Ratgeber

Google Analytics in Deutschland datenschutzkonform einsetzen – so geht’s

Google Analytics. Ingvar Bjork / Shutterstock.com

Lesezeit: 4 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Google Analytics ist ein beliebtes und ausführliches Tool zur Analyse der Besucherströme auf einer Webseite oder einer App. Einstieg und Ausstieg, Verweildauer, verweisende Seiten und vieles mehr.

Analytics kann dabei helfen, die eigene Seite zu verbessern, indem sich gut rankender Content leicht identifizieren lässt. Um dieses Tool auch im datenschutzrechtlich vergleichsweise strengen Deutschland einsetzen zu können, gibt es einige mit den Aufsichtsbehörden abgestimmte Maßnahmen, die ihr ergreifen müsst, die das Blog datenschutzbeauftragter-info.de zusammengestellt hat.

Die 5 Schritte für eine datenschutzkonforme Nutzung von Analytics

  • Du musst mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen, den § 11 BDSG – Vertrag.
  • Du musst zukünftig alle IP-Adressen deiner Besucher anonymisieren.
  • Besucher müssen ein Widerspruchsrecht eingeräumt bekommen.
  • Die Datenschutzerklärung muss angepasst werden.
  • Solltest du Google Analytics bisher verwendet haben, ohne entsprechende Maßnahmen zu ergreifen, müssen alle erhobenen Daten gelöscht werden.

Der Vertrag

Den Vertrag kannst du hier herunterladen. Drucke ihn aus, ergänze alle Daten und sende den unterschriebenen Vertrag in zweifacher Ausfertigung an Google in Irland. Du bekommst ein gegengezeichnetes Exemplar zurück und kannst dann loslegen.

Die Anonymisierung der IP-Adressen

Es gibt zwei Varianten von Analytics: klassisches und universales Analytics. Über das Entwicklertool in Browsern kannst du leicht ermitteln, welche der Varianten zum Einsatz kommt. Es kann auch das klassische Analytics (ga.js) das Universal Analytics (analytics.js) gleichzeitig eingesetzt werden.
Der Trackingcode von Google ist nicht datenschutzkonform. An ihn muss die Code Erweiterung „anonymizeIp“ eingefügt werden, welche die letzten acht Bit der IP-Adressen löscht und diese damit anonymisiert.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

So kann der datenschutzkonforme Trackingcode von Universal Analytics aussehen:


<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

So kann der datenschutzkomforme Trackingcode für klassisches Analytics aussehen:


<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Wo wird der ergänzte Code dann eingebunden?

Der Code gehört in den Quelltext aller Frontend-Seiten auf deiner Website, und zwar in den Header vor das schließende Tag.

Das Widerspruchsrecht

Deine Besucher müssen die Chance haben, sich gegen das Aufzeichnen ihrer Daten zu wehren. Hierfür gibt es zwei Möglichkeiten, die beide zur Verfügung gestellt werden müssen. Die eine Variante ist der Link zum Deaktivierungs-Add-on, die andere ist das Setzen eines Opt-Out-Cookies.

Das Deaktivierungs-Add-on muss verlinkt werden. Dies funktioniert nur bei Desktop-Browsern, was natürlich angesichts der wachsenden Nutzung von mobilen Geräten nicht ausreicht. Für responsive Seiten wird das Opt-Out-Cookie immer vor dem eigentlichen Analytics Code in die Seite eingefügt.

So sieht das Script aus:


<script>

var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}

</script>

Die Datenschutzerklärung

Füge die folgende Datenschutzerklärung gut sichtbar verlinkt auf deiner Page ein. Erstelle hierfür am besten eine extra Seite, die du „Datenschutz“ nennst.

Google Analytics

„Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren.
Weitere Informationen zur Datennutzung zu Werbezwecken durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfahren Sie auf den Webseiten von Google:  „Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“, „Datennutzung zu Werbezwecken“, „Informationen verwalten, die Google verwendet, um Ihnen Werbung einzublenden“ und „Bestimmen Sie, welche Werbung Google Ihnen zeigt“.“)

Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke

Löschung alter Daten

Wenn du bereits nicht anonymisierte Daten erhoben hast, musst du diese auf jeden Fall löschen. Dann bist du datenschutzkonform unterwegs und kannst das Verhalten deiner Besucher ohne schlechtes Gewissen tracken. Hier noch zwei Hinweise:

Warum muss ich Google Analytics auch dann beachten, wenn ich es gar nicht bewusst einsetze?

Es können über deine Besucher Daten an Google geschickt werden, ohne dass du davon weißt, denn viele Tools von Drittanbietern bringen Analytics mit. Aktiviere „Ghostery“ in deinem Browser, um zu überprüfen, welche Tracker auf deiner Seite aktiv sind. Solltest du auf betroffene Plugins oder Tools nicht verzichten können oder wollen, dann ergreife die entsprechenden Maßnahmen für den datenschutzkonformen Einsatz.

Was muss ich tun, wenn ich schon einen alten Vertrag mit Google habe?

Verträge mit Google, die vor dem 23. September 2016 abgeschlossen wurden, sollten erneuert werden, da es Änderungen gab. Fazit: Es ist möglich, Google Analytics datenschutzkonform einzusetzen, wenn die Schritte eingehalten werden. Der Vertrag mit Google muss für jede Domain abgeschlossen werden.

Ebenfalls spannend: 

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

4 Kommentare
Marc Eichenseher
Marc Eichenseher

Vielen Dank für diese äußerst hilfreiche und praktische Anleitung.

Jetzt kam mir folgende Frage auf. Bezüglich der Einbindung des Analytics Codes im Head Bereich.

Ist das so strickt im Datenschutz verankert oder darf ich weiterhin, den Analytics Code in eine .js Datei auslagern um diese asynchron nachzuladen?

Danke und viele Grüße

Antworten
Sebastian
Sebastian

Gute Frage… !

Antworten
MKern
MKern

Ich halte die in diesem Artikel prokalmierte Aussage für schlicht falsch.

Zwar meinen einige Datenschutzbehörden, Google Anayltics sei wie hier beschreiben datenschutzkonform einsetzbar, schaut man sich die Angelegenheit allerdings einmal genauer an, fragt man sich, wie sie zu dieser Einschätzung gelangen konnten. Im moment sieht es nämlich so aus: Es kann (auch mit anomyzeip) nicht ausgeschlossen werden, dass ungekürzte IP-Adressen zu Google in die USA gesendet werden, dort macht Google irgendetwas mit ihnen – absolut intransparent. Allein das ist eine Datenerhebung/Datenübermittlung/Datenverarbeitung ohne jegliche Legitimationsgrundlage. Habt Ihr das übersehen oder ist Euch das einfach egal? ;)

Antworten
Valadir
Valadir

Der letzte Satz „Der Vertrag mit Google muss für jede Domain abgeschlossen werden.“ ist im übrigen auch unfug – Der Vertrag wird für das Google Konto abgeschlossen, Domains interessierten niemanden.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung