Es ist noch nicht zu spät: Um Google Analytics DSGVO-konform zu betreiben, ist ein Vertrag zur Auftragsdatenverarbeitung notwendig und wichtig. Unsere Kurzanleitung für Marketer zeigt, wie und wo dies direkt online geht.
Übersicht:
- Über den ADV-Vertrag
- Anleitung: ADV-Vertrag online abschließen
- DSGVO-Checkliste
Der ADV-Vertrag – Für die Auftragsdatenverarbeitung muss ein Vertrag geschlossen werden
Der Vertrag zur Auftragsdatenverarbeitung (kurz: ADV-Vertrag) ist meist der wichtigste Punkt jeder Datenschutz- und DSGVO-Checkliste für Marketer und Website-Verantwortliche, da dieser vertraglich regelt, wie ein Toolanbieter die Nutzerdaten verarbeitet, die der Websitebetreiber durch Tool-Einbau erhebt.
Seit einiger Zeit bietet Google bereits eine digitale Version des ADV-Vertrags für Google Analytics an, der mit Inkrafttreten der DSGVO am 25.5.2018 rechtsgültig ist. Davor galt die Schriftform in Deutschland als verbindlich.
ADV-Vertrag für Google Analytics: Zusammenfassung für Eilige
Googles „Zusatz zur Datenverarbeitung“
Der ADV-Vertrag entspricht bei Google dem sogenannten „Zusatz zur Datenverarbeitung“. Dieser kann seit 25.5.2018 rechtsgültig digital abgeschlossen werden.
Ein ADV-Antrag ist je Tool und je Konto erforderlich
Googles ADV-Zusatz muss je Tool (z.B. Google Analytics, Google Tag Manager) und dort je Konto / Account akzeptiert werden. Der akzeptierte Zusatz gilt dann für alle in einem Konto enthaltenen Tracking-Properties.
Der digitaler ADV-Antrag ist schnell
Der digitale ADV-Vertrag geht mit ein paar Klicks und Angaben wesentlich schneller als der bisher übliche Postweg, der mitunter über 8 Wochen Bearbeitungszeit gebraucht hat.
Anleitung: Googles digitaler ADV-Vertrag – So geht’s online
Wie man nun den ADV-Vertrag online erledigt, zeigen folgende Schritte beispielhaft für Google Analytics.
Übersicht: ADV-Vertrag für Google Analytics online abschließen
- Google Analytics aufrufen: https://analytics.google.com
- Navigieren zu: Verwaltung > Konto wählen > Kontoeinstellungen
- Prüfen, ob der Zusatz noch nicht akzeptiert wurde
- Abschnitt „Zusatz zur Datenverwaltung“ > Klick auf „Zusatz anzeigen“
- Akzeptieren & Speichern
- Kontaktpersonen festlegen
Sieht man nach Schritt 3 die folgende Meldung, so gibt es Handlungsbedarf:
Nach Lesen und Klick auf den Button ist der Zusatz akzeptiert. Achtung: Klick auf Speichern nicht vergessen. Nach dem Speichern gilt der ADV-Vertrag als abgeschlossen. Das Abschlussdatum wird dauerhaft gespeichert und kann wohl erst bei einem zukünftigen, neuen Zusatz aktualisiert werden.
ADV für Google Tag Manager und andere Tools – Die gleiche Prozedur
Viele verwenden neben Google Analytics auch den Google Tag Manager, um das Tracking zu erweitern und Marketing-Pixel für Google Adwords und weitere Tools zu integrieren. Für den GTM ist für die vertragliche Regelung der Auftragsdatenverarbeitung das gleiche Vorgehen wie für Google Analytics erforderlich, auch wenn der Tagmanager nicht wie Tracking-Tool zur Sammlung von Nutzerdaten dient.
Dies gilt natürlich ebenso für alle anderen Tool-Anbieter, die verwendet werden. Ebenso sollte auch der Hosting-Provider per ADV-Vertrag werden, da dieser die Daten über seine Server und Datenbanken technisch entgegennimmt und verarbeitet. Viele Provider bieten dazu ein fertiges PDF-Formular an, in dem man die Art der Daten wie z. B. angibt und per Unterschrift bestätigt.
Datenschutz-Kontaktpersonen festlegen mit Google Marketing Platform
Insofern folgende Angaben noch nicht gemacht wurden, geht es während der oben beschriebenen Zusatz-Bestätigung weiter mit der Festlegung der Datenschutz-Kontaktperson.
Damit ein Ansprechpartner für den Kontakt zum Datenschutz festgelegt und innerhalb der Organisation transparent kommuniziert werden kann, stellt Google dafür das Verwaltungs-Tool der Google Marketing Platform unter https://marketingplatform.google.com/home/orgs zur Verfügung.
Hier kann man die Accounts aller GMP-Tools im Überblick sehen, seine Organisation zentral anlegen, GA-Konten verknüpfen sowie Administratoren und Ansprechpartner festlegen. Vor allem wird hier der Zusatz zur Auftragsdatenverarbeitung zentral und tool-übergreifend erreichbar gemacht.
Nach dem selbsterklärenden Anlegen der Organisation gibt man nun die juristische Person (offizieller Organisationsname) sowie einen oder mehrere Kontaktpersonen bzgl. Website/Datenschutz an, die dann auch bei zukünftigen Datenschutz-Updates von Google informiert werden.
Ein weiterer Grund, warum man sich so einen Eintrag anlegen sollte ist, dass die Accounts bei Agenturen, die Zugriff auf die Tools bekommen, dadurch sauber gruppiert werden und sich so nicht mit anderen Kunden der Agentur mischen. Dies ist wichtig für den sicheren Umgang mit Unternehmensinformationen.
Tipp: ADV-Übersicht für Unternehmen mit vielen Tools und Konten
Bei vielen kleineren Organisatonen ist ein einziger Google Analytics Account üblich, in dem dann alle Tracking-Properties z.B. für Website, Blog, Länderauftritte, Microsites, Staging-Systeme etc. liegen. Größere Unternehmen und Agenturen nutzen oft mehrere Konten für verschiedene Unternehmensteile, so dass man einen Überblick braucht.
Man erstellt sich also am besten eine Liste aller relevanten Tools und Konten und arbeitet diese ab. Nur so erkennt man leicht und transparent, wo die Datenschutzprüfung auf Lücken stoßen wird.
Beispiel: Übersicht für ADV-Verträge eines größeren Unternehmens:
Tool | Konto / Account-ID | ADV-Abschluss |
Google Analytics | Konto 1 (ID: 642213) | ✓25.5.2018 |
Konto 2 (ID: 772003) | ✓25.5.2018 | |
Konto 3 (ID: 900112) | TODO | |
Google Tag Manager | Konto 1 | TODO |
Konto 2 | TODO | |
AB Tasty | Konto 1 | ✓1.2.2018 |
Hotjar | Konto 1 | TODO |
Marketo | Konto 1 | TODO |
Salesforce | Konto 1 | ✓23.6.2017 |
Konto 2 | ✓23.6.2017 |
Offizielle Informationen von Google
Googles Informationen zum ADV-Antrag („Zusatz zur Datenverarbeitung“) sind leider aktuell deutlich unverständlicher formuliert, da hier Regelungen für GA360-Nutzer sowie Retailer in und außerhalb der EU beschrieben (oder eher angerissen) werden, was für den Hauptteil der Nutzer keine Anwendung findet, die die kostenlose Google-Analytics- und GTM-Version verwenden.
Hier findet man offizielle Google-Infos zum Thema Auftragsdatenverarbeitung: https://support.google.com/analytics/answer/3379636?hl=de.
Checkliste: Weitere Schritte zur DSGVO-konformen Website für Marketer und Website-Verantwortliche
Neben den ADV-Verträgen für die genutzten Tracking- und Marketing-Tools sind einige weitere Schritte zur Sicherstellung des Datenschutzes für Marketing und Online-Verantwortliche notwendig. Folgende Punkte sind aus unserer 3-seitigen, für Praktiker verständlich aufbereiteten Checkliste entnommen:
Profiling/Tracking
Gemeint ist:
Die automatische Verwendung personenbezogener Daten, um persönliche Aspekte wie Vorlieben, Interessen, Verhalten, wirtschaftliche Lage, Gesundheit, Aufenthaltsort usw. herauszuinterpretieren oder vorherzusagen.
Beispiele:
Personalisierte Werbung, Re-Targeting.
Maßnahmen:
Wird serverseitig aus ohnehin zur Verfügung stehenden, technisch notwendigen Daten (Session-Cookie, Browserkennung u.ä.) ein „Fingerabdruck“ gebildet, ist hingegen keine Einwilligung erforderlich.
Der Nutzer muss zudem über Rechtsgrundlage, Art und Zweck des Profiling in der Datenschutzerklärung informiert werden. Der Nutzer hat ein Widerspruchsrecht und muss hierüber ebenfalls informiert werden.
HTTPS
Gemeint ist:
Die Übertragung von personenbezogenen Daten muss nach dem Stand der Technik geschützt werden.
Maßnahmen:
HTTPS ist für personenbezogene Daten nun Pflicht. Üblicherweise werden neue Webauftritte jedoch mittlerweile ohnehin komplett in HTTPS ausgeliefert.
Unsere vollständige DSGVO-Checkliste können Sie kostenlos herunterladen. Sie enthält unter anderem folgende Themen:
- Einwilligungen & Cookies
- Profiling & Tracking
- Externe Ressourcen (z.B. Google Fonts & Maps)
- HTTPS
- Logfiles
- Hosting
- Datenschutzerklärung
- …
Zum Download der DSGVO-Checkliste
Achtung: Wir weisen darauf hin, dass wir als Internetagentur keine qualifizierte Rechtsberatung geben dürfen und können.
Bitte lassen Sie sich darum von der für Sie bzw. in ihrer Organisation juristisch zuständigen Person beraten.