Skip to main content
Über uns

18. Dezember 2019 Lesedauer: 9 Minuten

Verständnis der DSGVO-Konformität: DSGVO Analyse-Tools

18 Monate nach ihrem Inkrafttreten (am 25. Mai 2018) macht die Europäische Allgemeine Datenschutzverordnung immer noch Schlagzeilen. Wir haben dies bereits vor der Durchsetzung des Datenschutzgesetzes besprochen undberaten Webseiten-Besitzer über die Schritte, um DSGVO-konform zu sein. Dennoch ignorieren viele Unternehmer, Webseiten-Besitzer und Startup-Teams die DSGVO immer noch oder wissen nicht, wie sie damit umgehen sollen. Haftungsausschluss: Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen DSGVO korrekt umsetzt, wenden Sie sich bitte auch an einen, auf solche Angelegenheiten spezialisierten, Anwalt.

Im aktuellen Kontext ist dies äußerst gefährlich geworden, da vermehrt damit begonnen wird, hohe Bußgelder für mehrere große und kleine Unternehmen zu verhängen, wenn sie sich nicht an die Standards zum Datenschutz halten. Bitte beachten Sie, dass jedes Online-Geschäft und jede Webseite, die für EU-Bürger zugänglich ist, unabhängig davon, aus welchem Land sie tätig sind, den gleichen Standards entsprechen muss. Deshalb müssen auch Unternehmen außerhalb Europas wachsam sein.

Was ist DSGVO und was bedeutet es für Webseitenbetreiber?

Die DSGVO besteht aus einer Reihe von Vorschriften, die in allen Situationen, in denen die personenbezogenen Nutzerdaten von EU-Bürgern von Unternehmen oder anderen Organisationen verarbeitet werden, als Gesetz gelten. Nach dieser Verordnung müssen alle Personen, die freiwillig oder unwissentlich durch jede Art von Kontakt personenbezogene Daten an ein Unternehmen weitergeben, einer ausdrücklichen Einwilligungserklärung zur Erhebung, Speicherung und Verarbeitung dieser Daten erteilen.

Die Art der personenbezogenen Daten, deren Verarbeitung der Zustimmung des Benutzers bedarf, umfasst Namen, Kontaktinformationen, Standort, Gesundheitszustand, Interessen, demografische Daten usw. In der Einwilligungserklärung liegt die Verpflichtung, Personen darüber zu informieren, welche Art von Daten und wie Daten erhoben werden, wie lange sie gespeichert werden und zu welchem Zweck.

Darüber hinaus müssen Sie als Betreiber, auf Anfrage, Zugang zu personenbezogenen Daten gewähren und für die Datensicherheit sorgen. Die Daten müssen vor Diebstahl und Missbrauch geschützt werden. Im Falle von Datenschutzverletzungen sollten Sie als Unternehmen über Verfahren verfügen, um alle Beteiligten zu informieren. Dies gilt für alle Geschäfte, die sowohl online als auch offline abgewickelt werden.

Aber für diejenigen, die online arbeiten, ist die Situation viel komplizierter als für Unternehmen, die primär offline handeln. Es gibt verschiedene Parteien, die am Prozess der Online-Datenerfassung interessiert und beteiligt sind. Nicht nur der Webseitenbetreiber selbst kann Informationen über Besucher und Kunden sammeln, sondern auch andere Dritte, vor allem zu Werbezwecken.

Web-Tracking-Apps oder Web-Analyse-Tools fallen in diese Kategorie, beginnend mit dem berühmtesten von allen, nämlich Google Analytics. Denken Sie daran, dass der Betreiber der Webseite sicherstellen muss, dass er über konkrete und differenzierte Möglichkeiten verfügt, den Benutzer über die verschiedenen Arten von Daten, die gesammelt werden, sowie darüber, wer sie sammelt, zu informieren.

Diese Regeln dürfen nicht auf die leichte Schulter genommen werden. Einige Webseiten-Besitzer haben einfache, vorab angeklickte Kästchen verwendet, um eine Art Einverständniserklärung zur Verfügung zu stellen, wenn Benutzer ihre Webseiten betreten. Andere haben nur eine DSGVO-Box erstellt, in der mehrere Bestimmungen hinter derselben Schaltfläche zusammengefasst sind, ohne alle Verwendungsmöglichkeiten der Daten anzugeben. Diese beiden Fälle entsprechen nicht den Standards und werden die Webseiten-Besitzer nicht davor bewahren, eine Geldstrafe zu erhalten.

Stattdessen muss es  gleich bei der ersten Kontaktaufnahme des Nutzers mit der Zielseite, für jeden Dritten Beteiligten, einen klaren, separaten Abschnitt mit "Ich stimme zu" geben, die die Besucher ankreuzen können oder auch nicht. Vorausgefüllte Kästchen sind nicht DSGVO-konform.

