MarketingRadar

DSGVO: ADV-Vertrag für Google Analytics online erledigen

Es ist noch nicht zu spät: Um Google Analytics DSGVO-konform zu betreiben, ist ein Vertrag zur Auftragsdatenverarbeitung notwendig und wichtig. Unsere Kurzanleitung für Marketer zeigt, wie und wo dies direkt online geht.

Übersicht:

  • Über den ADV-Vertrag
  • Anleitung: ADV-Vertrag online abschließen
  • DSGVO-Checkliste

Der ADV-Vertrag – Für die Auftragsdatenverarbeitung muss ein Vertrag geschlossen werden

Der Vertrag zur Auftragsdatenverarbeitung (kurz: ADV-Vertrag) ist meist der wichtigste Punkt jeder Datenschutz- und DSGVO-Checkliste für Marketer und Website-Verantwortliche, da dieser vertraglich regelt, wie ein Toolanbieter die Nutzerdaten verarbeitet, die der Websitebetreiber durch Tool-Einbau erhebt.

Seit einiger Zeit bietet Google bereits eine digitale Version des ADV-Vertrags für Google Analytics an, der mit Inkrafttreten der DSGVO am 25.5.2018 rechtsgültig ist. Davor galt die Schriftform in Deutschland als verbindlich.


ADV-Vertrag für Google Analytics: Zusammenfassung für Eilige

Googles „Zusatz zur Datenverarbeitung“
Der ADV-Vertrag entspricht bei Google dem sogenannten „Zusatz zur Datenverarbeitung“. Dieser kann seit 25.5.2018 rechtsgültig digital abgeschlossen werden.

Ein ADV-Antrag ist je Tool und je Konto erforderlich
Googles ADV-Zusatz muss je Tool (z.B. Google Analytics, Google Tag Manager) und dort je Konto / Account akzeptiert werden. Der akzeptierte Zusatz gilt dann für alle in einem Konto enthaltenen Tracking-Properties.

Der digitaler ADV-Antrag ist schnell
Der digitale ADV-Vertrag geht mit ein paar Klicks und Angaben wesentlich schneller als der bisher übliche Postweg, der mitunter über 8 Wochen Bearbeitungszeit gebraucht hat.


Googles digitaler ADV-Vertrag: Der sogenannte Zusatz zur Datenverabeitung

Anleitung: Googles digitaler ADV-Vertrag – So geht’s online

Wie man nun den ADV-Vertrag online erledigt, zeigen folgende Schritte beispielhaft für Google Analytics.


Übersicht: ADV-Vertrag für Google Analytics online abschließen

  1. Google Analytics aufrufen: https://analytics.google.com
  2. Navigieren zu: Verwaltung > Konto wählen > Kontoeinstellungen
  3. Prüfen, ob der Zusatz noch nicht akzeptiert wurde
  4. Abschnitt „Zusatz zur Datenverwaltung“ > Klick auf „Zusatz anzeigen“
  5. Akzeptieren & Speichern
  6. Kontaktpersonen festlegen

Sieht man nach Schritt 3 die folgende Meldung, so gibt es Handlungsbedarf:

Fehlender ADV-Vertrag in Google Analytics

Nach Lesen und Klick auf den Button ist der Zusatz akzeptiert. Achtung: Klick auf Speichern nicht vergessen. Nach dem Speichern gilt der ADV-Vertrag als abgeschlossen. Das Abschlussdatum wird dauerhaft gespeichert und kann wohl erst bei einem zukünftigen, neuen Zusatz aktualisiert werden.

Akzeptierter ADV-Vertrag in Google Analytics

ADV für Google Tag Manager und andere Tools – Die gleiche Prozedur

Viele verwenden neben Google Analytics auch den Google Tag Manager, um das Tracking zu erweitern und Marketing-Pixel für Google Adwords und weitere Tools zu integrieren. Für den GTM ist für die vertragliche Regelung der Auftragsdatenverarbeitung das gleiche Vorgehen wie für Google Analytics erforderlich, auch wenn der Tagmanager nicht wie Tracking-Tool zur Sammlung von Nutzerdaten dient.

Dies gilt natürlich ebenso für alle anderen Tool-Anbieter, die verwendet werden. Ebenso sollte auch der Hosting-Provider per ADV-Vertrag werden, da dieser die Daten über seine Server und Datenbanken technisch entgegennimmt und verarbeitet. Viele Provider bieten dazu ein fertiges PDF-Formular an, in dem man die Art der Daten wie z. B. angibt und per Unterschrift bestätigt.

ADV-Vertrag im Google Tag Manager

Datenschutz-Kontaktpersonen festlegen – Google Analytics Suite Home

Insofern folgende Angaben noch nicht gemacht wurden, geht es während der oben beschriebenen Zusatz-Bestätigung weiter mit der Festlegung der Datenschutz-Kontaktperson.

Damit ein Ansprechpartner für den Kontakt zum Datenschutz festgelegt und innerhalb der Organisation transparent kommuniziert werden kann, stellt Google dafür das Übersichts- und Verwaltungs-Tool „Google Analytics Suite Home“ unter https://360suite.google.com zur Verfügung. Dies gilt entgegen dem Namen für alle GA-Nutzer und nicht nur für zahlende 360-Suite-Nutzer.

