Google Analytics Datenschutz Checkliste (DSGVO Update!)

Google Analytics Datenschutz Checkliste (DSGVO Update!)
5 (100%) 2 votes

Video Tutorial: Google Analytics DSGVO konform einsetzen

Du spielst mit dem Gedanken, Google Analytics auf deiner Website zu integrieren oder hast es bereits getan und möchtest wissen, ob du alle notwendigen Punkte aus Datenschutz Sicht und vor allem aus Sicht der neuen Datenschutz Grundverordnung (DSGVO) berücksichtigt hast? Diese 5-Punkte Checkliste und 3 zusätzliche DSGVO Checkpunkte helfen dir dabei, Google Analytics datenschutz-konform einzusetzen.

Google Analytics Datenschutz Checkliste

Disclaimer: Alle Informationen in diesem Beitrag sind wie immer nach bestem Gewissen recherchiert und beruhen auf meinen persönlichen Erfahrungen. Dieser Artikel sowie sonstige Inhalte auf dieser Website stellen keine Rechtsberatung dar und können den Rat eines Anwalts nicht ersetzen.

Legale Anwendung von Google Analytics mit der 5-Punkte Checkliste

Vertrag zur Auftragsdatenverarbeitung (ADV)

Die Grundvoraussetzung, um Google Analytics datenschutz-konform einzusetzen, ist die Unterzeichnung des Vertrages zur Auftragsdatenverarbeitung bzw. Auftragsverarbeitung, wie es nach DSGVO genannt wird, mit Google. Den Vertrag in Papierform kannst du unter diesem Link herunterladen.

NEU: Nach DSGVO ist es nun auch möglich, den ADV Vertrag mit Google elektronisch abzuschließen. Gehe dazu wie folgt vor:

ADV Vertrag für Google Analytics elektronisch abschließen

ADV Vertrag für Google Analytics elektronisch abschließen

  1. Öffne die Verwaltungsoberfläche in deinem Google Analytics Konto und
  2. Gehe zu „Kontoeinstellungen“
  3. Klicke auf den Button „Zusatz anzeigen“, um den Zusatz zur Datenverarbeitung anzuzeigen
  4. Lese die Bedingungen durch und klicke auf „Zustimmen“
  5. Unter Details solltest du deine Organisation und mindestens eine Kontaktperson angeben
  6. Wenn du fertig bist klicke auf „Speichern“

Hinweis auf die Nutzung von Google Analytics in der Datenschutzerklärung

Es gibt im Netz verschiedene Datenschutz-Generatoren, die dir nach einigen Klicks ein fertiges Muster für deine Datenschutzerklärung liefern. Einen solchen Generator bzw. Konfigurator findest du auf der Seite von Mein Datenschutzbeauftragter. In dem vorgefertigten Template ist auch der passende Absatz für die Verwendung von Google Analytics bereits vorhanden.

Beispiel-Formulierung für die Verwendung von Google Analytics:

Verwendung von Google Analytics

Unsere Website verwendet Funktionen des Webanalysedienstes Google Analytics. Anbieter des Webanalysedienstes ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google Analytics verwendet „Cookies.“ Das sind kleine Textdateien, die Ihr Webbrowser auf Ihrem Endgerät speichert und eine Analyse der Website-Benutzung ermöglichen. Mittels Cookie erzeugte Informationen über Ihre Benutzung unserer Website werden an einen Server von Google übermittelt und dort gespeichert. Server-Standort ist im Regelfall die USA.

Das Setzen von Google-Analytics-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Als Betreiber dieser Website haben wir  ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um unser Webangebot und ggf. auch Werbung zu optimieren.

IP-Anonymisierung

Wir setzen Google Analytics in Verbindung mit der Funktion IP-Anonymisierung ein. Sie gewährleistet, dass Google Ihre IP-Adresse innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA kürzt. Es kann Ausnahmefälle geben, in denen Google die volle IP-Adresse an einen Server in den USA überträgt und dort kürzt. In unserem Auftrag wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über Websiteaktivitäten zu erstellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber uns zu erbringen. Es findet keine Zusammenführung der von Google Analytics übermittelten IP-Adresse mit anderen Daten von Google statt.

Browser Plugin

Das Setzen von Cookies durch Ihren Webbrowser ist verhinderbar. Einige Funktionen unserer Website könnten dadurch jedoch eingeschränkt werden. Ebenso können Sie die Erfassung von Daten bezüglich Ihrer Website-Nutzung einschließlich Ihrer IP-Adresse mitsamt anschließender Verarbeitung durch Google unterbinden. Dies ist möglich, indem Sie das über folgenden Link erreichbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen die Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen unserer Website verhindert: Google Analytics deaktivieren.

Einzelheiten zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.

Auftragsverarbeitung

Zur vollständigen Erfüllung der gesetzlichen Datenschutzvorgaben haben wir mit Google einen Vertrag über die Auftragsverarbeitung abgeschlossen.

Die personenbezogenen Daten der Nutzer werden nach 14 Monaten gelöscht oder anonymisiert.

Hinweis auf Browser Add On zur Deaktivierung von Google Analytics

Unabhängig davon, wie du deine Datenschutzerklärung erstellst, solltest du darauf achten, dass diese einen Hinweis und einen Link auf ein Browser Add On zur Deaktivierung von Google Analytics enthält (siehe vorletzten Absatz im oberen Muster). Nach einem Klick auf den Link kann das entsprechende Browser-Plugin vom Besucher deiner Seite heruntergeladen und Google Analytics deaktiviert werden.

Achtung: Die Deaktivierung von Google Analytics gilt in diesem Fall für alle Websites und nicht nur für die aktuell besuchte.

Deaktivierung von Google Analytics durch das Opt Out Cookie

Da auf mobilen Geräten das zur Deaktivierung benötigte Browser Add On nicht ganz so einfach installiert werden kann, solltest du aus Datenschutz Sicht auf Nummer sicher gehen und deinen mobilen Nutzern die Möglichkeit bieten, Google Analytics durch nur einen Klick zu deaktivieren.

Füge dafür zunächst den folgenden Absatz zu deiner Datenschutzerklärung hinzu:

Sie können die Erfassung durch Google Analytics auch verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:

Dann kannst du den folgenden Link im Text einsetzen:

<a href="javascript:gaOptout()">Google Analytics deaktivieren</a>

Vorsicht! Falls du eine WordPress Website betreibst, wird der Javascript Code im oberen Link von WordPress automatisch entfernt, sobald du deine Datenschutzerklärung (erneut) in der Ansicht „Visuell“ des Editor abspeicherst. Um das zu vermeiden, solltest du vor jedem Speichern in die Text-Ansicht des Editors wechseln und überprüfen, ob der Javascript Code immer noch integriert ist. Eine elegantere Lösung für dieses WordPress Phänomen und viele weitere hilfreiche Tipps findest du übrigens in meinem WordPress Online Kurs.

Tipp: Im Firefox kannst du in der Frontend-Ansicht deiner Website den Javascript-Anteil im oberen Link überprüfen, indem du mit der Maus über den entsprechenden Link fährst und dann auf „rechte Maustaste > Inspect Element (Element untersuchen)“ klickst.

Quellcode im Frontend überprüfen mit dem Firefox Browser

Quellcode im Frontend überprüfen mit dem Firefox Browser

Damit der Link überhaupt funktioniert, benötigt man noch den entsprechenden Javascript-Code dazu. Füge den folgenden Code-Schnipsel vor den Google Analytics Code in deine Website ein:

<script>
// Hier deine Tracking ID einsetzen
var gaProperty = 'UA-XXXXXXXX-Y';

// Tracking deaktivieren, wenn das Opt Out Cookie gesetzt wird
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}

// Opt Out Funktion
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
  alert('Wir haben ein Cookie gesetzt, damit Google Analytics bei deinem nächsten Besuch keine Daten mehr sammeln kann.'); //Feedback an den User, der den Link angeklickt hat
}
</script>

Die Anleitung, um das Opt Out Cookie zu setzen und Google Analytics zu deaktivieren, findest du auch auf der Google Seite (Englisch). Der Code wurde zusätzlich durch eine „alert“-Funktion ergänzt, um dem User eine Rückmeldung zu geben, nachdem er auf den Link geklickt hat.

