von Zwar habe ich bereits etwas zur neuen Regelung beim Einsatz von Google Analytics geschrieben, nämlich dass man den ADV-Vertrag dafür online abschließen kann, aber ich habe mich dafür entschieden Google Analytics ab dem 25.05 einfach nicht mehr zu nutzen. Dies mag ein radikaler Schritt sein, aber wenn man nur wenige Auswertungen in diesem mächtigen Tool wirklich nutzt, sollte man sich die Frage stellen, ob dies wirklich nötig ist. Zur Risikominimierung macht es Sinn dies gerade bei kleineren Webseiten und Blogs einfach zu kicken.
Falls jemand etwas damit anfangen kann, so habe ich hier noch den Auszug der Datenschutzerklärung bzgl. des Einsatzes von Google Analytics unter der Annahme, dass ein Opt-Out auch nach Inkrafttreten der DSGVO erstmal ausreicht, wie ich ihn in meinen Datenschutzerklärungen verwenden wollte:
Webanalyse durch Google Analytics
1. Umfang der Verarbeitung personenbezogener Daten
Wir nutzen auf unserer Website Google Analytics, einen Webanalysedienst zur Analyse des Surfverhaltens unserer Nutzer. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Die Software setzt ein Cookie auf dem Rechner der Nutzer (zu Cookies siehe bereits oben). Werden Einzelseiten unserer Website aufgerufen, so werden folgende Daten gespeichert:
(1) Drei Bytes der IP-Adresse des aufrufenden Systems des Nutzers
(2) Die aufgerufene Webseite
(3) Die Website, von der der Nutzer auf die aufgerufene Webseite gelangt ist (Referrer)
(4) Die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen werden
(5) Die Verweildauer auf der Webseite
(6) Die Häufigkeit des Aufrufs der WebseiteDie Software läuft nicht auf unserem eigenen Server. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google ins Nicht-EU-Ausland bzw. in die USA übertragen und dort gespeichert. Für das Empfängerland USA existiert ein Datenschutzabkommen mit der EU. Dabei handelt es sich um das sogenannte „EU-US Privacy-Shield“-Abkommen.
Die Software ist jedoch so eingestellt, dass die IP-Adressen nicht vollständig gespeichert werden, sondern 1 Byte der IP-Adresse maskiert wird (Bsp.: 192.168.50.xxx). Auf diese Weise ist eine Zuordnung der gekürzten IP-Adresse zum aufrufenden Endgerät nicht mehr möglich. Diese Maskierung bzw. Kürzung der IP-Adresse wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übertragung in die USA durchgeführt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ist Art. 6 Abs. 1 lit. f DSGVO.
3. Zweck der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten der Nutzer ermöglicht uns eine Analyse des Surfverhaltens unserer Nutzer. Wir sind durch die Auswertung der gewonnen Daten in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer Webseite zusammenzustellen. Dies hilft uns dabei unsere Webseite und deren Nutzerfreundlichkeit stetig zu verbessern. In diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der Daten nach Art. 6 Abs. 1 lit. f DSGVO. Durch die Anonymisierung der IP-Adresse wird dem Interesse der Nutzer an deren Schutz personenbezogener Daten hinreichend Rechnung getragen.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden.
In unserem Fall ist dies nach 14 Monaten der Fall. Dies ist die kürzeste wählbare Aufbewahrungsdauer in Google Analytics.
5. Widerspruchs- und Beseitigungsmöglichkeit
Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an unsere Seite übermittelt. Daher haben Sie als Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden.
Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google, sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren https://tools.google.com/dlpage/gaoptout?hl=de.
Alternativ bieten wir unseren Nutzern auf unserer Website die Möglichkeit eines Opt-Out aus dem Analyseverfahren. Hierzu müssen Sie diesem Link folgen:An dieser Stelle kommt der typische Opt-Out-Link: javascript:gaOptout()
Auf diese Weise wird ein weiterer Cookie auf ihrem System gesetzt, der unserem System signalisiert die Daten des Nutzers nicht zu speichern. Löscht der Nutzer den entsprechenden Cookie zwischenzeitlich vom eigenen System, so muss er diesen Opt-Out-Cookie erneut setzten.
6. Auftragsdatenverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Grundlage hierfür war die meiner Meinung nach sehr gut aufgebaute Muster-Datenschutzerklärung der Uni Münster, welche allerdings nur einen Muster-Text für den Einsatz von Matomo/Piwik enthält.
Achtung: Die Verwendung dieses Auszugs geschieht auf eigene Gefahr! Ich bin weder ausgebildeter Datenschutzbeauftragter noch Anwalt und kann/darf/werde keine rechtliche Beratung in dieser Richtung übernehmen. Wobei ich davon ausgehe, dass einem ein Standard-Anwalt momentan auch nicht weiterhelfen kann… Der Text sollte aber defintiv von jemandem mit rechtlichen Kenntnissen geprüft werden und nicht blind übernommen werden.
