichen Anforderungen der DSVGO! Du solltest daher die Code-Erweiterung _anonymizelp implementieren:

  • Für Universal Analytics: ga(’set‘, ‚anonymizeIp‘, true);
  • Für Classic Analytics: _gaq.push([‚_gat._anonymizeIp‘]);

Die Anonymisierung der IP erfolgt damit, sobald die IP-Adresse im Analytics-Datenerfassungsnetzwerk eintrifft und bevor eine Speicherung oder Verarbeitung der Daten stattfindet.

Was ist sonst noch bei der Verarbeitung von Daten zu beachten?

  • Im Sinne der DSGVO handelt, wer möglichst immer nur die wirklich benötigten Daten erhebt und diese auch nur so lange speichert wie unbedingt notwendig
  • Wenn Du Daten speichern möchtest, solltest Du denjenigen, dessen Daten zu speichern willst, um eine entsprechende Einwilligung bitten
  • Du musst den User informieren, was mit den Daten passiert
  • Du musst dokumentieren, was Du mit den Daten tust (also beispielsweise festhalten, wenn Du an eine Adresse einen Newsletter versendest)
  • Du musst dem User die Möglichkeit einräumen, seine Daten einzusehen, sie berichtigen oder löschen zu können
  • Du bist verpflichtet, Vorkehrungen zu treffen, dass Dritte nicht unbefugt an die personenbezogenen Daten herankommen (Stichwort: Datensicherheit)

Wie Du diese Bedingungen erfüllst, zeigen Dir die nachfolgenden Schritte.

Datenschutzerklärung einbinden

Eine Datenschutzerklärung gehörte auch schon vor Inkrafttreten des DSGVO auf jede Seite. Damit der User diese auch gut findet, sollte sie im Footer oder im Menü gut sichtbar verlinkt sein. Wichtig ist, dass die Datenschutzerklärung gut und leicht zu finden ist. Wer etwa Pop-Up-Fenster vor den Link schiebt, riskiert eine Abmahnung. Die Datenschutzerklärung sollte aus dem gleichen Grund auch nicht etwa „unauffällig“ im Impressum untergebracht werden.

Inhaltlich soll die Datenschutzerklärung den User darüber aufklären, zu welchem Zweck seine Daten erhoben und gespeichert werden. User sollen auch erfahren, wie mit den Daten umgegangen wird. Daher wächst bei der Nutzung von Plugins und dem Einräumen von Interaktionsmöglichkeiten die Datenschutzerklärung in aller Regel an. Daraus folgt aber auch: es gibt nicht die EINE klare Datenschutzerklärung, die Du einfach kopieren und auf Deiner Seite einbauen könntest.

Was genau in der Datenschutzerklärung zu stehen hat, hängt immer von Deiner individuellen Webseite an. Im Netz findet Du aber mittlerweile einige Datenschutz-Generatoren. Sie sind für Privatpersonen und Kleinunternehmer meist kostenlos nutzbar:

Bei der Verwendung all dieser Generatoren solltest Du immer bedenken, dass Du am Ende immer selbst für die rechtskonforme Formulierung der Datenschutzerklärung verantwortlich bist. Änderst Du etwas auf Deiner Seite oder wird ein Plugin modifiziert, dass Du verwendest, kann dies eine Änderung der Datenschutzerklärung notwendig machen. Am sichersten ist es daher, sich jeweils bei einem Rechtsanwalt abzusichern, ob die Datenschutzerklärung auf Deiner Seite auch wirklich den Anforderungen entspricht.

Kontaktformulare mit SSL/TSL verschlüsseln

Schon die Erhebung der Daten ist durch die DSGVO an konkrete Bedingungen geknüpft. Erlaubt ist die Erhebung von Daten nach Art. 6 DSGVO nur noch, wenn

  • die Erhebung auf einer Einwilligung beruht
  • es ein berechtigtes Interesse des Webseitenbetreibers gibt

Letztgenanntes ist beispielsweise dann der Fall, wenn Du als Webseitenbetreiber die Daten zur Erfüllung eines Vertrages benötigst. Der Einsatz eines Kontaktformulars auf einer Website ist daher im Grundsatz legitim, zugleich aber auch an Bedingungen geknüpft:

  • Informiere Deine User (und zwar im oder in unmittelbarer Nähe des Kontaktformulars) darüber, 1.) was Du mit den Daten machst, 2.) wie lange du die Daten speichern wirst und verweise 3.) auf Deine Datenschutzerklärung (diese muss also auf Deiner Seite eingebunden sein (siehe oben).

