„Dein Weg zum Online Business ist WordPress. Dein Navi ist WPC.“

Google Analytics Datenschutz Checkliste
WPC - Dein WordPress Blog

Google Analytics Datenschutz Checkliste (DSGVO + BGH + EuGH Update!)

Google Analytics DSGVO - Mit dieser Checkliste kannst du das beliebte Analyse Tool datenschutz-konform auf deiner Website einsetzen.

Update vom 05.08.2020: Die Checkliste wurde gemäß Cookie-Urteil vom BGH und Privacy Shield-Urteil vom EuGH aktualisiert.

Video Tutorial: Google Analytics DSGVO konform

Anmerkung: Das Video wurde noch vor den beiden Gerichtsurteilen aufgenommen. Bitte deshalb unbedingt auch den Artikel lesen, da dieser öfter aktualisiert wird.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Google Analytics DSGVO konform einbinden – Erfahre, wie du Google Analytics DSGVO konform auf der eigenen Website einsetzen / einbinden kannst.

Du spielst mit dem Gedanken, Google Analytics (GA) auf deiner Website zu integrieren oder hast es bereits getan und möchtest wissen, ob du alle notwendigen Punkte aus Datenschutz Sicht und vor allem aus Sicht der Datenschutz-Grundverordnung (DSGVO) berücksichtigt hast? Ebenfalls solltest du für die GA Intergration auch das Urteil von BGH vom 28.05.2020 zum Thema Cookies sowie das Urteil von EuGH vom 16.07.2020 zum Thema Privacy Shield beachten. Diese 8-Punkte DSGVO Checkliste helfen dir dabei, alle Anforderungen zu erfüllen und Google Analytics datenschutz-konform einzusetzen.

Disclaimer: Alle Informationen in diesem Beitrag sind wie immer nach bestem Gewissen recherchiert und beruhen auf meinen persönlichen Erfahrungen. Dieser Artikel sowie sonstige Inhalte auf dieser Website stellen keine Rechtsberatung dar und können den Rat eines Anwalts nicht ersetzen.

(*) = Affiliate Partner Links

DSGVO-konforme Anwendung von Google Analytics mit der 8-Punkte Checkliste

Mit den folgenden Punkten kannst du das beliebte Website Analyse-Tool von Google Schritt für Schritt auf deiner Website integrieren:

1. Einwilligung des Users (Opt-in)

Auch vor Mai 2020 war schon ein Opt-in bei der Nutzung von Google Analytics erforderlich. Dann nämlich, wenn das Analyse Tool mit anderen Google Werbediensten, die z. B. das DoubleClick Cookie nutzen, verwendet wird. Du kannst z. B. mit der Browser-Erweiterung Ghostery überprüfen, ob auf deiner Website das DoubleClick Cookie gesetzt wird. Bei der Erstausgabe dieses Artikels habe ich in so einem Fall von der Google Analytics Verwendung abgeraten. Ich war der Meinung, dass der Einsatz von Google Analytics mit einem Opt-in keinen Sinn macht. Meine Annahme war, dass nur wenige Besucher freiwillig die GA Cookies aktivieren würden.

Mittlerweile ist ein Opt-in bei Google Analytics Pflicht. Denn am 28.05.2020 hat der Bundesgerichtshof (BGH) entschieden, dass alle nicht essentiellen Cookies ohne eine Einwilliung des Besuchers nicht gesetzt werden dürfen. Da die Cookies, die durch Google Analytics gesetzt werden, zu den Statistik Cookies gehören (auch wenn manche Website-Betreiber es gerne anders sehen möchte), ist eine ausdrückliche Zustimmung des Users erforderlich.

Auch hier auf dem WPC Blog habe ich das Opt-in Verfahren für Google Analytics umgesetzt. Ich habe dafür das Plugin Borlabs Cookie* verwendet, welches aus meiner Sicht den Cookie Hinweis mit Opt-in für Statistik, Marketing und externe Medien Cookies am besten gelöst hat. Nach einem 6-wöchigen Test wurde meine ursprüngliche Annahme, dass man mit Google Analytics und einem Opt-in keine vernünftige Website Analyse betreiben kann, bestätigt. Denn nur die Hälfte aller WPC Besucher stimmen dem Setzen von Statistik Cookies zu.

