Karl Heinz: Google Analytics und andere Tracking Software rechtlich korrekt nutzen

Beitrag lesen

Hallo,

ich habe einige rechtliche Fragen zur Nutzung von Google Analytics vor bzw. nach dem Inkrafttreten der DSGVO.

Ich möchte in diesem Beitrag nicht über das Pro/Contra Google Analytics diskutieren, ich möchte nur die rechtlichen Aspekte besprechen.

Das Ihr alle gegen Google Analytics seid ist mir bewusst, das hat dazu geführt, dass ich überlege zu einer anderen Tracking Software zu wechseln, das kann ich allerdings nicht von heute auf morgen umstellen. Das nur am Rande.

Rechtlich sind bei der Integration von Google Analytics folgende Dinge zu beachten:

  1. Vertrag zur Auftragsdatenverarbeitung abschließen
  2. Tracking Code anpassen (Anonymisierung der IP-Adressen)
  3. Tracking Code anpassen (Widerspruchsrecht durch Deaktivierungs-Add-on)
  4. Datenschutzerklärung anpassen
  5. Ggf. Löschung von Altdaten

Weitere Infos dazu siehe hier:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

In der Praxis sieht es so aus, dass bei einem Großteil der Online-Shops nur die Punkte zwei und vier korrekt umgesetzt sind. Von Abmahnungen hört man eigentlich nur dann, wenn die wichtigsten Punkte zwei und vier nicht umgesetzt wurden. Ich habe noch nie davon gehört das ein nicht umsetzen der Punkte eins, drei und fünf zu einer Abmahnung geführt hat. Vielleicht ändert sich das mit dem Inkrafttreten der DSGVO am 18. Mai? Vielleicht konzentrieren sich die Abmahnanwälte nur auf Webseiten bei welchen die Punkte zwei und vier nicht umgesetzt wurden, weil damit am einfachsten Geld zu verdienen ist. Kann diese Vermutung stimmen? Kurzum der Anwalt checkt ob zwei und vier umgesetzt ist, wenn das der Fall ist wird eins, drei und fünf nichtmehr geprüft. Fazit: Ist eins, drei und fünf nicht umgesetzt gibt es keinen Kläger und damit auch keinen Richter bzw. eine Abmahnung. Kann diese Theorie stimmen?

Hinsichtlich des ersten Punktes habe ich die Erfahrung gemacht, dass die meisten Kunden zu faul sind den Vertrag zur Auftragsdatenverarbeitung zu Google nach Irland zu schicken. Ich weise die Kunden zwar daraufhin, dass das rechtlich eigentlich zwingend notwendig ist, sage aber auch das ich in der Praxis nur dann von einer Abmahnung gehört habe, wenn die Punkte zwei und vier nicht umgesetzt waren, dass ich jedoch niemals von einer Abmahnung gehört habe wenn der Punkt eins nicht umgesetzt war. In meinen Augen ist das weglassen von Punkt eins demnach ein kalkulierbares Risiko, zumal das die meisten nicht machen und trotzdem keine Probleme bekommen. Wie seht Ihr das? Die Frage bezieht sich auf den Zeitraum vor dem Inkrafttreten der DSGVO. Nach dem Inkrafttreten der DSGVO am 18. Mai ist es laut dem oben verlinkten Artikel wohl nicht mehr notwendig den Vertrag nach Irland zu Google zu schicken, dann kann man den Vertrag wohl einfach im Analytics Backend akzeptieren, dass werden dann wohl die meisten Kunden machen.

Ähnlich wie bei Punkt eins ist es bei den meisten Online-Shops so, dass Punkt drei nicht umgesetzt ist. Vielen ist die Integration des Deaktivierungs Ad Ons wohl zu aufwändig. Bisher habe ich noch nie von einer Abmahnung gehört wenn der Punkt drei nicht korrekt umgesetzt wurde. Aus diesem Grund handelt es sich hier wohl um ein kalkulierbares Risiko? Solange die Punkte zwei und vier umgesetzt sind ist Wahrscheinlichkeit einer Abmahnung durch einen nicht umgesetzten Punkt drei wohl verschwindet gering und damit ein kalkulierbares Risiko? Ich frage mich gerade ob man das nach dem Inkrafttreten der DSGVO am 18. Mail noch genauso locker sehen kann oder ob man dann unbedingt das Deaktivierungs Ad Ons integrieren sollte, weil die Gefahr eine Abmahnung sonst sehr hoch ist?

Punkt fünf halte ich persönlich für Quatsch. Wenn anonymizeIP im Tracking Code integriert ist kann doch kein Mensch mehr herausfinden das anonymizeIP früher nicht Bestandteil des Tracking Codes war. Wenn das keiner nachvollziehen kann kann sich auch keiner beschweren. Damit wird das Löschen der Altdaten in der Praxis nie notwendig werden bzw. ich werde niemals Probleme bekommen wenn ich die Altdaten (zu dem Zeitpunkt als anonymizeIP noch nicht genutzt wurde) nicht lösche. Demnach ist Punkt fünf reine Theorie und kann in der Praxis vernachlässigt werden. Seht Ihr das genauso?

Angenommen ich integriere Google Analytics bei einem Neukunden oder Bestandskunden. In wie weit bin ich dann eigentlich für die rechtlich korrekte Integration von Google Analytics verantwortlich? Ich kann versuchen die Punkte oben so gut wie möglich umzusetzen, ich bin allerdings kein Rechtsanwalt und habe deshalb keine rechtliche Konsequenzen bei einer Abmahnung zu befürchten. Ist das so korrekt oder muss ich hier u.U. den Kopf hinhalten wenn es zu eine Abmahnung kommt?

Nehmen wir an ich habe zum Zeitpunkt X Google Analytics rechtens korrekt integriert. Nehmen wir des weiteren an die Rechtslage ändert sich (wie jetzt bei der DSGVO). Haben meine Kunden dann die alleinige Verantwortung bezogen auf notwendige Anpassungen oder bin ich dann mit verantwortlich wenn ich Google Analytics irgendwann in der Vergangenheit eingerichtet habe?

Ist die Sache mit den vielen drohenden Abmahnungen eigentlich nur Panikmache oder denkt Ihr das wird wirklich so krass wie es teilweise im Netz verbreitet wird. Wie heißt es doch so schön "Wo kein Kläger da kein Richter". Kläger werden sich nur dann finden, wenn die Kläger Geld mit der Sache verdienen. Wo ein Kläger hier Geld verdienen soll weiß ich allerings nicht, deshalb vermute ich das es keine Kläger und damit auch keine Abmahnungen geben wird. Bisher gab es ja auch kaum Abmahnungen, weil wohl kein Geld mit dem Abmahnungne zu verdienen war. Wie könnte den jemand Geld mit Abmahnungen verdienen?

Viele Grüße

--
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."