    Eine Formulierung, die diese Bedingungen erfüllt, könnte wie folgt lauten:

    „Die erhobenen Daten werden nur zum Zweck der Bearbeitung Deines Anliegens verarbeitet. Weitere Informationen dazu findest Du in unserer Datenschutzerklärung.“

    (Das letzte Wort dann auf die Seite mit der Datenschutzerklärung verlinken)

  • Damit die Daten bei der Übermittlung sicher übertragen werden, benötigt Deine Website ein SSL-Zertifikat (dieses hilft Dir zudem, besser zu ranken). Wie Du ein solches Zertifikat erhältst und konfigurierst, erfährt Du in unserem Artikel Let’s Encrypt SSL
  • Damit die von Dir ausgehenden E-Mails auch sicher versandt werden, sollte Deine Website, E-Mails über SMPT bzw. TLS („Transport Layer Security“) versenden. Dafür benötigst du die Daten des E-Mail Ausgangservers und des Ports, Username und E-Mail-Adresse sowie Dein Kennwort. Bei Joomla kannst Du die Einstellung direkt unter System/Konfiguration vornehmen, indem Du die Daten einträgst, im Unterpunkt „SMTP-Sicherheit“ die Voreinstellung „SSL/TLS“ wählst und SMTP-Authentifizierung zulässt. Für WordPress gibt es Plugins wie WP Mail SMTP oder WP GDPR Compliance

Web-Hosting – Auftragsverarbeitungsvertrag

Wenn Du Deine Seiten über Service-Provider hostet, nutzt Du einen externen Dienstleister, der Zugriff auf von Dir erhobene personenbezogene Daten hat. Sobald Externe Zugriff auf solche Daten haben, solltest Du mit Ihnen einen Auftragsverarbeitungsvertrag (AV) abschließen. Der AV wird daher auch notwendig, wenn Du Externe mit der Backup-Sicherung, der Datenkonvertierung oder mit der Wartung Deines eigenen Servers beauftragst.

Bitkom e.V. stellt eine Mustervertragsanlage zur Auftragsverarbeitung im Sinne der DSGVO zur Verfügung.

Newsletter

Wenn Du Newsletter versendest, solltest Du ohnehin schon das Double-Opt-In-Verfahren verwenden. Dabei wird an die E-Mail-Adresse, die für den Newsletter eingetragen wird, eine Mail zur Bestätigung der Anmeldung geschickt. Auf diese Weise soll sichergestellt werden, dass nur derjenige den Newsletter erhält, der auch Zugriff auf das betreffende Mail-Konto hat. Achtung: Die Bestätigungsmail darf keine Werbung enthalten.

Wenn Du einen Versanddienstleister wie CleverReach, Newsletter2Go oder Mailjet nutzt, musst Du mit diesen einen Auftragsverarbeitungsvertrag abschließen. Sitzt der Anbieter, wie etwa der beliebte Dienst MailChimp, in den USA, solltest Du prüfen, ob dieser eine Garantie für Drittländer anbietet (das ist bei MailChimp der Fall).

Im Teaser des Onlineformulars zur Anmeldung bei einem Newsletter sollte folgende Informationen vorkommen:

  • Worum geht es inhaltlich in dem Newsletter (z.B. Infos über Deine Produkte, bestimmte Themen etc.)
  • Falls Du mehr als nur die E-Mail-Adresse abfragst: wozu dienen die Abfrage dieser anderen Daten?
  • Name des genutzten Versanddienstleisters (falls Du die Mails nicht selbst verschickst)
  • Hinweis auf eventuelle Erfolgsmessungen (diese sind bei Versanddienstleistern meist obligatorisch)
  • Hinweis auf das Widerrufsrecht
  • Hinweis auf evtl. mit dem Newsletter verknüpfte Gewinnspiele, Versand von E-Book und ähnlichem

Mit diesen Informationen und Hinweisen zur Newsletter-Anmeldung kannst Du dann einfach auf Deine Datenschutzerklärung verlinken.

