Tracking mit Google Analytics verboten?
JETZT ist Zeit zum Handeln!
„Google Analytics verstößt gegen den Datenschutz!“ – Wahrscheinlich haben auch Sie diese oder ähnliche Schlagzeilen in den letzten Wochen gelesen. Die Ereignisse vom Jänner haben große Verunsicherung im Zusammenhang mit Cookies und Website-Tracking erzeugt. Viele Details sind noch unklar und erst die nächste Zeit wird zeigen, wie die Entwicklung weitergeht.
Eines steht aber jetzt schon fest: Wenn Sie Betreiber einer Website sind, so müssen Sie einige wichtige Maßnahmen setzen und Ihre bisherigen Vorkehrungen überprüfen. Wir erläutern Ihnen die notwendigen Details dazu!
Bescheid der Datenschutzbehörde: Was ist passiert?
Die Entwicklungen und Vorschriften rund um den Datenschutz – konkret ist der Schutz personenbezogener Daten gemeint – beschäftigen Betreiber von Websites schon seit geraumer Zeit. Im Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) in der EU in Kraft und definiert seither einheitliche Standards. Im Juni 2020 wurde das Abkommen, das bisher den Austausch von personenbezogenen Daten zwischen EU und USA regelte, gekippt. Damit ging die Rechtsgrundlage für die Weitergabe von Daten an Google (Analytics) verloren.
In jedem Land der EU ist eine eigene Datenschutzbehörde für die Überwachung und Durchsetzung der Einhaltung der DSGVO zuständig. Die Österreichische Datenschutzbehörde ist mit umfangreichen Befugnissen ausgestattet und kann bis hin zur Verhängung empfindlicher Geldstrafen gehen. Eben diese Datenschutzbehörde in Österreich hat einen Teilbescheid erlassen. Dieser Bescheid bezieht sich auf eine der Beschwerden, die an sie herangetragen wurden. In dem Bescheid wurde die Verantwortung für die Datenschutzverletzung alleine dem Website-Betreiber zugesprochen.
Sie als Website-Betreiber sind verantwortlich!
Auch wenn der Bescheid noch nicht rechtskräftig ist und sich derzeit nur auf einen Fall bezieht, sollten Sie hier besonders aufmerksam sein: Sie als Website-Betreiber sind verantwortlich für die Einhaltung der aktuellen Datenschutzbestimmungen.
Warum JETZT Zeit zum Handeln ist?
Der aktuelle Bescheid bezieht sich auf ein konkretes Unternehmen und dessen Website-Einstellungen. Weitere Bescheide und Rechtsurteile werden sicher noch folgen. Sie sollten jetzt schon belegen können, dass Sie größtmögliche Anstrengungen unternommen haben, um die aktuellen Regelungen einzuhalten.
Welche Schritte sollten Sie setzen?
1. Prüfen Sie die grundlegenden Datenschutz-Vorkehrungen auf Ihrer Website
Eine vollständige Datenschutzerklärung und transparente Darstellung der eingesetzten Technologien gegenüber Ihren Nutzern sind absolut verpflichtend. Welche Cookies werden gesetzt? Welche Daten werden gesammelt? Wohin werden Daten weitergegeben? Das alles muss für die Besucher Ihrer Website klar ersichtlich sein.
2. Adaptieren Sie die Cookie-Einwilligung für Ihre Nutzer
Es reicht nicht mehr aus, wenn Sie Ihre Websitebesucher nur über eine kleine Textzeile darauf hinweisen, dass Cookies gesetzt werden. Über einen Cookie-Banner bzw. ein Consent-Management müssen Sie die explizite Einwilligung einholen, bevor Sie weitere Cookies aktivieren. Gibt der Nutzer seine Einwilligung nicht, so darf auch kein Cookie geladen werden.
In der aktuellen Situation kommt hinzu: Wenn Sie über Ihre Cookies Daten in die USA weitergeben – wie das bei Google Analytics der Fall ist – sollten Sie Ihre Besucher zusätzlich darauf hinweisen.
3. Prüfen Sie das Setup Ihres Google Analytics Trackings
Einstellungen wie IP-Anonymisierung sollten als Mindeststandards eingehalten werden. Stellen Sie sicher, dass keine personenbezogenen Daten an Google übermittelt werden. Ein klassisches Beispiel, wo eine solche Weitergabe passieren kann, sind schlecht umgesetzte Kontaktformulare. Die explizite Zustimmung zu den Datenverarbeitungsbedingungen (Data Processing Terms) muss ebenfalls gesetzt sein.
4. Bewerten Sie verbundene weitere Anwendungen
Trotz des starken Fokus auf Google Dienste sollten Sie nicht übersehen, dass Sie über Ihre Website auch an weitere Anwendungen Daten übergeben – zum Beispiel an Ihr Newsletter-System oder CRM-Management. Prüfen Sie diese Weitergaben und stellen Sie sicher, dass mit allen Diensten DSGVO-konforme Vereinbarungen abgeschlossen sind.
5. Evaluieren Sie serverseitiges Tracking
Wenn Sie die Datenhoheit über Ihr Tracking behalten und steuern, welche Daten Sie an Google Analytics weitergeben, sind Sie auch für zukünftige Entwicklungen gut aufgestellt. Serverseitiges Tracking baut auf einem Server innerhalb der EU auf und überträgt nur maskierte Daten an Google. Wenn Sie die technischen Aufwände dafür nicht selbst übernehmen wollen, können Sie auf Dienste zurückgreifen, die das serverseitige Tracking für Sie übernehmen.
Fazit:
Treffen Sie JETZT die notwendigen Vorkehrungen!
Wenn Sie an dem einen oder anderen der genannten Punkte Schwachstellen vermuten, so sollten Sie jetzt an deren Behebung arbeiten. Dem ersten Bescheid der Datenschutzbehörde werden sicher weitere Schritte folgen – für allfällige neue Situationen sollten Sie immer bestmöglich nach aktuellem Wissensstand vorbereitet sein.
Wir helfen Ihnen gerne dabei, die notwendigen Schritte zu setzen! Melden Sie sich gerne dazu unter Tel. +43 2266 616 01-14 oder per E-Mail an gleucht@dialog-one.at.
Günther Leucht
Unsere Empfehlungen
Prüfen und erweitern Sie Ihre aktuellen Einstellungen im Zusammenhang mit Datenschutz und dem Tracking Ihrer Website. Wir unterstützten Sie gerne dabei!
