Google Analytics noch DSGVO-konform? – Teaserbild

Google Analytics & Co. bald noch DSGVO konform?

Dieser Artikel ist Nummer 3 von 6 im Special "Datenschutzgrundverordnung 2018"

Die neue Datenschutzgrundverordnung greift ab Mai 2018. Für Händler und Unternehmer bedeutet das auch im Internet und für die digitalen Prozesse einen teilweise erheblichen Anpassungsbedarf.

5/5 (1)

Webtracking – nach dem 25. Mai noch möglich?

Webtracking, auch Datenverkehrsanalyse, Web-Analyse, Web-Controlling, Clickstream-Analyse oder Traffic-Analyse genannt, bezeichnet die Sammlung der Daten von Besuchern auf Websites und deren Auswertung. Ein Tracking-Tool, wie z. B. Google Analytics, untersucht, woher die Besucher kommen, welche Seiten sie auf der Webseite aufgesucht und wie oft und wie lange sie auf Unterseiten und in den verschiedenen Kategorien verweilt haben. Zurzeit ist aber die neue Datenschutzgrundverordnung (DSGVO) daran schuld, dass auch bei Webseitenbetreibern ein wenig Hysterie herrscht, denn: Die zweijährige Übergangsfrist geht bald zu Ende!

Welche Bereiche des Online-Marketings betroffen sind und worauf Sie im Allgemeinen achten müssen finden Sie auf unserem Blogbeitrag vom 5. März 2018.

Hier geht es jetzt darum, ob die Analyse-Dienste wie Google Analytics rechtlich gesehen noch Bestand haben, denn die Verwendung solcher Tracking-Tools ist tatsächlich umstritten. Doch: Die Verarbeitung von Personendaten gehört heute zum Alltag. Dieser Umstand trägt bei Bußgeldern von 300.000 € bis zu 4 % des Jahresumsatzes bei Abmahnungen besonders zur Verunsicherung bei. Und ab Mai steigt die Abmahngefahr, besonders für die, die online tätig sind.

8 Punkte, auf die Sie ab Mai achten müssen:

  1. Solange der Nutzer nicht widerspricht, ist es erlaubt, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen ohne Einwilligung des Nutzers zu erstellen, sofern und solange der Nutzer dem nicht widerspricht.
  2. Nutzungsprofile, die mittels Webtracking erstellt wurden, die auch nicht pseudonymisierte personenbezogene Daten enthalten, sind dagegen nur mit Einwilligung des Nutzers zulässig.
  3. Jeder Nutzer hat das Recht, ohne Angabe eines Grundes der Erstellung von Nutzungsprofilen, auch bei einer pseudonymisierung der Daten zu widersprechen.
  4. Webseitenbetreiber müssen den Nutzer über das Erstellen von Nutzungsprofilen und dem Widerspruchsrecht informieren.
  5. Die kollektive Auswertung mehrerer Nutzungsprofile für statistische Zwecke fällt hier nicht darunter.
  6. Das Erstellen von Nutzungsprofilen wird nach der allgemeinen Abwägungsregelung zulässig sein. Das heißt, wenn Daten zur Wahrung berechtigter Interessen verarbeitet werden (was für Webseitenbetreiber für zielgerichtete Werbung zutrifft), die nicht die Grundrechte und Grundfreiheiten beeinträchtigen, wird das weiterhin erlaubt sein. Im Falle etwaiger Bedenken ist dies individuell zu prüfen.
  7. Betroffene haben aber immer das Recht, Widerspruch einzulegen, es müssen aber nachvollziehbare Gründe des Nutzers vorliegen. Es reicht nicht, das „nur nicht zu wollen“. Das gilt für Webseiten, nicht für Direktwerbung allgemein.
  8. Profiling im Zusammenhang mit automatisierten Entscheidungen als Ergebnis der Auswertung der Nutzungsprofile bleibt grundsätzlich zulässig, da der Nutzer hierdurch nicht erheblich beeinträchtigt wird.

ePrivacy noch in der Schwebe

Nach dieser Verordnung der EU ist zukünftig jeder Zugriff auf das Endgerät des Nutzers untersagt. Das betrifft die Speicherung auf diesem Gerät ebenso wie die Nutzung bereits gespeicherter Daten und wird nochmals heftig für Gegenwind sorgen, vor allem in der Digitalbranche. Bis dato liegt hier nur ein Entwurf vor und es ist unsicher, ob dies den Einsatz von Cookies, Webtrackings oder generell den Datenschutz behindern wird. Im extremsten Fall verbietet ePrivacy jeglichen Zugriff zum Zwecke personalisierter Werbung auf das Gerät des Endverbrauchers ohne eindeutige Einwilligung des Nutzers. Die reine Nutzermessung ist hiervon nicht betroffen. Mit einer verbindlichen Verordnung rechnet man erst Ende 2019, es ist unwahrscheinlich, dass der finale Gesetzestext auch schon am 25. Mai wirksam wird.

Cookies als Grundlage des Web-Trackings

Die Basis des Web-Trackings sind die sogenannten Cookies – kleine Dateien mit Informationen über den Nutzer, die von einer Webseite über den Browser auf dem Computer des Besuchers gespeichert werden. Diese Cookies identifizieren den Nutzer bei einem erneuten Aufrufen der Webseite und speichern auch weitere Informationen über sein Einkaufsverhalten.

Web-Analyse-Dienste wie z. B. Google Analytics, Matomo, eTracker etc. nutzen Cookies. In Deutschland muss der Nutzer hierfür seine Zustimmung geben, was schon zum Alltag auf Webseiten gehört. Hier könnte sogar eine Abschwächung im Telemediengesetz kommen, wenn die Daten pseudonymisiert werden und der Nutzer die Information erhält, dass er zu jeder Zeit dieser Erhebung  widersprechen kann.

Opt-In statt Opt-Out

Die DSGVO setzt grundsätzlich die Einwilligung zur Datenerhebung voraus. Die Änderung besteht darin, dass nun statt des bisherigen Opt-Outs (Widerspruch), in Zukunft ein Opt-In (Einwilligung) notwendig sein wird. Das könnte das Ende der Cookies einläuten, da man nun zum einen den Nutzer zu einer Zustimmung bewegen und das Ganze auch noch dokumentieren müsste, da der Webseitenbetreiber in der Beweispflicht bezüglich sämtlicher Fragen des Datenschutzes steht.

Eine Weigerung der Besucher wird spätestens dann erfolgen, wenn Sie lesen, dass ihre Daten an Dritte weitergegeben werden, wovon heute kaum ein Besucher Notiz nimmt, da das bis jetzt nur in den Datenschutzbestimmungen stehen muss.  

Schlupfloch Ausnahmeregelung „bei berechtigtem Interesse“

Eine Formulierung am Rande der DSGVO – die des „berechtigten Interesses“ erklärt die Verarbeitung personenbezogener Daten für zulässig, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Das ist die Möglichkeit, für das Online Marketing den Einwilligungsvorbehalt zu umgehen, denn bei einem Onlineshop ist das berechtigte Interesse zweifelsfrei, da das Setzen von Cookies für das Funktionieren des Warenkorbs technisch Voraussetzung ist.

Jeder Nutzer hat mit dem Dienst bei Google Analytics einen Vertrag zur Auftragsdatenverarbeitung (ADV) abgeschlossen. Dieser wird zwar zum 25. Mai 2018 in eine neue Version zur Auftragsverarbeitung (AV) geändert, beinhaltet aber auch das Kriterium der Erforderlichkeit und die der Zweckerfüllung. Darunter könnte sogar die Speicherung des Namens fallen, um den Besucher auf der Webseite namentlich zu begrüßen.

Also erstmal keine Panik!

Dank des berechtigten Interesses muss man sich wohl nicht allzu viele Sorgen machen, man sollte allerdings die Entwicklung permanent und aufmerksam im Auge behalten, da die Gefahr einer Abmahnung und damit einhergehender teilweise deftiger Strafen besteht.

 

Weitere Beiträge dieser Serie« Facebook – Datenskandal: Was passiert aktuell?Abmahngefahr durch Kontaktformular ohne Datenschutzhinweis »

Diesen Beitrag bewerten

0 Kommentare

Dein Kommentar

Möchtest du mitdiskutieren?
Fühl dich frei, beizutragen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.