Achtung: Im Gegensatz zu dem Browser Add On gilt diese Deaktivierungsmethode nur für die eine Domain und nur für den einen Browser.

Tipp: Falls dir der Aufwand den Opt-out Code manuell einzubinden zu groß ist, kannst du auch die Funktion über das Plugin Google Analytics Opt-Out (DSGVO / GDPR) integrieren.

IP-Adresse Anonymisierung

Die letzte Anforderung, um Google Analytics datenschutz-konform in eine Website einzubinden, ist die Anonymisierung der IP-Adresse. Indem man „anonymizeIp“ auf „true“ setzt, werden die letzten 8 Bit der IP-Adressen gelöscht und die IP-Adresse somit anonymisiert. Ergänze einfach die folgende Zeile in deinem Google Analytics Code:

ga('create', 'UA-XXXXXXXX-Y', 'auto');
ga('set', 'anonymizeIp', true);   // diese Zeile hinzufügen
ga('send', 'pageview');

Hier siehst du ein Beispiel für den vollständigen Google Analytics Code:

<script>

  // Verhindert tracking wenn das Opt-Out-Cookie gesetzt wurde (Link in der Datenschutzerklärung angeklickt wurde)
  var gaProperty = 'UA-XXXXXXXX-Y'; // hier deine Tracking ID einsetzen
  var disableStr = 'ga-disable-' + gaProperty;
  if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
  }
  function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
  alert('Wir haben ein Cookie gesetzt, damit Google Analytics bei deinem nächsten Besuch keine Daten mehr sammeln kann.'); //Feedback an den User, der den Link angeklickt hat
  }

  // Dein persönlicher Google Analytics Tracking Code
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXXXXX-Y', 'auto'); // hier deine Tracking ID einsetzen
  ga('set', 'anonymizeIp', true); // die letzten 8 Bit der IP-Adressen werden gelöscht und somit anonymisiert
  ga('send', 'pageview');

</script>

DSGVO Update:

Neu: Festlegen, wie lange Nutzer- und Ereignisdaten gespeichert werden sollen

Mit dieser Einstellung kommt Google der DSGVO Anforderung der Angabe von Speicherfristen nach. Damit können Analytics-Nutzer die Aufbewahrungsdauer der Daten auf Nutzer- und Ereignisebene definieren. Die Option findest du unter Verwaltung > Property, die du anpassen möchtest > Tracking-Informationen > Datenaufbewahrung. Ich habe hier den kleinstmöglichen Zeitraum gewählt (14 Monate). Genaue Vorgaben bzgl. der Aufbewahrungsfrist gibt es jedoch soweit ich weiß nicht.

WordPress DSGVO Online Kurs

LAST MINUTE DSGVO!

Pünktlich zum Stichtag der DSGVO wurde mein neuer „WordPress & DSGVO“ Kurs veröffentlicht. Hol dir jetzt den Kurs und setze die DSGVO Anforderungen im Handumdrehen um!

ZUM KURS

Neu: Möglichkeit die Daten von einem User zu löschen „Recht auf Vergessen“

Auch diese neue Funktion sollte eigentlich ab dem 25. Mai 2018 verfügbar sein und es dem Analytics-Nutzer ermöglichen, nur die Daten zu löschen, die mit einem einzelnen User verknüpft sind. Weitere Informationen darüber werden demnächst auf der Google Analytics Entwicklerseite veröffentlicht.

Update vom 27.05.2018: Ich konnte soweit zu dieser Funktion keine Informationen finden. Anscheinend löst Google das „Recht auf Vergessen“ ebenfalls mit der Datenaufbewahrung. Es ist auch fraglich, ob der User von seinem Widerspruchsrecht bei den Google Analytics Daten Gebrauch machen kann. Schließlich hat er auch nicht, vorausgesetzt er benutzt keine weiteren Google Werbedienste, seine Einwilligung für das Tracking erteilt.