Übrigens, nach dem EuGH Urteil vom 16.07.2020, welches das EU/US-Privacy Shield für unwirksam erklärt hat, müsste man theoretisch seine Besucher vor der Einwilligung auch noch auf die Verarbeitung der Daten in einem Land mit niedrigem Datenschutzniveau und den damit verbundenen Risiken hinweisen. Es ist schon erstaunlich, welche Romane die EU-Bürger lesen müssen, bevor sie zu den eigentlichen Inhalten gelangen.

2. Vertrag zur Auftragsdatenverarbeitung (ADV)

Eine weitere Grundvoraussetzung, um Google Analytics datenschutz-konform einzusetzen, ist die Unterzeichnung des Vertrages zur Auftragsdatenverarbeitung bzw. Auftragsverarbeitung, wie es nach DSGVO genannt wird, mit Google. Den Vertrag in Papierform kannst du unter diesem Link herunterladen.

Seit der Einführung der DSGVO ist es auch möglich, den ADV Vertrag mit Google elektronisch abzuschließen. Gehe dazu wie folgt vor:

ADV Vertrag für Google Analytics elektronisch abschließen
ADV Vertrag für Google Analytics elektronisch abschließen
  1. Öffne die Verwaltungsoberfläche in deinem Google Analytics Konto und
  2. Gehe zu „Kontoeinstellungen“
  3. Klicke auf den Button „Zusatz anzeigen“, um den Zusatz zur Datenverarbeitung anzuzeigen
  4. Lese die Bedingungen durch und klicke auf „Zustimmen“
  5. Unter Details solltest du deine Organisation und mindestens eine Kontaktperson angeben
  6. Wenn du fertig bist klicke auf „Speichern“

3. Hinweis auf die Nutzung von Google Analytics in der Datenschutzerklärung

Es gibt im Netz verschiedene Datenschutz-Generatoren, die dir nach einigen Klicks ein fertiges Muster für deine Datenschutzerklärung liefern. Leider habe ich noch keinen kostenlosen Datenschutz-Generator gefunden, der die letzten beiden Gerichtsurteile bei der Formulierung berücksichtigt. Die Vorlage auf datenschutz-generator.de wurde zwar bereits angepasst, ist jedoch nur für Privat-Personen kostenlos. Und der Generator von e-recht24.de liefert ohne die Premium Version nicht die gewünschte Formulierung für Google Analytics. Falls du einen kostenlosen Generator kennst, lass es uns bitte unten in den Kommentaren wissen.

Update vom 05.08.2020: Die folgende Formulierung ist von mein-datenschutzbeauftragter.de übernommen und nach dem Urteil vom BGH nicht mehr aktuell. Ich habe sie trotzdem nicht entfernt, um dir an dieser Stelle Tipps (rot markiert) zu geben, was aus meiner Sicht und gemäß den Gerichtsurteilen angepasst werden müsste.

Beispiel-Formulierung für die Verwendung von Google Analytics:

Verwendung von Google Analytics

Unsere Website verwendet Funktionen des Webanalysedienstes Google Analytics. Anbieter des Webanalysedienstes ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google Analytics verwendet „Cookies.“ Das sind kleine Textdateien, die Ihr Webbrowser auf Ihrem Endgerät speichert und eine Analyse der Website-Benutzung ermöglichen. Mittels Cookie erzeugte Informationen über Ihre Benutzung unserer Website werden an einen Server von Google übermittelt und dort gespeichert. Server-Standort ist im Regelfall die USA.

Update vom 05.08.2020: Gut ist bei dieser Formulierung, dass kein Bezug auf Privicy Shield genommen wird. Falls das in deiner Datenschutzerklärung der Fall ist, solltest du es herausnehmen.

Das Setzen von Google-Analytics-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Als Betreiber dieser Website haben wir ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um unser Webangebot und ggf. auch Werbung zu optimieren.

Update vom 05.08.2020: Nach dem BGH Urteil würde ich dir nicht mehr empfehlen, die Analyse deiner Website mit Google Analytics auf Grundlage vom „berechtigtem Interesse“ durchzuführen!

