Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

Google Analytics in Deutschland datenschutzkonform einsetzen – so geht’s

Google Analytics. Ingvar Bjork / Shutterstock.com

Google Analytics ist ein beliebtes und ausführliches Tool zur Analyse der Besucherströme auf einer Webseite oder einer App. Einstieg und Ausstieg, Verweildauer, verweisende Seiten und vieles mehr.

Analytics kann dabei helfen, die eigene Seite zu verbessern, indem sich gut rankender Content leicht identifizieren lässt. Um dieses Tool auch im datenschutzrechtlich vergleichsweise strengen Deutschland einsetzen zu können, gibt es einige mit den Aufsichtsbehörden abgestimmte Maßnahmen, die ihr ergreifen müsst, die das Blog datenschutzbeauftragter-info.de zusammengestellt hat.

Die 5 Schritte für eine datenschutzkonforme Nutzung von Analytics

  • Du musst mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen, den § 11 BDSG – Vertrag.
  • Du musst zukünftig alle IP-Adressen deiner Besucher anonymisieren.
  • Besucher müssen ein Widerspruchsrecht eingeräumt bekommen.
  • Die Datenschutzerklärung muss angepasst werden.
  • Solltest du Google Analytics bisher verwendet haben, ohne entsprechende Maßnahmen zu ergreifen, müssen alle erhobenen Daten gelöscht werden.

Der Vertrag

Den Vertrag kannst du hier herunterladen. Drucke ihn aus, ergänze alle Daten und sende den unterschriebenen Vertrag in zweifacher Ausfertigung an Google in Irland. Du bekommst ein gegengezeichnetes Exemplar zurück und kannst dann loslegen.

Die Anonymisierung der IP-Adressen

Es gibt zwei Varianten von Analytics: klassisches und universales Analytics. Über das Entwicklertool in Browsern kannst du leicht ermitteln, welche der Varianten zum Einsatz kommt. Es kann auch das klassische Analytics (ga.js) das Universal Analytics (analytics.js) gleichzeitig eingesetzt werden. Der Trackingcode von Google ist nicht datenschutzkonform. An ihn muss die Code Erweiterung „anonymizeIp“ eingefügt werden, welche die letzten acht Bit der IP-Adressen löscht und diese damit anonymisiert.

So kann der datenschutzkonforme Trackingcode von Universal Analytics aussehen:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de'); ga('set', 'anonymizeIp', true); ga('send', 'pageview');

</script>

So kann der datenschutzkomforme Trackingcode für klassisches Analytics aussehen:

<script type="text/javascript">

var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-XXXXXXX-X']); _gaq.push(['_gat._anonymizeIp']); _gaq.push(['_trackPageview']);

(function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })();

</script>

Wo wird der ergänzte Code dann eingebunden?

Der Code gehört in den Quelltext aller Frontend-Seiten auf deiner Website, und zwar in den Header vor das schließende Tag.

Das Widerspruchsrecht

Deine Besucher müssen die Chance haben, sich gegen das Aufzeichnen ihrer Daten zu wehren. Hierfür gibt es zwei Möglichkeiten, die beide zur Verfügung gestellt werden müssen. Die eine Variante ist der Link zum Deaktivierungs-Add-on, die andere ist das Setzen eines Opt-Out-Cookies.

Das Deaktivierungs-Add-on muss verlinkt werden. Dies funktioniert nur bei Desktop-Browsern, was natürlich angesichts der wachsenden Nutzung von mobilen Geräten nicht ausreicht. Für responsive Seiten wird das Opt-Out-Cookie immer vor dem eigentlichen Analytics Code in die Seite eingefügt.

So sieht das Script aus:

<script>

var gaProperty = 'UA-XXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; }

</script>

Die Datenschutzerklärung

Füge die folgende Datenschutzerklärung gut sichtbar verlinkt auf deiner Page ein. Erstelle hierfür am besten eine extra Seite, die du „Datenschutz“ nennst.

Google Analytics

„Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

4 Reaktionen
Valadir
Valadir

Der letzte Satz „Der Vertrag mit Google muss für jede Domain abgeschlossen werden.“ ist im übrigen auch unfug – Der Vertrag wird für das Google Konto abgeschlossen, Domains interessierten niemanden.

MKern
MKern

Ich halte die in diesem Artikel prokalmierte Aussage für schlicht falsch.

Zwar meinen einige Datenschutzbehörden, Google Anayltics sei wie hier beschreiben datenschutzkonform einsetzbar, schaut man sich die Angelegenheit allerdings einmal genauer an, fragt man sich, wie sie zu dieser Einschätzung gelangen konnten. Im moment sieht es nämlich so aus: Es kann (auch mit anomyzeip) nicht ausgeschlossen werden, dass ungekürzte IP-Adressen zu Google in die USA gesendet werden, dort macht Google irgendetwas mit ihnen - absolut intransparent. Allein das ist eine Datenerhebung/Datenübermittlung/Datenverarbeitung ohne jegliche Legitimationsgrundlage. Habt Ihr das übersehen oder ist Euch das einfach egal? ;)

Marc Eichenseher
Marc Eichenseher

Vielen Dank für diese äußerst hilfreiche und praktische Anleitung.

Jetzt kam mir folgende Frage auf. Bezüglich der Einbindung des Analytics Codes im Head Bereich.

Ist das so strickt im Datenschutz verankert oder darf ich weiterhin, den Analytics Code in eine .js Datei auslagern um diese asynchron nachzuladen?

Danke und viele Grüße

Sebastian
Sebastian

Gute Frage... !

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot