Die Lizenz zum Verpacken?
24. September 2018
Nach jahrelangem Streit hat sich der Suchmaschinenkonzern Google mit den Datenschützern hinsichtlich der Nutzung von Google Analytics endlich geeinigt. Dies bedeutet für Website-Betreiber einige Änderungen.
Leider wird hier etwas technisches Hintergrundwissen verlangt, deshalb versuche ich alles so einfach wie möglich zu beschreiben und wenig Fachbegriffe zu verwenden.
Dieser Bericht ist keine Rechtsberatung und erhebt keinen Anspruch auf Vollständigkeit. Jeder Website-Betreiber sollte sich ständig am Laufenden halten, was zum aktuellen Zeitpunkt der Stand der Dinge ist.
Doch was ist Google Analytics?
Mit diesem Tool sammelt Google Daten über den Besucher der Website. Somit wird der Website-Betreiber in die Lage versetzt seine Seite zu analysieren.
Woher kommt der Besucher?
Wie viele Seiten hat er angeklickt?
Welchen Browser verwendet er?
Wie lange war er auf der Website?
Wo ist er ausgestiegen?
u.v.m.
äber das Conversion-Tracking kann der Website-Betreiber auch die Effizienz seines Newsletter, Shops etc. anzeigen lassen.
Hauptsächlich ging es den Datenschützern um die vollständige übermittlung der IP-Adresse und dem Hinweis, welche Daten an Google übermittelt werden. Hieraus entstand dann eine Vereinbarung, die jetzt alle Website-Betreiber umsetzen müssen:
Was ist Google Universal Analytics?
Hier sammelt Google auch offline Daten über den Besucher der Website. Ob hier zusätzliche Sicherheitsbestimmungen erfüllt werden müssen, kann noch nicht gesagt werden, da es bislang keine Urteile gibt. Jedoch erlaubt Google die hier erläuterten Änderungen ebenfalls einzubauen.
Vertrag zur Auftragsdatenverarbeitung mit Google
Wie in Deutschland gewohnt, kommen wir ohne den wahnsinnigen Bürokratismus leider nicht aus. Die Datenschutzbehörde hat zusammen mit Google einen 18-seitigen !!! Vertrag ausgehandelt
Jeder der Google Analytics nutzen will, muss vorher mit Google Irland einen schriftlichen Vertrag schließen.
Du hast bereits einen Vertrag mit Google?
Wenn Dein Vertragsschluss vor dem 23. September 2016 erfolgte, dann empfehle ich einen erneuten Vertrag abzuschließen. Der alte Vertrag nahm noch auf das Safe Harbor-Abkommen Bezug, das vom Europäischen Gerichtshof für ungültig erklärt wurde.
Zitat Dr. Schwenke: Ab 25. Mai 2018, wenn die EU-Datenschutzgrundverordnung (DSGVO) das deutsche Bundesdatenschutzgesetz ersetzt, entfällt aber auch die Schriftform und die deutschen Websitebetreiber dürfen Auftragsverarbeitungsverträge per Mausklick abschließen. In Österreich und der Schweiz reicht dieser Mausklick bereits aus.
Wer bereits jetzt online abschliessen möchte (ohne Gewähr):
- gehen Sie in Ihr Analyticskonto
- dort auf Verwaltung und dann auf Kontoeinstellungen
- wählen Sie ihr Konto und scrollen nach unten
- Die Details zum Zusatz zur Datenverarbeitung öffnen und die persönlichen Daten eingeben
- Nach der Eingabe Seite schließen und unten auf speichern klicken.
- Bei mehr Konten jetzt das nächste Konto auswählen etc.
Anonymisierung der IP-Adressen
Jetzt wird es technisch, da kommst Du leider nicht drum rum.
Wenn Du damit nichts anfangen kannst, musst Du Deinen Website-Designer oder entsprechenden Fachmann beauftragen.
Im Bereich "header" einer Website, oder auch im "footer", findest Du das Script von Analytics, in welches folgender Schnipsel eingefügt werden muss:
anonymizeIp()
Dies muss nach der Tracking-ID eingefügt werden. In BeTheme findest Du dies unter Optionen und dann SEO.
Hinweis:
Wer Google Analytics vor der Umstellung genutzt hat, soll laut Datenschützer die alten gesammelten Daten l&oauml;schen. Dies ist aber wohl nur durch Löschen des bestehenden Analytic-Kontos und Anlegen eines neuen Analytic-Kontos möglich.
Widerspruchsrecht der Betroffenen
Jetzt wird es etwas einfacher. Die Belehrung des Website-Besuchers hinsichtlich Datenschutz muss ergänzt werden. Hier bitte beachten, dass es laut Urteil nicht mehr ausreicht, den Datenschutzhinweis im Impressum zu nennen, sondern es muss eine gesonderte Seite mit der Bezeichnung Datenschutzbelehrung oder Datenschutzerklärung angelegt werden.
Diese beinhaltet zwei Ergänzungen:
- Möglichkeit bei Desktop oder Laptop ein Add-On (Programm) zu installieren, welches das Tracking unterbindet
- für mobile Geräte ein sog. Opt-out-Cookie
Noch einfacher geht es, wenn von meist Rechtsanwalts-Seiten entsprechende Generatoren verwendet werden. Ich persönlich nehme gerne die Seite von e-Recht24.de. Hier muss aber am Ende immer ein Quellnachweis angebracht werden. Da sich regelmäßig rechtliche Änderungen ergeben, empfiehlt sich dieser Weg, da ich keine Haftung für Aktualität übernehmen kann.
Angepasste Datenschutzerklärung
Die Datenschutzerklärung haben wir oben bereits geändert. Jetzt folgt die Erklärung, was wir da eigentlich eingebaut haben:
- Zunächst haben wir einen Link zur Datenschutzerklärung von Google gesetzt.
Damit kann der Besucher nachlesen, was eigentlich alles an Google übertragen wird. - Als nächstes erfolgte der Link zum Browser-Plugin, mittels diesem das Tracking unterbunden werden kann
- Letzteres ist ein Link mit dem Opt-out-Cookie, was durch mobile Endgeräte wie Tablet oder Smartphone gelesen werden kann. Damit dieses aber funktioniert, müssen wir wieder in die header.php oder footer.php (je nachdem wo Euer Script liegt).
Cookie-Hinweis
Den Cookie-Hinweis kennt eh schon fast jeder, da sich dies mittlerweile bereits herumgesprochen hat. Es handelt sich hier um eine EU-Richtlinie mit der Bezeichnung E-Privacy-Richtlinie 2009/136/EG.
Die Übersetzung der Section 3 - Listenpunkt 3, hat Gösta Thomas in seinem Blog übersetzt. Hier wird einfach nachvollziehbar erklärt, wann ein Cookie-Balken benötigt wird:
3. Ermitteln Sie für jedes Cookie, ob Seitenbesucher informiert werden und einwilligen müssen oder nicht:
- Für Sitzungs-Cookies vom Erstanbieter gilt: Besucher müssen nicht informiert werden und nicht einwilligen.
- Für dauerhafte Cookies vom Erstanbieter gilt: Besucher müssen informiert werden und einwilligen. Verwenden Sie solche Cookies nur, wenn unbedingt erforderlich. Die Speicherdauer darf ein Jahr nicht überschreiten.
- Für alle Cookies (Sitzungs-Cookies und dauerhafte Cookies) von Fremdanbietern (Drittanbietern) gilt: Besucher müssen informiert werden und einwilligen. Solche Cookies sollten von EUROPA Websites nicht verwendet werden, weil die gesammelten Daten in Gebiete außerhalb des rechtlichen Zuständigkeitsbereichs der EU übermittelt werden könnten.
Wer eine Wordpress-Seite hat, kann diverse Plugins für das Setzen eines Cookie-Hinweistextes verwenden.
neuer Cookie-Hinweis nach Empfehlung des Generalanwaltes am EuGH?
Bereits 2017 legte der BGH (Beschl. v. 5.10.2017 – I ZR 7/16) dem EuGH die Frage vor, ob für das Setzen eines Cookies eine ausdrückliche Einwilligung erforderlich ist. Nun hat der Generalanwalt in seinen Schlussanträgen (21.3.2019 – C-673/17) seine Auffassung bekanntgegeben. Ob das Gericht dieser Meinung folgen wird, bleibt abzuwarten. In der Regel schließt sich der EuGH allerdings den Rechtsansichten des Generalanwaltes an.
Ist das Opt-IN Verfahren nun Pflicht in Deutschland?
Leider hat der EuGH festgestellt, dass die deutschen Gesetze nicht konform laufen mit denen der EU. Bis diese angepasst wurden, werden wohl nur Urteile feststellen lassen, ob wir das Opt-IN Verfahren nun einsetzen sollen oder nicht. Wer auf Nummer sicher gehen will, sollte zumindest die einfache Variante des Opt-IN-Verfahrens einsetzen. Hierzu bedient Ihr Euch am besten des Plugins "Cookie notice".
Nach der Installation lassen sich die Einstellungen von Cookie Notice über Einstellungen öffnen.
Hinweis:
Ich persönlich setze alle nicht sofort beim Laden der Seite notwendigen Scripte in den Footer.
So verlangsame ich nicht unnötig die Website.
Da bei einem Update manuelle Einträge in die header.php bzw. footer.php wieder überschrieben werden, ist es sinnvoll ein Plugin zu installieren. Ein einfaches Tool, dass zwar schon länger nicht mehr geupdated wurde, aber immer noch seinen Dienst tut ist Tracking Code. Es gibt aber auch z. B. den Tracking Code Manager. Mit vielfältigen Einstellungen.
Fazit
Ob mittels Plugin oder über ein Child-Theme - die Einbindung ist Pflicht, um nicht abgemahnt werden zu können. Wer unsicher ist lässt besser die Finger von Google Analytics.
