Inhalt des Beitrags
Google Analytics datenschutzkonform nutzen
Google Analytics
So nutzt man es datenschutzkonform
Ob in Form von Echtzeitberichten oder in Form von benutzerdefinierten Berichten, wenn es darum geht, Websites oder Apps statistisch auszuwerten, sind Analyse-Tools unverzichtbare Instrumente. So wie kein Unternehmen auf prägnante Kennzahlen und Kennzahlensysteme verzichten kann um die Wirtschaftlichkeit sichtbar zu machen, gilt das gleiche für Analyse-Tools. Mit diesen lassen sich Interaktionen messen und analysieren und damit Informationen für den Beitrag von Websites auf den Geschäftserfolg darstellen.
Daraus abgeleitet kann mit Hilfe von Analyse-Tools ggf. die Notwendigkeit von Maßnahmen zur Suchmaschinenoptimierung erkannt werden. Allerdings soll in der folgenden Abhandlung nicht auf die einzelnen Tools eingegangen werden, sondern vielmehr auf deren datenrechtlichen Relevanz.
Dabei wird als repräsentatives Beispiel der Einsatz von Google Analytics betrachtet. Zwar gibt es Alternativen zu Google Analytics, aber diese können durchaus vernachlässigt werden. Dieses liegt an der fast flächendeckenden Verbreitung von Google Analytics, die wiederum eine Folge der Vielzahl von nützlichen Funktionen ist, die ständig weiterentwickelt und verbessert werden.
Analytics Vorgaben der Datenschutzbehörden
Welche Anforderungen Website-Betreiber erfüllen müssen, wenn sie Google Analytics einsetzen, ist schon seit längerer Zeit ein Streitpunkt. Durch das Fehlen eines höchstrichterlichen Urteils hierzu sahen sich die Betreiber bislang sowohl der Gefahr von Abmahnungen von Wettbewerbern als auch des Vorgehens von Datenschutzbehörden ausgesetzt. Urteile auf Landesgerichtsebene, die sich auf Einzelfälle stützten, besagen jedoch, dass der Einsatz von Google Analytics nicht verboten ist. Vielmehr müssen Website-Betreiber bei Aufruf der Website darüber informieren, dass via Google Analytics personenbezogene Daten erhoben und verwendet werden.
Diese Informationspflicht folgt aus § 13 Abs. 1 Satz 1 TMG und wird in der Regel durch die Bereitstellung einer Datenschutzerklärung erfüllt. Hierauf wird im Laufe des Textes noch eingegangen. Darüber hinaus gibt es mittlerweile Vorgaben der Aufsichtsbehörden (Datenschutzbehörden) hinsichtlich des Einklangs von Google Analytics mit deutschem Datenschutzrecht. Unter Beachtung dieser Vorgaben sowie entsprechender Google Regelungen sind die nachfolgenden fünf Punkte einzuhalten, um Google Analytics datenschutzkoform zu nutzen:
1. Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
2. Sicherstellung einer Anonymisierung der IP-Adressen
3. Widerspruchsrecht der Betroffenen
4. Angepasste Datenschutzerklärung
5. Löschung von Altdaten.
1. Vertrag zur Auftragsdatenverarbeitung
Es muss beim Einsatz von Google Analytics ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden. Ein mit den Aufsichtsbehörden abgestimmten Vertragsentwurf ist unter https://www.google.com/analytics/terms/de.pdf abrufbar.
Sofern jemand bereits Google Analytics nutzt oder einen Account für Google Analytics angelegt hat, empfiehlt es sich, diesen Vertrag zu verwenden.
2. Anonymisierung von IP-Adressen
Außerdem müssen Änderungen am Google Analytics-Programmcode vorgenommen werden, um Google mit der Kürzung von IP-Adressen zu beauftragen. Dazu ist der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Standardmäßig verwendet Analytics zur Erstellung allgemeiner geografischer Berichte die vollständigen IP-Adressen der Website-Nutzer.
Wenn die Verwendung von IP-Masken aktiviert ist, entfernt Analytics das letzte Oktett der IP-Adresse des Nutzers, bevor diese verwendet und gespeichert wird. Dies führt zu einer geringeren Präzision bei der Erstellung von geografischen Berichten.
Da also eine Anonymisierung der IP-Adressen gewährleistet sein muss, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt und zwar unter https://support.google.com/analytics/answer/2905384?hl=de.Durch Nutzung der Code-Erweiterung „anonymizeIp“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert.
Hierzu muss man wissen, dass Analytics zurzeit standardmäßig zwei Varianten des Tracking-Codes verwendet und zwar
· Universal Analytics
· Klassisches Analytics
Diese vorgegebenen Tracking-Codes erfüllen nicht die die Anforderungen zum Datenschutz. Um nunmehr Google Analytics datenschutzkonform zu nutzen, ist die erwähnte Code-Erweiterung „anonymizeIp“ zwingend erforderlich.
Dazu muss der jeweilige Google Analytics Tracking-Code manuell angepasst werden. Diese könnten wie folgt aussehen:
Code-Erweiterung: Google Universal Analytics
Quellen und weitere Infos von Google direkt
<script>
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚website.de‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);</script>
Code-Erweiterung: Klassisches Google Analytics
Quellen und weitere Infos von Google direkt
<script type=“text/javascript“>
var _gaq = _gaq || [];
_gaq.push([‚_setAccount‘, ‚UA-XXXXXXX-X‘]);
_gaq.push([‚_gat._anonymizeIp‘]);
_gaq.push([‚_trackPageview‘]);(function() {
var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚https://www‘) + ‚.google-analytics.com/ga.js‘;
var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s);
})();</script>
Mit diesen Anpassungen ist zwar weiterhin eine, wenn auch nur grobe, Lokalisierung möglich, jedoch werden diese von den deutschen Datenschutzbehörden anerkannt.
3. Widerspruchsrecht der Betroffenen
Betroffenen muss die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt werden. Hierzu müssen die beiden Arten des Widerspruchs
implementiert werden.
· Link zum Deaktivierungs-Add-on
· Setzen eines Opt-Out-Cookies
Erläuterung: Durch das Deaktivierungs-Add-on wird verhindert, dass Google Analytics automatisch auf jeder besuchten Webseite ausgeführt wird. Die Betreiber von Websites haben lediglich die Pflicht auf diese Software zu verlinken. Das Add-on ist allerdings nur für Desktop-Browser verfügbar. Da dieses von den Aufsichtsbehörden beanstandet wurde hat Google nunmehr die Möglichkeit geschaffen, durch Klicken eines Links in der Datenschutzerklärung ein Opt-Out-Cookie zu setzen. Für dieses muss das nachfolgende Script immer vor dem eigentlichen Google-Analytivs Skript (siehe Punkt 2) im Quelltext eingefügt werden.
<script> var gaProperty = 'UA-XXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } </script>
Durch dieses Skript (mehr Infos hier) wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.
4. Angepasste Datenschutzerklärung
Wie bereits im zweiten Abschnitt erwähnt, muss die Nutzung von Google Analytics in der Datenschutzerklärung zwingend anzugeben werden. Bislang fand man hierzu in den „Google Analytics Bedingungen“ eine entsprechende Formulierung als Textbaustein vor, die man in der Datenschutzerklärung verwenden konnte. Allerdings wird dieser Baustein von Google nicht mehr zur Verfügung gestellt. Wenn man jedoch davon ausgeht, dass die in der bisherigen Formulierung verwendeten Datenschutzhinweise von Google Analytics zutreffend beschrieben wurden und auch nicht wesentlich geändert wurden, so können diese unseres Erachtens auch weiterhin verwendet werden, sollten aber noch ergänzt werden.
Textvorlage ohne Ergänzungen
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, also Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (https://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.
Ergänzungen der Textvorlage
Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf den Link <a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a> klicken. Hierdurch
wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter https://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „anonymizeIp“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.
Quelle: www.datenschutzbeauftragter-info.de
5. Löschung von Altdaten
Es ist wichtig zu wissen, dass die beschriebenen Maßnahmen und Anpassungen nur neue Google Analytics Profile erfassen. Daten, die bislang über Google Analytics gesammelt wurden, ohne dass die oben aufgeführten Maßnahmen ergriffen und Informationen erteilt wurden, sind nach Auffassung der Aufsichtsbehörden unrechtmäßig. Um nicht in datenrechtliche Konflikte zu kommen, sollten diese umgehend gelöscht werden.
Fazit zuR datenschutzkonformen Nutzung
Sofern die beschriebenen Anpassungen vorgenommen werden ist es also auch weiterhin möglich, Google Analytics zu nutzen. Allerdings kann nicht ausgeschlossen werden, dass Gesetzesänderungen zukünftig weitere Anpassungen erforderlich machen. So bestehen zum Beispiel zurzeit noch rechtliche Unklarheiten beim Umgang mit Google Analytics vor dem Hintergrund der europäischen Cookie-Richtlinie.
Zum Thema Google Analytics finden Sie weitere Beiträge
Sie haben Fragen oder brauchen Hilfe?
Unser Team ist für Sie da!
Sie haben Fragen oder brauchen Hilfe?
Unser Team ist für Sie da!
- Rufen Sie uns an
- 0221 – 270 967 50