Ratgeber
Google Analytics in Deutschland datenschutzkonform einsetzen – so geht’s
Analytics kann dabei helfen, die eigene Seite zu verbessern, indem sich gut rankender Content leicht identifizieren lässt. Um dieses Tool auch im datenschutzrechtlich vergleichsweise strengen Deutschland einsetzen zu können, gibt es einige mit den Aufsichtsbehörden abgestimmte Maßnahmen, die ihr ergreifen müsst, die das Blog datenschutzbeauftragter-info.de zusammengestellt hat.
- Du musst mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen, den § 11 BDSG – Vertrag.
- Du musst zukünftig alle IP-Adressen deiner Besucher anonymisieren.
- Besucher müssen ein Widerspruchsrecht eingeräumt bekommen.
- Die Datenschutzerklärung muss angepasst werden.
- Solltest du Google Analytics bisher verwendet haben, ohne entsprechende Maßnahmen zu ergreifen, müssen alle erhobenen Daten gelöscht werden.
Den Vertrag kannst du hier herunterladen. Drucke ihn aus, ergänze alle Daten und sende den unterschriebenen Vertrag in zweifacher Ausfertigung an Google in Irland. Du bekommst ein gegengezeichnetes Exemplar zurück und kannst dann loslegen.
Es gibt zwei Varianten von Analytics: klassisches und universales Analytics. Über das Entwicklertool in Browsern kannst du leicht ermitteln, welche der Varianten zum Einsatz kommt. Es kann auch das klassische Analytics (ga.js) das Universal Analytics (analytics.js) gleichzeitig eingesetzt werden.
Der Trackingcode von Google ist nicht datenschutzkonform. An ihn muss die Code Erweiterung „anonymizeIp“ eingefügt werden, welche die letzten acht Bit der IP-Adressen löscht und diese damit anonymisiert.
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
Der Code gehört in den Quelltext aller Frontend-Seiten auf deiner Website, und zwar in den Header vor das schließende Tag.
Deine Besucher müssen die Chance haben, sich gegen das Aufzeichnen ihrer Daten zu wehren. Hierfür gibt es zwei Möglichkeiten, die beide zur Verfügung gestellt werden müssen. Die eine Variante ist der Link zum Deaktivierungs-Add-on, die andere ist das Setzen eines Opt-Out-Cookies.
Das Deaktivierungs-Add-on muss verlinkt werden. Dies funktioniert nur bei Desktop-Browsern, was natürlich angesichts der wachsenden Nutzung von mobilen Geräten nicht ausreicht. Für responsive Seiten wird das Opt-Out-Cookie immer vor dem eigentlichen Analytics Code in die Seite eingefügt.
So sieht das Script aus:
<script>
var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
</script>
Füge die folgende Datenschutzerklärung gut sichtbar verlinkt auf deiner Page ein. Erstelle hierfür am besten eine extra Seite, die du „Datenschutz“ nennst.
„Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.
Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren.
Weitere Informationen zur Datennutzung zu Werbezwecken durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfahren Sie auf den Webseiten von Google: „Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“, „Datennutzung zu Werbezwecken“, „Informationen verwalten, die Google verwendet, um Ihnen Werbung einzublenden“ und „Bestimmen Sie, welche Werbung Google Ihnen zeigt“.“)
Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke
Wenn du bereits nicht anonymisierte Daten erhoben hast, musst du diese auf jeden Fall löschen. Dann bist du datenschutzkonform unterwegs und kannst das Verhalten deiner Besucher ohne schlechtes Gewissen tracken. Hier noch zwei Hinweise:
Es können über deine Besucher Daten an Google geschickt werden, ohne dass du davon weißt, denn viele Tools von Drittanbietern bringen Analytics mit. Aktiviere „Ghostery“ in deinem Browser, um zu überprüfen, welche Tracker auf deiner Seite aktiv sind. Solltest du auf betroffene Plugins oder Tools nicht verzichten können oder wollen, dann ergreife die entsprechenden Maßnahmen für den datenschutzkonformen Einsatz.
Verträge mit Google, die vor dem 23. September 2016 abgeschlossen wurden, sollten erneuert werden, da es Änderungen gab. Fazit: Es ist möglich, Google Analytics datenschutzkonform einzusetzen, wenn die Schritte eingehalten werden. Der Vertrag mit Google muss für jede Domain abgeschlossen werden.
Ebenfalls spannend:
- Besucher, Conversions, Umsatz: Diese Custom-Reports für Google Analytics liefern dir alle wichtigen Kennzahlen
- Datenschützer warnen vor Whatsapp an Schulen
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Vielen Dank für diese äußerst hilfreiche und praktische Anleitung.
Jetzt kam mir folgende Frage auf. Bezüglich der Einbindung des Analytics Codes im Head Bereich.
Ist das so strickt im Datenschutz verankert oder darf ich weiterhin, den Analytics Code in eine .js Datei auslagern um diese asynchron nachzuladen?
Danke und viele Grüße
Gute Frage… !
Ich halte die in diesem Artikel prokalmierte Aussage für schlicht falsch.
Zwar meinen einige Datenschutzbehörden, Google Anayltics sei wie hier beschreiben datenschutzkonform einsetzbar, schaut man sich die Angelegenheit allerdings einmal genauer an, fragt man sich, wie sie zu dieser Einschätzung gelangen konnten. Im moment sieht es nämlich so aus: Es kann (auch mit anomyzeip) nicht ausgeschlossen werden, dass ungekürzte IP-Adressen zu Google in die USA gesendet werden, dort macht Google irgendetwas mit ihnen – absolut intransparent. Allein das ist eine Datenerhebung/Datenübermittlung/Datenverarbeitung ohne jegliche Legitimationsgrundlage. Habt Ihr das übersehen oder ist Euch das einfach egal? ;)
Der letzte Satz „Der Vertrag mit Google muss für jede Domain abgeschlossen werden.“ ist im übrigen auch unfug – Der Vertrag wird für das Google Konto abgeschlossen, Domains interessierten niemanden.