Ein praktischer Leitfaden zu 7 Grundsätze der DSGVO

Dieser Leitfaden erklärt 7 Grundsätze der DSGVO praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Die 7 Prinzipien von GDPR sind keine Slogans für eine Datenschutzrichtlinie. Sie sind die Betriebsregeln hinter jeder Produktentscheidung, die personenbezogene Daten berührt: Was Sie sammeln, warum Sie sie sammeln, wie lange sie bleiben, wer darauf zugreifen kann und wie Sie nachweisen, dass die gesamte Einrichtung rechtmäßig ist.

Die Grundsätze sind in Artikel 5 des GDPR aufgeführt. Für Analyseteams sind sie besonders praktisch, da Webanalysen oft in einer Grauzone zwischen Business Intelligence, Marketing, Sicherheitsprotokollierung und Verhaltensverfolgung angesiedelt sind. Wenn Ihr Analysetool IP-Adressen, Gerätekennungen, Cookie-IDs, UTM-Parameter, Benutzer-IDs oder Ereignismetadaten sammelt, die mit einer Person verknüpft werden können, befinden Sie sich im GDPR-Gebiet.

Die sieben Prinzipien im Klartext

Rechtmäßigkeit, Fairness und Transparenz bedeuten, dass Sie eine gültige Rechtsgrundlage benötigen und die Verarbeitung ehrlich erklären müssen. Die sechs Rechtsgrundlagen sind in Artikel 6 aufgeführt: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Webanalyseteams vergleichen häufig Einwilligung und berechtigte Interessen, aber beides geschieht nicht automatisch. Die Einwilligung muss freiwillig erteilt werden und leicht widerrufbar sein. Berechtigte Interessen erfordern eine Abwägung und scheitern schnell, wenn aus der Analyse standortübergreifende Werbung, Profiling oder die Anreicherung mit Daten Dritter wird.

Zweckbeschränkung bedeutet, dass Sie Daten für einen definierten Zweck sammeln und sie nicht stillschweigend für einen anderen Zweck wiederverwenden. Ein Analyse-Setup, bei dem der Datenschutz an erster Stelle steht, könnte lauten: „Wir sammeln aggregierte Seitenaufrufe und Ereignismetriken, um die Produktnutzung zu verstehen und die Leistung zu verbessern.“ Dieser Zweck umfasst nicht Retargeting, Lead-Scoring, Datenvermittlung oder die Synchronisierung von Zielgruppen mit Werbeplattformen.

Datenminimierung fragt, ob jedes Feld notwendig ist. Benötigen Sie vollständige IP-Adressen, genaue Zeitstempel, rohe User-Agent-Strings oder dauerhafte Besucher-IDs, um die Geschäftsfrage zu beantworten? Oftmals nicht. Ein datenschutzorientiertes Analyseprodukt kann Besuche, Quellen, Konvertierungsereignisse und Geräteklassen zählen, ohne Identifikatoren zu speichern, die Personen im Laufe der Zeit verfolgen.

Bei Genauigkeit geht es nicht nur um Namen und Adressen. Analysedaten können durch doppelte Skripte, Bot-Verkehr, blockierte Cookies, Einwilligungsmodus-Modellierung oder geräteübergreifende Fragmentierung ungenau werden. Wenn eine Metrik für Produkt- oder Marketingentscheidungen verwendet wird, sollten Teams dokumentieren, wie sie erfasst wird und welche Einschränkungen sie hat.

Speicherbeschränkung bedeutet, dass personenbezogene Daten nicht unbegrenzt aufbewahrt werden sollten. Das GDPR gibt keine einheitliche Aufbewahrungsfrist vor, weil der Kontext wichtig ist, aber Artikel 5(1)(e) schreibt vor, dass Daten nur so lange wie nötig in identifizierbarer Form aufbewahrt werden dürfen. Für Analysen bedeutet das normalerweise, dass rohe Ereignisprotokolle eine kürzere Aufbewahrungszeit haben sollten als aggregierte Berichte.

Integrität und Vertraulichkeit bedeutet risikogerechte Sicherheit. Gemäß Artikel 32 kann dies Verschlüsselung, Zugriffskontrollen, Ausfallsicherheit, Sicherungsprozesse und regelmäßige Tests umfassen. Analysedaten verdienen diese Behandlung, da URLs, Suchbegriffe, Formularereignisse und Kampagnenmetadaten Informationen zu Gesundheit, Finanzen, Beschäftigung oder politischen Interessen enthalten können.

Rechenschaftspflicht ist das Prinzip, das die anderen in Beweise verwandelt. Sie müssen in der Lage sein, die Einhaltung nachzuweisen. Das bedeutet Aufzeichnungen über die Verarbeitung, Due-Diligence-Prüfungen von Anbietern, Datenverarbeitungsvereinbarungen, Datenschutz-Folgenabschätzungen (sofern erforderlich), Aufbewahrungseinstellungen, Zugriffsüberprüfungen und einen klaren Vorfallprozess.

