TTDSG 2022 & Google Analytics Verbot in Österreich

Wir betreuen dutzende bis hunderte Kunden in den Bereichen Online-Marketing und Web-Entwicklung. Dabei spielen auch die Themen Google Analytics und Tracking eine Rolle.

Sieh dir einmal mein Video dazu an. Danach kannst du alles nochmals in Ruhe lesen und Schritt für Schritt umsetzen.

Und jetzt noch einmal alles zum Lesen.

Das TTDSG – für wen gilt das Telekommunikations- und Telemedien-Datenschutzgesetz

Nach meinem Verständnis gilt das TTDSG für alle Unternehmen, die Services für deutsche Kunden bereitstellen oder Produkte nach Deutschland verkaufen und Ähnliches.

Ein Onlineshop aus Österreich, der nach Deutschland liefert ist zum Beispiel davon betroffen, ein Installateur, der nur in Wien aktiv ist, ist es aus meiner Sicht nicht.

TTDSG steht für Telekommunikations- und Telemedien-Datenschutzgesetz.

Darunter kann man sich noch nicht viel vorstellen.

Sieht man sich den vollen Namen dieses mit 1. Dezember 2021 in Deutschland in Kraft getretenen Bundesgesetzes an, dann versteht man schon etwas besser, worum es geht:

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien – TTDSG.

Ein heißes Thema? Kann sein.

Zumindest sollte man darüber Bescheid wissen.

Ich will dich jetzt nicht mit dem Gesetzestext und theoretischen Erklärungen langweilen. Das kannst du an anderer, kompetenterer Stelle nachlesen. >> mehr Infos zum TTDSG

Wir beschäftigen uns mit der Praxis.

Das TTDSG in der Praxis

Für uns sind fürs Erste zwei Punkte von Bedeutung und müssen beachtet werden.

1. Der Cookie-Banner – Cookies müssen auswählbar oder abwählbar sein (das kennst du schon von der DSGVO)
2. Nicht systemrelevante Cookies dürfen vor der Auswahl nicht aktiv sein

1. Cookies müssen auswählbar oder abwählbar sein.

Sehen wir uns ein Beispiel an.

Bei einem Cookie-Banner, der mit dem TTDSG konform ist, muss es 3 Buttons geben:

• Alle zulassen (alle Cookies werden aktiviert)
• Anpassen (Cookies können ausgewählt werden)
• Ablehnen (alle Cookies werden abgelehnt, sind also deaktiviert)

Diese 3 Möglichkeiten muss ein Cookie-Banner aufweisen, um dem TTDSG zu entsprechen. Sprich: Cookies müssen auswählbar oder abwählbar sein.

Darüber, welche Auswirkungen und Probleme das für dich als Webseiten- oder Webshop-Betreiber hat und wie du damit umgehen kannst, spreche ich später noch.

Lass uns zuvor noch zum zweiten wichtigen Punkt kommen.

Wir wissen jetzt, dass beim Cookie-Banner die Möglichkeit, Cookies auszuwählen oder abzulehnen, gegeben sein muss. Als zweiter wichtiger Punkt gilt:

2. Nicht systemrelevante Cookies dürfen vor der Auswahl nicht aktiv sein, also ausgeführt werden.

Dies gilt auch und im Besonderen für das Google-Analytics- und das Facebook-Pixel.

Damit du auf deiner Seite überprüfen kannst, ob diese Cookies aktiv sind, sehen wir uns das gleich anhand eines Beispiels an.

Mit einem Rechtsklick auf die Seite öffnet sich ein Fenster, in welchem du „untersuchen“ auswählst.

Es öffnet sich die DevTools-Leiste. Dort wählst du „Applications“ und links in der Navigation „Cookies“.

Nun siehst du, ob und welche Cookies aktiv sind.

Es dürfen nur systemrelevante Cookies aktiviert sein.

Klickst du im Cookie-Banner auf den Button „Alle akzeptieren“ aktivierst du alle Cookies, auch die nicht-systemrelevanten, wie etwa den Google-Analytics-Cookie.

Zusammengefasst:

• Der Cookie-Banner muss einen Akzeptieren-Button, einen Ablehnen-Button sowie die Möglichkeit des Anpassens/Bearbeitens haben und
• Google Analytics und Facebook Pixel dürfen vor dem Akzeptieren nicht aktiv sein.

Was ist der Nachteil davon, wenn man sich an das TTDSG hält?

Kurz: Du siehst in Google Analytics weniger Daten (unserer Erfahrung nach sind es 20 bis 60 Prozent weniger Daten).

Ähnliches gilt für die Daten von Facebook und andere Analysedaten.

Das ist natürlich eine Herausforderung für dich als Marketer. Immerhin brauchst du diese Daten, um dein Marketing ordentlich zu betreiben.

Was ist das Risiko, wenn man sich nicht an die Bestimmungen des TTDSG hält?

Das Risiko bei Nichteinhaltung ist ein heikles Thema.

Selbst das ungeübte Auge, also ein Laie, kann erkennen, ob es bei deinem Cookie-Banner einen Ablehnen-Button gibt. Um zu erkennen, ob ein Cookie bereits vor dem Akzeptieren geladen ist, braucht es schon eher einen Profi. Dieser findet es jedoch in wenigen Sekunden heraus.

Du bist also sehr transparent und ein Nichteinhalten des TTDSG kann sehr schnell aufgedeckt werden. Es drohen teils empfindliche Bußgelder!

Daher meine Empfehlung: Umsetzen!

Wie, das erkläre ich dir als Nächstes.

Wie du den Cookie-Banner gesetzeskonform umsetzt

Da wir in unserer Agentur mit WordPress, Joomla und Shopify arbeiten, kann ich dir nur für diese Systeme kompetente Empfehlungen geben.

Um einen gesetzeskonformen Cookie-Banner in WordPress und Joomla umzusetzen, empfehle ich dir cookiebot.com. Bei Shopify ist es GDPR Legal Cookie.

Mit diesen Applikationen bist du bezüglich des TTDSG auf der sicheren Seite.

Widmen wir uns jetzt dem zweiten großen Thema:

Google Analytics Verbot Österreich & EU

Am 13.01.2022 hat die österreichische Datenschutzbehörde festgestellt, dass die Einbindung von Google Analytics in eine Website gegen die DSGVO (Datenschutzgrundverordnung) verstößt.

>> hier kannst du es nachlesen

Der Vorwurf ist, dass ein digitaler Footprint (Nutzer-ID, IP-Adresse, Browser-Informationen etc.) an Google, also ein US-amerikanisches Unternehmen, übertragen wird.

Max Schrems vom Verein Noyb hat in allen EU-Staaten ähnliche Musterklagen eingebracht – Österreich war das erste Land, dass ein Urteil dazu gefällt hat.

Ob dieses in allen anderen Ländern Europas genauso ausfällt, also ebenfalls das Verbot der Einbindung von Google Analytics in Websites ausgesprochen wird, ist noch abzuwarten.

Eine Klage gegen Google wurde abgewiesen. Die Idee hinter dieser Klage war, dass Google für diese Datenschutzverstöße zur Verantwortung gezogen werden sollte. Dem ist leider nicht so, wir müssen uns als Unternehmen darauf einstellen und entsprechende Veränderungen durchführen.

Welche das sein können, zeige ich dir jetzt.

Wie du das Google-Analytics-Verbot umgehen kannst

Google Analytics ist also auf dem üblichen Weg nicht mehr nutzbar bzw. nur noch auf bestimmte Art und Weise.

Ich zeig dir, welche Schritte du durchführen kannst beziehungsweise ob und wenn ja, welche Alternative es für dich gibt.

Google Analytics Alternativen

Du kannst zwischen zwei Möglichkeiten wählen:

1. Du setzt Google Analytics serverseitig ein, das heißt ein virtueller Server ist zwischengeschaltet oder
2. du überlegst einen Tool-Wechsel.

1. Google Analytics serverseitig einsetzen

Auf developers. google.com siehst du eine Grafik, die zeigt, wie das funktioniert, wenn du Google Analytics direkt in die Website einbindest.

Quelle: https://developers.google.com/tag-platform/tag-manager/server-side/intro

Jemand kommt auf die Website und die Website spricht direkt mit Google Analytics. Das heißt, die Daten (Nutzer ID, IP-Adresse und Browser-Informationen etc.) werden hier gleich an Google übergeben.

Wenn man ein server-side-tagging aktiviert (das sieht man in der zweiten Grafik), dann hat man einfach einen eigenen Server dazwischen.

Quelle: https://developers.google.com/tag-platform/tag-manager/server-side/intro

Die Website spricht dann mit dem Server und der Server spricht mit Google Analytics. Das heißt Nutzerdaten werden nicht an Google übertragen. Google erhält die Daten des zwischengeschalteten Servers.

Google Analytics DSGVO-konform einrichten

Du willst also Google Analytics jetzt so einrichten, dass es konform mit der Datenschutzgrundverordnung funktioniert. Dann bitte folgende Schritte durchgehen.

1. Gehe in Google Analytics in Verwaltung >> Einstellungen >> Kontoeinstellungen
   
   Im unteren Bereich kann man die Details zur Datenverarbeitung akzeptierenden. Klicke dazu einfach rechts auf „Details zum Zusatz zur Datenverarbeitung verwalten“ und folge den einzelnen Schritten.
   
   
2. Füge der Datenschutzerklärung auf deiner Website den Hinweis, dass Daten an Google Analytics übertragen werden, hinzu.
   
   Du kannst dazu gerne den Teil aus unserer Datenschutzerklärung kopieren und verwenden.
   
   
3. Der Cookie-Banner muss die Möglichkeiten zum Akzeptieren, Ablehnen und Bearbeiten anbietet und dass Google Analytics vor dem Klick auf den Akzeptieren-Button nicht aktiv ist.
   
   
4. Des Weiteren würde ich dir empfehlen, die IP-Adressen-Anonymisierung zu aktivieren. Wie das funktioniert, zeigt dir das folgende Video Schritt für Schritt.
   
   
5. Der letzte Schritt, das serverseitige Tracking zu aktivieren, ist tatsächlich auch der komplizierteste. Dazu musst du einen Server mieten und über den Google Tag Manager kannst du das Ganze dann implementieren.
   Ich werde in den nächsten Wochen ein ausführliches Video dazu drehen und auf unserem YouTube-Kanal publizieren (und auch hier einbinden).

So, das war die erste Lösung – Google Analytics server-sid-tagging.

Die zweite Lösung ist:

2. Der Wechsel des Analyse-Tools

Aus meiner Sicht sind hierfür Matomo Analytics oder die Piwik PRO Analytics Suite am besten geeignet.

Der Hauptunterschied zwischen den beiden Analyse-Tools ist, dass Matomo open source, also kostenlos ist, während Piwik auf einem Abo basiert.

Matomo wird auf deinem eigenen Webserver bzw. einem Server deiner Wahl installiert. Somit hast du stets die Datenhoheit. Die Analyse bei Piwik läuft über den Piwik-Server, der jedoch auch in der EU, genauer gesagt in Deutschland gehostet wird. In beiden Fällen sollte es daher keine Probleme mit der Datenweitergabe und der DSGVO geben.

Fazit und meine Empfehlung

Wir haben in der Vergangenheit lernen müssen, dass bei der Datenschutzgrundverordnung immer alles sehr heiß angekündigt wird und wir alles brav umsetzen. Und dann kommen gewisse Sachen nicht beziehungsweise ist unklar, wer die Sache exekutiert, welche Strafen wann anfallen usw.

Aus meiner Sicht ist es auf jeden Fall sinnvoll, den richtigen Cookie-Banner einzusetzen, weil man da relativ schnell sieht, ob du DSGVO-konform bist oder nicht. Du willst ja nicht, dass einer deiner Mitbewerber erkennt, dass deine Website nicht gesetzeskonform ist und dich eventuell anzeigt.

Du solltest dir jetzt daher überlegen, ob Google Analytics das Tool deiner Wahl ist und du das Risiko einer Geldbuße eingehst oder ob du auf Matomo oder Piwik umsteigst.

Ich habe dir die Alternativen aufgezeigt. Die Entscheidung bleibt ganz dir überlassen.

Solltest du ein Coaching oder Unterstützung bei der Umsetzung brauchen, dann kontaktiere uns gerne. Unsere E-Mail-Adresse: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. – beschreibe mir einfach dein Szenario und wir führen ein kurzes Gespräch.