Google Analytics nutzen

Wer einigermaßen professionell seine Website betreiben möchte, wird nicht auf Analysetools verzichten können. Das wohl bekannteste ist hier Google Analytics.

Wer nun ohne weiter Modifikation einfach Google Analytics auf seine Website einbindet, riskiert gegen geltendes Datenschutzrecht zu verstoßen.

Hier daher eine kurze Anleitung, wie man Google Analytics DSGVO-konform einsetzt:

1. Account anlegen und AV-Vertrag mit Google schließen

Das erste, was Sie nach dem eröffenen Ihres Google-Analytics-Accounts machen müssen, ist innerhalb Ihres Accounts über „Verwaltung -> Kontoeinstellungen“ den Bereich „Zusatz zur Datenverarbeitung“ aufrufen. Dort lassen Sie sich über das Feld [Zusatz anzeigen] den Vertrag zur Auftragsverarbeitung generieren, nachdem Sie über den dort angezeigten Link [DETAILS ZUM ZUSATZ ZUR DATENVERAREITUNG VERWALTEN] Ihre Unternehmensdaten eingetragen und dann gespeichert haben.

Diesen Vertrag drucken Sie dann idealerweise aus und nehmen diesen zu Ihren Datenschutz-Unterlagen. Damit haben Sie dann die erste Hürde zur DSGVO-konformen Google Analytics Nutzung genommen.

2. Trackingcode erstellen und anpassen

Nun können Sie in Ihrem Account den Trackingcode und das dazugehörige in Ihre Website einzubindene Skript generieren, über welchen Sie Google Analytics von Ihrer Website aus ansprechen können. Wenn Sie Skript nun jedoch nicht modifizieren, fehlt die Anonymisierung und das Widerspruchsrecht.

In der Vergangenheit gab es bereits Abmahnungen wegen der nicht anonymisierten Datenweitergabe an Google.

Hierzu ist es notwendig, dass Sie das Skript um „anonymizeIp“ erweitern und dies auf „true“ setzen. Hierdruch werden die letzten Stellen der an Google übermittelten IP-Adresse maskiert, so dass die Daten anonymisiert sind. Da jedoch nicht sichergestellt ist, ob dies technisch bei Ihnen oder erst bei Google erfolgt, bleibt Google Analytics ein umstrittener Dienst, so dass vor allem deswegen auch der vorstehend benannte AV-Vertrag erforderlich ist, obwohl die Daten eigentlich nur anonymisiert weitergegeben werden.

Des weiteren muss der Nutzer Ihrer Website die Chance besitzen der Datenanalysierung zu widersprechen. Hierzu gibt es zwar entsprechende Deaktivierungs-Add-ons von Google, aber diese sind nicht unbedingt auf allen potentiellen Endgeräten installierbar. Daher sollte bis zu einer tatsächlichen vollständigen Kompatibilität des Deaktivierungs-Add-ons zusätzlich der Trackingcode um ein Opt-Out-Cookie ergenzt werden, damit die zukünftige Datenerfassung verhindert wird.

Das vollständige modifizerte Skript sollte dann folgendermaßen aussehen (da ich nur Jurist und nicht Webentwickler bin, übernehme ich für die Funtion den nachfolgenden Skripten keine Gewähr. Und auch zu Fragen der Einbindung setzen Sie sich bitte mit Ihrem Webentwickler in Verbindung):

<script>      
var gaProperty = 'XX-XXXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; }
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'XX-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview'); </script>

Die XX-XXXXXXXX-X ersetzen Sie natürlich durch Ihren individuellen Trackingcode.

Damit das Widerspruchsrecht auch über Ihre Datenschutzerklärung angesprochen werden kann, müssen Sie dort noch einen Onclick-Link einbinden. Dies könnte wie folgt aussehen:

Sie können die Erfassung Ihrer Daten durch Google Analytics darüber hinaus verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: <a onclick="Alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()"Google Analytics deaktivieren</a> 

Natürlich benötigen Sie in der Datenschutzerklärung noch deutlich mehr Angaben (auch zu Google Analytics). Gern können wir Ihnen eine individuelle Datenschutzerklärung erstellen, in welcher dann auch dieser Passus enthalten ist.

3. Aufbewahrungsfrist definieren

Da mit der DSGVO auch ein Recht auf Vergessen eingeführt wurde, haben Sie sicherzustellen, dass die über Google-Analytics erhobenen Daten nicht ewig aufbewahrt werden. Voreingestellt ist hier durch Google eine Aufbewahrung von 26 Monaten für Nutzer- und Ereignisdaten.

Soweit keine zwingenden Gründen in Ihrem Unternehmen dagegensprechen, sollten Sie hier die datensparsamste Einstellung nutzen und die Aufbewahrungszeit auf einen deutlich kürzeren Zeitraum festlegen und auch den Button [Bei neuer Aktivität zurücksetzen] deaktiveren.

4. Cookie Banner

Das nervigste für Nutzer und das Webdesigns ist schließlich der ggf. erforderliche Cookie-Banner.

Hierbei ist bis zur ePrivacy-Verordnung (welche wohl erst 2020 zu erwarten ist) zwischen den Verbänden und den Datenschutzbehörden durchaus strittig, ob Google Analytics (natürlich nur wenn es wie vorstehend dargelegt anonymisiert wurde) unter § 6 I 1 f DSGVO fällt (dann reicht ein Hinweis zum Widerspruchsrecht mit Opt-Out-Möglichkeit) oder doch eine ausdrückliche Einwilligung erforderlich ist (dann ist ein Opt-In notwendig).

Wenn man davon ausgeht, dass ein bloßer Hinweis ausreichend ist, dann könnte man ggf. sogar auf den Cookie-Banner ganz verzichten, da dieser Hinweis ja auf jeden Fall in der Datenschutzerklärung enthalten ist.

Auf der rechtlich sicheren Seite ist man nur, wenn man vor dem setzen des Google-Analytics Cookies mittels eines Cookie Banners die ausdrückliche Einwilligung einholt. Der hierfür erforderliche programmiertechnische Aufwand übersteigt diese kleine Darstellung.

Egal ob Sie sich für einen Cookie-Banner mit ausdrücklicher Einwilligung entscheiden oder nur einen einfachen nur infomierenden Cookie-Banner. Achten Sie bitte darauf, dass unabhängig von dem gewählten Browser und Endgerät dieser Banner niemals die Links zum Impressum oder der Datenschutzerklärung überdeckt.

In Sachen Cookie-Banner empfehle ich auch die kurz Darstellung der Rechtslage unter Cookies und die DSGVO.