Zum Inhalt springen Zur Navigation springen
Google Analytics: Ist die elektronische ADV-Zustimmung erlaubt?

Google Analytics: Ist die elektronische ADV-Zustimmung erlaubt?

Der Zusatz zur Datenverarbeitung bei Google soll es möglich machen: Den Vertrag zur Auftragsdatenverarbeitung (ADV) für die Nutzung von Google Analytics elektronisch zustimmen. Was sollten Websitebetreiber dabei datenschutzrechtlich beachten?

Zeitverlust durch ADV in Papierform

Webtracking mit Google Analytics geht unter anderem nur unter der Voraussetzung des Abschlusses eines Vertrags zur Auftragsdatenverarbeitung gemäß § 11 BDSG. Das haben die Aufsichtsbehörden mit Google so verabredet. Eine abgestimmte Vorlage steht im Netz zum Abruf bereit:

http://www.google.com/analytics/terms/de.pdf

Allerdings verliert der Websitebetreiber bis zum Eingang des gegengezeichneten Vertrags wertvolle Zeit für die Webanalyse.

Google Analytics elektronisch zustimmen geht schneller

Es liegt auf der Hand – elektronisch geht es schneller und einfacher. Auf den Zusatz zur Datenverarbeitung gelangt man mit Zugangsberechtigung nach dem Log-In im Google-Analytics-Konto einfach unter Verwaltung > Kontoeinstellungen.

Dann besteht die Möglichkeit zum Zugriff auf und den Zusatz der Datenverarbeitung (ausgedruckt 8 Seiten auf Englisch) und die Möglichkeit der elektronischen Zustimmung.

Die Art. 29-Datenschutzgruppe der EU nahm das Vorgehen der deutschen Aufsichtsbehörden mit Google zum Vorbild für eine europaweite Umsetzung der Datenschutzanforderungen für den Einsatz von Google Analytics und verabredete mit Google mitunter den Zusatz zur Datenverarbeitung mit der elektronischen Zustimmungsmöglichkeit. Dieser bezieht sich auf die europäische Datenschutzrichtlinie 95/46/EG, die den Mitgliedstaaten einen Gestaltungspielraum bei der Umsetzung der datenschutzrechtlichen Anforderungen einräumt. So haben die Mitgliedstaaten die Anforderungen an die Form des Abschlusses eines Auftragsdatenverarbeitungsvertrages teilweise unterschiedlich geregelt.

Muss die Papierform eingehalten werden?

Klärungsbedürftig ist, ob nach deutschem Datenschutzrecht die Papierform für die Datenvereinbarung mit Google zwingend vorgesehen ist oder die elektronische Zustimmung ausreicht. Unter dem Vorzeichen des BDSG und der DSGVO fallen die Ergebnisse unterschiedlich aus.

Auftragsverarbeitung unter der DSGVO

Art. 28 Abs. 9 DSGVO bestimmt, dass der Auftragsverarbeitungsvertrag auch in elektronischer Form erfolgen kann. Ab Geltung der DSGVO am 25. Mai 2018 wird die Papierform damit zur Makulatur.

Auftragsdatenverarbeitung unter dem BDSG

Hingegen reicht für den Abschluss eines Auftragsdatenverarbeitungsvertrags nach § 11 BDSG die elektronische Form nicht aus. Websitebetreiber in Deutschland wird deshalb empfohlen, bis zum 24. Mai 2018 wie gehabt einen ADV in Papierform mit Google abzuschließen.

Da haben es die Websiteanbieter, die Google Analytics einsetzen wollen, im Nachbarland Österreich besser, wo bereits nach der jetzigen Rechtslage für einen Vertrag mit den datenverarbeitenden Dienstleister die elektronische Form ausreicht.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Warum benötigt man nach Ansicht der Aufsicht einen ADV-Vertrag mit Analytics (bei gesetztem anonymize-IP-flag), wenn die erhobenen Daten nicht mehr personenbeziehbar sind?

    • Der ADV regelt mitunter, dass Google vom Auftraggeber angewiesen wird, die ursprünglich nicht gekürzte IP-Adresse der Websitebesucher um das letzte Oktett zu kürzen und damit zu anonymisieren. Für diese Weisung ist ein ADV notwendig, da die Befolgung bzw. Umsetzung der Weisung durch Google eine Verarbeitung von personenbezogenen Daten darstellt.

      • die Kürzung um das letzte Oktett ist weitgehend wirkungslos, da der zugreifende Browser (=die Person) über die Browserkennung auch mit den drei führenden Oktetten zu mehr als 95% sicher zu identifizieren ist

  • Hallo,
    wir hatten den Google-Analytics-Vertrag bereits 2015 unterzeichnet und unterzeichnen lassen. Müssen wir jetzt einen neuen abschließen oder sind die Änderungen zum 2015er-Vertrag nicht gravierend?
    Vielen Dank im Voraus
    Beste Grüße
    Stephan Kubitza

  • Hallo,
    im Analyticskonto befindet sich der folgende Zusatz, nachdem eine rein elektronische Zustimmung von Google ausgeschlossen wird, oder was ist mit dem Direktkundenvertrag gemeint?

