Hast du auch schon von der neuen DSGVO ( Datenschutz Grundverordnung ) gehört, die am 25.05.2018 in Kraft tritt, und dich gefragt, ob deine Website bereits datenschutzkonform ist?

Der folgende Artikel möchte Aspekte aufzeigen, die bei der Nutzung von Google & Facebook Tools in Hinblick auf die kommende Datenschutzgrundverordnung (DSGVO) berücksichtigt werden sollten. Insbesondere wenn Digitales Marketing betrieben wird oder man generell auf Drittanbieter Tools setzt bzw. externe Ressourcen eingebunden hat.

Doch mit der DSGVO müssen die Besucher nicht nur darauf hingewiesen, sondern es muss auch das Einverständnis eingeholt werden.

Nehmen wir als Beispiel das Reiseportal Niederösterreich: Datenschutz

Dieses ist willkürlich gewählt, soll jedoch deutlich machen, dass sobald es um Datenschutz geht, man immer auf dem aktuellen Stand sein muss, da sonst eine Abmahnung drohen kann.

Die dortige Datenschutzerklärung liest sich sehr vorbildlich, es werden die eingesetzten Tools und Dienste beschrieben. Ein Verfahren zum Opt-Out für Google Analytics wird zwar erwähnt und ein entsprechendes Browser Plugin empfohlen. Doch reicht das aus? Fast, denn erst in den letzten Monaten mehren sich weitere Empfehlungen, vor allem in Hinblick auf den Datenfluss und die dazu geeigneten Opt-Out Verfahren.

Opt-Out in den Datenschutzerklärungen

Um Google Analytics deaktivieren zu können, ist es möglich, dies bereits jetzt über einen Link zu bewerkstelligen. Die DSGVO erfordert nun aber eine eindeutige Kennzeichnung und selbstverständlich muss der Opt-Out im Vorhinein passieren, wenn das JavaScript also noch nicht geladen wurde. Denn wäre es anders, würde der Besucher bereits getrackt und es würden somit Daten unerlaubterweise an Google Server gesendet.

USER OPT-OUT FÜR GOOGLE ANALYTICS

Um das zu erreichen und dem Nutzer die Möglichkeit des opt-out zu geben, bringt Google Analytics bereits alles Notwendige mit. Damit du das Tracking im Vorfeld unterbinden kannst, enthält die „analytics.js“ Bibliothek bereits eine Möglichkeit.

window['ga-disable-UA-XXXXXX-Y'] = true;

Das muss, bevor das JavaScript geladen wird, die „Window“ – Einstellung auf „true“ gesetzt werden. Wenn Google Analytics versucht, einen Cookie zu setzen oder Daten an die Google Analytics-Server zu senden, wird geprüft, welche Einstellung gesetzt ist.

Eine relativ einfache Möglichkeit, das umzusetzen ist über das doNotTrack Feature des Browsers – dabei wird bevor das Analytics Skript geladen wird eine Abfrage gemacht, ob diese Einstellung im Browser des Users gesetzt ist, um so ein vorzeitiges Laden zu verhindern.

Das schaut in etwa so aus:

<script>
  if (navigator.doNotTrack && navigator.doNotTrack === 1) {
    window['ga-disable-{{'UA-XXXXXX-Y'}}'] = true;
  }
</script>

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXXX-Y', 'auto');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');

</script> 

Ist das erledigt, musst sichergesellt werden, dass der Tag auch nicht im Vorfeld geladen wird und zusätzlich auf Google Analytics noch eine entsprechende Einstellung beim Tag sequencing gesetzt werden. Dies muss im Google Tag Manager geschehen.

Um das Laden im Vorhinein zu unterbinden, gibt es noch andere Möglichkeiten, die jedoch den Rahmen an dieser Stelle sprengen würden.

Tritt einfach mit uns in Kontakt.

AUFTRAGSDATENVERARBEITUNG

Weiters sollte daran gedacht werden, den Vertrag mit Google, die so genannte „Auftragsdatenverarbeitung“ abzuschließen (sofern noch nicht geschehen) oder zu erneuern. Durch den Fall von „Save Harbour“ solltest du das ohnehin bereits erledigt haben, um auf der rechtlich sicheren Seite zu sein.

Google stellt diesen Vertrag hier zur Verfügung.

Apropos, wenn wir schon bei Google sind, nutzt du andere Google Services oder eventuell WordPress? Dann lohnt sich ein Blick auf die verwendeten Schriften.

Verwendung von Google Fonts oder anderen (externe eingebundene Ressourcen)

Google Fonts werden gern auf Websites eingebunden, gelten sie doch als Web Safe Fonts im Sinne einer optimalen Darstellung über jegliche Browser hinweg. Was die meisten jedoch gern übersehen oder schlichtweg nicht wissen, ist, dass die Schriften über Google Server nachgeladen werden.

