Besucher-Analyse Web-Recht

Datenschutzgrundverordnung: Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen

Google Analytics Vertrag zur Auftragsdatenverarbeitung

Wer muss einen Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen? Was ändert sich bzgl. der Google Auftragsdatenverarbeitung im Rahmen der neuen Datenschutzgrundverordnung?

Eigentlich ist es ein alter Hut: bereits das Bundesdatenschutzgesetz macht gemäß § 11 BDSG einen Google Analytics Vertrag zur Auftragsdatenverarbeitung erforderlich, wenn dieses Google-Tool auf der eigenen Website eingesetzt wird.

Erstaunlich viele Webseitenbetreiber, die Google Analytics einsetzen, haben jedoch von dieser Erfordernis noch nie etwas gehört. Dabei stellt Google bereits seit 2016 einen AV-Vertrag zur Verfügung.

Dieser Vertrag besteht inklusive der einleitenden Informationsseite aus insgesamt 18 Seiten. Um ihn mit Google abzuschließen muss ein Webseitenbetreiber den Vertrag in doppelter Ausfertigung ausdrucken, ausfüllen und auf dem Postweg an Google Irland Ltd. in Dublin schicken. Nach einigen Wochen erfolgt dann die Rücksendung eines von Google unterschriebenen Vertragsexemplars.

Google Analytics Vertrag zur Auftragsdatenverarbeitung: was ändert sich mit der neuen Datenschutzgrundverordnung?

Im Rahmen der Datenschutzgrundverordnung entfällt das Schriftform-Erfordernis. DSGVO-konforme AV-Verträge können auch digital abgeschlossen werden, sofern auf diesem Wege eine ausreichende Dokumentation sichergestellt ist.

Wenn Sie einen Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen möchten, melden Sie sich in Ihrem Google Analytics-Account an und bestätigen Sie dort per Setzen des entsprechenden Häkchens und Absenden des Formulars den Google Analytics Vertrag zur Auftragsdatenverarbeitung (bzw. ab Inkrafttreten der DSGVO nur noch „Auftragsverarbeitung“).

Beachten Sie dabei: sollten Sie bisher keinen Google Analytics Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben, so wurden die statistischen Daten der Benutzer widerrechtlich erhoben. Sie sollten daher die alten UA-Konten löschen, neue Konten erstellen und die UA-Trackingcodes der neuen Konten in die betreffenden Webseiten einbauen.

Google Analytics im Rahmen der Datenschutzgrundverordnung rechtssicher einsetzen

Die Anforderungen für einen rechtssicheren Einsatz von Google Analytics ändert sich mit der Datenschutzgrundverordnung nicht. Wie bisher gilt:

  • AV-Vertrag
    Da durch Google Analytics eine Datenverarbeitung durch einen Dritten (in diesem Fall Google) erfolgt, müssen Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen.
  • IP-Anonymisierung
    Der Standard Google Analytics-Code ist so zu modifizieren, dass die IP-Adresse der Besucher anonymisiert wird. Dazu muss lediglich eine zusätzliche Zeile Javascript hinzugefügt werden:
    push([‚_gat._anonymizelp‘]);
  • Datenschutzerklärung
    In der Datenschutzerklärung müssen Sie auf die Verwendung von Google Analytics hinweisen und beschreiben, welche Arten von Daten erfasst werden.
  • Opt-Out-Cookie
    Sie müssen dem Besucher die Möglichkeit geben, das Tracking durch Google zu unterbinden. Dies geschieht durch ein so genanntes Opt-Out-Cookie. Dabei wird im Browser des Benutzers ein Cookie gesetzt, welches das Tracking verhindert.

Was spricht für den Einsatz von Google Analytics, was spricht dagegen?

Die neue Datenschutzgrundverordnung hat viele Seiten. Gute und weniger schöne. Für Webseitenbetreiber aber auch generell für Unternehmen ergeben sich durch die Datenschutzgrundverordnung viele – teilweise umfangreiche und aufwendige –  Änderungen.

