DSGVO & Google Analytics - Opt-In oder Opt-Out?

Die DSGVO ist momentan DER Streitpunkt in der digitalen Welt.

Wenn ich in Gesprächen die neue Datenschutzgrundverordnung erwähne, liegt die Reaktion darauf meist in dem Spektrum zwischen genervtem Stöhnen und panischer Hektik.

Dabei ist die DSGVO durchaus einen kritischen und reflektierten Blick wert. Einige meiner Webanalysten- und Daten-Freak-Kollegen tun geradezu so, als würden Datensicherheit und die Privatsphäre der Nutzer sie nichts angehen.

Ein Fehler! Genervte Ignoranz ist definitiv nicht die Lösung!

Lasst uns also unsere linke Gehirnhälfte wieder einschalten und einen Blick auf die DSGVO werfen:

Der DSGVO Status Quo

Die Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt, sagt uns:

Wenn es sich um personenbezogene Daten handelt, dann dürfen wir mit diesen Daten nur unter bestimmten Umständen Nutzerprofile erstellen. Wir (als Unternehmen und Datensammler) müssen einen berechtigten Grund dafür haben und wir dürfen damit keine wichtigen Interessen des Nutzers verletzen.

Was genau berechtigte Gründe sind und welche Interessen des Nutzers schützenswert sind, das ist noch unklar. Es gibt auch schon einige Vermutungen von Rechtsexperten dazu. Wie genau die Verordnung am Ende aber umgesetzt wird, wird der Europäische Gerichtshof entscheiden.

Die große Aufregung startete als vor wenigen Wochen die Datenschutzkonferenz (DSK) ihre Meinung zu der DSGVO veröffentlicht hat. In der Konferenz haben sich alle unabhängigen Datenschutzbehörden des Bundes und der Länder zusammengesetzt und darüber gefachsimpelt, wie die DSGVO zu interpretieren ist.

Die DSK äußerte sich ziemlich pauschal zu dem Thema, wann Nutzerprofile erstellt werden dürfen. Sie ist der Meinung, dass in jedem Fall die Zustimmung des Nutzers erforderlich ist. Das würde bedeuten, dass der Website-Besucher uns ausdrücklich erlauben muss, seine Interaktionen mit der Website zu tracken („Opt-In“). Autsch! Das täte dem Daten-Herzen ziemlich weh. Und in signifikater Weise auch der User Experience.

Die Datenschutzbehörden sind natürlich Experten auf ihrem Gebiet und ihre Meinung kann nicht einfach unter den Tisch gekehrt werden. Wie das Positionspapier zu interpretieren ist, darüber scheiden sich die Geister. Das letzte Wort wird aber der Europäische Gerichtshof haben.

Jetzt haben viele Webseitenbetreiber in vorauseilendem Gehorsam angefangen, von allen ihren Website-Besuchern ein Opt-In für verschiedene Cookies einzufordern. Das wäre dann die „Nummer Sicher“. Allerdings hält es kaum ein Experte für wahrscheinlich, dass die Frage „Opt-In oder Opt-Out?“ pauschal beantwortet werden kann.

Die Frage aller Fragen: Was sind personenbezogene Daten?

Oder anders formuliert: Ist die DSGVO anzuwenden?

Im Artikel 4 Absatz 1 der DSGVO heißt es:

„personenbezogene Daten“ sind alle Informationen, die sich auf eine […] identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie […] einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der[…] wirtschaftlichen, […] Identität dieser natürlichen Person sind“.

Erfassen wir mit unseren Webanalyse-Daten personenbezogene Daten? Wir Webanalysten tummeln uns tagtäglich auf der Google Analytics Benutzeroberfläche. Die Daten, die wir dort sehen, sagen uns erstmal gar nichts über die Personen dahinter. Wir sehen entweder aggregierte Daten oder IDs. Wir anonymisieren die IP Adressen und senden natürlich keine Email-Adressen oder andere Checkout-Informationen an Google Analytics. So hat das auch Google in seinen Nutzungsbedingungen stehen. Wer dagegen verstößt und personenbezogene Daten sammelt, riskiert die Löschung seines Accounts. So einen Super-GAU provoziert niemand.

Bei der Frage, ob sich eine Information auf eine Person bezieht, müssen wir aber noch einen Schritt weiterdenken.

Und zwar in Richtung Cross-Device-Tracking, User-ID-Funktionalitäten und der Warenkörbe. Über die User-ID und die Warenkorb-ID kann ein Nutzer mit einer Transaktion in Verbindung gebracht werden. Die personenbezogenen Daten hängen logischerweise an der Kaufinformation mit dran, denn die Bestellung muss ja versendet und bezahlt werden.

Und schon kann die Frage nach personenbezogenen Daten in Google Analytics nicht mehr so einfach beantwortet werden.

Einige Experten sind der Meinung, dass eine Deaktivierung der User-ID-Funktionalität das Google Analytics Tracking DSGVO-konform machen würde. Ganz klar ist das aber noch nicht. Dazu warten wir noch auf die Entscheidung des Europäischen Gerichtshof.

Wie implementiere ich Google Analytics nun?

Im Grunde hast du zwei Möglichkeiten:

Möglichkeit 1: Opt-In für das Tracking mit Google Analytics
Wenn du der Meinung bist, die Datenschutzkonferenz hat die Umsetzung der DSGVO treffend vorausgesagt, kannst du die absolut rechtssichere Lösung umsetzen. Hierfür brauchst du eine Benachrichtigung, die die Zustimmung zum Tracking von deinen Nutzern erfragt.

Möglichkeit 2: Opt-Out vom Tracking mit Google Analytics

Diese Variante solltest du bereits implementiert haben. Eine Deaktivierung des Trackings muss deinen Nutzern in jedem Fall möglich sein. Viele machen das über eine Erweiterung in ihrem Browser, der das Setzen von Cookies verhindert.

Wie kann das Ganze technisch aussehen?

Im Grunde hast du zwei Möglichkeiten:

Möglichkeit 1: Opt-In für das Tracking mit Google Analytics

Wenn du der Meinung bist, die Datenschutzkonferenz hat die Umsetzung der DSGVO treffend vorausgesagt, kannst du die absolut rechtssichere Lösung umsetzen. Hierfür brauchst du eine Benachrichtigung, die die Zustimmung zum Tracking von deinen Nutzern erfragt.

Möglichkeit 2: Opt-Out vom Tracking mit Google Analytics

Diese Variante solltest du bereits implementiert haben. Eine Deaktivierung des Trackings muss deinen Nutzern in jedem Fall möglich sein. Viele machen das über eine Erweiterung in ihrem Browser, der das Setzen von Cookies verhindert. Oder du hast in deiner Datenschutzerklärung einen Link. Wenn der Nutzer den Link klickt, setzt deine Website einen Cookie, in dem steht: „Lass mich in Ruhe! Ich möchte nicht getrackt werden!“ Eine Änderung des Tracking-Codes sensibilisiert Google Analytics für die Wünsche des Nutzers dann und trackt ihn nicht mehr.  

DSGVO - Webanalyse quo vadis?

In der aktuellen Ausgabe unseres Podcasts „Analytics Sprechstunde“ habe ich mit Timo das Thema DSGVO ausführlich diskutiert. Wir haben uns nicht nur den technischen Möglichkeiten gewidmet, sondern uns auch damit auseinander gesetzt, welche positiven Impulse die DSGVO für die Webanalyse-Welt haben kann. 

Was denkst du darüber?

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.