    Zusatz zur Datenverarbeitung
    Wenn Ihr Unternehmen in einem Mitgliedsstaat des europäischen Wirtschaftsraums oder der Schweiz ansässig ist oder Sie dem räumlichen Geltungsbereich der EU-Datenschutz-Grundverordnung unterliegen, können Sie den Datenverarbeitungsbedingungen von Google Anzeigen unter der Voraussetzung zustimmen, dass Sie einen Direktkundenvertrag mit Google zur Verwendung von Google Analytics abgeschlossen haben.

    • Der Direktkundenvertrag dürfte der Hauptvertrag zur Nutzung von Google Analytics sein. Die elektronische Zustimmung bezieht sich hingegen auf die Datenverarbeitungsbedingungen, die von dem Hauptvertrag getrennt zu betrachten sind. Ob auch der Direktkundenvertrag elektronisch abgeschlossen werden kann, entnehmen Sie bitte den allgemeinen Geschäftsbedingungen mit Google; diese Frage betrifft nicht den Datenschutz.

  • Da das Thema mit dem Vertrag Zur Auftragsdatenverarbeitung mit Google jetzt zunehmend Priorität erlangt, würde ich gerne wissen, ob die Papierform jetzt definitiv nach DSGVO nicht mehr zwingend ist. Einen Zustimmungslink in Google Analytics habe ich bisher nicht gefunden. Ich kann mir vorstellen, dass aktuelle Anträge jetzt nicht mehr bis zum Stichtag zurückkommen, da bei Google täglich wohl mehr als ein paar Anträge eingehen.
    Wenn ich das Ganze Online aktiviere, wie komme ich denn zu einem schriftlichen Nachweis, dass der Vertrag Gültigkeit besitzt?

    • Die DSGVO erlaubt grundsätzlich den Abschluss des ADV-Vertrages in elektronischer Form (Art. 28 Abs.9 DSGVO). Dies wurde im Rahmen von Google Analytics bisher jedoch nicht umgesetzt. Den Nachweis eines (ADV-)Vertragsschlusses können sie erst erbringen, wenn der unterzeichnete Vertrag aus Irland zurück gekommen ist. Darüber, wie lang dies im Einzelnen dauern kann, können wir keine verlässliche Angabe machen. Die im Artikel beschriebene „elektronische Zustimmung“ in den Einstellungen von Google-Analytics, bezieht sich auf Vertragszusätze, denen zugestimmt werde sollte und die einen wirksam geschlossenen ADV-Vertrag voraussetzen.

      • Also reichen diese Vertragsgrundsätze nicht aus? Wenn Sie schreiben „die einen wirksam geschlossenen ADV-Vertrag voraussetzen“ meinen Sie dann, dass es einen separaten ADV bedarf?

        • Hallo,
          ja das würde mich auch interessieren. Ist es also notwendig als Agentur für jeden Kunden einen schriftlichen Vertrag mit Google zu schließen? Was bedeutet würde, dass der Zusatz zur Datenverarbeitung nicht ausreicht?

          • Das deutsche Datenschutzrecht setzte vor dem 25.Mai 2018 für wirksame Auftragsverarbeitungsverträge eine handschriftliche Unterschrift voraus. Danach war es notwendig, tatsächlich den Vertrag auf Papier nach Irland zu senden. Mit Geltung der DSGVO entfällt die Schriftform als Voraussetzung. Es ist es nun möglich, das auch deutsche Websitebetreiber Auftragsverarbeitungsverträge digital abschließen können. Wenn Sie also nun auf einer Webseite Google Analytics implementieren, ist es (vermutlich) ausreichend den Zusatz zur Datenverarbeitung digital abzuschließen. Ob ein Mausklick ausreicht, ist zwar nicht ganz eindeutig geklärt, bisher scheint dies akzeptiert. Google Analytics-Nutzer sollten daher jedenfalls den „Zusatz zur Datenverarbeitung“ per Klick akzeptieren.

  • Über die Google Analytics Verwaltungsoberfläche kann ich den ZUSATZvertrag zur Datenverarbeitung für Google Analytics bestätigen. Voraussetzung dafür ist ein direkter Kundenvertrag mit Google. Wurde dieser bereits mit der Nutzung von Google Analytics abgeschlossen? Wo kann man diesen (für die Dokumentation) abrufen/einsehen? Freue mich über einen Hinweis.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.