Diese Schritte führen dich zum DSGVO-konformen Einsatz von Google Analytics

  1. Vertrag zur Auftragsdatenverarbeitung abschließen . Am sichersten ist es, wenn Du Dir den Vertrag als PDF herunterlädst.

    Druck ihn dir dann bitte zweimal aus. In beide Ausdrucke trägst Du nun Deine Unternehmensdaten ein. Jeweils auf der Seite 2 sowie der Seite 14 musst Du unterschreiben – bitte wieder auf beiden Exemplaren und gerne, falls vorhanden, mit dem eigenen Stempel ergänzen. Für Deine Unterlagen solltest Du nun noch eine Kopie anfertigen (physisch, als Scan oder Foto). Die beiden unterschriebenen und vollständig ausgefüllten Vertragsdokumente schickst Du (vollständig und am besten per Rückschein International) an:

    Contract Administration Department
    Google Ireland Ltd
    Gordon House
    Barrow Street
    Dublin 4
    Irland

    Sobald Du das Dokument von Google unterschrieben zurückerhältst, solltest Du von dieser Version eine Kopie anfertigen. Bewahre die von Google zurückgeschickte Version und Deine Kopie nun am besten an zwei unterschiedlichen Orten auf.

  2. Bestätige die Zusatzvereinbarung: Dafür gehst Du wie folgt vor:
    • Wähle Dich in das Konto bei Google Analytics ein
    • Im Menü-Punkt „Verwaltung“ gehst Du zu >Kontoeinstellungen und dort weiter zum Punkt >Zusatz zur Datenverarbeitung
    • Wenn du nun auf „Zusatz anzeigen“ klickst, kannst Du den Auftragsverarbeitungsvertrag bestätigen
    • Nun solltest Du noch unter „Details zum Zusatz zur Datenverarbeitung verwalten“ Deine Unternehmens- bzw. Kontaktdaten ergänzen
    • Abschließend bitte nicht vergessen, auf „Speichern“ zu klicken
  3. Implentiere die Code-Erweiterung „anonymizelp“ – wie oben gezeigt
  4. Widerspruchsrecht optimieren: Google bietet zwar ein Deaktivierungs-Ad-on an, dieses ist jedoch nach Meinung vieler Experten nicht rechtskonform mit der DSGVO. Du solltest daher das Script erweitern, sodass ein Opt-Out-Cookie gesetzt wird, das die zukünftige Datenerfassung ausschließt. Es muss zudem sichergestellt werden, dass der Nutzer seinen Widerspruch auf allen genutzten Systemen erklären kann. Eine geräteübergreifende Zuordnung der Nutzung auf eine angelegte User-ID ist unzulässig.
  5. Aufbewahrungsdauer der Daten festlegen:
    • Melde dich bei Google Analytics an
    • Gehe zum Menüpunkt „Verwaltung“ und klicke auf die Property, die Du bearbeiten möchtest.
    • Klick in die Spalte >Property und gehe auf >Tracking-Informationen>Datenaufbewahrung
    • Im Feld „Aufbewahrung von Nutzer- und Ereignisdaten“ verkürzt du auf 14 Monate (gerne auch weniger)
    • Das Feld „Bei neuer Aktivität zurücksetzen“ musst du nun noch auf „Aus“ stellen
  6. Altdaten löschen: Sofern Du in der Vergangenheit die Daten nicht anonymisiert hast, solltest Du diese „Altdaten“ löschen. Gehe dabei wieder in den Menüpunkt „Verwaltung“ und wähle „Property-Einstellungen“. Dort findest Du nun den Button „In Papierkorb verschieben“. Die Daten werden dann innerhalb von 35 Tagen gelöscht.

Fazit

Bei all diesen Tipps solltest Du bedenken, dass als Webseitenbetreiber letztlich immer Du selbst dafür veranwortlich bist, dass Deine Seite den Datenschutzbestimmungen entspricht. Im Zweifelsfall ist es daher immer besser, Du suchst Dir Rat bei einem Experten.

Der seo-nerd® hilft Dir bei der DSGVO-konformen Einrichtung bzw. Umstellung Deiner Webseite

Der seo-nerd® ist von Montag bis Freitag zwischen 9 und 18 Uhr für Dich da. Du kannst uns telefonisch erreichen unter +49 30 700 10 99 0 oder uns eine E-Mail schreiben. Wir realisieren entsprechende Anfragen gerne auch kurzfristig.