Was in der Analyse als personenbezogene Daten gilt

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne von Artikel 4 beziehen. Offensichtliche Beispiele sind E-Mails und Konto-IDs. Weniger offensichtliche Beispiele sind IP-Adressen, Cookie-Identifikatoren, mobile Werbe-IDs, dauerhafte pseudonyme IDs und Kombinationen von Browserdaten, die eine bestimmte Person identifizieren können.

Deshalb reicht die Aussage „Wir fragen nicht nach Namen“ nicht aus. Ein Produktereignis wie pricing_page_viewed kann anonym erscheinen, bis es mit einer Benutzer-ID, Konto-ID, IP-Adresse oder Sitzungswiedergabe verknüpft wird. Auch pseudonyme Daten können personenbezogene Daten bleiben, wenn jemand sie sinnvollerweise rückverknüpfen kann.

Anwendung der Prinzipien auf die Webanalyse

Beginnen Sie mit einem Messplan, nicht mit einem Tracking-Skript. Listen Sie die Fragen auf, die Sie durch Analysen beantworten müssen: Welche Kampagnen bringen qualifizierte Besucher? Welche Seiten führen zu Anmeldungen? Wo brechen Benutzer das Onboarding ab? Ordnen Sie dann jede Frage den am wenigsten aufdringlichen Daten zu, die benötigt werden.

Eine Implementierung, bei der der Datenschutz an erster Stelle steht, folgt normalerweise diesem Muster:

• Keine Cookies von Drittanbietern oder Cross-Site-Identifikatoren.
• Kein Fingerabdruck basierend auf Browser-, Geräte- oder Netzwerksignalen.
• IP-Verwaltung, die die Speicherung vollständiger Adressen vermeidet.
• Standardmäßig aggregierte Berichte, wobei die Aufbewahrung roher Ereignisse begrenzt ist.
• Benutzerdefinierte Ereignisse, bei denen personenbezogene Daten in Ereignisnamen und -eigenschaften vermieden werden.
• Klare Dokumentation in der Datenschutzerklärung.
• Ein Anbietervertrag, der den Anbieter gegebenenfalls als Auftragsverarbeiter ausweist.

Häufige Fehler

Der häufigste Fehler besteht darin, Analysen als „anonym“ zu behandeln, weil Namen fehlen. Die zweite besteht darin, einen alten Google Analytics-Ereignisplan in ein datenschutzorientiertes Tool zu kopieren, ohne zu überprüfen, ob Ereignisparameter E-Mails, Suchbegriffe, Freitexteingaben oder Kontodetails enthalten. Die dritte besteht darin, Rohprotokolle für immer aufzubewahren, weil die Speicherung billig ist.

Der bessere Ansatz besteht darin, Analysen als kontrollierten Datensatz zu entwerfen. Legen Sie den Zweck, die Rechtsgrundlage, die Felder, die Aufbewahrung, die Zugriffsebene und den Löschvorgang fest, bevor mit der Erfassung begonnen wird. Das ist die GDPR-Denkweise: nützliche Messung, aber mit Grenzen.

Praktische Checkliste

Fragen Sie für jedes Analysetool:

1. Welche genauen personenbezogenen Daten oder Identifikatoren werden erfasst?
2. Welche Rechtsgrundlage gilt und ist diese dokumentiert?
3. Werden Cookies, lokaler Speicher oder Fingerabdruck verwendet?
4. Wo werden Daten verarbeitet und welche Unterauftragsverarbeiter sind beteiligt?
5. Wie lange werden Rohdaten aufbewahrt?
6. Können Nutzer Auskunfts-, Löschungs-, Widerspruchs- und Widerrufsrechte ausüben?
7. Kann der Anbieter die Meldepflichten bei Verstößen unterstützen?
8. Können Sie die Einrichtung in Ihrer Datenschutzerklärung klar erläutern?

Die sieben GDPR-Prinzipien lassen sich am einfachsten erfüllen, wenn die Analyse einfach ist. Wenn Sie nur das messen, was Sie benötigen, aufdringliche Identifikatoren vermeiden und die Daten unter Ihrer Kontrolle behalten, wird Compliance zu einer architektonischen Eigenschaft und nicht zu einem Gerangel nach der Einführung.

Analytics-Compliance-Check

Bevor Sie ein neues Analyse-Setup starten, dokumentieren Sie jedes erfasste Ereignis, die Entscheidung, die jedes Ereignis unterstützt, ob es Speicher oder Kennungen verwendet, welche Anbieter es erhalten und wann Rohdatensätze ablaufen. Anschließend testen Sie die Seite in einem sauberen Browserprofil und vergleichen das Ergebnis mit der Datenschutzerklärung. Wenn der Browser weiterhin Aufrufe von Drittanbietern, persistente Identifikatoren oder ungeplante Abfragezeichenfolgendaten anzeigt, sind die sieben Prinzipien noch nicht in der Implementierung berücksichtigt.