IP-Anonymisierung

Wir setzen Google Analytics in Verbindung mit der Funktion IP-Anonymisierung ein. Sie gewährleistet, dass Google Ihre IP-Adresse innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA kürzt. Es kann Ausnahmefälle geben, in denen Google die volle IP-Adresse an einen Server in den USA überträgt und dort kürzt. In unserem Auftrag wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über Websiteaktivitäten zu erstellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber uns zu erbringen. Es findet keine Zusammenführung der von Google Analytics übermittelten IP-Adresse mit anderen Daten von Google statt.

Update vom 05.08.2020: Die folgenden 2 Absätze sind beim Einsatz von Opt-in nicht mehr erforderlich. Bei einem guten Cookie Plugin / Consent Tool, wie z. B. Borlabs Cookie* können Widerspruchsmöglichkeiten und Cookie-Einstellungen mit einem Button oder einem Link aufgerufen und angepasst werden.

Browser Plugin

Das Setzen von Cookies durch Ihren Webbrowser ist verhinderbar. Einige Funktionen unserer Website könnten dadurch jedoch eingeschränkt werden. Ebenso können Sie die Erfassung von Daten bezüglich Ihrer Website-Nutzung einschließlich Ihrer IP-Adresse mitsamt anschließender Verarbeitung durch Google unterbinden. Dies ist möglich, indem Sie das über folgenden Link erreichbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen die Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen unserer Website verhindert: Google Analytics deaktivieren.

Einzelheiten zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.

Auftragsverarbeitung

Zur vollständigen Erfüllung der gesetzlichen Datenschutzvorgaben haben wir mit Google einen Vertrag über die Auftragsverarbeitung abgeschlossen.

Die personenbezogenen Daten der Nutzer werden nach 14 Monaten gelöscht oder anonymisiert.

Update vom 05.08.2020: Punkt 4 und 5 benötigst du nur, wenn du kein Cookie / Consent Management Plugin im Einsatz hast und/oder du dich gegen die Verwendung von Opt-in entschieden hast. Ansonsten bietet dir Borlabs Cookie* z. B. einen einfachen Switch-Button für deine Datenschutzerklärung, mit dem deine Besucher Google Analytics einfach ausschalten können.

4. Hinweis auf Browser Add-On zur Deaktivierung von Google Analytics

Unabhängig davon, wie du deine Datenschutzerklärung erstellst, solltest du darauf achten, dass diese einen Hinweis und einen Link auf ein Browser Add On zur Deaktivierung von Google Analytics enthält (siehe vorletzten Absatz im oberen Muster). Nach einem Klick auf den Link kann das entsprechende Browser-Plugin vom Besucher deiner Seite heruntergeladen und Google Analytics deaktiviert werden.

Achtung: Die Deaktivierung von Google Analytics gilt in diesem Fall für alle Websites und nicht nur für die aktuell besuchte.

5. Deaktivierung von Google Analytics durch das Opt Out Cookie

Da auf mobilen Geräten das zur Deaktivierung benötigte Browser Add On nicht ganz so einfach installiert werden kann, solltest du aus Datenschutz Sicht auf Nummer sicher gehen und deinen mobilen Nutzern die Möglichkeit bieten, Google Analytics durch nur einen Klick zu deaktivieren.

Füge dafür zunächst den folgenden Absatz zu deiner Datenschutzerklärung hinzu:

Sie können die Erfassung durch Google Analytics auch verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:

Dann kannst du den folgenden Link im Text einsetzen:

<a href="javascript:gaOptout()">Google Analytics deaktivieren</a>

Vorsicht! Falls du eine WordPress Website betreibst, wird der Javascript Code im oberen Link von WordPress automatisch entfernt, sobald du deine Datenschutzerklärung (erneut) in der Ansicht „Visuell“ des Editor speicherst. Um das zu vermeiden, solltest du vor jedem Speichern in die Text-Ansicht des Editors wechseln und überprüfen, ob der Javascript Code immer noch integriert ist. Eine elegantere Lösung für dieses WordPress Phänomen und viele weitere hilfreiche Tipps findest du übrigens in meinem WordPress Online Kurs.