Damit dies ordentlich funktionieren kann, muss der Browser dazu eine Anfrage, auch Request genannt, an einen Google Server schicken.

Bei diesem Request werden Meta-Daten des Users an Google übertragen:

  • Browser und -version
  • Host (Website), welche die Anfrage auslöst
  • Betriebssystem des Users
  • Bildschirmauflösung des Users
  • IP-Adresse des Users
  • Spracheinstellung

Da es sich auch hierbei um eine Datenübermittlung handelt, muss in der Datenschutzerklärung auf diesen Umstand hingewiesen werden. Ja du liest richtig, Google Fonts können u.a. für Tracking verwendet werden.

Du hast nun die Möglichkeit, deine Datenschutzerklärung diesbezüglich anzupassen oder du lädst dazu einfach die benötigten Fonts herunter Google Fonts und hostest diese auf der eigenen Webinstanz. Problem gelöst. Nutzt du einen Newsletter Provider a la Mailchimp oder Mailjet? Dann wirst du vor der gleichen Problematik stehen, da diese auch Google Fonts einbinden. Selbstverständlich muss auch dieser Einsatz entsprechend in der Datenschutzbestimmung erwähnt werden.

Praxistipp: So überprüfst du, ob deine Seite Google Fonts integriert hat:

Diese Anleitung gilt für Chrome (Windows), ist jedoch prinzipiell auch mit anderen Browsern möglich.

  1. Rufe die Website auf, um die es geht.
  2. Klicke innerhalb der Website auf die rechte Maustaste und starte den „Entwicklermodus“. Alternativ: Drücke die Taste F12
  3. Wechsle nun im neu aufgegangenen Fensterbereich zum Tab „Network“
  4. Lade die Webseite erneut – drücke dazu die Taste F5
  5. Über die Filterfunktion können nun die Ressourcen „gefiltert“ werden, wir filtern nach „Fonts“

  1. Bewege nun die Maus über die verschiedenen Ressourcen „*.woff2“
  2. Siehst du eine Adresse (font.gstatic….) wie im Screenshot, handelt es sich um eingebundene Google Fonts.

Neugierig, welche Informationen über JavaScript sonst noch ohne großen Aufwand abgerufen werden können? Die Seite von Robin Linus illustriert sehr eindrücklich, welche Informationen dein Browser über JavaScript zum Besten gibt: What every Browser knows about you

Facebook Custom Audience über das Pixel-Verfahren

Kommen wir nun zum blauen Riesen. Hast du ein Facebook Pixel auf einer Website integriert, kann das Surfverhalten für die Ads durch Facebook nachvollzogen werden. Durch definierte „Events“ kannst du als Seitenbetreiber das Userverhalten tracken und Werbung dadurch gezielter auszuspielen. Legt beispielsweise ein Besucher ein Produkt (im Onlineshop) in den Warenkorb, schließt den Check-out Prozess jedoch nicht ab, so wird dieser Vorgang an Facebook übermittelt. Durch Retargeting-Möglichkeiten hast du als Seitenbetreiber damit die Möglichkeit, den User mit entsprechender Werbung zu bespielen.

WAS GETAN WERDEN SOLLTE – HINWEISPFLICHT

Du oder deine Kunden als Seitenbetreiber sind verpflichtet, den Website-Besucher auf die Datenerhebung hinzuweisen. Folgende Aspekte müssen beherzigt werden:

  • Wer die Daten erhebt und verarbeitet (Webseiten-Betreiber und Facebook)
  • Hinweis auf das Verfahren (Produktname)
  • Welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden
  • Zweck der Datenverarbeitung
  • Dass mit Hilfe dieses Tracking-Verfahrens die Identifizierung des Nutzers über zahlreiche Webseiten möglich ist und ihm ein Opt-Out-Verfahren zur Verfügung steht

OPT-OUT-MÖGLICHKEIT – DIESE MUSS IN DIE WEBSITE IMPLEMENTIERT WERDEN.

Mittels Opt-Out-Möglichkeiten muss jeglicher Datenstrom zu Facebook unterbunden werden können. Dies kann per JavaScript realisiert werden. Facebook liefert diese Möglichkeit jedoch nicht von Haus aus mit. Bei Fragen zu einem entsprechenden JavaScript kannst du dich gern an uns wenden.

Achtung, weil wir es immer wieder sehen, ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar.

Du hast es bis hierher geschafft und alle Tipps beherzigt – Gratulation! Die DSGVO wird jedoch noch das ein oder andere mit sich bringen. Eins ist aber gewiss, wir sind damit noch lange nicht fertig und bewegen uns noch nicht auf der rechtlich sicheren Seite. Nichts desto trotz, schau einfach öfters hier vorbei – die nächsten Blogartikel zu diesem äußerst spannenden Thema werden folgen.

QUELLEN UND WEITERE LINKS ZUR VERTIEFUNG: