Datenschutz und Google Analytics

Mit diesen 6 Schritten bindest du Google Analytics nach deutschem Recht ein

22. März 2018 - von Mara Kasubke

Google Analytics speichert im Standard die IP-Adressen deiner Besucher. Da IP-Adressen laut der EU-Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten sind, dürfen Unternehmen diese nicht ohne Weiteres speichern.

Wie du bestimmt weißt, trackt Google Analytics noch viel mehr Besucherdaten als nur die IP-Adresse. Deshalb ist es zum einen wichtig, dass du auf Google Analytics in der Datenschutzerklärung hinweist – das ist dir sicher bekannt. Zum anderen solltest du Besuchern die Möglichkeit geben, der Speicherung ihrer Tracking-Daten zu widersprechen und die Aufbewahrungsfrist einstellen bzw. überprüfen.

Mit diesen sechs Schritten bindest du Google Analytics (GA) datenschutzkonform ein:

  1. Schließe einen Vertrag zur Auftragsdatenverarbeitung mit Google ab.
  2. Lösche ggf. Altdaten und lege neue GA-Properties an.
  3. Anonymisiere die IPs der Website-Besucher.
  4. Stelle die Aufbewahrungsfrist der Daten ein.
  5. Passe die Datenschutzerklärung an.
  6. Binde die vorgeschriebenen Opt-out-Verfahren ein.

Vertrag zur Auftragsdatenverarbeitung

1.
Vertrag mit Google
abschließen

Da Google Analytics die Daten der Websitebesucher auf den Servern von Google verarbeitet, müssen Unternehmen einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen.

Mittlerweile gibt es eine Online-Variante des Vertrages zur Auftragsdatenverarbeitung . Du kannst den Vertrag direkt über die Google-Analytics-Plattform abschließen.

Auftragsverarbeitungsvertrag Google Analytics

 

Google Analytics aufräumen

2.
Lösche ggf. Altdaten

Hast du bisher Website-Besucher mit der vollständigen IP-Adresse deiner Besucher aufgezeichnet? Um zu überprüfen, ob dies bei dir der Fall ist, schaust du am besten in deinen Google-Analytics-Trackingcode. Wenn dort nichts von „anonymizeIp“ steht, solltest du zum einen den Trackingcode so anpassen, dass er IPs nur anonymisiert speichert (wie das geht erkläre ich dir gleich) und zum anderen deine Altdaten löschen. Denn bisher hast du die Besucher mit vollständiger IP-Adresse getrackt und dies ist laut DSGVO verboten.

Betreibst du einen Online-Shop, solltest du außerdem überprüfen, ob du die Shop-ID des Kunden mit Google Analytics verknüpft hast. Der Kunde darf ohne sein Wissen und seine Einwilligung nicht auf einer anderen Webseite weiterverfolgt werden. Das ist jedoch der Fall, wenn du seine Shop-ID an Google Analytics weitergibst.

So entfernst du personenbezogene Daten aus deinem GA-Account

Seit April 2018 kann man Aufbewahrungsfristen im eigenen Google-Analytics-Account definieren. Standardmäßig stellt Google dort 26 Monate ein. Du könntest also einfach nur deinen Trackingcode anpassen und die 26 Monate abwarten.

Möchtest du jedoch sichergehen und sofort einen datenschutzkonformenen Google-Analytics-Account haben, solltest du die Altdaten löschen. Das geht aktuell nur, indem du eine neue Property für deine Website erstellst und deine bisherige Property löschst.

So legst du eine neue Property in Google Analytics an:

  1. Gehe in den Verwaltungsbereich von Google Analytics (Zahnrad ganz unten in der Tool-Leiste)
  2. Erstelle unter Property eine neue Property, siehe Screenshot
  3. Damit du später schnell erkennst, welche Property die neue ist, vergib einen anderen Namen für die neue Property. (Unsere bisherige Property hieß z. B. https://visual4.de und die neue visual4.de – wir hätten auch visual4-Neu als Namen vergeben können.)
  4. Lösche deine bisherige Property, indem du sie aufrufst und dann in den Papierkorb verschiebst

AnonymizeIP für Google Analytics

3.
Anonymisiere die IPs
der Website-Besucher

Google Analytics bietet die Funktion anonymizeIP zur Anonymisierung der IP-Adressen an. Damit lassen sich die letzten drei Ziffern der IP-Adresse – also die Hostkennung des Besuchers – löschen. Der grobe Standort lässt sich so weiterhin identifizieren, aber keinem Gerät des Besuchers – und damit keiner Person – zuweisen.

Nutzt du Universal Analytics (die aktuelle Google-Analytics-Variante), dann kannst du folgenden Code einbinden. Acht darauf in Zeile 6 den Namen deiner Website einzutragen.

Nutzt du die klassische Google-Analytics-Variante (der Vorgänger von Google Universal Analytics), dann binde folgenden Code ein:

Verwendest du den Google Tag Manager? Google erklärt, wie du die IP-Adressen anonymisierst: https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization

Du möchtest mehr über die Anonymisierung von IP-Adressen in Google Analytics erfahren? Hier sind noch ein paar Links mit weiteren Informationen:

 

Aufbewahrungsfrist DSGVO

4.
Speichere Daten nur
so lange wie nötig

Google hat auf die DSGVO reagiert und eine neue Funktion eingeführt: Wir können jetzt die Aufbewahrungsfristen für unsere Tracking-Daten einstellen. Im Rahmen der DSGVO solltest du schriftlich definieren, warum du welche Tracking-Daten brauchst und begründen, warum du zum Beispiel die Tracking-Daten der letzten zwei Jahre speicherst.

Wenn es wichtig für dein Unternehmen ist, den Wintersale mit dem des Vorjahres vergleichen zu können, dann wäre dies eine Begründung für eine Aufbewahrungsfrist von den standardmäßig eingestellten 26 Monaten. Wenn du Werbeaktionen der WM miteinander vergleichen willst, müsstest du die Daten schon vier Jahre speichern.

Datenaufbewahrungsfrist in Google Analytics einstellen

Datenschutzerklärung für Google Analytics

5.
Datenschutzerklärung
anpassen

Für Google Analytics gibt es Standard-Formulierungen für die Datenschutzerklärung. Du kannst zum Beispiel den Impressum-Generator von eRecht24.de nutzen. Dieser generiert auch die Datenschutzerklärung mit dem Abschnitt zu Google Analytics.

Was du jetzt auf deiner Website und bei deinen Newslettern anpassen solltest
DSGVO im Überblick

Google Add-on und Browser-Cookie

6.
Ermögliche Widerruf
durch Opt-out

Laut DSGVO müssen Websitebesucher jederzeit ihre Einwilligung zur Verarbeitung von personenbezogenen Daten widerrufen können. Da durch das Verhalten der Besucher auch mit anonymisierter IP sich Rückschlüsse auf die Identität ziehen lassen, müssen Besucher sich gegen das Tracking ihres Verhaltens aussprechen können.

Das bedeutet, Websitebetreibende müssen Besuchern eine Möglichkeit bieten, ein Opt-out für das Tracking zu setzen. Google bietet hierfür ein Browser-Add-on, das sich Besucher installieren können. Da sich das Browser-Add-on jedoch auf mobilen Geräten nicht installieren lässt, müssen Websitebetreiber in der Datenschutzerklärung zusätzlich auf ein Opt-out-Cookie verlinken. Wenn ein Websitebesucher dem Tracking über das Klicken des Links widerspricht, setzt das Opt-out-JavaScript das Opt-out-Cookie im Browser des Besuchers.

Weitere Informationen zum Opt-out-Cookie und wie du es am besten einbindest, findest du hier:

Von Mara Kasubke
Hi, ich bin Mara von visual4. Als ausgebildete Technische Redakteurin liegt es mir am Herzen, digitale Technologien zu verstehen und die Vorteile und Funktionsweise verständlich und unterhaltsam zu erklären. Viel Spaß in unserem Digital-Blog!