Tipp: Im Firefox kannst du in der Frontend-Ansicht deiner Website den Javascript-Anteil im oberen Link überprüfen, indem du mit der Maus über den entsprechenden Link fährst und dann auf „rechte Maustaste > Inspect Element (Element untersuchen)“ klickst.

Quellcode im Frontend überprüfen mit dem Firefox Browser
Quellcode im Frontend überprüfen mit dem Firefox Browser

Damit der Link überhaupt funktioniert, benötigt man noch den entsprechenden Javascript-Code dazu. Füge den folgenden Code-Schnipsel vor den Google Analytics Code in deine Website ein:

<script>
// Hier deine Tracking ID einsetzen
var gaProperty = 'UA-XXXXXXXX-Y';

// Tracking deaktivieren, wenn das Opt Out Cookie gesetzt wird
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}

// Opt Out Funktion
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
  alert('Wir haben ein Cookie gesetzt, damit Google Analytics bei deinem nächsten Besuch keine Daten mehr sammeln kann.'); //Feedback an den User, der den Link angeklickt hat
}
</script>

Die Anleitung, um das Opt-out Cookie zu setzen und Google Analytics zu deaktivieren, findest du auch auf der Google Seite (Englisch). Der Code wurde zusätzlich durch eine „alert“-Funktion ergänzt, um dem User eine Rückmeldung zu geben, nachdem er auf den Link geklickt hat.

Achtung: Im Gegensatz zu dem Browser Add On gilt diese Deaktivierungsmethode nur für die eine Domain und nur für den einen Browser.

Tipp: Falls dir der Aufwand den Opt-out Code manuell einzubinden zu groß ist, kannst du auch die Funktion über das Plugin Google Analytics Opt-Out (DSGVO / GDPR) integrieren.

6. IP-Adresse Anonymisierung

Eine weitere Anforderung, um Google Analytics datenschutz-konform in eine Website einzubinden, ist die Anonymisierung der IP-Adresse. Übrigens sollte diese Anforderung auch erfüllt werden, wenn du Google Analytics mit einem Opt-in verwendest. Indem man „anonymizeIp“ auf „true“ setzt, werden die letzten 8 Bit der IP-Adressen gelöscht und die IP-Adresse somit anonymisiert. Ergänze einfach die folgende Zeile in deinem Google Analytics Code:

ga('create', 'UA-XXXXXXXX-Y', 'auto');
ga('set', 'anonymizeIp', true);   // diese Zeile hinzufügen
ga('send', 'pageview');

Hier siehst du ein Beispiel für den vollständigen Google Analytics Code:

<script>

  // Verhindert tracking wenn das Opt-Out-Cookie gesetzt wurde (Link in der Datenschutzerklärung angeklickt wurde)
  var gaProperty = 'UA-XXXXXXXX-Y'; // hier deine Tracking ID einsetzen
  var disableStr = 'ga-disable-' + gaProperty;
  if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
  }
  function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
  alert('Wir haben ein Cookie gesetzt, damit Google Analytics bei deinem nächsten Besuch keine Daten mehr sammeln kann.'); //Feedback an den User, der den Link angeklickt hat
  }

  // Dein persönlicher Google Analytics Tracking Code
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXXXXX-Y', 'auto'); // hier deine Tracking ID einsetzen
  ga('set', 'anonymizeIp', true); // die letzten 8 Bit der IP-Adressen werden gelöscht und somit anonymisiert
  ga('send', 'pageview');

</script>

7. DSGVO-Update: Festlegen, wie lange Nutzer- und Ereignisdaten gespeichert werden sollen

Mit dieser Einstellung kommt Google der DSGVO Anforderung der Angabe von Speicherfristen nach. Damit können Analytics-Nutzer die Aufbewahrungsdauer der Daten auf Nutzer- und Ereignisebene definieren. Die Option findest du unter Verwaltung > Property, die du anpassen möchtest > Tracking-Informationen > Datenaufbewahrung. Ich habe hier den kleinstmöglichen Zeitraum gewählt (14 Monate). Genaue Vorgaben bzgl. der Aufbewahrungsfrist gibt es jedoch soweit ich weiß nicht.

8. DSGVO-Update: Möglichkeit die Daten von einem User zu löschen „Recht auf Vergessen“

Auch diese neue Funktion sollte eigentlich ab dem 25. Mai 2018 verfügbar sein und es dem Analytics-Nutzer ermöglichen, nur die Daten zu löschen, die mit einem einzelnen User verknüpft sind. Weitere Informationen darüber werden demnächst auf der Google Analytics Entwicklerseite veröffentlicht.

Update vom 27.05.2018: Ich konnte soweit zu dieser Funktion keine Informationen finden. Anscheinend löst Google das „Recht auf Vergessen“ ebenfalls mit der Datenaufbewahrung. Es ist auch fraglich, ob der User von seinem Widerspruchsrecht bei den Google Analytics Daten Gebrauch machen kann. Schließlich hat er auch nicht, vorausgesetzt er benutzt keine weiteren Google Werbedienste, seine Einwilligung für das Tracking erteilt.

Fazit

Wie du siehst, sind ein paar Vorkehrungen notwendig, um Google Analytics datenschutz-konform einzusetzen und damit Abmahnungen zu vermeiden. Ich hoffe, dass dir diese kleine Checkliste eine Hilfe ist und Zweifel, die du zum Thema Google Analytics und Datenschutz gehabt hast, jetzt ausgeräumt sind. Wie bereits erwähnt, bin ich der Meinung, dass die Website Analyse nach dem BGH Urteil und dem EuGH Urteil für die EU-Mitbürger um einiges schwerer geworden ist.

Die einzige datenschutz-konforme Alternative unter den Analyse Tools, die ich kenne, ist das Plugin Statify, welches jedoch nur rudimentäre Einblicke in die Nutzungsdaten einer WordPress Website liefert. Deshalb bleibt mir oder uns auch nichts anderes übrig, Google Analytics wie beschrieben einzusetzen, um Abmahnungen aus dem Weg zu gehen und aus den gewonnen Daten das Beste daraus zu machen.

Was denkst du über die Entscheidung von BGH und EuGH?

Hast du bereits deine Website gemäß den Urteilen angepasst? Wenn nicht, hast du vor es zu tun? Würdest du Google Analytics weiterhin auch mit Opt-in verwenden?

5/5 - (3 votes)
Vielen Dank fürs Teilen dieser Seite

7 Antworten

  1. Hi,
    danke für den Artikel und vor allem für die Aktualisierungen!
    Kurzer Hinweis: Er gibt einen Typo bei Punkt 1. „unsprüngliche Annahme,“
    Liebe Grüße
    Manu

  2. Hallo Danijel,
    vielen Dank für den Code-Schnipsel, das Tracking funktioniert. Wenn ich den Link für den OptOut Cookie einbinde passiert beim Draufklicken rein gar nichts. Ist allerdings auf deiner Website auch so. Ist das normal? Ich habe irgendwie Feedback in Form einer Meldung erwartet.
    Danke und LG Jules

    1. Hallo Jules,
      vielen Dank für deinen Hinweis! Ich habe nun den Beitrag aktualisiert und eine „alert“-Funktion zum Code hinzugefügt. Jetzt erhält der User zumindest eine Rückmeldung, nachdem er auf den Link klickt.
      Ob es eine Möglichkeit gibt, wie man überprüfen kann, dass das Tracking auch wirklich abgeschaltet wurde und keine Daten mehr an Google verschickt werden, kann ich nicht mit Sicherheit sagen. Nach langer Recherche habe ich nur diesen einen Support Thread beim Plugin „Google Analytics Opt-Out“ gefunden (https://wordpress.org/support/topic/how-can-i-really-check-if-it-works/). Anscheinend lässt es sich nicht überprüfen. Aber vielleicht kennt einer meiner Leser die Lösung?
      Eine Frage: Hast du auch mehrere Properties unter einer Tracking-ID laufen (mehrere Nummern nach dem zweiten Bindestrich jeweils für eine Website)?
      LG, Danijel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

Ähnliche Beiträge