Der Einsatz von Google Analytics ist in Deutschland nur rechtskonform, wenn Sie einen Vertrag mit Google abschließen und entsprechende technische Vorbereitungen treffen. Neben der Übertragung einer anonymisierten IP Adresse müssen die Besucher der Website unter anderem auch das Recht zum Widerspruch nutzen können.

Warum ist Google Analytics nicht datenschutzkonform?

Die Einbindung von Google Analytics auf einer Website erfolgt durch dessen Betreiber. Der Dienst Google Analytics untersucht unter anderem die Herkunft der Besucher einer Website als auch Daten wie Seitenaufrufe und Kaufabschlüsse.

Die Nutzung des Tools ist jedoch problematisch aus datenschutzrechtlicher Sicht. Grund für die Diskrepanz ist das Telemediengesetz (TMG), welches nach § 12 Abs. 1 die Verarbeitung von personenbezogenen Daten nur zulässt, wenn der Besucher der Website zuvor bewusst zugestimmt hat oder eine gesetzliche Ermächtigung vorliegt.

Problematisch ist bei Google Analytics außerdem, dass die vollständige IP-Adresse des Nutzers an Google weitergegeben wird. Ohne die Einwilligung dessen ist die Weitergabe der IP-Adresse nicht konform mit dem Datenschutz in Deutschland.

Datenschutz beachten und Google Analytics rechtssicher einbinden

Der Webseitenbetreiber ist für den datenschutzkonformen Einsatz von Google Analytics stets selbst verantwortlich. Dafür sind folgende Schritte nötig:

  1. Auftragsdatenverarbeitung mit Google vertraglich festhalten
  2. Die eigene Datenschutzerklärung anpassen
  3. IP-Masking einrichten
  4. Dem Nutzer Widerspruchsmöglichkeiten anbieten

Hinweis: Streng genommen, sollten alle alten Daten, also Daten die vor den datenschutzkonformen Maßnahmen erhoben wurden, gelöscht werden. Dazu muss allerdings der bestehende Account bei Google Analytics gelöscht und neu anlegt werden.

1. Der Vertrag mit Google zur Auftragsdatenverarbeitung

Weil Google beim Einsatz von Google Analytics nur als Auftragnehmer fungiert, muss zwischen Webseitenbetreiber und Google ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Dazu findet man eine Vorlage im Internet wie diesen von der Aufsichtsbehörde abgestimmten Entwurf auf der Google Website selbst.

Dieser sollte in doppelter Ausführung ausgedruckt und vom Betreiber der Website unterschrieben werden. Mit frankiertem Rückumschlag wird dieser dann an die in Dublin sitzende Rechtsabteilung von Google geschickt. Die Rücksendung des unterschriebenen Vertrags erfolgt in der Regel innerhalb von 1 bis 2 Wochen.

Achtung: Außerdem sollte dem Zusatz zur Datenverarbeitung datenschutzrechtlich zugestimmt werden. Dieser ist im Administratorenbereich in Google Analytics zu finden. Dazu unter Verwalten > Kontoeinstellungen ganz unten einmal ein Häkchen setzen.

2. Die Anpassung der Datenschutzerklärung

Die Besucher der Website müssen darüber aufgeklärt werden, dass der Betreiber der Website Google Analytics zur Auswertung seiner Besucherdaten nutzt. Hierzu müssen einige Google Analytics Bedingungen in der Datenschutzerklärung der Website ergänzt werden. Folgende wurden von Google selbst vorgeschlagen und durch https://www.datenschutzbeauftragter-info.de/ ergänzt:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

 

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:

 

<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

 

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.“

Achtung: Cookie-Hinweis muss ebenso gegeben werden, sofern eine Werbefunktion aktiviert wurde:

Nach einer EU-Richtlinie (2015) müssen Webseitenbetreiber auf Cookies hinweisen, wenn Produkte wie Google AdSense, DoubleClick oder AdExchange eingesetzt werden. Laut Google muss diese auch umgesetzt werden, wenn die Werbefunktion bei Google Analytics freigeschaltet wurde. Ob der „Cookie-Hinweis“ verwendet werden muss, wenn die Werbefunktion in Google Analytics nicht aktiviert wurde, ist nicht eindeutig. Im Zweifel sollte der „Cookie-Hinweis“ gesetzt werden.

3. IP-Adressen anonymisieren

Zum Anonymisieren der IP-Adresse stellte Google selbst eine Erweiterung des Google Analytic Codes namens „anonymizeIp“ zur Verfügung, welcher händisch in den vorhandenen Tracking-Code integriert werden muss. Dabei werden die letzten 8 Bit der IP-Adresse verborgen. Eine grobe Lokalisierung ist damit noch immer möglich, wird aber von den Datenschutzbehörden bisher noch geduldet.

Die zwei Varianten des herkömmlichen Tracking-Codes können wie folgt verändert werden, um die IP-Adresse zu maskieren. Beim Universal Code handelt es sich um ein Tracing- Code, welcher auch Daten von anderen Geräten, wie Smartphone oder Spielekonsolen, auswerten kann.

Universal Analytics

<script>

(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){

(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),

m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)

})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);

ga(‘create’, ‘UA-XXXXXXX-X’, ‘website.de’);

ga(‘set’, ‘anonymizeIp’, true);

ga(‘send’, ‘pageview’);

</script>
Klassisches Analytics

<script type=”text/javascript”>

var _gaq = _gaq || [];

_gaq.push([‘_setAccount’, ‘UA-XXXXXXX-X’]);

_gaq.push([‘_gat._anonymizeIp’]);

_gaq.push([‘_trackPageview’]);

(function() {

var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;

ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;

var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);

})();

</script>

4. Dem Nutzer ein Widerspruchsrecht einräumen

Dem Besucher der Website muss das Recht eingeräumt werden, die Verarbeitung seiner Daten mittels Google Analytics zu unterbinden.

Hierzu stellt Google selbst zwei Möglichkeiten zur Verfügung:

Ersteres ist für alle Browser erhältlich und unterbindet die Datenerhebung durch Analytics. Das Opt-Out-Cookie erlaubt dem Nutzer per Klick den Ausschluss der Datenverarbeitung durch Analytics. Für Mobilgeräte funktioniert dies allerdings nicht.

Fazit: Datenschutz bei Google Analytics immer noch umstritten

Nichtsdestotrotz ist rechtlich immer noch umstritten, ob diese Maßnahmen ausreichend sind, dem Datenschutzgesetz tatsächlich zu entsprechen. Vorerst sind die genannten Maßnahmen aber ausreichend, um keine gekennzeichneten rechtlichen Verstöße zu begehen. Die Bestimmungen können sich jedoch jeder Zeit ändern, wie auch das Google Analytics Tool selbst, weshalb man immer aktuell informiert sein sollte.

Disclaimer: Die juristischen Hinweise sind allgemeiner Art und stellen keine Rechtsberatung dar. Alle Auskünfte sind unverbindlich. Individuelle rechtliche Fragen können nicht beantwortet werden, da dies einen Verstoß gegen das Rechtsberatungsgesetz bedeuten würde.

Über den Autor
author-image Team clicks digital
Über den Autor

Hier schreibt Team clicks digital über Themen aus dem Online Marketing, spannende Events und Insights aus dem Agenturleben.

2 thoughts on “Google Analytics rechtssicher verwenden: Datenschutz gewähren

  1. Ich verstehe den Sinn des Vertrages mit Google zur Auftragsdatenverarbeitung nicht wirklich. Wer kontrolliert / darf kontrollieren, ob ein solcher Vertrag vorliegt? Ist das schon einmal vorgekommen?

    1. Soweit historisch nachvollziehbar, ist dieser Vertrag ein juristischer Kompromiss, um Google Analytics datenschutzkonform in Deutschland zu nutzen. Die Bewertung der Sinnhaftigkeit überlassen wir gern anderen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert