Google Analytics rechtskonform einsetzen – Update 03/2019

Seit in Kraft treten der DSGVO haben viele unserer Kunden und Agenturen ihre Google Analytics Konten deaktiviert oder von der Website genommen. Da aber Google Analytics immer noch eines der mächtigsten Analysetools am Markt ist, stellt sich die Frage, ob Google Analytics auch nach in Kraft treten der DSGVO rechtskonform eingesetzt werden kann.

Unserer Ansicht nach ist ein rechtskonformer Einsatz von Google Analytics weiterhin möglich, sofern man einige Dinge im Hinblick auf den Datenschutz beachtet. Leider reicht das von Google selbst an die Hand gegebene Handwerkszeug nicht ohne weitere Arbeit aus, um das Tool datenschutzkonform zu verwenden.

So ist zum Beispiel von Haus aus bei Google die Datenfreigabe an andere Google Dienste aktiviert.

Die rechtskonforme Anwendung  lässt sich grob in 3 Bereiche unterteilen.

  1. Vertragliche Grundlage schaffen
  2. Technische Voraussetzungen
  3. Rechtlich sauber implementieren

Was ist also zu tun?

Vertragliche Grundlage schaffen

AVV (Auftragsverarbeitungsvertrag) mit Google abschließen

Sofern Sie ihren bisherigen Vertrag vor 2016 abgeschlossen haben, müssen Sie diesen erneuern. Sofern der Auftragsverarbeitungsvertrag (kurz AVV) noch nicht besteht, ist es zwingend notwendig diesen abzuschließen. Seit in Kraft treten der DSGVO kann dieser auch direkt online abgeschlossen werden. Google selbst stellt dafür unter dem Reiter „Verwaltung“ im Unterbereich „Konto“ – „Kontoeinstellungen“ – „Zusatz zur Datenverarbeitung“ den entsprechenden AVV zur Verfügung.

Wichtig ist: Agenturen können diesen Vertrag nicht im Namen der Kunden abschließen. Jeder Kunde muss einen eigenen Google Analytics Account haben und einen eigenen Vertrag mit Google schließen.

Problematisch ist hierbei vor allem, dass der Ersteller des Google Analytic Kontos im Rahmen des Registrierungsprozesses selbst den AVV abschließen muss. Hier sollte also z.B. nicht über ein globales Agenturkonto mehrere Accounts angelegt und dann für die Nutzer verwaltet werden.

Ob der AVV abgeschlossen worden ist kann im Google Konto entsprechend eingesehen werden. War der Abschluss erfolgreich, so befindet sich in räumlicher Nähe zum Zusatz ein Hinweis auf das Abschlussdatum wie z.B. „Die Zustimmung für den Zusatz zur Datenverarbeitung für dieses Konto erfolgte am 18. März 2019“.

Zudem empfehlen wir ausdrücklich im Bereich des Zusatzes noch die Firmendaten und mindestens eine Kontaktperson anzulegen. Sofern ein Datenschutzbeauftragter bestellt ist, sollte dieser ebenfalls angegeben werden.

Hier lässt sich sodann ein neuer Kontakt anlegen:

Hier sieht man den fertig angelegten Kontakt:

Altdaten löschen

Sofern sie vor in Kraft treten der DSGVO keinen AVV mit Google abgeschlossen hatten, bzw. ihr AVV älter als September 2016 ist, dürfen Sie die dadurch erhobenen Daten nicht verarbeiten. Diese alten Verträge von vor September 2016 beriefen sich auf den Safe-Harbour-Beschluss aus dem Jahre 2000, der nun nicht mehr gilt. Sie müssten in diesem Fall einen akteullen Vertrag mit Google abschließen.
Das gleiche gilt auch dann, wenn Sie Daten erhoben haben, ohne das Sie Google Analytics ordnungsgemäß anonymisiert haben. In diesem Fall sind die Daten zu löschen. Leider löscht Google die Daten nicht automatisch. Allerdings können Sie in den Einstellungen von Google Analytics alle Daten in den Papierkorb verschieben, wodurch diese nach 35 Tagen durch Google gelöscht werden.

Technische Voraussetzungen implementieren

Anonymisierung des Tracking-Codes sicherstellen

Bei der Einbindung von ist darauf zu achten, dass der Tracking-Code je nach Art und Weise des verwendeten Analytic Tools den Tag „_gaq.push([‚_gat._anonymizeIp‘]);“ (klassische Version) bzw. „ga(’set‘, ‚anonymizeIp‘, true);“ (Universal Analytics) oder gtag(‚config‘, ‚UA-13XXXXXXXX, { ‚anonymize_ip‘: true }); (gtag) enthält. Nur so ist Google Analytics datenschutzkonform einsetzbar. Das letzte Oktett der IP-Adresse wird dann (angeblich) vor der Speicherung auf den Servern von Google schon innerhalb Europas gelöscht, so dass dann keine eindeutige Identifizierung des Nutzers mehr möglich ist.