Was ist die Folge der DSGVO-Vorschriften für Google Analytics?

Die Folgen für den digitalen Riesen sind potenziell verheerend. In den letzten Wochen und Monaten standen Webseiten-Betreiber in Deutschland, die Google Analytics nutzen, unter Beschuss. Laut Datenschutzbeauftragter gibt es bundesweit bereits geschätzte 200.000 Meldungen gegen Webseiten-Betreiber, die die Verwendung von Daten durch diesen Dritten nicht ordnungsgemäß offenlegen.

Dies ist ein echtes Problem für Webseiten-Betreiber, die versuchen, diese Offenlegung umzusetzen. Wie werden sie mit den Situationen umgehen, in denen die Nutzer das Kästchen neben dem Google Analytics-Datenverarbeitungsvertrag nicht ankreuzen? Es könnte durchaus eine technische und rechtliche Herausforderung sein. Wir können nicht erwarten, dass sie alle Rechtsexperten sind, noch können wir erwarten, dass sie alle Rechtsberatung leisten. Die Einhaltung der DSGVO mag für viele ein Alptraum gewesen sein. Als ob die DSGVO ansich nicht ausreicht, stellt sich jetzt die Frage nach der Verwendung von DSGVO-konformen Analysen.

In diesem Zusammenhang kann sich ein Klima der Angst einstellen. Anstatt hohe Bußgelder für die Aktivitäten eines Dritten zu riskieren, könnte es sein, dass die Betreiber der Webseite zumindest vorübergehend ihre Google Analytics-Konten sperren. Welche Alternativen haben sie? Wenn sie sich die aktuellen Vorschriften genauer ansehen, finden sie vielleicht einige. Manchmal steckt der Teufel im Detail. Einige Behörden haben betont, dass die untersuchten Situationen diejenigen sind, die:

"In Webseiten integrierte Dienste von Drittanbietern, die erhobenen Daten auch für eigene Zwecke nutzen". (Ulrich Kelber, Datenschutzbeauftragter in Deutschland)

Dies kann sich auf Google Analytics beziehen, die zumindest vorläufig personenbezogene Daten nicht nur im Interesse ihrer Kunden verwenden, sondern auch, um Daten von einem Google-Dienst zum anderen zu übertragen und zu verbinden. Das hat natürlich mit ihren Interessen an kostenpflichtigen Dienstleistungen wie der Werbung zu tun. Wenn wir diese Auslegung des Gesetzes für wahr halten, dann gibt es andere Möglichkeiten für Webseiten-Besitzer, DSGVO-Analysen zu erhalten.

Eine Möglichkeit besteht darin, nach anderen Analyse-Tools zu suchen, die nicht mit Werbeleistungen verbunden sind und die Daten nicht mit anderen Dritten teilen. Wenn der alleinige Zweck des Analyse-Tools darin besteht, aggregierte und anonymisierte Daten für ihre Kunden zu generieren, sollte keine zusätzliche Einverständniserklärung erforderlich sein. Es gibt keinen Mangel an Analyse-Tools, aber wie können wir zwischen denen unterscheiden, die zu 100% DSGVO-konform sind und denen, die es nicht sind?

Was Sie bei der Auswahl einer DSGVO-konformen Alternative zu Google Analytics beachten sollten

Wenn Sie als Webseite-Betreiber entscheiden, dass Google Analytics eine zu große Verantwortung oder einen zu großen Aufwand darstellt, um es in Ihre DSGVO-Bestimmungen zu integrieren, können Sie nach einer Alternative suchen. Falls Sie dies tun, beachten Sie Folgendes (Haftungsausschluss: Beachten Sie, dass es sich hierbei nicht um eine offizielle Rechtsberatung handelt. Wenden Sie sich im Zweifelsfall an einen Anwalt):

  • Gibt es eine Recherche zur Beantwortung der Frage, ob dieses Tool ein eigenes Tracking-System hat, oder ob es auf dem Google Analytics-Code basiert? Viele Tools fügen einfach ihre eigenen Grafiken und Benutzererfahrungen zu den ihnen von Google Analytics zur Verfügung gestellten Daten hinzu. Auch wenn sie unterschiedlich aussehen mögen, sind die Fragen des Datenschutzes, der Datenverarbeitung und der DSGVO-Anforderungen die gleichen.

  • Stellen Sie sicher, dass das neue Tool über eine Datenverarbeitungsvereinbarung verfügt und nehmen Sie sich etwas Zeit, um sie zu lesen.

