Google Analytics hat heute, am 12.4.2018, eine Benachrichtigung an alle Google Administratoren geschickt, in der die Einführung neuer Einstellungsmöglichkeiten, sog. „data retention controls“, vorgestellt wird. Hiermit soll den Anforderungen der EU-DSGVO hinsichtlich Speicherfristen von IP-Adressen Genüge getan werden. Diese Einstellungen werden am 25. Mai 2018 wirksam, also am selben Tag, an welchem auch die Bestimmungen der EU-DSGVO in Kraft treten.
Administratoren können in ihren Google Analytics-Accounts unter den Datenaufbewahrungs-Einstellungen die Aufbewahrungsdauer von mit Cookies, Nutzer-ID’s und Werbe-ID’s verknüpften Daten ändern. Zur Auswahl stehen eine 14-monatige, 26-, 38-, 50-monatige Aufbewahrungsdauer oder der nicht automatische Verfall der Nutzer- und Ereignisdaten. Es wird klargestellt, dass sich diese Einstellungen nicht auf aggregierte Daten beziehen. Weiterhin gibt es die Möglichkeit, die Aufbewahrungsdauer der Nutzer-ID bei jeder neuen Aktivität des Nutzers zurückzusetzen. Die entsprechende Aufbewahrungsdauer fängt so jeweils wieder neu an zu laufen.
Zum Hintergrund: Nutzer- und Ereignisdaten, insbesondere IP-Adressen, werden mittlerweile eindeutig als personenbezogene Daten eingestuft (BGH, Urteil vom 16.5.2017 – VI ZR 135/13; EuGH, Entscheidung vom 19. Oktober 2016, C-582/14), da es oftmals ohne großen technischen Aufwand möglich ist, Nutzer aufgrund ihrer IP-Adresse zu identifizieren. Auch der Erwägungsgrund 30 der EU-DSGVO untermauert die Annahme, dass der Schutz von IP-Adressen besonders wichtig ist: „Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Grundsätzlich ist es Unternehmen erlaubt, Nutzungsdaten – zu denen auch die IP-Adresse zählt – zu erheben. Voraussetzung ist, dass dies zur Ermöglichung der Nutzung eines Dienstes notwendig ist, d.h. um die Nutzung einer Webseite zu ermöglichen. Nach Beendigung des Nutzungsvorgangs muss die IP-Adresse grundsätzlich gelöscht werden (Ausnahme: Speicherung zu Abrechnungszwecken bei kostenpflichtigen Diensten).
Eine darüber hinaus gehende Speicherung ist nur nach eindeutiger Einwilligung des Nutzers möglich. Diese Einwilligung holen sich Unternehmen oft über die Datenschutzerklärung, deren Bestimmungen ein Nutzer akzeptieren muss, um die Webseite besuchen oder den Dienst nutzen zu können. Auf die Datenschutzerklärungen haben die neuen Einstellungsmöglichkeiten der „data retention controls“ Auswirkungen. Diese sollten je nach Einstellungen im Google Analytics Account angepasst werden, um insbesondere dem Grundsatz der Datentransparenz Rechnung zu tragen.