Google rüstet sich bereits für die im Mai kommende Datenschutzgrundverordnung. Bei Google Analytics wurden Optionen für das Löschen von erhobenen Daten eingeführt. Das soll dabei helfen, Google Analytics weiterhin gesetzeskonform einsetzen zu können. Mit den von Google gebotenen Maßnahmen ist zwar noch nicht alles getan. Opt-In Cookies für Benutzer, die womöglich gar nicht getracked werden möchten, sind weiterhin ein Streitpunkt. Jedoch helfen diese Neuerungen seitens Google enorm, um weiterhin Website-Analysen betreiben zu können. Welche Möglichkeiten Google Analytics hinsichtlich der DSGVO bietet, haben wir uns im Detail angesehen.
Google Analytics Datenschutz
Das Analyse-Tool Google Analytics steht bereits seit vielen Jahren in der Kritik von Datenschützern. Die Gründe dafür sind überwiegend unzureichende Anonymisierung und Rückschlussmöglichkeiten auf einzelne Personen sowie kleine Personengruppen. Selbst wenn die Identifikation einer konkreten Person nicht gegeben ist, lässt sich in vielen Fällen trotzdem feststellen, dass es sich zumindest um das selbe Individuum handelt. Insgeheim können daraus also so genannte Super-Benutzerprofile gebildet werden, die Daten von Personen sammeln, die man eigentlich gar nicht beim Namen nennen kann. Für Sachen wie Targeting, Werbung und Retention-Maßnahmen können solche Daten aber trotzdem herangezogen werden. Das kritisieren Datenschützer vehement.
Da die Europäische Union mit 25. Mai 2018 eine neue Datenschutzgrundverordnung vorschreibt, müssen sich auch Giganten wie Google, Facebook oder Amazon damit auseinandersetzen. Sollten sie das nicht tun, drohen Geldstrafen von bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes. Aus diesem Grund hat Google für Analytics neue Optionen eingeführt, die dabei helfen, die DSGVO einzuhalten. Zusätzlich zu diesen im Anschluss erläuterten Änderungen wurde die EU User Consent Policy von Google überarbeitet.
Was bietet Google Analytics für die DSGVO?
Mit Hilfe von so genannten „Data Retention Controls“, also einer Daten-Speicherungsregulierung, kann man als Google Analytics Benutzer künftig einstellen, wie lange erhobene Daten auf den Servern des Suchmaschinengiganten gespeichert bleiben sollen. Allerdings wird keine Möglichkeit von freien Zeiträumen geboten. Google Analytics gibt hingegen Auswahlmöglichkeiten vor, anhand derer man erhobene Daten ausmustern kann. Die vorhandenen Optionen sind:
- 14 Monate
- 26 Monate
- 38 Monate
- 50 Monate
- oder keine automatische Löschung der Daten
Obwohl Google mit jeweils zwei zusätzlichen Monaten zum vollen Jahr vermutlich bezweckt, dass auch jahresübergreifende Statistiken kurzfristig weiterhin ersichtlich sind, kann das in der Theorie bereits zu Problemen führen. Viele Datenschutzexperten warnen vor längeren Speicherzyklen als zwei Jahre. 26 Monate sind allerdings klar über diesem mundpropagierten Limit. Wie streng hier künftig verfahren wird und wie gut die Argumentation für solche Speicherzyklen ab Mai sein muss, ist leider weiterhin nirgends klar definiert. Die Vermutung liegt nahe, dass Google diese Informationen aus sicherer Quelle hat und die zusätzliche zwei Monate zum vollständigen Jahr unproblematisch sein sollten. Fest steht allerdings, dass SEO-Analysten in manchen Fällen zum Taktieren gezwungen werden. Sie müssen bestmögliche Einstellungen finden, um Daten intern sinnvoll verarbeiten zu können, andererseits aber gesetzeskonform zu agieren. Ob auch SEO Tool Anbieter wie XOVI oder Ryte ähnliche Datenaufbewahrungsoptionen implementieren werden, ist derzeit offen. Da aber bei solcher Software in vielen Fällen mit Daten gearbeitet wird, deren Bezugsrahmen die Gegenwart oder die Zukunft ist, sind zurückliegende Statistiken nur selten das Thema.
Wie funktionieren die Google Analytics DSGVO Einstellungen?
Google kündigt in der offiziellen Dokumentation an, dass Daten, die eine Retention-Periode überschreiten, unmittelbar gelöscht werden. Sobald Daten also älter sind als 14 Monate, sofern das die gegebene Einstellung ist, werden diese gelöscht. Wenn die Einstellung 38 Monate lautet, und man zu einem späteren Zeitpunkt auf 26 Monate wechselt, werden alle Daten die älter sind als 26 Monate mit dem nächsten Monatszyklus entfernt. Sollte man sich eine Änderung noch einmal anders überlegen, hat man dafür 24 Stunden zeit. Danach fixiert Google Analytics diese und lässt keinen rückgängigen Schritt mehr zu. Natürlich kann man die Zeitperiode wieder auf einen längeren Wert ändern. Gelöschte Daten tauchen dadurch aber nicht wieder auf. Es müssen daher neue erhoben werden, um die dann leeren Zeitachsen zu füllen.
Änderungen in den DSGVO Google Analytics Einstellungen können wie folgt geändert werden.
- Ein Benutzerkonto mit Bearbeitungsberechtigungen wird benötigt.
- Unter dem Menüpunkt „Verwaltung“ kann zur gewünschten Property gewechselt werden. Änderungen in den Google Analytics DSGVO Einstellungen betreffen nur die ausgewählte Property.
- In der Property-Spalte findet sich der Menüpunkt „Tracking-Informationen“.
- Darunter ist der Submenüpunkt „Datenaufbewahrung“.
- Mit dem Dropdown-Menü bei „Aufbewahrung von Nutzer- und Ereignisdaten“ kann die Aufbewahrungsdauer von Google Analytics Daten eingestellt werden.
- Optional kann man die Aktivitäten von Benutzern bei neuen eingehenden Informationen zurücksetzen. Das bedeutet, für den Fall, dass die Option aktiviert ist, dass sich die Aufbewahrungsdauer einer Benutzer-ID zurücksetzt, wenn dieser neue Aktivitäten tätigt. Sollte diese Option deaktiviert sein, werden die Daten, wie auch alle anderen, nach Ablauf des eingestellten Aufbewahrungsintervalls gelöscht.
Danke für den interessanten Artikel. Aber wie lange ist es denn laut neuer Datenschutzverordnung erlaubt die Daten über Analytics zu speichern? In Ihrem Artikel schreiben sie etwas von zwei Jahren. Was für eine Einstellung würden Sie empfehlen?
Hallo Jovana,
die DSGVO ist sehr allgemein formuliert und schreibt vor, dass eingeholte Daten nur so lange aufbewahrt werden dürfen, wie es für Zwecke der notwendigen Weiterverarbeitung erforderlich ist. Das bedeutet, dass leider keine konkrete Zeitspanne genannt wird. Fakt ist, dass man mit kürzeren Zeitspannen ein geringeres Risiko eingeht.
In einem Vortag der diesjährigen SMX München hat Dr. Martin Schirmbacher, ein Fachanwalt für IT-Recht der HÄRTING Rechtsanwälte erwähnt, dass ein Jahr eine realistische Zeitspanne sein sollte. Für zwei oder mehr Jahre würde er seine Hand laut Eigenaussage nicht ins Feuer legen.
Möchte man also auf Nummer sicher gehen, empfehlen wir eine Einstellung von 14 Monaten. Wenn man gut begründen kann, warum nicht anonymisierte Daten länger aufbewahrt werden müssen, ist auch die Einstellung 26 Monate denkbar.
Hallo Mario, vielen Dank für schnelle und fachkundige Antwort. Würde das aber im Umkehrschluss auch bedeuten, dass es unbedenklicher ist anonymisierte Daten für einen längeren Zeitraum aufzubewahren? Diese sind ja nicht personenbezogen und dienen somit ausschließlich statistischen Zwecken?
Vielen Dank aber schonmal für den groben Richtwert von 14 Monaten.
Hallo Jovana,
das ist korrekt. Das Abspeichern und Verarbeiten von anonymisierten Daten ist deutlich weniger problematisch. Zu achten ist dabei darauf, dass die Daten wirklich anonymisiert sind und in keiner Weise Rückschlüsse auf einzelne Personen erlauben. Dafür bietet Google Analytics eine neue Funktion.
Problematisch wird es bei Erhebungen, wo diverse Personen klar aus der Menge hervorstechen (beispielsweise ein Gehaltsschema von 1000 Personen, wobei nur eine Person der Gründer und Mehrheitsbesitzer der Unternehmensanteile ist und somit klar identifizierbar den höchsten Gehalt bezieht).
Hallo Mario,
du sprichst von einer neuen Funktion bei Google Analytics um zu checken ob die Daten tatsächlich anonymisiert sind. Welche ist das?
Die anderen Schritte sind bereits erfolgt (Auftrag zur Datenverarbeitung, anonymize IP, Opt Out in der Datenschutzerklärung etc…
Der Titel des Artikels ist etwas irreführend, denn um Google Analytics DSGVO konform zu betreiben sind einige Schritt zusätzlich erforderlich:
1) IP Anonymisierung, es werden so nur gekürzte IP Adressen gespeichert (anonymizeIP)
2) Abschluss einer Auftragsdatenverarbeitung in Google Analytics (oder Tag Manager, falls Implemtierung hier erfolgt)
3) Zur ADV hat Google auch die Analytics 360 Suite geschaffen, in der man zur ADV eine Organisation, primäre Kontakte, Dateschutzbeauftragte und Daten Bevollmächtigte für den Europäischen Wirtschaftsraum hinterlegen kann.
4) Wenn demographische Daten in Google Analytics genutzt werden, ist ein Zusatz in der Datenschutzerklärung erforderlich.
5) Die Datenschutzerklärung muss entsprechend eingestellt werden. Insbesondere soll der Benutzer über die IP Anonymisierung, demographische Daten und den Abschluss einer ADV aufgeklärt werden. Außerdem muss er auf die Möglichkeit hingewiesen werden, wie er Google Analytics deaktivieren kann. Die meisten Rechtsdienste zur DSGVO Konformität schlagen vor, in der Datenschutzerklärung ein direktes optOut mittels Javascript zu realisieren. (gaOptout())
Den vorgeschlagenden Richtwert von 14 Monaten finde ich ehrlich gesagt unsinnig, weil dann keine mittelfristigen Analysen gefahren werden können. Es gibt zwar den Grundsatz der Datensparsamkeit und der Löschung in der DSGVO – aber auch ein berechtigtes wirtschaftliches Interesse seitens des Unternehmens. Ich sehe es als völlig normal an, eine Website über Mehrjahresauswertungen mit 3 oder 4 Jahren zu fahren. Schließlich ist eine Website ein Wirtschaftsgut mit einer Abschreibungsdauer ab 3 Jahren. 1 oder 2 Jahre Auswertungszeit sind viel zu kurz um Trends festzustellen – Business Analytics würde dadurch sinnlos. Es erwartet glaube ich niemand ernsthaft von einem Unternehmen, dass es mit einem Zeithorizont von 14 Monaten plant und analysiert.
Vielen Dank für die ausführlichen Erläuterungen. Sie gehen damit einen Schritt weiter als wir.
Was den Vorschlag von 14 Monaten betrifft, sprechen Sie, ebenso wie wir, von einer Empfehlung aus persönlichen Erkenntnissen sowie bisherigen Informationen, die von mehreren Seiten eingeholt wurden. Fakt ist jedoch, dass die einzig wahre Antwort aktuell niemand kennt und man mit einer kürzeren Zeitspanne das Risiko minimiert.
Ihre Bedenken zu mittel- bis längerfristigen Analysen teile ich in jeder Hinsicht. Jedoch sind solche Planungen mit anonymisierten Daten in vielen Fällen gut möglich (wie war beispielsweise das Kaufverhalten von Benutzern zu Weihnachten vor 3 Jahren). Es ist zweifelsohne korrekt, dass weder Google, noch jemand anderer, Unternehmensplanungen auf 14 Monate reduzieren möchte. Die EU will aber sicherstellen, dass das nicht basierend auf personenbezogenen Daten geschieht, die andernfalls viele Jahre auf unterschiedlichen Servern gespeichert bleiben würden.
Sind diese Empfehlungen nach wie vor gültig?