  • Achten Sie in dem Datenverarbeitungsvertrag auf die Bestimmung, dass das Analyse-Tool personenbezogene Daten nur in dem Umfang und in der Weise verarbeitet, wie es für die Zwecke des mit Ihnen abgeschlossenen Vertrages angemessen ist. Dadurch wird sichergestellt, dass sie die Daten nicht für eigene Zwecke verwenden können und damit vollständig DSGVO-konform sind, ohne dass Sie Ihre Nutzer um eine gesonderte Zustimmung bitten müssen. Sehen Sie unten ein Beispiel aus dem Datenverarbeitungsvertrag von Visitor Analytics.

  • Kontaktieren Sie die Anbieter des Tools und unterzeichnen Sie mit ihnen die Vereinbarung über die Datenverarbeitung (DPA - Data Processing Agreement). Dies sollte für alle von Ihnen verwendeten Drittanbieteranwendungen erfolgen, nicht nur für Analyse-Tools.

  • Stellen Sie sicher, dass die verwendeten Daten pseudonymisiert sind und dass es Möglichkeiten gibt, die Verfolgung abzulehnen.

  • Aktivieren Sie diese Option, um die Zugriffsregelungen auf die Datenbank anzuzeigen. Sie benötigen dies, um Ihren Benutzern das Recht auf Zugriff zu gewähren, wenn sie es anfordern sollten. Beachten Sie, dass Sie, wenn jemand aus Ihren Listen/Datenbanken die Bestätigung darüber erhalten möchte, ob, wo und zu welchem Zweck personenbezogene Daten, die sie betreffen, verarbeitet werden oder nicht, antworten müssen und eine Kopie der personenbezogenen Daten kostenlos in elektronischer Form zur Verfügung stellen müssen. Übrigens, Sie können dies auch für alle Google-Dienste tun, indem Sie Google Mein Konto besuchen. Dort besteht die Möglichkeit, die von Google in Ihrem Profil gespeicherten Daten herunterzuladen. Es enthält eine große Menge an Informationen aus verschiedenen Tools.

  • Überprüfen Sie, ob es eine Option zum Löschen von Daten gibt, da einige Ihrer Benutzer dies möglicherweise wünschen. Fairerweise hat Google Analytics auch Maßnahmen ergriffen, um dieser Maßnahme nachzukommen, und Sie können nun Ansichten und Besucher löschen. Visitor Analytics bietet diese Option ebenfalls an.

  • Überprüfen Sie auch die Einstellungen zur Datenspeicherung. Wie lange behält der Anbieter des Analyse-Tools (Datenverarbeiter) die Daten über einzelne Benutzer vor? Google Analytics bietet nun die Möglichkeit, die Aufbewahrung zu kontrollieren.

  • Ist das Analyse-Tool Ihrer Wahl nach ISO 27001 zertifiziert? Dies ist eine Bestätigung der Tatsache, dass das Unternehmen die Sicherheit von Informationsbeständen gewährleistet.

  • Nicht zuletzt sollten die Bestimmungen über das Eigentum an den Daten überprüft werden. Versuchen Sie, ein Analyse-Tool zu finden, das Ihnen die Kontrolle über die Daten gibt. Ein Beispiel für eine gute Praxis finden Sie im Abschnitt "Kontrolle der Daten" in der Übersicht zur Einhaltung der DSGVO-Konformität durch Visitor Analytics.

Warum brauchen wir überhaupt die DSGVO?

Bevor diese Verordnung in Kraft trat, waren die Vorschriften zur Erhebung und Verwendung personenbezogener Daten viel lockerer. Infolgedessen gab es Fälle, in denen personenbezogene Daten wie Name, Adresse, Telefonnummer oder andere sensible Daten ohne Wissen und Zustimmung der Person unsachgemäß behandelt, leicht zweckentfremdet oder sogar von einem Unternehmen verkauft wurden. Dies könnte sehr schwerwiegende Auswirkungen auf das Privatleben eines jeden Einzelnen haben. Ein Umstand, der oft eintreten könnte, ist, dass Sie leichter von Marketingspezialisten angesprochen werden könnten, einschließlich der Verwendung von aufdringlicher Werbung. Andere, schwerwiegendere Folgen beziehen sich auf gestohlenen Identitäten. Gesundheitsdienstleister waren (und sind es manchmal immer noch) ein bevorzugtes Ziel für diejenigen, die personenbezogene Daten missbrauchen wollen. So kann beispielsweise ein Krimineller eine betrügerische Steuererklärung einreichen, oder eine Kreditkarte beantragen, die die Daten verwendet, die aus einer Verletzung der Krankenhausdaten resultieren. In diesem Zusammenhang wurde die Auffassung vertreten, dass Datensicherheit und Datenschutz ernster genommen werden sollten.

Wenn Sie mehr darüber erfahren möchten, wie wir bei Visitor Analytics die DSGVO-Richtlinien einhalten, finden Sie hier einige schöne Einträge zu diesem Thema: