Google Analytics datenschutzkonform einbinden – so funktioniert´s!

Update vom 14.05.2021

Warum man Google Analytics nutzen sollte, also welchen Mehrwert dieses Tool bietet, haben viele Unternehmen bereits für sich erkannt (Hier erhalten Sie die wichtigsten Infos zum Tool). Analytics ist genau wie Google Ads und die Search Console ein mächtiges von Google kostenlos zur Verfügung gestelltes Tool zur optimalen Analyse des eigenen Webauftrittes.

Um Analytics aber auch abmahnsicher zu verwenden, sind einige Punkte zu beachten. Wie Google Analytics datenschutzkonform eingesetzt wird, erfahren Sie im Folgenden in unserem Beitrag.

Im Online-Marketing gilt die weit verbreitete Regel: kein Projekt ohne Tracking und Analyse! Ein Analyse Tool, (wie Google Analytics) gehört daher heute zu fast jeder Webseite. Vielleicht überlegt der Ein oder Andere ein solches Tool nachzurüsten und für die Webseite des Unternehmens zu nutzen.

Wie Google Analytics in Deutschland rechtskonform eingesetzt wird

Für den ordnungsgemäßen Betrieb in Deutschland ist es zwingend erforderlich Google Analytics datenschutzkonform zu konfigurieren und einzurichten.

Seit Einführung der DSGVO im Mai 2018 ist es inzwischen Standard, neue Nutzer bereits beim ersten Aufruf über verwendete Analyse- und Trackingtools und damit verbundene Cookies zu informieren. Zu Beginn geschah dies häufig wenig prominent und war weiterhin eine Opt-out-Variante. Das heißt, der Nutzer musste selbst explizit das Tracking deaktivieren, über entsprechende Konfigurationsmöglichkeiten.

Inzwischen setzt sich die Einschätzung der Beauftragten für den Datenschutz durch, dass ein Tracking erst nach einer expliziten Zustimmung erfolgen darf. Dazu genügt nicht ein einfaches Schließen eines Popups oder ein OK-Button. Dazu Ulrich Kelber, aktuell Bundesbeauftragter für den Datenschutz:

Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind, und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Sie sollten also beim Einholen der Einwilligung deutlich machen, wofür Sie diese Einwilligung brauchen, und die Zustimmung sollte deutlich gekennzeichnet sein. Außerdem sollten Ihre Nutzer die Möglichkeit zur Ablehnung (bzw. Widerspruch) enthalten, hier ein Beispiel.

Aber wie verwendet man Analytics datenschutzkonform?

Dafür sind einige Punkte zu beachten und zwar am besten bevor man in seinem Webauftritt Google Analytics einbindet. Wer Analytics schon in seiner Webseite eingebunden hat und die folgenden Punkte nicht erfüllt, nutzt Google Anayltics nicht datenschutzkonform. In diesem Fall sollte nachgerüstet werden um das Analyse Tool rechtsverbindlich zu verwenden. Außerdem müssen die Altdaten gelöscht werden, mehr dazu später unter Punkt 5.

Diese Punkte sollten Sie erfüllen um Analytics rechtskonform einzusetzen:

  1. Haben Sie einen korrekten Datenschutzvertrag mit Google?
  2. Informieren Sie korrekt zum Einsatz von Google Analytics?
  3. Sorgen Sie für die Anonymisierung der gesammelten Daten?
  4. Sind alte (nicht anonymisierte) Daten gelöscht?
  5. Ist alles richtig implementiert? (Ziehen Sie im Zweifel einen Experten hinzu!)  
  6. Haben Sie den Nutzern die Möglichkeit gegeben dem Sammeln von Daten mit Google Analytics zu widersprechen?
  7. Möglichkeit den Besucher einzuräumen, damit dieser das Tracking widersprechend kann. Mittels einer Cookie Banner Lösung. Wichtig: Hier muss jeweils ein „Akzeptieren“ und „Verweigern“ Button dargestellt werden.

1. Vertrag mit Google zur Auftragsdatenverarbeitung

Wenn Sie sich bei Google Analytics anmelden und Sie das Tool für die Webseite hinzugefügt haben, ist ein Vertrag mit Google notwendig, um Analytics datenschutzkonform einzusetzen. Google sammelt und verarbeitet im Auftrag des Webseitenbetreibers Daten über das Verhalten der Benutzer und stellt diese dem Auftraggeber zur Verfügung. Weitere Informationen finden Sie unter folgendem Link: https://support.google.com/analytics/answer/3379636

2. Google Analytics in der Datenschutzerklärung

Für die rechtssichere Nutzung von Google Analytics ist nicht nur ein Vertrag notwendig, sondern auch die Erwähnung in der Datenschutzerklärung. Dieser Absatz muss in der Datenschutzerklärung aufgeführt werden, um Analytics korrekt zu nutzen:

“Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics ermöglicht es dem Websitebetreiber, das Verhalten der Websitebesucher zu analysieren. Hierbei erhält der Websitebetreiber verschiedene Nutzungsdaten, wie z.B. Seitenaufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft des Nutzers. Diese Daten werden von Google ggf. in einem Profil zusammengefasst, das dem jeweiligen Nutzer bzw. dessen Endgerät zugeordnet ist. Google Analytics verwendet Technologien, die die Wiedererkennung des Nutzers zum Zwecke der Analyse des Nutzerverhaltens ermöglichen (z.B. Cookies oder Device-Fingerprinting). Die von Google erfassten Informationen über die Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die Nutzung dieses Analyse-Tools erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://privacy.google.com/businesses/controllerterms/mccs/.”*

Die Datenschutzerklärung muss von allen Seiten aus erreichbar sein und sollte gesondert vom Impressum aufgeführt werden, also als eigenständiger Menüpunkt. In Google Analytics Impressumsmustern und Impressum-Generatoren wird dies zum Teil noch immer falsch ausgegeben.

3. Ist für die Anonymisierung der IP-Adresse gesorgt?

Damit User rechtskonform und anonymisiert surfen können stellt Google IP-Masken zur Verfügung. Durch eine Erweiterung des Tracking-Codes wird das letzte Oktett der IP-Adresse der Websitenutzer abgeschnitten und der User kann anonymisiert auf der Website surfen. Die Daten sind dann nicht mehr auf eine einzelne Person zurückzuführen. Der mitgegebene Tracking-Code von Google Analytics braucht diesen Zusatz, um in Deutschland eine rechtskonforme Einbindung auf der Website zu gewährleisten!

Mit der Code-Erweiterung in rot können Sie Google Analytics datenschutzkonform einsetzen.

<script>(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);

</script>

In der IP-Maske gibt es einen Artikel von Google, der weitere Fragen beantwortet. Wir von TILL.DE stehen Ihnen bei Fragen rund um Analytics auch sehr gern mit Rat und Tat zur Seite und zeigen zum Beispiel wo man den Google Analytics Code einfügt und auch wie Google Analytics funktioniert!

4. Zwei Wege Google Analytics zu widersprechen

Um der Sammlung von Daten und damit Google Analytics zu widersprechen, gibt es zwei Möglichkeiten. Zum einen können Sie im Browser (z.B. Google Chrome, Mozilla Firefox oder Safari) ein Browser Add-on zur Deaktivierung von Analytics herunterladen. Das Add-on finden Sie hier.

Zum anderen gibt es in der Datenschutzerklärung jeder Website, die Google Analytics datenschutzkonform einsetzt, einen Link mit dem man die Möglichkeit hat Analytics zu blocken. Mit diesem Opt-out-Cookie liefert Google auch für mobile Endgeräte die Möglichkeit Analytics zu widersprechen.  

5. Nicht anonymisierte Daten von Google Analytics löschen

Haben Sie mit Analytics Daten gesammelt ohne einen Code einzufügen der die Daten der Nutzer anonymisiert, müssen Sie alle bis dahin erhobenen Daten löschen. Vor der Erweiterung des Codes erhobene Daten sind nach Ansicht der Aufsichtbehörde widerrechtlich und somit zu löschen. Um wirklich sicher zu gehen sollte man dazu die Property in Google Analytics löschen.

6. Implementierung einer Cookie Banner Lösung

Eine Cookie Banner Lösung ist aktuell notwendig und unabdingbar. Ohne diese gilt die Google Analytics Einrichtung als Abmahnfähig. Um dies zu umgehen können Sie bei beliebigen Anbietern eine Lösung erwerben, zum Beispiel: Usercentrics, Borlabs Coookie, Cookiefirst, Cookiebot und viele mehr.

Für die Einrichtung wird von den jeweiligen Anbietern eine Schritt für Schritt Anleitung nach Erwerb zur Verfügung gestellt. Hierbei hat man die Möglichkeit selbst zu entscheiden, wie man die Lösung einbinden möchte, entweder direkt über die Webseite oder über das Trackingtool von Google ( Google Tag Manager ).

Nach erfolgreicher Einrichtung sollte somit das Tracking erst dann ausgeführt werden, wenn der Benutzer auch der Cookie Banner Lösung zugestimmt hat.

Fazit:

Mit Analytics kann man zu vielen hilfreichen Erkenntnissen über die Qualität der eigenen Website kommen. Neben der technischen Seite, richtige Implementierung des Java Skripts und die korrekte Einrichtung des Tools, spielt die rechtliche Seite ebenfalls eine wichtige Rolle für die richtige Verwendung von Google Analytics. Wir beraten Sie gerne in Hinsicht auf technische Fragen.

Um Analytics datenschutzkonform einzubinden:

  • ist ein Datenschutzvertrag mit Google,
  • die Anonymisierung der Nutzerdaten
  • Google Analytics in der Datenschutzerklärung
  • Cookie Banner mit explizitem OptIn des Nutzers

Erst dann kann Analytics bedenkenlos eingesetzt und mit der Sammlung von Daten begonnen werden. Haben Sie alle Punkte erfüllt, können Sie starten, nun steht einer erfolgreichen Optimierung Ihrer Webseite nichts mehr im Weg!

*Der Auszug aus der Datenschutzerklärung ist als Beispiel gedacht. TILL.DE bietet keine verbindliche Rechtsberatung an. Wenden Sie sich im Zweifel an Ihren Fachanwalt für Informationstechnologierecht.

Erfahren Sie mehr über das Privacy Shield Abkommen zwischen der EU und den USA und die Einführung bei Google Analytics: https://analytics.googleblog.com/