Google Analytics Datenschutz – DSGVO konform einsetzen

Im zweiten Teil des Google Analytics Tutorials behandele ich das Thema Datenschutz und zeige, wie man Google Analytics DSGVO datenschutzkonform einsetzt.

Voraussetzung dafür ist die Einbindung des Google Analytics Tracking Codes. Das habe ich im ersten Teil des Google Analytics Tutorials beschrieben.

Das Wichtigste vorweg:

Dieses hier stellt keine Rechtsberatung da. Da ich kein Jurist bin, kann ich das auch gar nicht gewährleisten.

Ich schreibe hier lediglich als Marketeer, der sich leider regelmäßig mit den Themen Datenschutz und DSGVO herumschlagen und auseinandersetzen muss.

Ich rate euch dringend, dass ihr euch beim Thema Datenschutz auf dem Laufenden haltet. Dafür habe ich hier ein paar sinnvolle Links von Websites hinterlegt, die euch dabei sicherlich helfen werden.

Denn es gibt einen ganz wesentlichen Punkt, der einem bewusst sein muss: Der Betreiber einer Website ist für die datenschutzkonforme Einbindung von Google Analytics verantwortlich und nicht Google oder sonst irgendein Dienstleister.

Ich beschränke mich hier auf das Wesentliche, das ihr beachten müsst, damit ihr Google Analytics  datenschutzkonform verwendet. Die Checkliste bezieht sich daher auf einen jungfräulichen Google Analytics Account. Falls ihr vorher z.B auf die Idee gekommen seid die USER ID zu aktivieren, damit ihr Nutzer geräteübergreifend verfolgen könnt, dann werde ich darauf nicht explizit hinweisen.

Checkliste – Google Analyics datenschutzkonform verwenden

  1. Vertrag zur Auftragsdatenverarbeitung abschließen
  2. IP Adressen anonymisieren
  3. Widerspruchsmöglichkeit ermöglichen
  4. Dauer der Datenaufbewahrung festlegen
  5. Alt-Daten löschen
  6. Datenschutzerklärung anpassen

Den Google Vertrag zur Auftragsdatenverarbeitung (ADV) abschließen

Einen Vertrag zur Auftragsdatenverarbeitung – korreket nach DSGVO heißt es jetzt eigentlich Auftragsverarbeitung (AV) – muss immer dann abgeschlossen werden, wenn ein externer Dienstleiter in unserem Auftrag personenbezogene Daten verarbeitet. Früher musste dieser Vertrag noch ausgedruckt und per Post an Google gesendet werden. Seit dem 25.5.2018 ist dieses, DSGVO sei Dank, auch elektronisch möglich.

Und zwar unter Verwaltung > Kontoeinstellung

Datenschutz – Zusatz zur Datenverarbeitung Google Analytics

IP Adressen Anonymisieren

IP Adressen zählen zu den personenbezogenen Daten, weswegen diese anonymisiert werden müssen. Dieses geschieht aber erst durch die Anpassung des Tracking Codes.

Dafür stellt Goolge Analytics die Funktion anonymizeip zur Verfügung. Dadurch werden die letzten Stellen der IP-Adresse anonymisiert.

In Teil 1 haben wir das aktuelle Global Site Tag (gtag.js) eingebaut. Mit diesem Hintergrund muss euer Tracking Code wie folgt ergänzt werden:

gtag(‚config‘, ‚UA-Eure ID‘, { ‚anonymize_ip‘: true });

Nutzt ihr noch das Universal Analytics Snippet, dann müsst ihr vor der Zeile

ga(’send‘, ‚pageview‘);  folgendes Schnipsel einfügen:

ga(’set‘, ‚anonymizeIp‘, true);

Aber warum sollte man noch einen alten Code verwenden? Vorschläge dazu nehme ich gerne an. 😉

Weitere Infos über die IP Anonymisierung  findet ihr unter folgendem Link:

https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

Widerspruchsmöglichkeit ermöglichen

Ihr müsst den Besuchern eures Blogs, gemäß der DSGVO, die Möglichkeit bieten, das Google Analytics keine Daten speichert. Dieses setzt man durch so genannte Opt-Out Cookies um.

Google stellt dafür folgenden Link zur Verfügung, über den sich der User ein Browser Add-on installieren kann, der Google Analyitcs deaktiviert.

https://tools.google.com/dlpage/gaoptout?hl=de.

Browser Plugins funktionieren allerdings nicht für mobile Geräte. Google hält hierfür ein weiteres Script bereit, das genau vor dem eigentlichen GA Tracking-Code eingefügt werden muss.

Am Ende sollte es zusammen mit dem Global Site Tag (gtag.js) und anonymizeip folgendermaßen aussehen:

Google Analytics Tracking Code inkl. anonymizeip und Opt-In

<script>
var gaProperty = ‚UA-Eure ID‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
}
</script>
<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-Eure ID“></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-Eure ID‘, { ‚anonymize_ip‘: true });
</script>

Hinweis: Vergesst nicht eure Tracking ID entsprechend anzupassen.

