Die DSGVO und Tracking Tools wie Google Analytics

In den letzten Tagen bekamen Administratoren des beliebten Werkzeugs zur Datenverkehrsanalyse von Webseiten Google Analytics (GA) Post von dessen Anbieter Google. Unter der Überschrift „[Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR)“ war zu lesen: „Today we introduced granular data retention (Vorratsdatenspeicherung) controls that allow you to manage how long your user and event data is held on our servers. Starting May 25, 2018, user and event data will be retained according to these settings; Google Analytics will automatically delete user and event data that is older than the retention period you select. Note that these settings will not affect reports based on aggregated data.
Action: Please review these data retention settings and modify as needed.

Konkret bedeutet dies für Webseiten-Betreiber, die GA nutzen:
Google hat GA angepasst, um Anwendern die Umsetzung der im Mai 2018 in Kraft tretenden GDPR bzw. Datenschutzgrundverordnung (EU-DSGVO, hier eine Zusammenfassung der wichtigsten Inhalte) zu erleichtern. Die DSGVO soll das Datenschutzrecht in der EU vereinheitlichen. Sie regelt den Umgang mit personenbezogenen Daten online wie offline (Papierdokumente, Rechnungen, Briefverkehr). Immer geht es um die Frage, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen.

Mit den Google Analytics-Steuerelementen zur Datenaufbewahrung kann man künftig festlegen, wie lange Daten auf Nutzer- und Ereignisebene gespeichert werden, bevor sie automatisch von den Analytics-Servern gelöscht werden.

Diese Einstellungen können und sollten ab sofort vorgenommen werden. Sie werden aber erst ab dem 25. Mai 2018 wirksam.

Aufbewahrungsdauer von Nutzer- und Ereignisdaten

Die Aufbewahrungsdauer gilt für Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen (z. B. User ID) und Werbe-IDs (z. B. DoubleClick-Cookies, IDFA [ Apple-iOS-Kennung für Werbetreibende ], Android-Werbe-ID) verknüpft sind.
Aggregierte Daten sind nicht betroffen.

GA-Admins können und sollten auswählen, wie lange diese Daten von Analytics aufbewahrt werden, bevor sie automatisch gelöscht werden: 14, 26, 38 oder 50 Monate oder „Nicht automatisch löschen“. Einmal pro Monat werden Daten, bei denen das Ende der Aufbewahrungsdauer erreicht ist, automatisch gelöscht.

MoSeven-Kunden brauchen sich keine Sorgen wegen der Konsequenzen der neuen DSGVO-Vorschriften für ihre (mobilen) Webseiten, Online Shops oder Apps zu machen – wir schlagen jedem eine schnell umsetzbare Lösung vor. Im Regelfall wird diese eine Dokumentation der vertraglichen Einigung mit Google zur Auftragsdatenverarbeitung beinhalten, eine Aktualisierung der Datenschutzerklärung, eine (vorgeschriebene) Realisierung des Widerspruchrechts der Webseitenbesucher (z. B. durch ein Opt-out Cookie) sowie ein Verfahren zur IP-Anonymisierung.

MoSeven-Gründer Markus Mölter ergänzt: „Da wir gerade unsere Analyse-Methodik und Metriken anpassen und alle anstehenden Berichte datenschutzkonform dokumentieren können, entsteht bei allen Analysen seitens MoSeven kein Risiko durch die Bestimmungen der DSGVO.

Es steht zu hoffen, dass auch alle anderen etablierten Trackingtools neben Google Analytics zeitnah mit DSGVO-konformer Funktionalität ausgestattet werden. Beispielsweise Facebook-Analytics hat in KW17 etwas in dieser Hinsicht angeteasert.

Gerne gehen wir in einem Termin vor Ort auf offene Fragen ein und präsentieren ein Beispiel einer DSGVO-konformen Dokumentation.“