Bitte beachten Sie, dass je nachdem wie Sie Google Analytics eingebunden haben, die Einstellungen über das entsprechend verwendete Plugin (z.B. bei WordPress) vorgenommen werden müssen.

Leider gibt Google selbst auf seiner Seite nur die Einbindung des Quelltexts ohne Anonymisierung aus. Auch findet sich auf der Google Seite kein expliziter Hinweis darauf, dass man die Daten anonymisieren muss.

Im Hinblick auf die Art und Weise wie man das Google Konto anonymisieren muss, gibt es je nach verwendeter Implementierung verschiedene Ansätze.
Eine explizite Anleitung für die Anonymisierung des alten Analytic Codes finden Sie unter https://developers.google.com/analytics/devguides/collection/analyticsjs/#anonymizeip.

Für alle neuen (Stand 03/2019) Google Konten, die primär das Analytics Tool über den Tag Manager verweden, muss die Anonymisierung des gtag gem. der Developer-Richtlinien (https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization) wie folgt erfolgen:

gtag('config', 'UA-13XXXXXXXX, { 'anonymize_ip': true });

Der fertige anonymisierte Code-Schnipsel sieht so aus:

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-13XXXXXXX-X"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-13XXXXXXX-X', { 'anonymize_ip': true });
</script>
<!-- End Google Analytics-->

Die Anonymisierung hat im Quelltext bei jeder Einbindung  zu erfolgen. Nur durch eine ausreichende Anonymisierung der Daten kann eine Datenschutz konforme Verwendbarkeit gewährleistet werden.

Opt-Out Cookie von Google Analytics einbinden

Da die DSGVO selbst vorsieht, dass man der Verarbeitung von personenbezogenen Daten jederzeit widersprechen können muss, raten wir dringend dazu denvon Google selbst vorgesehenen Opt-Out Cookie zu implementieren.
Eine Anleitung zur Einbindung des Opt-Out Codes finden Sie unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable.Trotz der Anleitung von Google ist der Einbau des Opt-Out Cookies kompliziert. Zum einen muss eine Funktion zum Aufruf des Javascript in die Datenschutzerklärung aufgenommen werden, zum anderen muss er technisch sauber vor dem Google Analytics Code implementiert sein.

Ein finaler Quellcode für den Opt-Out kann z.B. so aussehen:

<!-- Opt-Out - Google Analytics -->
<script>
// Set to the same value as the web property used on the site
var gaProperty = 'UA-13XXXXXXX-X';

// Disable tracking if the opt-out cookie exists.
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}

// Opt-out function
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
alert("Sie haben den Opt-Out erfolgreich erklärt.")
}
</script>
<!-- End Opt-Out Google Analytics -->

Der komplette Code inkl. Opt-Out Cookie (vor dem eigentlichen Analytics-Code) und Anonymisierung des eigentlichen Google-Analytics Codes sieht also so aus:

<!-- Opt-Out - Google Analytics -->
<script>
// Set to the same value as the web property used on the site
var gaProperty = 'UA-13XXXXXXX-X';
// Disable tracking if the opt-out cookie exists.
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
alert("Sie haben den Opt-Out erfolgreich erklärt.")
}
</script>
<!-- End Opt-Out Google Analytics -->

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-13XXXXXXX-X"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-13XXXXXXX-X', { 'anonymize_ip': true });
</script>
<!-- End Google Analytics-->

Wichtig ist, dass neben der Einbindung des Opt-Out Codes auch eine entsprechende Anpassung in der Datenschutzerklärung notwendig ist.

Opt-Out Link unter die Datenschutzklausel setzen

Unter die Klausel zu Google Analytics sollte eine Funktion eingebunden werden, welche den Opt-Out Cookie setzt. Der Seitenbesucher kann an dieser Stelle den Opt-Out erklären. Google empfiehlt hier Javascript.
Google selbst gibt nach Anklicken des Links keine Bestätigung aus, dass entsprechende Link angeklickt worden ist, bzw. der Opt-Out erfolgreich vorgenommen worden ist. Um den Benutzer zumindest ein Feedback zu geben, dass das Anklicken des Links erfolgt ist, sollte ein Popup eingerichtet werden. Über dieses Popup kann der Kunde zumindest eine Bestätigung erhalten, dass der Link erfolgreich angeklickt worden ist. Einen sog. „Alert“ haben wir in den Code (oben) bereits aufgenommen.

In den Datenschutzerklärungen der Website-Check GmbH werden wir zukünftig den entsprechenden Verweis auf das Opt-Out Tool in die Datenschutzerklärung aufnehmen.

Der Quellcode kann z.B. so ausgestaltet werden:

Opt-Out: <a href="javascript:gaOptout()">Klicken Sie hier, um das Tracking durch Google Analytics zu verhindern</a>

Hinweis: Ein Klick auf den Link ruft die oben im „Haupt“-Quelltext eingebundene Funktion „gaOptout“ auf. Dort ist der Alert, also die Bestätigung via Popup definiert.

Rechtliche Grundlage für den Einsatz von Google Analytics schaffen

Aufbewahrungsdauer der Daten einstellen

Im Hinblick auf die Aufbewahrungsdauer der Daten bietet Google seit in Kraft treten die Möglichkeit die Dauer der Datenerhebung einzustellen. Diese Einstellung gilt ausschließlich für die Daten, die mit entsprechenden IDs verknüpft sind. Nähere Hinweise darüber, wie die Aufbewahrungsdauer eingestellt wird, und welche Optionen zur Verfügung stehen finden Sie hier: https://support.google.com/analytics/answer/7667196?hl=de.

Im Reiter „Tracking Informationen“ und dem dort vorhandenen Unterreiter „Datenaufbewahrung“ finden Sie die Möglichkeit die Aufbewahrung von Nutzer- und Ereignisdaten einzustellen. Von Haus aus ist Google Analytics auf 26 Monate eingestellt.

Wir raten im Hinblick auf die Anforderungen der DSGVO grundsätzlich dazu die kürzeste Dauer (14 Monate) zu wählen. Ausdrücklich abraten müssen wir davon die Option „laufen nicht automatisch ab“ zu wählen. Zudem sollte im Hinblick auf den Datenschutz die Funktion „Bei neuer Aktivität zurücksetzen“, die bei Google vorausgewählt eingeschaltet ist, deaktiviert werden. Die Funktion bewirkt laut Auskunft von Google folgendes:

Datenschutzerklärung – Aufnahme einer Klausel zu Google Analytics

In die Datenschutzerklärung ist ein Hinweis (Textblock, eine Klausel) auf den Einsatz von Google Analytics vorzunehmen. Hierbei müssen zum einen die Informationspflichten aus Art. 13 DSGVO erfüllt werden, zum anderen sollte an dieser Stelle auch der Link zum Opt-Out Cookie von Google Analytics aktiv also anklickbar gesetzt werden.

Einwilligung

Gerade im Hinblick auf die strengen Anforderungen der DSGVO sollte die Einbindung von Google Analytics so vorgenommen werden, dass ein Tracking erst nach erfolgreicher Einwilligung durch den Nutzer stattfindet. In diesem Zusammenhang können z.B. Overlaybanner verwendet werden, die der Ausführung von Google Analytics vorgeschaltet werden. Hierbei muss technisch sichergestellt werden, dass ein Tracking vor Einwilligung oder ein bei Ablehnung der Einwilligung nicht stattfindet.

Einwilligungserklärungen sollten hierbei individuell gehalten werden und auf die konkret eingesetzten Webtracker und Plugins verweisen. Eine bloße „Zwangszustimmung“ in die Datenschutzerklärung erachten wir als datenschutzrechtlich problematisch.

Einige Anbieter wie WordPress oder Joomla bieten für die Einwilligungsbanner bereits vorgefertigte Lösungen an. Diese haben wir jedoch weder technisch noch rechtlich überprüft.

Falls Sie Ihren Internetauftritt rechtlich absichern oder Google-Analytics so rechtskonform wie möglich einsetzen möchten, melden Sie sich gerne unverbindlich bei uns. Wir erstellen Ihnen die auf Ihre Webseite angepassten Rechtstexte wie Impressum und Datenschutzerklärung und erstellen eine anwaltliche Prüfung der Internetseite. Weitere Informationen zu diesem Paket finden Sie unter: https://beta.website-check.de/website-check-fuer-internetseiten/


Weitere (ältere) Beiträge zum Thema finden Sie unter:

Datenschutz Abmahnung wegen Google Analytics

LG Hamburg: Einsatz von Google Analytics ohne entsprechenden Datenschutzhinweis in der Datenschutzerklärung ist abmahnfähig

Google Analytics Datenschutz & Google Analytics rechtskonform einsetzen & Was ist datenschutzrechtlich zu beachten?

Google-Analytics Link in der Datenschutzerklärung nicht erreichbar

Tags :
Google, Technikecke

Autor:

Teilen