Die Bedenken zum Datenschutz bei Google Analytics mehren sich, nicht zuletzt durch die häufigeren Cookie-Hinweise. Doch man kann Google Analytics nach derzeitigem Stand datenschutzkonform einsetzen, so dass das Bundesdatenschutzgesetzes eingehalten wird. Die folgende ausführlichen Anleitung zeigt Dir daher Schritt für Schritt, wie Du Google Analytics datenschutzkonform auf Deiner Webseite, Deinem Blog etc. einsetzen kannst.

Google Analytics datenschutzkonform einsetzen
Google Analytics datenschutzkonform einsetzen

Welche Schritte muss man umsetzen?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind.

To Do

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasste Datenschutzerklärung
  5. Ggf. Löschung von Altdaten

1. Vertrag zur Auftragsdatenverarbeitung

Da nach Ansicht der Aufsichtsbehörden Webseitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Einen mit den Aufsichtsbehörden abgestimmten Entwurf kannst Du hier herunterladen.

Achtung
Diesen Vertrag zweifach ausdrucken, unterschreiben und dann per Post an Google senden. Google gibt dafür die Zentrale in Dublin an, manche Nutzer berichten, dass man es auch an die Zweigstelle in Hamburg senden kann. Wer auf Nummer sich gehen will, muss es per Post nach Dublin schicken.

2. IP-Adressen anonymisieren

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Codes von Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung anonymizeIp werden die letzten 8 Bit-Block der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

AchtungDer von Google vorgegebene Tracking-Code erfüllt diese Anforderungen zum Datenschutz nicht. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung anonymizeIp möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code durch eine Zeile an der richtigen Stelle ergänzt werden.

IP-Adressen anonymisieren mit Universal Analytics

Der datenschutzkonforme Tracking-Code für Universal Analytics muss folgende Zeile beinhalten:

ga('set', 'anonymizeIp', true);

Tracking-Code für Universal Analytics
Weitere Informationen zur Einrichtung findest Du hier.

IP-Adressen anonymisieren mit Klassischem Analytics

Der datenschutzkonforme Tracking-Code für Klassisches Analytics muss folgende Zeile beinhalten:

_gaq.push (['_gat._anonymizeIp']);

Datenschutz mit Klassischem Analytics
Weitere Informationen zur Einrichtung findest Du hier.

3. Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.
Es müssen beide Arten des Widerspruchs implementiert werden:

  • Link zum Deaktivierungs-Add-on
  • Setzen eines Opt-Out-Cookies

Link zum Deaktivierungs-Add-on

Das Deaktivierungs-Add-on verhindert, dass Google Analytics auf jeder besuchten Webseite ausgeführt wird. Webseitenbetreiber haben lediglich die Pflicht, auf diese Software zu verlinken (siehe 4. Datenschutzerklärung) Das Add-on ist aber nur für Desktop-Browser verfügbar, was von den Aufsichtsbehörden beanstandet wurde.

Setzen eines Opt-Out-Cookies

Google hat nun eingelenkt und eine weitere Möglichkeit mit dem Opt-Out-Cookie geschaffen. Der Nutzer (also auch der mobile Nutzer) hat die Möglichkeit, durch Klicken eines Links in der Datenschutzerklärung ein Opt-Out-Cookie zu setzen. Für das Opt-Out-Cookie muss folgendes Script immer vor dem eigentlichen Google Analytics-Script im Quelltext eingefügt werden. Dadurch wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.

<script>
var gaProperty = 'UA-DEINEANALYTICSID';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}
</script>

Code Opt-Out-Cookie Google Analytics
Weitere Informationen zur Einrichtung findest Du hier.

4. Angepasste Datenschutzerklärung

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben.

Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.

Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit ein paar zusätzlichen Ergänzungen (ohne Gewähr).

Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Weitere Informationen zur Datennutzung zu Werbezwecken durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfährst Du auf den Webseiten von Google: https://www.google.com/intl/de/policies/privacy/partners/ („Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“), http://www.google.com/policies/technologies/ads („Datennutzung zu Werbezwecken“), http://www.google.de/settings/ads („Informationen verwalten, die Google verwendet, um Dir Werbung einzublenden“) und http://www.google.com/ads/preferences/ („Bestimmen Sie, welche Werbung Google Dir zeigt“).

5. Löschung von Altdaten

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Properties (ehemals Profile) sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Fazit

Alle diese Punkte sind Inhalte des Vertrags zur Auftragsdatenverarbeitung nach §11 des BDSG. Hast Du alle diese Punkte erfolgreich ausgeführt, müsstest Du Google Analytics ab sofort datenschutzrechtlich ohne Bedenken benutzen können.

Weitere hilfreiche Webseiten

Autor

Robert Hartl

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.