Skip to main content

Verständnis der DSGVO-Compliance: DSGVO Analytics

18 Monate nach ihrem Inkrafttreten (25. Mai 2018) macht die Europäische Allgemeine Datenschutzverordnung immer noch Schlagzeilen. Wir haben dies bereits vor der Durchsetzung des Datenschutzgesetzes besprochen und beraten Website-Besitzer über die Schritte, um DSGVO fertig zu sein. Dennoch ignorieren viele Unternehmer, Website-Besitzer und Startup-Teams DSGVO immer noch oder wissen nicht, wie sie damit umgehen sollen. Haftungsausschluss: Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen DSGVO korrekt umsetzt, wenden Sie sich bitte auch an einen auf solche Angelegenheiten spezialisierten Anwalt.

Im aktuellen Kontext ist dies äußerst gefährlich geworden, da wir beginnen, hohe Bußgelder für mehrere große und kleine Unternehmen zu verhängen, wenn sie sich nicht an die Standards für den Datenschutz halten. Bitte beachten Sie, dass jedes Online-Geschäft und jede Website, die für EU-Bürger zugänglich ist, unabhängig davon, aus welchem Land sie tätig sind, den gleichen Standards entsprechen muss. Deshalb müssen auch Unternehmen außerhalb Europas wachsam sein.

Was ist DSGVO und was bedeutet es für Webseitenbetreiber?

DSGVO besteht aus einer Reihe von Vorschriften, die in allen Situationen, in denen die personenbezogenen Nutzerdaten von EU-Bürgern von Unternehmen oder anderen Organisationen verarbeitet werden, als Gesetz gelten. Nach dieser Verordnung müssen alle Personen, die freiwillig oder unwissentlich durch jede Art von Kontakt personenbezogene Daten an ein Unternehmen weitergeben, einer ausdrücklichen Einwilligung nach Aufklärung zur Erhebung, Speicherung und Verarbeitung dieser Daten erteilen.

Die Art der personenbezogenen Daten, deren Verarbeitung der Zustimmung des Benutzers bedarf, umfasst Namen, Kontaktinformationen, Standort, Gesundheitszustand, Interessen, demografische Daten usw. In der Einwilligungserklärung liegt die Verpflichtung, Personen darüber zu informieren, welche Art von Daten erhoben werden, wie und wie lange sie gespeichert werden und zu welchem Zweck.

Darüber hinaus müssen Sie auf Anfrage Zugang zu Ihren personenbezogenen Daten gewähren und für die Datensicherheit sorgen. Die Daten müssen vor Diebstahl und Missbrauch geschützt werden. Im Falle von Datenschutzverletzungen sollten Sie als Unternehmen über Verfahren verfügen, um alle Beteiligten zu informieren. Dies gilt für alle Geschäfte, die sowohl online als auch offline abgewickelt werden.

Aber für diejenigen, die online arbeiten, ist die Situation viel komplizierter als für Unternehmen, die primär offline handeln. Es gibt verschiedene Parteien, die am Prozess der Online-Datenerfassung interessiert und beteiligt sind. Nicht nur der Webseitenbetreiber selbst kann Informationen über Besucher und Kunden sammeln, sondern auch andere Dritte, vor allem zu Werbezwecken.

Web Tracking Apps oder Web Analytics Tools fallen in diese Kategorie, beginnend mit dem berühmtesten von allen, nämlich Google Analytics. Denken Sie daran, dass der Betreiber der Website sicherstellen muss, dass er explizite, unterschiedliche Möglichkeiten hat, den Benutzer über alle Arten von Daten zu informieren, die gesammelt werden, sowie darüber, wer sie sammelt.

Diese Regeln dürfen nicht auf die leichte Schulter genommen werden. Einige Website-Besitzer haben einfache, vorab angeklickte Kästchen verwendet, um eine Art informierte Zustimmung zu geben, dass Benutzer ihre Websites betreten. Andere haben nur eine DSGVO-Box erstellt, in der mehrere Bestimmungen hinter derselben Schaltfläche zusammengefasst sind, ohne alle Verwendungsmöglichkeiten der Daten anzugeben. Diese beiden Fälle entsprechen nicht den Standards und werden die Website-Besitzer nicht davor bewahren, eine Geldstrafe zu erhalten.

Stattdessen muss jeder Dritte gleich bei der ersten Kontaktaufnahme des Nutzers mit der Zielseite, die die Besucher ankreuzen dürfen oder nicht, einen klaren, separaten Abschnitt "Ich stimme zu" haben. Vorgeklebte Kartons sind nicht DSGVO-konform.

Was ist die Folge der DSGVO-Vorschriften für Google Analytics?

Die Folgen für den digitalen Riesen sind potenziell verheerend. In den letzten Wochen und Monaten standen Website-Betreiber in Deutschland, die Google Analytics nutzen, unter Beschuss. Laut Datenschutzbeauftragter gibt es bundesweit bereits geschätzte 200.000 Meldungen gegen Web-Betreiber, die die Verwendung von Daten durch diesen Dritten nicht ordnungsgemäß offenlegen.

Dies ist ein echtes Problem für Website-Betreiber, die versuchen, diese Offenlegung umzusetzen. Wie werden sie mit den Situationen umgehen, in denen die Nutzer das Kästchen neben dem Google Analytics-Datenverarbeitungsvertrag nicht ankreuzen? Es könnte durchaus eine technische und rechtliche Herausforderung sein. Wir können nicht erwarten, dass sie alle Rechtsexperten sind, noch können wir erwarten, dass sie alle Rechtsberatung leisten. Die Einhaltung der DSGVO mag für viele ein Alptraum gewesen sein. Wenn DSGVO nicht ausreicht, stellt sich jetzt die Frage nach der Verwendung von DSGVO-konformen Analysen.

In diesem Zusammenhang kann sich ein Klima der Angst einstellen. Anstatt hohe Bußgelder für die Aktivitäten eines Dritten zu riskieren, könnte es sein, dass die Betreiber der Website zumindest vorübergehend ihre Google Analytics-Konten sperren? Welche Alternativen haben sie? Wenn sie sich die aktuellen Vorschriften genauer ansehen, finden sie vielleicht einige. Manchmal steckt der Teufel in den kleinen Details. Einige Behörden haben betont, dass die untersuchten Situationen diejenigen sind, die wann:

"In Websites integrierte Dienste von Drittanbietern nutzen die erhobenen Daten auch für eigene Zwecke". (Ulrich Kelber, Datenschutzbeauftragter in Deutschland)

Dies kann sich auf Google Analytics beziehen, die zumindest vorläufig personenbezogene Daten nicht nur im Interesse ihrer Kunden verwenden, sondern auch, um Daten von einem Google-Dienst zum anderen zu übertragen und zu schneiden. Das hat natürlich mit ihren Interessen an kostenpflichtigen Dienstleistungen wie der Werbung zu tun. Aber, wenn wir diese Interpretation des Gesetzes für wahr halten, dann gibt es andere Möglichkeiten für Website-Besitzer, DSGVO-Analysen zu erhalten.

Eine Möglichkeit besteht darin, nach anderen Analysetools zu suchen, die einfach nicht mit Werbeleistungen verbunden sind und die Daten nicht mit anderen Dritten teilen. Wenn der alleinige Zweck des Analysetools darin besteht, aggregierte, anonymisierte Daten für ihre Kunden zu generieren, sollte keine zusätzliche informierte Zustimmung erforderlich sein. Und es gibt keinen Mangel an Analysetools, aber wie können wir zwischen denen unterscheiden, die zu 100% DSGVO-konform sind und denen, die es nicht sind?

Was Sie bei der Auswahl einer DSGVO-konformen Alternative zu Google Analytics beachten sollten

Wenn Sie als Website-Betreiber entscheiden, dass Google Analytics eine zu große Verantwortung oder einen zu großen Aufwand darstellt, um es in Ihre DSGVO-Bestimmungen zu integrieren, können Sie nach einer Alternative suchen. Wenn oder wenn Sie dies tun, beachten Sie Folgendes (Haftungsausschluss: Beachten Sie, dass es sich hierbei nicht um eine offizielle Rechtsberatung handelt. Wenden Sie sich im Zweifelsfall an einen Anwalt):

  • Gibt es eine Recherche zur Beantwortung der Frage, ob dieses Tool ein eigenes Tracking-System hat oder ob es auf dem Google Analytics-Code basiert? Viele Tools fügen einfach ihre eigenen Grafiken und Benutzererfahrungen zu den ihnen von Google Analytics zur Verfügung gestellten Daten hinzu. Auch wenn sie unterschiedlich aussehen mögen, sind die Fragen des Datenschutzes, der Datenverarbeitung und der DSGVO-Anforderungen die gleichen.

  • Stellen Sie sicher, dass das neue Tool über einen Datenverarbeitungsvereinbarung verfügt und nehmen Sie sich etwas Zeit, um es zu lesen.

  • Achten Sie in der Datenverarbeitungsvertrag auf die Bestimmung, dass das Analysetool personenbezogene Daten nur in dem Umfang und in der Weise verarbeitet, wie es für die Zwecke des mit Ihnen abgeschlossenen Vertrages vernünftigerweise erforderlich ist. Dadurch wird sichergestellt, dass sie die Daten nicht für eigene Zwecke verwenden können und damit vollständig DSGVO-konform sind, ohne dass Sie Ihre Nutzer um eine gesonderte Zustimmung bitten müssen. Sehen Sie unten ein Beispiel aus dem Datenverarbeitungsvertrag von Visitor Analytics.

  • Kontaktieren Sie die Anbieter des Tools und unterzeichnen Sie mit ihnen den DPA (Data Processing Agreement). Dies sollte für alle von Ihnen verwendeten Drittanbieteranwendungen erfolgen, nicht nur für Analytics.

  • Stellen Sie sicher, dass die verwendeten Daten pseudonymisiert sind und dass es Möglichkeiten gibt, die Verfolgung abzulehnen.

  • Aktivieren Sie diese Option, um die Zugriffsregelungen auf die Datenbank anzuzeigen. Sie benötigen dies, um Ihren Benutzern das Recht auf Zugriff zu gewähren, wenn sie es anfordern sollten. Beachten Sie, dass Sie, wenn jemand in Ihren Listen/Datenbank von Ihnen die Bestätigung darüber erhalten möchte, ob und wo und zu welchem Zweck personenbezogene Daten, die sie betreffen, verarbeitet werden oder nicht, antworten müssen und eine Kopie der personenbezogenen Daten kostenlos in elektronischer Form zur Verfügung stellen müssen. Übrigens, Sie können dies auch für alle Google-Dienste tun, indem Sie Google Mein Konto besuchen. Dort besteht die Möglichkeit, die von Google in Ihrem Profil gespeicherten Daten herunterzuladen. Es enthält eine große Menge an Informationen aus verschiedenen Tools.

  • Überprüfen Sie, ob es eine Option zum Löschen von Daten gibt, da einige Ihrer Benutzer dies möglicherweise wünschen. Fairerweise hat Google Analytics auch Maßnahmen ergriffen, um dieser Maßnahme nachzukommen, und Sie können nun Ansichten und Besucher löschen. Visitor Analytics bietet auch diese Option an.

  • Überprüfen Sie auch die Einstellungen zur Datenspeicherung. Wie lange behält der Anbieter des Analysetools (Datenverarbeiter) die Daten über einzelne Benutzer? Google Analytics bietet nun die Möglichkeit, die Aufbewahrung zu kontrollieren.

  • Ist das Analysetool Ihrer Wahl nach ISO 27001 zertifiziert? Dies ist eine Bestätigung der Tatsache, dass das Unternehmen die Sicherheit von Informationsbeständen gewährleistet.

  • Nicht zuletzt sollten die Bestimmungen über das Eigentum an den Daten überprüft werden. Versuchen Sie, ein Analysetool zu finden, das Ihnen die Kontrolle über die Daten gibt. Ein Beispiel für eine gute Praxis finden Sie im Abschnitt "Kontrolle der Daten" in der Übersicht zur Einhaltung der GDPR-Konformität durch Besucheranalytik.

Warum brauchen wir überhaupt DSGVO?

Bevor diese Verordnung in Kraft trat, waren die Vorschriften für die Erhebung und Verwendung personenbezogener Daten viel lockerer. Infolgedessen gab es Fälle, in denen personenbezogene Daten wie Name, Adresse, Telefonnummer oder andere sensible Informationen ohne Wissen und Zustimmung der Person missbraucht, leicht missbraucht oder sogar von einem Unternehmen zum anderen verkauft wurden. Dies könnte sehr schwerwiegende Auswirkungen auf das Privatleben eines jeden Einzelnen haben. Eine Sache, die oft passieren würde, ist, dass Sie leichter von Marketingspezialisten angesprochen werden könnten, einschließlich der Verwendung von aufdringlicher Werbung. Andere, schwerwiegendere Folgen würden sich mit gestohlenen Identitäten befassen. Gesundheitsdienstleister waren (und sind es manchmal immer noch) ein bevorzugtes Ziel für diejenigen, die personenbezogene Daten missbrauchen wollen. So kann beispielsweise ein Krimineller eine betrügerische Steuererklärung einreichen oder eine Kreditkarte beantragen, die die Daten verwendet, die aus einer Verletzung der Krankenhausdaten resultieren. In diesem Zusammenhang wurde die Auffassung vertreten, dass Datenschutz und -schutz ernster genommen werden sollten.

Wenn Sie mehr darüber erfahren möchten, wie wir bei Visitor Analytics die DSGVO-Richtlinien einhalten, finden Sie hier einige schöne Lektüren zu diesem Thema:

December 01, 2019