Google Analytics bald verboten?
In letzter Zeit verunsichern immer wieder Gerichtsurteile und Meldungen zu Datenschutz in Bezug auf den Einsatz verschiedener Consent und Web Analyse Lösungen die Unternehmen. So hat die österreichische Datenschutzbehörde (DSB) am 12.01.2022 befunden “Die Nutzung von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO)”.
Müssen sich Unternehmen also Sorgen machen? Die Urteile beziehen sich jedoch nicht auf das Tool im Allgemeinen, sondern seinen Einsatz unter bestimmten Gegebenheiten: Hauptproblem sind also nicht die Lösungen selbst, sondern wie sie vom Unternehmen eingebaut und konfiguriert wurden, bzw. welche Daten Unternehmen damit sammeln. Denn allzu oft wird versucht, möglichst viele Informationen zu sammeln, um dann erst hinterher “mal zu schauen, was zu analysieren wäre". Doch gerade das ist falsch.
Von der Definition der Unternehmensziele über die Verwendung der wirklich relevanten Daten, dem unbedingten Grundsatz der Datensparsamkeit, dem korrekten Einsatz von Consent Management bis hin zum Server Side Tracking gibt es viele Möglichkeiten, Tools wie Google Analytics datenschutzkonform zu nutzen. Diese Checkliste sorgt für einen ersten Überblick:
Checkliste – Welche Fragen beantwortet werden müssen
- Werden tatsächlich nur relevante Informationen im Einklang mit dem Datenschutz erfasst?
- Welche Daten sind für das Marketing und das Unternehmen wirklich essentiell?
- Welche Fragen sollen mit den zu sammelnden Daten beantwortet werden?
- Werden persönliche Informationen der Nutzer abgefragt und benötige ich diese wirklich?
- Wurde der Datenschutz beim Setup der Marketing und Tracking Lösungen sowie dem Consent Management involviert?
- Wurden gemeinsame Leitlinien bei der Datenerfassung festgelegt und mit geltendem EU-Recht abgeglichen?
- Ist das Consent Management Setup rechtssicher konfiguriert?
- Wurden beim Setup des Tag Management Systems (z.B. im Google Tag Manager oder Adobe Launch) alle verwendeten Tags berücksichtigt?
- Gibt es Testabläufe anhand der unterschiedlichen Consent Kategorien – sogenannte Use Cases –, um das Setup zu prüfen?
- Werden auch wirklich nur die Daten erfasst, wofür Nutzer:innen zuvor Ihre Einwilligung abgegeben haben?
- Werden die Nutzer über Tracking und Sammeln der Daten ausreichend und transparent informiert (via Datenschutzerklärung)?
- Sind andere Tracking-Alternativen (z.B. serverseitig oder hybrides Tracking) eine Option?
- Beim Server Side Tracking werden keine Cookies verwendet. Hier werden Informationen direkt serverseitig per Serverrequest oder API an die an die Webanalyse-Lösung weitergegeben.
- Um Nutzerinteraktionen, die auf dem Client ausgeführt werden, oder technische Informationen (Browserinfos, Betriebssystem etc.) zu tracken, können zudem via Tag Management zusätzliche Serverrequests ausgeführt werden. Damit wird sichergestellt, dass sämtliche Interaktionen auch beim serverseitigen Tracking übermittelt werden (hybrides Tracking).
- Auch hier gilt es, den Nutzer über das Tracking zu informieren. Bei erhaltener Zustimmung zum Setzen von Tracking-Cookies lassen sich zudem weitere Informationen mit dem Server Side Tracking verbinden.
