Universal Analytics ist nicht zu verwechseln mit dem bekannteren Google Analytics. Universal Analytics stammt zwar ebenfalls von Google, bietet aber weiterreichende Tracking-Technologien. Für den Einsatz von Google Analytics haben die Aufsichtsbehörden klare Vorgaben geschaffen, die für Universal Analytics leider noch fehlen. Mit diesem Beitrag bringen wir Licht ins datenschutzrechtliche Dunkel dieses Tracking-Tools.
Was unterscheidet Universal Analytics von Google Analytics?
Mit Universal Analytics ist es möglich, Informationen geräteübergreifend (Cross Device) zu sammeln und zu kombinieren. Zentral ist dabei die User-ID. Während bei Google Analytics eine Client-ID vergeben wird, die nur den zugreifenden Browser wiedererkennen kann, erlaubt es die User-ID, den Nutzer auf verschiedenen Geräten wiederzuerkennen. So kann beispielsweise getracked werden, dass ein Nutzer auf dem Smartphone nach Hotelangeboten sucht und über den Laptop einen Flug bucht.
Die User-ID muss der Diensteanbieter vergeben, d.h. derjenige, der die Website, die App, o.ä. betreibt. Dazu kann er eine Zahlen-Buchstaben-Kombination generieren, die er einem Nutzer zuweist, wenn er sich beispielsweise auf der Website registriert oder in einem Online-Shop einkauft. Via Universal Analytics können dann die mittels User-ID gesammelten Informationen ausgewertet werden. Dies soll die Analyse des Online-Verhaltens der Nutzer verbessern.
Einwilligung notwendig?
Google geht davon aus, dass wie bei Google Analytics keine Einwilligung erforderlich ist, weil die User-ID pseudonymisiert ist. Google verbietet es ferner, personenbezogene Daten in die Universal Analytics-Umgebung zu laden. Datenschutzbehörden und Gerichte haben sich hierzu bislang nicht eindeutig geäußert. Sofern man davon ausgeht, dass an Universal Analytics die gleichen Anforderungen wie an Google Analytics zu stellen sind, müssen insbesondere vier Punkte beachtet werden:
- Kein Zusammenführen der User-ID mit personenbezogenen Daten (Pseudonymisierung),
- Zurverfügungstellung eines geräteübergreifenden Opt Out,
- transparente Hinweise in der Datenschutzerklärung und
- Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit Google.
Pseudonymisierung
Die User-ID ist ein Pseudonym. Diese darf weder vom Diensteanbieter noch von Google mit personenbezogenen Daten wie dem Namen oder der E-Mail-Adresse des Nutzers zusammengeführt werden. Da auch die IP-Adresse personenbezogen sein kann, ist die IP-Adresse wie bei Google Analytics zu kürzen.
Geräteübergreifendes Opt Out
Zudem muss dem Nutzer eine Widerspruchsmöglichkeit („Opt Out“) zur Verfügung gestellt werden. Das Besondere bei Universal Analytics ist, dass dieser Widerspruch auch auf die User-ID bezogen sein muss. Sie muss also auf verschiedenen Geräten umgesetzt werden. Dazu bestehen zwei Varianten:
- Der Nutzer wird in der Datenschutzerklärung darauf hingewiesen, dass er das Opt Out auf allen Geräten erklären muss, beispielsweise über das Opt Out für Google Analytics , oder
- der Diensteanbieter bietet selbst ein Opt Out in seinem Kundenbereich an, beispielsweise indem Nutzer dort die Nutzeranalyse deaktivieren können; der Diensteanbieter muss dann die entsprechende User-ID aus Universal Analytics entfernen.
Hinweise in der Datenschutzerklärung
Auf den Einsatz von Universal Analytics ist in der Datenschutzerklärung hinzuweisen. Wenn Google Analytics mit der Erweiterung Universal Analytics genutzt wird, kann der Text, der für Google Analytics genutzt wird, um einen Absatz zu Universal Analytics ergänzt werden. Dazu könnte folgender Text verwendet werden:
Unsere Nutzeranalyse verwendet zudem Universal Analytics. Damit können wir Informationen über die Nutzung unserer Angebote auf verschiedenen Geräten erhalten („Cross Device“). Wir setzen mittels der Cookie-Technologie eine pseudonymisierte User-ID ein, die keine personenbezogenen Daten enthält und solche auch nicht an Google übermittelt. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden, indem Sie in Ihrem Kundenkonto die geräteübergreifende Nutzeranalyse deaktivieren. Weitere Hinweise zu Universal Analytics finden Sie hier:https://support.google.com/analytics/answer/2838718?hl=de&ref_topic=6010376
Sofern der Diensteanbieter das Opt Out nicht selbst anbietet, bietet sich folgender Text an:
Unsere Nutzeranalyse verwendet zudem Universal Analytics. Damit können wir Informationen über die Nutzung unserer Angebote auf verschiedenen Geräten erhalten („Cross Device“). Wir setzen mittels der Cookie-Technologie eine pseudonymisierte User-ID ein, die keine personenbezogenen Daten enthält und solche auch nicht an Google übermittelt. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft durch ein Browser-Plugin von Google(https://tools.google.com/dlpage/gaoptout?hl=de) widersprochen werden. Dieses Opt Out müssen Sie auf allen Systemen durchführen, die Sie nutzen, beispielsweise in einem anderen Browser oder auf Ihrem mobilen Endgerät. Weitere Hinweise zu Universal Analytics finden Sie hier: https://support.google.com/analytics/answer/2838718?hl=de&ref_topic=6010376
Wie das Opt Out auf mobilen Endgeräten technisch umgesetzt werden kann, erläutert Google in einer Anleitung.
Vertrag zur Auftragsverarbeitung
Ferner muss mit Google ein Vertrag zur Auftragsverarbeitung geschlossen werden. Bislang bietet Google einen solchen Vertrag nur für Google Analytics an. Dass dieser Vertrag auch für Universal Analytics ausreicht, darf bezweifelt werden. Eine mit den Aufsichtsbehörden abgestimmte Vertragsvorlage fehlt hier bislang.
Änderungen durch die Datenschutz-Grundverordnung und die ePrivacy-Verordnung
Ab dem 25. Mai 2018 gelten die Regelungen der Datenschutz-Grundverordnung (DSGVO). Die für Universal Analytics maßgebliche Cookie-Bestimmung des § 15 Abs. 3 TMG ist nach unserer Auffassung auch ab Geltung der DSGVO noch anwendbar. Denn die Norm dient der Umsetzung einer Regelung der ePrivacy-Richtlinie, deren Bestimmungen grundsätzlich gemäß Art. 95 DSGVO den Bestimmungen der DSGVO vorgehen. Wenn man dieser Auffassung folgt, gelten auch ab dem 25. Mai 2018 die zuvor beschriebenen Vorgaben. Hält man die Norm nicht mehr für anwendbar – wie es zum Teil vertreten wird –, kann Universal Analytics vor allem aufgrund einer Einwilligung des Nutzers nach der DSGVO oder einer Interessenabwägung zulässig sein.
Eine gesichertere Rechtslage erhoffen sich viele von der ePrivacy-Verordnung , welche die ePrivacy-Richtlinie ablösen soll. Ob der Gesetzgebungsprozess in Brüssel und Straßburg zu diesem Rechtsakt vor dem 25. Mai 2018 abgeschlossen sein wird, ist bisher nicht klar.
Wenn Sie die weitere Entwicklung nicht verpassen wollen, besuchen Sie regelmäßig unseren Blog oder abonnieren gleich unseren Newsletter.
Dr. Malte Kröger