Google Analytics datenschutzkonform einsetzen

IT-Wissen | Posted by SYMPLASSON | 21 Februar 2018
Google Analytics datenschutzkonform einsetzen

Die Rechtsmäßigkeit von Analyse-Tools auf Webseiten und in Apps ist sehr umstritten. Um das Tool datenschutzrechtlich einsetzen zu können, gibt es mit den Aufsichtsbehörden abgestimmte Regelungen, die Sie als Seitenbetreiber einhalten müssen, um Google Analytics und Google Universal Analytics rechtssicher und ohne Angst vor Abmahnungen nutzen zu können. Wir zeigen, was Sie tun müssen.

Das sind die 5 Schritte für eine datenschutzkonforme Nutzung von Analytics: 

Für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google ergeben sich insgesamt fünf Punkte, die Sie in Zukunft einhalten müssen: 

  • Sie müssen mit Google einen Vertrag zur Auftragsverarbeitung abschließen (den sogenannten § 11 BDSG – Vertrag) 
  • Sie müssen zukünftig alle IP-Adressen Ihrer Besucher anonymisieren 
  • Betroffene müssen von Ihnen ein Widerspruchsrecht eingeräumt bekommen 
  • Ihre Datenschutzerklärung müssen Sie anpassen 
  • Sollten Sie Google Analytics bisher verwendet haben, ohne entsprechende Maßnahmen zu ergreifen, müssen alle von Ihnen erhobenen Daten gelöscht werden 

1. Vertrag zur Auftragsverarbeitung

Es ist mit Google ein schriftlicher Vertrag zur Auftragsverarbeitung abzuschließen, da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren. Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen. Drucken Sie diesen aus, ergänzen Sie alle Daten und senden Sie den unterschriebenen Vertrag in zweifacher Ausfertigung an Google in Irland. Sie bekommen ein gegengezeichnetes Exemplar zurück.

2. IP-Adressen anonymisieren

Eine weitere Voraussetzung für die rechtskonforme Nutzung von Google Analytics und Universal Analytics ist die Anonymisierung der IP-Adressen der Nutzer über das Einbinden der Funktion "anonymize IP".

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung anonymizeIp werden die letzten 8 Bit der IP-Adressen gelöscht und anonymisiert. Eine grobe Lokalisierung ist dadurch zwar weiterhin möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Aktuell werden zwei Varianten des Tracking-Codes genutzt:

  • Universal Analytics
  • Klassisches Analytics

Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung anonymizeIp möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code manuell angepasst werden.

WICHTIG: Dieser Code für die "anonymizeIP() - Funktion" muss jeder Betreiber von Hand in seinem Google Analytics Code anpassen. Da das Einbauen des Codes in der Anleitung von Google sehr undurchsichtig beschrieben ist, haben wir eine eigene kurze Anleitung für Sie dazu verfasst: 

Datenschutz mit „Universal Analytics“:

Der datenschutzkonforme Tracking-Code für Universal Analytics könnte wie folgt aussehen:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', '
anonymizeIp', true);
ga('send', 'pageview');

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

 

Datenschutz mit „Klassisches Analytics“:

Der datenschutzkonforme Tracking-Code für Klassisches Analytics könnte wie folgt aussehen:

<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._
anonymizeIp']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? '
https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

 

3. Widerspruchsrecht 

Betroffenen muss das Recht eingeräumt werden, dem Tracking ihrer Daten zu widersprechen. Webseitenbetreiber, die keine Widerspruchsmöglichkeiten für Google Analytics in ihrer Datenschutzerklärung eingebunden haben, laufen Gefahr, sich eine Abmahnung einzuhandeln, wie es beispielsweise die "Wettbewerbszentrale" aktuell tut.

