DSGVO: Google Analytics Einsatz nur nach Opt-In erlaubt?

Muss nach der DSGVO Google Analytics nun aktiv vom Onlineshop-Besucher aktiviert werden?

In Art. 4 Abs. 4 DSGVO heißt es zu Profiling:

"Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Tracking ist also nicht gleich Profiling.

Also wie ist es nun? Klärung nötig!

Die DSGVO ist anzuwenden, sobald personenbezogene Daten nach Artikel 4 Ziffer 1 DSGVO verarbeitet werden. Dann wird für sämtliche Datenverarbeitungsvorgänge eine Rechtsgrundlage nach Art. 6 DSGVO benötigt.

Google selbst verbietet in seinen Nutzungsbedingungen für Google Analytics die Übermittlung von personenbezogenen Daten (siehe Google Nutzungsbedingungen, Punkt 7).

2011 wurde dann die Möglichkeit zur IP-Anonymisierung eingeführt, die durch Verhandlungen des Datenschutzbeauftragten für Hamburg beschlossen wurde, um Analytics rechtskonform zu verwenden.

Werden also bewußt keine personenbezogenen Daten durch den Onlineshopbetreiber übertragen und die IP-Anonymisierung verwendet wird, stünde die Frage im Raum, inwieweit hier überhaupt noch die DSGVO greift.

Ja, da vom Browser des Besuchers mit Aufruf einer Internetseite die Google Analytics einsetzt auch eine Verbindung zum Google Server aufgebaut wird. Da auch die IP-Adresse personenbezogen ist, findet die DSGVO hier Anwendung.

Durch den erforderlichen Vertrag zur Auftragsdatenverarbeitung (ADV), der nach Art. 28 Abs. 9 DSGVO fortan auch im Google Analytics Backend unter Kontoeinstellungen elektronisch abgeschlossen werden darf, sichert Google jedoch zu, diese IP-Adressen unter Anwendung der IP-Anonymisierung um das letzte Oktett der IP zu kürzen, was einer Anonymisierung gleichkommt.

Die DSGVO ist also für Google Analytics anzuwenden, jedoch findet eine Datenverarbeitung im Sinne des Rechtsverhältnisses zwischen dem Onlineshopbetreiber zum Besucher durch Einsatz von Google Analytics nur in der technisch erforderlichen initialen Verbindungsaufnahme statt. Gleiches geschieht bei dem Einsatz von externen CDN-Lösungen, externe Einbindung von CSS, JavaScript Bibliotheken, Schriftarten, Bildern, Videos oder zahlreichen anderen gängigen technischen Implementierungsszenarien von Websites.

Auf Grundlage dieser Herleitung und getroffenen umfangreichen Schutzmaßnahmen seitens des Google Analytics Anwenders sollte es völlig legitim sein, sich hier auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) als Rechtsgrundlage nach entsprechender Interessenabwägung in den Datenschutzbestimmungen zu berufen, wie es auch bei den übrigen angeführten Beispielen häufig in der Praxis umgesetzt wird. Weiter ist Google nach dem Privacy-Shield-Abkommen zertifiziert.

Ergebnis

Nach dieser Herleitung (im Original bei webcellent von Dominik Bödger erschienen) ist in dieser Form der technischen und vertraglichen Integration von Google Analytics kein vorheriges Opt-In erforderlich.

Wir empfehlen in jedem Fall die Opt-Out Lösung zu verwenden, sodass sich Besucher vom Tracking abmelden können. Das ist guter Stil und aus unserer Sicht auch kundenfreundlich.


Plugins, die Deinen JTL-Shop weiterbringen:

Nosto

Nosto

0,00 €
DooFinder

DooFinder

0,00 €
emarketing

emarketing

0,00 €
Newsletter Hero

Newsletter Hero

99,00 €

Weitere, passende Beiträge:

DSGVO: Google Analytics Einsatz nur ...

Einschätzung, ob Google Analytics nun nach der Datenschutzgrundverordnung (DSGVO) nur noch mit aktiver Einwilligung des Seitenbesuchers anwendbar ist.

Werbemails gegenüber Bestandskunden ...

Ist E-Mail Marekting und Newsletter nur per Double-Opt-In erlaubt? oder gibt es Ausnahmen?

Nosto und die DSGVO

So nutzt Du die Power von Nosto DSGVO konform

DSGVO im JTL-Shop

Die DSGVO erfordert einige Anpassungen im JTL-Shop. Von der Datenschutzerklärung über den Cookie Banner bis hin zum Einholen der Zustimmung bei der Eingabe ...

PayPal-Käuferschutz kann von ...

Händler können Käufer immer noch auf Zahlung des Kaufpreises verklagen, nachdem diese erfolgreich den PayPal-Käuferschutz in Anspruch genommen haben.

Produktbilder im Onlineshop

Onlineshopbetreiber sollten bei der Verwendung von Produktbildern insbesondere urheberrechtliche und markenrechtliche Vorgaben beachten. Was gibt es zu beachten? Weitere ...