Neu: Einwilligung (Opt-in), wenn Google Analytics mit anderen Google Werbediensten verwendet wird

Nach dem Inkrafttreten der DSGVO muss man sich als Analytics-User die Erlaubnis vom Webseitenbesucher (auch bekannt unter Opt-in) holen, bevor Google Analytics eingesetzt werden darf. Dies gilt nur, wenn Google Analytics zusammen mit anderen Google Werbediensten, die z. B. das DoubleClick Cookie nutzen, verwendet wird. Du kannst z. B. mit der Browser-Erweiterung Ghostery überprüfen, ob auf deiner Website das DoubleClick Cookie gesetzt wird. Sollte das bei dir der Fall sein und du es auch nicht entfernen möchtest, rate ich dir von der Google Analytics Verwendung ab, da der Einsatz des Tools mit einem Opt-in aus meiner Sicht keinen Sinn macht. Dann solltest du doch lieber auf Analyse Tool Alternativen in Form von WordPress Plugins, wie Statify oder WP Statistics ausweichen.

Fazit

Wie du siehst sind ein paar Vorkehrungen notwendig, um Google Analytics datenschutz-konform einzusetzen und damit Abmahnungen zu vermeiden. Ich hoffe, dass dir diese kleine Checkliste eine Hilfe ist und Zweifel, die du zum Thema Google Analytics und Datenschutz gehabt hast, jetzt ausgeräumt sind. Der Analyse deiner Website mit dem führenden Analytics Tool sollte nun nichts mehr im Wege stehen.

Artikel Empfehlung: Dieser WordPress Plugin-Mix macht deine Website rechtssicher & DSGVO-konform

WEITERLESEN

Gefällt dir dieser Artikel?

Falls ja, würde ich mich freuen, wenn du ihn positiv bewerten und/oder ihn teilen könntest. Bei Fragen, Anregungen oder Feedback kannst du auch gerne unten einen Kommentar hinterlassen.

Google Analytics Datenschutz Checkliste (DSGVO Update!)
5 (100%) 2 votes
Danijel Rose - WordPress Consultant

Danijel

Hi, mein Name ist Danijel Rose, ich bin der Gründer von WebGeckos, WordPress Trainer und Berater aus Bad Tölz, südlich von München. Über meine WordPress Erfahrungen blogge ich hier auf WPC. Mit WordPress erstelle ich vor allem gerne hochwertige Firmenwebsites, Mitgliederseiten und WordPress Multisites.

Das könnte Dich auch interessieren...

2 Antworten

  1. J
    Jules sagt:

    Hallo Danijel,
    vielen Dank für den Code-Schnipsel, das Tracking funktioniert. Wenn ich den Link für den OptOut Cookie einbinde passiert beim Draufklicken rein gar nichts. Ist allerdings auf deiner Website auch so. Ist das normal? Ich habe irgendwie Feedback in Form einer Meldung erwartet.
    Danke und LG Jules

    • D
      Danijel sagt:

      Hallo Jules,
      vielen Dank für deinen Hinweis! Ich habe nun den Beitrag aktualisiert und eine „alert“-Funktion zum Code hinzugefügt. Jetzt erhält der User zumindest eine Rückmeldung, nachdem er auf den Link klickt.
      Ob es eine Möglichkeit gibt, wie man überprüfen kann, dass das Tracking auch wirklich abgeschaltet wurde und keine Daten mehr an Google verschickt werden, kann ich nicht mit Sicherheit sagen. Nach langer Recherche habe ich nur diesen einen Support Thread beim Plugin „Google Analytics Opt-Out“ gefunden (https://wordpress.org/support/topic/how-can-i-really-check-if-it-works/). Anscheinend lässt es sich nicht überprüfen. Aber vielleicht kennt einer meiner Leser die Lösung?
      Eine Frage: Hast du auch mehrere Properties unter einer Tracking-ID laufen (mehrere Nummern nach dem zweiten Bindestrich jeweils für eine Website)?
      LG, Danijel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.