Zugleich trägt die DSGVO zu einer weiteren Sensibilisierung der Menschen in Bezug auf ihre persönlichen Daten bei. Google Analytics ist eine tolle Software. So wie viele andere von Google entwickelte Tools auch. Es gibt derzeit wohl kaum eine Analyse-Software, mit der sich das Besucherverhalten im Web so detailliert analysieren und auswerten lässt wie mit Google Analytics. Andere Unternehmen verlangen für solche Softwarelösungen eine angemessene Vergütung. Und das zu Recht. Denn für die Entwicklung haben hervorragende Softwareentwickler viel Zeit investiert und solche Spezialisten arbeiten selbstverständlich nicht umsonst – auch nicht bei Google.

Google verfolgt allerdings ein anderes Geschäftsmodell: Tools wie Google Analytics werden vollkommen kostenlos angeboten. „Kostenlos“ bedeutet allerdings nicht „umsonst“. Die Webseitenbetreiber und ihre Besucher bezahlen sie, indem sie Google umfangreiche Daten zur Verfügung stellen die Google wiederum verknüpft und immer mehr Informationen über die Benutzer und Unternehmen zusammenträgt.

Google ist das Flaggschiff unter den Web-Analysetools. Aber um welchen Preis? Hier sollte sich jeder Webseitenbetreiber und jede Webagentur fragen, ob die umfangreichen Auswertungsmöglichkeiten tatsächlich benötigt werden oder ob nicht auch weniger datengierige Tools ausreichen. Beispielsweise Statify für WordPress oder das hervorragende Matomo (ehemals Piwik).

Wie ernst nimmt Google den Datenschutz?

Es taucht immer wieder die Frage auf, wie ernst Branchenriesen wie Google oder Facebook den Datenschutz tatsächlich nehmen. Google lässt sich hier ungern in die Karten schauen.  Gerichtsurteile aus der Vergangenheit zeigen jedoch, dass das Thema „Datenschutz“ offenbar nicht immer oberste Priorität genießt. Schließlich „lebt“ Google von den persönlichen Daten der Benutzer.

Im Jahre 2012 hat Google mit einer Strafzahlung in Höhe von 22,5 Millionen Dollar eine Klage der US-Aufsichtsbehörde verhindert. Zur Klage kam es, weil Google gegen seine eigenen Zusagen zum Schutz der Privatsphäre verstoßen hat.

Im Jahre 2013 musste Google 145.000 Euro Bußgeld zahlen, weil im Zuge der Erhebung von Daten für den Google-Dienst „Street-View“ auch zur Aufzeichnung von Daten von WLAN-Netzen sowie von Inhaltsdaten (u.a. E-Mails, Passwörter, Fotos und Chat-Protokolle) gekommen ist.

Im Juni 2017 kam es zu einer Rekord-Kartellstrafe in Höhe von 2,42 Milliarden Euro, weil Google seine Marktmacht als Suchmaschinenbetreiber missbraucht hat, um Millionen Nutzer auf die Preisvergleichsplattform Google Shopping zu lenken.

Wie passt das zum Google-Motto „Don’t be evil“? (Sei nicht böse). Vielleicht gar nicht. Denn mit Gründung der Muttergesellschaft Alphabet wurde das Motto im Jahre 2015 geändert in „Do the Right Thing“ (Tu das Richtige).

Nun bleibt nur noch eine Frage zu beantworten:
Das Richtige für wen?

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

 

Stichworte: Google Analytics Vertrag zur Auftragsdatenverarbeitung, Datenschutzgrundverordnung

Datenschutzgrundverordnung: Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen
5 (100%) 7 votes

4 Kommentare zu “Datenschutzgrundverordnung: Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen

  1. Hallo,

    wenn man als Agentur mehrere Websites unter der eigenen Property verwaltet, steht dennoch nur ein Links zur Bestätigung des AV-Vertrags online zur Verfügung. Ist das ausreichend oder muss jeder Website Betreiber diesen doch nochmals in ausgedruckter Form an Google schicken?

    Danke,
    Florian

    • Hallo Florian,
      bereits vor Inkrafttreten der DSGVO haben wir die von uns betreuten Kundenwebsites nicht mehr über Google Analytics getrackt. Es gibt alternative Anbieter, die den Begriff „Datenschutz“ nicht als Fremdwort betrachten. Oder als etwas, das es so weit wie möglich auszuhebeln gilt. Einige stellen wir in diesem Artikel vor: https://a-vista-studios.de/blog/web-recht/webanalyse-tools-und-auftragsdatenverarbeitung/

      Daher sind wir inzwischen nicht mehr mit allen neuen Abläufen bzgl. Google-Analytics vertraut. Sollten sich nachfolgend Fehler eingeschlichen haben, so freuen wir uns über entsprechende Hinweise:

      • Wenn alle Kundenaccounts über den Web-Agentur-Account laufen und darüber auch die Zustimmung zur DSGVO erfolgt, müsste entsprechend auch die Agentur die volle Haftung übernehmen.
         
      • Wenn es unbedingt Google-Analytics sein muss, wäre eine mögliche Alternative, für jeden Kunden ein eigenes Benutzerkonto bei Google einzurichten. Der Kunde kann dann in seinem Kundenkonto individuell den AV-Vertrag abzuschließen bzw. die Agentur informiert ihn darüber und führt das für ihn durch.
         
      • Seit Inkrafttreten der DSGVO werden die AV-Verträge unseres Wissens ausschließlich digital abgeschlossen. Die PDF-Datei mit dem 18-seitigen AV-Vertrag welcher postalisch nach Irland zu schicken ist, ist noch der alte Vertrag, der vor Inkrafttreten der DSGVO erforderlich war.

      Zum zweiten Listenpunkt: wird für jeden Kunden ein neues Benutzerkonto eingerichtet, so stehen die bisher erfassten statistischen Daten dort natürlich nicht zur Verfügung. Aber: es war schon lange vor Inkrafttreten der DSGVO erforderlich, mit Google einen AV-Vertrag abzuschließen. Seit dem 25.05.2018 war dann der neue, DSGVO-konforme AV-Vertrag abzuschließen. Wenn ihr diese Verträge nicht abgeschlossen habt, dann wurden die statistischen Daten widerrechtlich erhoben und müssen sowieso gelöscht werden.

      Somit steht einem Wechsel zu einer Tracking-Lösung eines anderen Anbieters eigentlich nichts im Wege. Ständig liest man von der Datensammelwut von Google, Facebook und Co. Es reicht aber nicht, sich nur zu beschweren. Würden die Benutzer auf Alternativen ausweichen, so wäre das eine klare Ansage.

      Hinzu kommt: werden die statistischen Daten auf dem eigenen Webserver gespeichert, benötigt man keinen AV-Vertrag mit einem Drittanbieter wie Google und hat zudem weniger Aufwand. Denn die neuen DSGVO-Gesetze sind das eine, ihre Umsetzung bzw. die praktische rechtliche Bewertung durch die Gerichte das andere. Dadurch können sich jederzeit Änderungen ergeben. So ist beispielsweise immer noch umstritten, ob Google-Maps oder Google-Fonts auf der eigenen Website rechtssicher eingesetzt werden können und vielleicht stellt sich bald heraus, dass die mit Drittanbietern abgeschlossenen AV-Verträge nicht in allen Punkten DSGVO-konform sind ohne dass alle Betroffenen (zeitnah) Kenntnis davon erhalten.

  2. Pingback: Webanalyse-Tools und Auftragsdatenverarbeitung, DSGVO

  3. Pingback: Jetpack und Datenschutzgrundverordnung, Jetpack Auftragsdatenverarbeitung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Ihren Besuch stimmen Sie der Verwendung von Cookies zu.