Das am häufigsten zur Erfassung von Nutzer-Daten eingesetzte Tool im Web ist nach wie vor Googles Analyse Tool Google Analytics. Doch wer als Unternehmer seinen Sitz in Österreich (oder auch in anderen europäischen Ländern) hat, für den gelten die strengen Regeln der DSGVO beim Einsatz solcher Analyse Tools: Die Privatsphäre der User muss berücksichtigt werden.
Google Analytics nur mehr mit Einwilligung
Laut der Datenschutzgrundverordnung gilt der Grundsatz, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer wenn das Gesetz sie ausdrücklich erlaubt. Für die Nutzung von Google Analytics ist als einzig zulässige Ausnahme wohl die Einwilligung des Nutzers heranzuziehen. Daher dürfen keinerlei Daten an Google geschickt werden, bevor der Nutzer oder die Nutzerin nicht explizit zugestimmt hat. Ohne den Einsatz eines Cookie-Banners, über den eben jene Einwilligung eingeholt werden kann, ist also auch Google Analytics nicht mehr zu nutzen.
Datenübertragung in die USA rückt Google Analytics in die Grauzone
Was den Einsatz von Google Analytics in Österreich problematisch macht, ist die Übertragung personenbezogener Daten in die USA. Denn die Analytics Server von Google stehen nach wie vor in den USA und Daten von Nicht-US-Bürgern sind nicht vor dem Zugriff durch US-Geheimdienste geschützt.
Die Regelungen, auf die man sich für den Datentransfer lange beziehen konnte (Safe Harbour bzw. Privacy Shield) wurden vom EuGH mittlerweile als ungenügend eingestuft. Die aktuelle Rechtsgrundlage für die Übertragung sind damit Standardvertragsklauseln. Und ob diese den strengen Vorgaben der DSGVO genügen, dazu gibt es für Österreich schlichtweg noch keine Rechtsprechung.
Google Analytics In der Praxis einsetzen
Der Einsatz von Google Analytics bleibt also Abwägungssache. Entscheidest du dich für Googles Analysetool, solltest du aber jedenfalls die folgenden Punkte beachten, um in Sachen Datenschutz auf der sichereren Seite zu sein.
Vereinbarung zur Auftragsdatenverarbeitung
Weil durch den Einsatz des Tools rechtlich gesehen Google im Auftrag des Webseitenbetreibers handelt, solltest du eine Vereinbarung zur Auftragsdatenverarbeitung abschließen und die aktuellen Standardvertragsklauseln, die den Datentransfer in die USA beschreiben, akzeptieren.
Die notwendige Checkbox findest du in den Google Analytics Kontoeinstellungen unter dem Punkt Datenverarbeitungsbedingungen.
In der Datenschutzerklärung über den Einsatz informieren
Jede Website, auf der Google Analytics oder ähnliche Tools einsetzt werden, muss das in einer Datenschutzerklärung erwähnen. Auch sollte darin aufgelistet werden, welche Cookies Google Analytics im Browser des Users setzt, wie man dem Tracking widersprechen kann und wie man die aktuellen Einstellungen rund um die Datenerfassung ändern kann.
Cookie Banner mit Opt-In: Einwilligung einholen
Herzstück des Setups wird in jedem Fall aber ein Cookie-Banner sein. Denn nur über ein solches können wir den User über den Einsatz von Google Analytics auf unserer Seite informieren und seine Zustimmung abholen und dokumentieren.
Bevor der User nicht explizit zugestimmt hat, dürfen keinerlei Daten an Google Server fließen und auch keine Cookies gesetzt werden. Erst, nachdem der User sein OK gegeben hat. Dieser Ansatz nennt sich Opt-In.
Um sicherzustellen, dass das ganze so funktioniert, gibt es im Grunde zwei Ansätze: Entweder du nutzt eine Cookie-Banner- bzw. Cookie-Management-Lösung, die den Google Analytics Code blockiert, bis der User die Einwilligung gegeben hat.
Oder du nutzt eine Lösung, die den Analytics Code überhaupt erst nachlädt, sobald der User die Einwilligung dazu gegeben hat.
Was hier die bessere Lösung ist, kommt ganz auf dein Setup an: Etwa mit welchem CMS du deine Website verwaltest oder was du sonst noch für ein Tracking im Einsatz hast. Besonders bei der Nachlade-Lösung solltest du schauen, dass für den User nach der Einwilligung nur der Tracking Code nachgeladen wird und nicht die gesamte Seite neu lädt. Denn dann verlierst du womöglich die Info, auf welchem Weg diese Userin, dieser User auf deine Website kam.
Jedenfalls solltest du auf vorgefertigte Plugins, Module oder Dienste setzen
Weit verbreitete Lösungen, die vom CMS unabhängig sind und die Skripte & Cookies so lange blocken, bis die Einwilligung des Nutzers da ist, sind zum Beispiel Cookiebot oder Osano. Diese integrierst du über ein Script auf deiner Website. Deine Seite wird vom jeweiligen Tool dann gescannt und Google Analytics und eventuell andere Tracking-Dienste werden automatisch erkannt und geblockt. In deinem Account auf den Seiten der Anbieter passt du dann ein Cookie-Overlay an und kannst meist konfigurieren, welche Cookies wie behandelt werden sollen.
Ein Plugin für das beliebte CMS WordPress, mit dem ich gerne arbeite, um Google Analytics erst dann zu laden, sobald die Einwilligung da ist, ist Borlabs-Cookie. Hier kannst du alles im WordPress Backend managen und neben Google Analytics auch die Einwilligung für externe Medien (z.B. YouTube-Videos oder eingebettete Insta-Posts) verwalten.
Neue Datenschutz-Features in GA4
Mit der Umstellung auf das neue Google Analytics 4 muss nun der Tracking Code nicht mehr explizit angepasst werden. Zuvor, beim bisherigen Universal Analytics (das im Sommer 2023 endgültig eingestellt wird) musste man die Anonymisierung der Nutzer-IP noch explizit über eine zusätzliche Code-Zeile ergänzen. Mit GA4 ist die IP nun schon per Default pseudonymisiert.
Auch im GA4-Backend kannst du nun besser festlegen, nach welcher Zeit Nutzerdaten von den Google Servern gelöscht werden sollen. Hier empfiehlt sich, die Speicherdauer zumindest auf 26 Monate herunterzusetzen. Auch die Option, spezifische Nutzerdaten auf Anfrage hin gezielt löschen zu können, hat bei GA4 Einzug gefunden.
Datenschutzkonforme Alternativen
Wer sich unsicher ist aber trotzdem wissen möchte, was die User auf der eigenen Seite so treiben, für den gibt es mittlerweile auch ganz gute Alternativen zu Google Analytics. Die beliebteste ist aktuell Matomo, eine Analyse-Software, die man selbst hosten kann, als Cloud-Version kaufen oder bequem als WordPress-Plugin installieren.
Disclaimer: Achtung! Ich habe diesen Artikel nach ausgiebiger Recherche und Gesprächen mit Spezialisten nach bestem Wissen und Gewissen geschrieben, bin aber kein Rechtsanwalt. Ich übernehme keine Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Artikels. Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder allgemeinen datenschutzrechtlichen Fragen solltest du einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen.
Weiterlesen: Google Analytics: So setzen Sie das Analysetool DSGVO-konform ein
Weiterlesen: Transparenz-Verordnung für Google, Amazon & C0: Was sie Kunden bringt
Weiterlesen: Datenschutz-Grundverordnung: So setzen Selbständige die DSGVO um
Kommentare ( 0 )