Es müssen beide Arten des Widerspruchs implementiert werden: 

  1. Link zum Deaktivierungs-Add-on 
  2. Setzen eines Opt-Out-Cookies 

Das Deaktivierungs-Add-on verhindert, dass Google Analytics auf jeder besuchten Webseite ausgeführt wird. Webseitenbetreiber haben lediglich die Pflicht, auf diese Software zu verlinken (siehe 4.). Das Add-on ist nur für Desktop-Browser verfügbar, was von den Aufsichtsbehörden beanstandet wurde. 

Google hat eine weitere Möglichkeit mit dem Opt-Out-Cookie geschaffen. Wird dieser in der Website integriert, kann der Nutzer durch Klicken eines Links in der Datenschutzerklärung (siehe 4.) ein Opt-Out-Cookie setzen. Für das Opt-Out-Cookie muss folgendes Script immer vor dem eigentlichen Google Analytics-Script (siehe 2.) im Quelltext eingefügt werden. Dadurch wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde. 

<script> 

var gaProperty = 'UA-XXXXXXX-X'; 

var disableStr = 'ga-disable-' + gaProperty; 

if (document.cookie.indexOf(disableStr + '=true') > -1) { 

   window[disableStr] = true; 

function gaOptout() { 

   document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 

   window[disableStr] = true; 

</script> 

ACHTUNG: Ersetzen Sie die Zeichenfolge UA-XXXXXXX-X durch Ihre Google Analytics Tracking ID! 

Weitere Informationen zur Einrichtung finden Sie hier

 

4. Angepasste Datenschutzerklärung

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben!

Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.

Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt) kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit den von uns vorgeschlagenen Ergänzungen versehen. Diese Ergänzungen sind im Magenta-Ton markiert:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „anonymizeIp“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Gerne kann unsere Formulierung unter Angabe der Quelle www.datenschutzbeauftragter-info.de übernommen werden.

 [showhide type=“datenschutzhinweis-english“ more_text=“+ Englische Version des Datenschutzhinweises anzeigen“ less_text=“- Englische Version des Datenschutzhinweises ausblenden“]

This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website (including your IP address) will be transmitted to and stored by Google on servers in the United States. In case of activation of the IP anonymization, Google will truncate/anonymize the last octet of the IP address for Member States of the European Union as well as for other parties to the Agreement on the European Economic Area. Only in exceptional cases, the full IP address is sent to and shortened by Google servers in the USA. On behalf of the website provider Google will use this information for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing other services relating to website activity and internet usage to the website provider. Google will not associate your IP address with any other data held by Google. You may refuse the use of cookies by selecting the appropriate settings on your browser. However, please note that if you do this, you may not be able to use the full functionality of this website. Furthermore you can prevent Google’s collection and use of data (cookies and IP address) by downloading and installing the browser plug-in available under https://tools.google.com/dlpage/gaoptout?hl=en-GB.

You can refuse the use of Google Analytics by clicking on the following link. An opt-out cookie will be set on the computer, which prevents the future collection of your data when visiting this website:

<a href=“javascript:gaOptout()“>Disable Google Analytics</a>

Further information concerning the terms and conditions of use and data privacy can be found at http://www.google.com/analytics/terms/gb.html or at https://www.google.de/intl/en_uk/policies/. Please note that on this website, Google Analytics code is supplemented by “anonymizeIp” to ensure an anonymized collection of IP addresses (so called IP-masking).

[/showhide]

 

5. Löschung von Altdaten

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Properties (ehemals Profile) sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

 

Unser Fazit

Das Beispiel Google Analytics zeigt, dass ein datenschutzkonformer Einsatz von Analyse-Tools möglich ist, sofern alle Schritte eingehalten werden. Der Vertrag mit Google muss für jede Domain abgeschlossen werden. 

Es kann jedoch nicht ausgeschlossen werden, dass Gesetzesänderungen zukünftig weitere Anpassungen erforderlich machen. 


Weiterführende Themen:

Wenn Sie weitere Fragen haben, kontaktieren Sie uns!

Wir helfen Ihnen gerne weiter!

Team ACM

Team ACM

Telefonnummer: +49 40 533071-0

Kontakt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!