Per Klick auf den grauen Banner erreicht man von allen Google-Tools aus das Google Analytics Suite Home. Hier kann man alle GA-Accounts im Überblick sehen, seine Organisation zentral anlegen, GA-Konten verknüpfen und Ansprechpartner festlegen.

Hier geht’s zur Google Analytics Suite Home

Nach Anlegen seiner Organisation, was selbsterklärend ist und einfach geht, gibt man nun die juristische Person (offizieller Organisationsname) sowie einen oder mehrere Kontaktpersonen bzgl. Website/Datenschutz an, die dann auch bei zukünftigen Datenschutz-Updates von Google informiert werden.

Tipp: ADV-Übersicht für Unternehmen mit vielen Tools und Konten

Bei vielen kleineren Organisatonen ist ein einziger Google Analytics Account üblich, in dem dann alle Tracking-Properties z.B. für Website, Blog, Länderauftritte, Microsites, Staging-Systeme etc. liegen. Größere Unternehmen und Agenturen nutzen oft mehrere Konten für verschiedene Unternehmensteile, so dass man einen Überblick braucht.

Man erstellt sich also am besten eine Liste aller relevanten Tools und Konten und arbeitet diese ab. Nur so erkennt man leicht und transparent, wo die Datenschutzprüfung auf Lücken stoßen wird.

Beispiel: Übersicht für ADV-Verträge eines größeren Unternehmens:

ToolKonto / Account-IDADV-Abschluss
Google AnalyticsKonto 1 (ID: 642213)✓25.5.2018
Konto 2 (ID: 772003)✓25.5.2018
Konto 3 (ID: 900112)TODO
Google Tag ManagerKonto 1TODO
Konto 2TODO
AB TastyKonto 1✓1.2.2018
HotjarKonto 1TODO
 
MarketoKonto 1TODO
 
SalesforceKonto 1✓23.6.2017
 Konto 2✓23.6.2017


Offizielle Informationen von Google

Googles Informationen zum ADV-Antrag („Zusatz zur Datenverarbeitung“) sind leider aktuell deutlich unverständlicher formuliert, da hier Regelungen für GA360-Nutzer sowie Retailer in und außerhalb der EU beschrieben (oder eher angerissen) werden, was für den Hauptteil der Nutzer keine Anwendung findet, die die kostenlose Google-Analytics- und GTM-Version verwenden.

Hier findet man offizielle Google-Infos zum Thema Auftragsdatenverarbeitung: https://support.google.com/analytics/answer/3379636?hl=de.

Checkliste: Weitere Schritte zur DSGVO-konformen Website für Marketer und Website-Verantwortliche

Neben den ADV-Verträgen für die genutzten Tracking- und Marketing-Tools sind einige weitere Schritte zur Sicherstellung des Datenschutzes für Marketing und Online-Verantwortliche notwendig. Folgende Punkte sind aus unserer 3-seitigen, für Praktiker verständlich aufbereiteten Checkliste entnommen:

Profiling/Tracking

Gemeint ist:
Die automatische Verwendung personenbezogener Daten, um persönliche Aspekte wie Vorlieben, Interessen, Verhalten, wirtschaftliche Lage, Gesundheit, Aufenthaltsort usw. herauszuinterpretieren oder vorherzusagen.

Beispiele:
Personalisierte Werbung, Re-Targeting.

Maßnahmen:
Wird serverseitig aus ohnehin zur Verfügung stehenden, technisch notwendigen Daten (Session-Cookie, Browserkennung u.ä.) ein „Fingerabdruck“ gebildet, ist hingegen keine Einwilligung erforderlich.

Der Nutzer muss zudem über Rechtsgrundlage, Art und Zweck des Profiling in der Datenschutzerklärung informiert werden. Der Nutzer hat ein Widerspruchsrecht und muss hierüber ebenfalls informiert werden.

HTTPS

Gemeint ist:
Die Übertragung von personenbezogenen Daten muss nach dem Stand der Technik geschützt werden.

Maßnahmen:
HTTPS ist für personenbezogene Daten nun Pflicht. Üblicherweise werden neue Webauftritte jedoch mittlerweile ohnehin komplett in HTTPS ausgeliefert.

Einblick in die Checkliste

Unsere vollständige DSGVO-Checkliste bietet gute Orientierung und ist jederzeit auf Anfrage kostenlos erhältlich.

Achtung: Wir weisen darauf hin, dass wir als Internetagentur keine qualifizierte Rechtsberatung geben dürfen und können.
Bitte lassen Sie sich darum von der für Sie bzw. in ihrer Organisation juristisch zuständigen Person beraten.

Schreiben Sie uns einfach an: analytics@mediaworx.com.

Ralf Schukay

Ralf Schukay ist Senior Digital Marketing Consultant bei der mediaworx berlin AG. Er hilft Unternehmen dabei, ihre digitalen Services vertrieblich erfolgreich zu machen, natürlich immer auf Basis messbarerer KPIs und mit Nutzerbedürfnissen im Mittelpunkt. Seine Kern-Disziplinen sind: Digital Analytics, SEO, UX, Conversion-Optimierung und Marketing Automation.

Kommentar?

Newsletter-Anmeldung