Bald ist es soweit: Die Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 anwendbar. In den vergangenen Tagen hatte deshalb jeder Google-Analytics-Nutzer eine E-Mail mit dem Betreff „[Bitte unbedingt lesen] Wichtige Neuigkeiten zur Aufbewahrung von Google Analytics-Daten und zur Datenschutzgrundverordnung (DSGVO)“ im Postfach. Wer geneigt ist, E-Mails mit derartig aufdringliche Betreffzeilen zur weiteren Bearbeitung seinem Papierkorb zu überlassen, der sei gewarnt: Hier ist tatsächlich Handeln gefragt!
Der Inhalt im Überblick
Drei Neuerungen beachten:
Neue Einstellungsmöglichkeiten zur Datenaufbewahrung (Data Retention)
Um den Grundsätzen der Zweckgebundenheit und der Speicherbegrenzung, die die DSGVO vorschreibt, gerecht werden zu können, hat Google für Google Analytics neue Steuerelemente zur Datenaufbewahrung eingeführt. Der Nutzer kann nun zwischen verschiedenen Zeitspannen wählen und damit bestimmen, wie lange Nutzer- und Ereignisdaten auf Analytics-Servern gespeichert werden. Die Einstellungen werden allerdings erst ab dem 25. Mai 2018 wirksam. Daten, bei denen der gewählte Aufbewahrungszeitraum abgelaufen ist, werden dann von Google Analytics automatisch gelöscht. Berichte, die auf aggregierten Daten basieren, sind von diesen Einstellungen nicht betroffen.
Anpassung der Datenschutzerklärung
Mit den Änderungen einher geht für den Websitebetreiber natürlich auch die Notwendigkeit, die eigene Datenschutzerklärung anzupassen. Wird Google Analytics genutzt, muss ein Hinweis hierzu in der Datenschutzerklärung auftauchen. Dies war schon bisher so. Die Anforderungen an Inhalt und Umfang der Erklärung steigen jedoch mit der DSGVO. Der Websitebesucher muss konkret darüber aufgeklärt werden, welche Daten wofür und in welchem Umfang genutzt werden. Auch sind die Rechtsgrundlage der Datenverarbeitung und die Speicherdauer in Zukunft anzugeben.
Aktualisierungen der Verträge zur Auftragsdatenverarbeitung
Schließlich weist Google noch darauf hin, dass im Hinblick auf die DSGVO die Verträge zu vielen Produkten geändert wurden. Auch hier besteht Handlungsbedarf für den Google Analytics-Nutzer, denn die bisherige Auftragsdatenvereinbarung mit Google muss aktualisiert werden. Da nach Ansicht der Aufsichtsbehörden beim Einsatz von Google Analytics der Websitebetreiber als Auftraggeber und Google als Auftragnehmer anzusehen sind, war ein solcher Vertrag bereits nach alter Rechtslage Pflicht. Ab dem 25. Mai 2018 muss dann noch der sog. „Zusatz zur Datenverarbeitung“ online bestätigt werden.
DSGVO-konform mit dieser Schritt-für-Schritt-Anleitung
Was genau getan werden muss, um Google Analytics auch nach dem 25. Mai 2018 datenschutzkonform einzusetzen inklusive einer Schritt-für-Schritt-Anleitung zur Umsetzung, finden Sie hier:
Liebes Dr. Datenschutz-Team. Vielen Dank für den tollen Newsletter und die praxisorientierten Tipps, die „nebenberuflichen“ Datenschützern in Zeiten der DSGVO das Leben deutlich einfacher machen! Auch den Tipp zu Google Analytics fand ich überaus hilfreich.
Eine anderen Sache, die wahrscheinlich viele im Moment bewegt: Wie schaut es denn mit einer datenschutzkonformen Einbindung der Google Maps API aus, die ja durchaus weit verbreitet ist. Streng genommen liegt aufgrund der Übermittlung der IP-Adresse an Google bei Aufruf der Karte auch eine Übertragung in ein Drittland vor. Gibt es da seitens Google eventuell ein ähnliches „Muster“? Ich habe im Web dazu leider bisher nichts finden können. Vielen Dank im Voraus und viele Grüße
Richtig, auch auf die Verwendung von Google Maps muss in der Datenschutzerklärung hingewiesen werden. Es waren ähnliche Muster zu Maps nach altem Recht im Internet im Umlauf, ebenso zur Nutzung von ReCaptcha etc.. Google selbst bietet unseres Wissens bisher keine „DSGVO-Muster“ an. Teilweise werden von Kanzleien gerade „Datenschutz-Generatoren“ für Privatleute und kleinere Unternehmen an die DSGVO angepasst und online gestellt, dort sind oft Bausteine zu den gängigen Google-Tools und API enthalten. Zu deren Qualität können wir bisher nichts sagen.
Sinn dieser ganzen Übung eines von Rentnern entworfenen Gesetzes? Die AGBs und Datenschutzbestimmungen werden länger, lesen tut das trotzdem keiner…