Google Analytics rechtssicher einsetzen – 6 Schritte

Mit der Inkrafttretung der DSGVO sind die Regeln für die Nutzung von Google Analytics klar definiert worden. In diesem Beitrag zeige ich Dir die 6 Schritte, wie Du das Tool DSGVO-konform einsetzen kannst.

Google Analytics ist in Bezug auf die DSGVO etwas umstritten. Du kannst das Tool aber weiterhin rechtssicher nutzen, wenn Du folgende Schritte beachtest:

Inhaltsverzeichnis:

Schritt 1: AV-Vertrag abschließen

Um den Auftragsverarbeitungsvertrag bzw. den Zusatz zur Datenverarbeitung für Google Analytics abzuschließen, sind 7 Schritte abzuarbeiten. Welches das sind, erfährst Du im Beitrag AV-Vertrag für Google Analytics abschließen – so geht´s.

Schritt 2: Tracking-Code richtig einfügen

Folgender Code muss im <head>-Bereich Deiner Seite eingefügt werden und zwar auf jeder Seite, die analysiert werden soll. Dabei ist darauf zu achten, dass die IP-Anonymizierung aktiv ist! Dadurch werden die letzten 8 Bit der IP-Adressen gelöscht, was zu einer Anonymisierung führt. Es ist zwar weiterhin festzustellen, wo sich der Nutzer in etwa befindet, dies wird aber von Datenschutzbehörden akzeptiert.

Den Tracking-Code findest Du, wenn Du in Analytics unter ‘Verwaltung’ gehst und dann im mittleren Bereich auf ‘Tracking-Informationen’ klickst und ‘Tracking-Code’ aufrufst.

In den weiteren Codedarstellungen ist GA_TRACKING_ID dabei natürlich durch die eigene ID zu ersetzen. In Analytics wird diese bereits eingesetzt.

Mittlerweile erhält man in Google Analytics nur noch den Code für Universal Analytics. Vielleicht verwendest Du aber noch das klassische Analytics. Daher stelle ich auch die notwendigen Informationen dafür bereit.

Tracking-Code in Analytics finden

Für Classic Analytics:

<!– Google Analytics –>
<script>
window.ga=window.ga||function(){(ga.q=ga.q||[]).push(arguments)};ga.l=+new Date;
ga(‘create’, ‘GA_TRACKING_ID’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);
</script>
<script async src=’https://www.google-analytics.com/analytics.js’></script>
<!– End Google Analytics –>

Für Universal Analytics:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID”></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());

gtag(‘config’, ‘GA_TRACKING_ID’, { ‘anonymize_ip’: true });
</script>

Hinweis: Wenn Du WordPress einsetzt, dann kannst Du diesen Schritt auch mit einem Plugin wie Google Analytics für WordPress von MonsterInsights erledigen. Ich gehe auf diese Möglichkeite aber nicht näher ein, da i.d.R. jedes gut programmierte Theme einen Script-Bereich beinhaltet, über welchen Du den Code in den <head>-Bereich einfügen kannst.

Schritt 3: Opt-Out einfügen

Gemäß Art. 21 S. 1 DSGVO hat “Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen”. Daher ist es unbedingt notwendig ein sogenanntes Opt-out-Cookie einzusetzen, um der Nutzung von Google Analytics widersprechen zu können.

Um das Cookie zu setzen, gibt es zwei Möglichkeiten – entweder den Tracking-Code aus Schritt 2 erweitern oder ein Plugin zu verwenden, dass diesen Zusatz übernimmt.

Erweiterung des Tracking-Codes

Es ist sehr wichtig, dass dieser Code vor dem eigentlichen Tracking-Code eingefügt wird, da er vor dem Setzen des Trackings abgearbeitet werden muss, damit bei Bedarf das Tracking verhindert werden kann.

Für Classic Analytics:

<script>
// Set to the same value as the web property used on the site
var gaProperty = ‘GA_TRACKING_ID’;
// Disable tracking if the opt-out cookie exists.
var disableStr = ‘ga-disable-‘ + gaProperty;
if (document.cookie.indexOf(disableStr + ‘=true’) > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‘=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/’;
window[disableStr] = true;
alert(‘Das Tracking durch Google Analytics wurde in Ihrem Browser für diese Website deaktiviert.’);
}
</script>

<!– Google Analytics –>
<script>
window.ga=window.ga||function(){(ga.q=ga.q||[]).push(arguments)};ga.l=+new Date;
ga(‘create’, ‘GA_TRACKING_ID’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);
</script>
<script async src=’https://www.google-analytics.com/analytics.js’></script>
<!– End Google Analytics –>

Für Universal Analytics:

<script>
// Set to the same value as the web property used on the site
var gaProperty = ‘GA_TRACKING_ID’;
// Disable tracking if the opt-out cookie exists.
var disableStr = ‘ga-disable-‘ + gaProperty;
if (document.cookie.indexOf(disableStr + ‘=true’) > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‘=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/’;
window[disableStr] = true;
alert(‘Das Tracking durch Google Analytics wurde in Ihrem Browser für diese Website deaktiviert.’);
}
</script>

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID”></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());

gtag(‘config’, ‘GA_TRACKING_ID’, { ‘anonymize_ip’: true });
</script>

Opt-Out via Plugin-Einbindung

Nutzt Du ein Content-Management-System wie WordPress, so kannst Du das Analytics-Opt-Out auch ganz einfach über ein Plugin einbauen.

Geeignet hierfür ist beispielsweise Google Analytics Opt-Out (DSGVO / GDPR) der Schweizer Solutions GmbH.

Die Einrichtung ist sehr einfach. Du aktivierst die Opt-Out Funktion, gibst Deine Tracking-ID an und fügst den Shortcode [ga-optout] in deine Datenschutzerklärung an die Stelle ein, wo sich der Link für die Widerrufsmöglichkeit sein soll und gibst die Seite an, auf der sich der Shortcode befindet.

Anschließend kannst Du die Mitteilungen, die angezeigt werden, noch anpassen.

Wirklich gut an diesem Plugin finde ich, dass es den Status der Webseite überprüft und Dir genau sagt, was noch fehlt oder ob alles in Ordnung ist.

Plugin-Einstellungen für Google Analytics Opt-Out

Schritt 4: Datenschutzerklärung anpassen

Wenn Du Google Analytics anhand der obigen Schritte erfolgreich eingebunden hast, dann solltest Du unbedingt deine Datenschutzerklärung anpassen. Passende Texte bieten Dir z.B. die Datenschutzgeneratoren von eRecht24 (nur für Premium-Mitglieder) oder der Kanzlei Wilde Beuger Solmecke.

So sieht z.B. der Eintrag zu Analytics in der Datenschutzerklärung dieser Seite aus (Stand: 15.12.2018):

Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google Analytics verwendet so genannte „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Die Speicherung von Google-Analytics-Cookies und die Nutzung dieses Analyse-Tools erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

IP Anonymisierung

Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Verbiete Google Analytics, mich zu verfolgen

Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.

Auftragsverarbeitung

Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.

Demografische Merkmale bei Google Analytics

Diese Website nutzt die Funktion “demografische Merkmale” von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt “Widerspruch gegen Datenerfassung” dargestellt generell untersagen.

Schritt 5: Aufbewahrungsdauer der Daten festlegen

Seit dem 25. Mai 2018 bietet Google Steuerelemente zur Datenaufbewahrung an. 

“Die Aufbewahrungsdauer gilt für Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen (z. B. User ID) und Werbe-IDs (z. B. DoubleClick-Cookies, Android-Werbe-ID, IDFA [Apple-Kennung für Werbetreibende]) verknüpft sind.

Standardmäßige zusammengefasste Google Analytics-Berichte sind davon nicht betroffen. Die Nutzer- und Ereignisdaten, die über diese Einstellung verwaltet werden, sind nur erforderlich, wenn Sie bestimmte erweiterte Funktionen verwenden, also beispielsweise benutzerdefinierte Segmente auf Berichte anwenden oder ungewöhnliche benutzerdefinierte Berichte erstellen.”

Standardmäßig werden die Daten für 26 Monate gespeichert. Gemäß Art. 25 DSGVO ‘Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen’ sollte der Zeitraum auf den kürzest möglichen Zeitraum, im aktuellen Fall, auf 14 Monate begrenzt werden. Zusätzlich sollte die Option ‘Bei neuer Aktivität zurücksetzen’ deaktiviert werden, da sonst die 26 Monate wieder aktiviert werden.

Optionen zur Datenaufbewahrung aufrufen
Datenaufbewahrung auf 14 Monate begrenzen

Schritt 6: Einwilligung (Opt-In) der Nutzer einholen

Dieser Punkt ist seit dem 25. Mai 2018 sehr umstritten. Während die Einen sagen, es reicht aus, auf die Nutzung hinzuweisen und in der Datenschutzerklärung eine Opt-out-Möglichkeit bereitzustellen, so sagen die Anderen, dass eine Einwilligung der Nutzer nach der DSGVO unbedingt erforderlich ist. Was ist nun richtig?!

Gemäß Art. 6 DSGVO lit. a ist eine Datenverarbeitung nur dann zulässig, wenn die Person ihre Einwilligung gegeben hat oder gemäß Art. 6 DSGVO lit. f” die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”

Und genau da liegt das Problem! Gilt nun generell der Grundsatz der Einwilligung oder erlaubt ein berechtigtes Interesse des Seitenbetreibers diese Daten zu erheben, um beispielsweise seine Dienste dadurch zu verbessern?

Diese Entscheidung musst Du für dich selber treffen, nach welcher Option Du handelst.

Ich persönlich empfehle Dir die Einwilligung einzuholen, denn Deine Seite läuft auch einwandfrei ohne das Tracking, wenn der Nutzer ablehnt. Zudem hat die DSK in der Positionsbestimmung vom 26.04.2018 in Punkt 9 ausdrücklich vermerkt, dass es einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen bedarf.

Natürlich verstehe ich auch, dass Du die Daten benötigst, um zu sehen, wie Deine Webseite besucht wird und ob die Inhalte interessant genug sind. Mir gehts ja nicht anders mit dieser Datenschutzseite – auch ich möchte wissen, ob die Inhalte beim Leser ankommen oder ob ich was verbessern kann. 

Plugin-Einstellungen für Google Analytics Opt-In von WP DSGVO-Tools

Dennoch hab ich mich für die Einwilligung – also die sichere Variante – entschieden, denn die meisten Nutzer sollten mittlerweile so aufgeklärt sein, dass sie dem zustimmen.

Die Einwilligung wird normalerweise mit dem sog. Cookie-Banner eingeholt. Für WordPress gibt es z.B. die Erweiterung WP DSGVO Tools von Shapepress, mit welchem Du dies sehr leicht umsetzen kannst. Hierzu werde ich aber noch näher in einem baldigen weiteren Beitrag eingehen.

Hast Du alle Schritte abgeschlossen, dann bist Du auf der sicheren Seite und kannst Google Analytics auf Deiner Seite rechtssicher nutzen.

Hinweis: Ich bin kein Jurist. Daher stellt dieser Artikel weder eine Rechtsberatung dar, noch ersetzt er diese. Bitte wende Dich im Zweifel an einen Rechtsanwalt.

Ähnliche Beiträge:

Stephanie Ruderer

Stephanie Ruderer

M.Sc. Informatik
Fachkraft für Datenschutz
seit über 6 Jahren im E-Commerce-Bereich tätig