Damit der User das Opt-Out Cookie auch aktivieren kann, müsst ihr einen Link in eure Datenschutzerklärung einbauen. Logischerweise unter dem Punkt Google Analytics und am besten direkt unter dem Browser Plugin Hinweis. Natürlich auch mit einer entsprechenden Erklärung. Die könnte z.B. folgendermaßen lauten:

Da Browser Plugins auf mobilen Endgeräten nicht funktionieren, können Sie alternativ mit folgendem Link Google Analytics deaktivieren:

<a href=“javascript:gaOptout()“>klicken Sie bitte auf diesen Link um Google Analytics zu deaktiveren</a>

Jetzt aber folgendes Probkem: Klickt man auf den Link, geschieht scheinbar gar nichts. Der Nutzer weiß daher nicht, ob die Deaktivierung erfolgreich war. Daher ist es sinnvoll eine Benachrichtigung einzubauen:

<a onclick=“alert(‚Google Analytics wurde in Ihrem Browser für diese Website deaktiviert‘);“ href=“javascript:gaOptout()“>klicken Sie bitte auf diesen Link um Google Analytics zu deaktiveren</a>.

Hinweis:

Damit das Opt-In funktioniert, muss der Browser des Users die Speicherung von Cookies grundsätzlich erlauben. Werden Cookies regelmäßig gelöscht, dann ist bei jedem neuen Besuch eurer Website ein erneuter Klick auf den Link notwendig.

Mehr Informationen zu dem Thema Opt-In findet Ihr unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Anonymizeip und Opt-In einbinden mit Hilfe eines WordPress Plugin

Falls ihr als CMS Word Press nutzt und euch nicht mit Codierungen herumschlagen wollt, dann habt ihr auch noch eine andere Möglichkeit. Mit Hilfe eines Plugins könnt ihr Anonymizeip und Opt-In Cookies auch aktiveren. Ein sehr komfortable Lösung ist das Google Analytics Plugin „Google Analytics Dashboard for WP by ExactMetrics (früher GADWP)“. Hier müsst ihr nur zwei Haken setzen, abspeichern und es ist fertig. Allerdings müsst ihr natürlich immer noch einen Link in der Datenschutzerklärung setzen.

Dauer der Datenaufbewahrung festlegen

DSGVO gibt auch vor, dass eine Auskunft über die Dauer der Datenspeicherung gegeben werden muss. Diese sollte zweckgebunden sein und wirklich nur so lange dauern, wie sie benötigt wird. 

Einstellen könnt ihr die Dauer der Aufbewahrung unter: Verwaltung > Tracking-Informationen > Datenaufbewahrung

Datenschutz – Dauer Datenaufbewahrung Google Analytics

Aber wie lange darf man Daten speichern? Naja, eine allgemeine Vorgabe gibt es hier noch nicht . Google hat hier aber die Voreinstellung von 26 Monaten. Wahrscheinlich hat sich Google bei dieser Voreinstellung etwas gedacht und wahrscheinlich gab es hier schon eine engere Kommunikation mit der entsprechenden EU Kommission.

Ohne diesen Hintergrund agieren Datenschutzbeauftragte jedoch naturgemäß etwas vorsichtiger und schlagen daher in der Regel immer das geringste Übel vor. In diesem Fall also 14 Monate.

Jedenfalls kann man hier keine allgemeine Aussage treffen. Jedoch solltet ihr auf jeden Fall für eure Entscheidung eine gute Argumentation parat haben.

Das gleiche gilt für den zweiten Punkt. Die Option „bei neuer Aktivität zurücksetzen“ ist in der Voreinstellung deaktiviert. Eine Aktivierung bewirkt, dass bei jedem neuen Besuch eines wiederkehrenden Users, die Dauer der Aufbewahrung wieder von vorne beginnt. Theoretisch würden die Daten dieses Users also nie gelöscht werden. Natürlich vorausgesetzt, er kehrt  jedesmal innerhalb der zeitlichen Aufbewahrung seiner Daten auf die Website zurück.

Alt-Daten löschen

Ihr habt vorher Daten ohne IP Anonymisierung erhoben? Dann war das leider unrechtmäßig. Daher solltet ihr jetzt ganz stark sein und euch mit dem Gedanken befassen, diese Daten zu löschen.

Unter Property-Einstellungen findet ihr den Button “in den Papierkorb verschieben”.

Datenschutzerklärung für Google Analytics anpassen

Laut DSGVO müsst ihr eure Website Besucher darüber informieren, dass ihr Daten erhebt, für welchen Zweck ihr diese verwendet und wie lange ihr diese speichert. Dafür braucht ihr einen entsprechenden Hinweis in eurer Datenschutzerklärung. Das gilt natürlich auch für die Verwendung von Google Analytics. Also müssen in eurer aktualisierten Version alle oben beschriebenen Anpassungen auch dort dokumentiert sein.

Falls ihr einen entsprechenden Text benötigt, kann ich folgenden Datenschutzgenerator empfehlen: https://datenschutz-generator.de/

Weitere nützliche Links zum Thema Google Analytics und Datenschutz

Zum Abschluss noch ein paar nützliche Links, die euch dabei helfen können, beim Thema Datenschutz auf dem Laufenden zu bleiben:

https://www.e-recht24.de/
https://www.youtube.com/user/KanzleiWBS

Hat dir der Artikel gefallen?
Sending
User Review
0 (0 votes)

Hinterlasse einen Kommentar

avatar
  Abonnieren  
Benachrichtige mich bei