Jetzt handeln: Google Analytics 2018 für die DSGVO anpassen

News

Bald ist es soweit: Die Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 anwendbar. In den vergangenen Tagen hatte deshalb jeder Google-Analytics-Nutzer eine E-Mail mit dem Betreff „[Bitte unbedingt lesen] Wichtige Neuigkeiten zur Aufbewahrung von Google Analytics-Daten und zur Datenschutzgrundverordnung (DSGVO)“ im Postfach. Wer geneigt ist, E-Mails mit derartig aufdringliche Betreffzeilen zur weiteren Bearbeitung seinem Papierkorb zu überlassen, der sei gewarnt: Hier ist tatsächlich Handeln gefragt!

Drei Neuerungen beachten:

Neue Einstellungsmöglichkeiten zur Datenaufbewahrung (Data Retention)

Um den Grundsätzen der Zweckgebundenheit und der Speicherbegrenzung, die die DSGVO vorschreibt, gerecht werden zu können, hat Google für Google Analytics neue Steuerelemente zur Datenaufbewahrung eingeführt. Der Nutzer kann nun zwischen verschiedenen Zeitspannen wählen und damit bestimmen, wie lange Nutzer- und Ereignisdaten auf Analytics-Servern gespeichert werden. Die Einstellungen werden allerdings erst ab dem 25. Mai 2018 wirksam. Daten, bei denen der gewählte Aufbewahrungszeitraum abgelaufen ist, werden dann von Google Analytics automatisch gelöscht. Berichte, die auf aggregierten Daten basieren, sind von diesen Einstellungen nicht betroffen.

Anpassung der Datenschutzerklärung

Mit den Änderungen einher geht für den Websitebetreiber natürlich auch die Notwendigkeit, die eigene Datenschutzerklärung anzupassen. Wird Google Analytics genutzt, muss ein Hinweis hierzu in der Datenschutzerklärung auftauchen. Dies war schon bisher so. Die Anforderungen an Inhalt und Umfang der Erklärung steigen jedoch mit der DSGVO. Der Websitebesucher muss konkret darüber aufgeklärt werden, welche Daten wofür und in welchem Umfang genutzt werden. Auch sind die Rechtsgrundlage der Datenverarbeitung und die Speicherdauer in Zukunft anzugeben.

Aktualisierungen der Verträge zur Auftragsdatenverarbeitung

Schließlich weist Google noch darauf hin, dass im Hinblick auf die DSGVO die Verträge zu vielen Produkten geändert wurden. Auch hier besteht Handlungsbedarf für den Google Analytics-Nutzer, denn die bisherige Auftragsdatenvereinbarung mit Google muss aktualisiert werden. Da nach Ansicht der Aufsichtsbehörden beim Einsatz von Google Analytics der Websitebetreiber als Auftraggeber und Google als Auftragnehmer anzusehen sind, war ein solcher Vertrag bereits nach alter Rechtslage Pflicht. Ab dem 25. Mai 2018 muss dann noch der sog. „Zusatz zur Datenverarbeitung“ online bestätigt werden.

DSGVO-konform mit dieser Schritt-für-Schritt-Anleitung

Was genau getan werden muss, um Google Analytics auch nach dem 25. Mai 2018 datenschutzkonform einzusetzen inklusive einer Schritt-für-Schritt-Anleitung zur Umsetzung, finden Sie hier:

Google Analytics datenschutzkonform einsetzen

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Liebes Dr. Datenschutz-Team. Vielen Dank für den tollen Newsletter und die praxisorientierten Tipps, die „nebenberuflichen“ Datenschützern in Zeiten der DSGVO das Leben deutlich einfacher machen! Auch den Tipp zu Google Analytics fand ich überaus hilfreich.
    Eine anderen Sache, die wahrscheinlich viele im Moment bewegt: Wie schaut es denn mit einer datenschutzkonformen Einbindung der Google Maps API aus, die ja durchaus weit verbreitet ist. Streng genommen liegt aufgrund der Übermittlung der IP-Adresse an Google bei Aufruf der Karte auch eine Übertragung in ein Drittland vor. Gibt es da seitens Google eventuell ein ähnliches „Muster“? Ich habe im Web dazu leider bisher nichts finden können. Vielen Dank im Voraus und viele Grüße

    • Richtig, auch auf die Verwendung von Google Maps muss in der Datenschutzerklärung hingewiesen werden. Es waren ähnliche Muster zu Maps nach altem Recht im Internet im Umlauf, ebenso zur Nutzung von ReCaptcha etc.. Google selbst bietet unseres Wissens bisher keine „DSGVO-Muster“ an. Teilweise werden von Kanzleien gerade „Datenschutz-Generatoren“ für Privatleute und kleinere Unternehmen an die DSGVO angepasst und online gestellt, dort sind oft Bausteine zu den gängigen Google-Tools und API enthalten. Zu deren Qualität können wir bisher nichts sagen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.