Datenschutz und Google Analytics
Mit diesen 6 Schritten bindest du Google Analytics nach deutschem Recht ein
Wie du bestimmt weißt, trackt Google Analytics noch viel mehr Besucherdaten als nur die IP-Adresse. Deshalb ist es zum einen wichtig, dass du auf Google Analytics in der Datenschutzerklärung hinweist – das ist dir sicher bekannt. Zum anderen solltest du Besuchern die Möglichkeit geben, der Speicherung ihrer Tracking-Daten zu widersprechen und die Aufbewahrungsfrist einstellen bzw. überprüfen.
Mit diesen sechs Schritten bindest du Google Analytics (GA) datenschutzkonform ein:
Inhalt
Vertrag zur Auftragsdatenverarbeitung
1.
Vertrag mit Google
abschließen
Da Google Analytics die Daten der Websitebesucher auf den Servern von Google verarbeitet, müssen Unternehmen einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen.
Mittlerweile gibt es eine Online-Variante des Vertrages zur Auftragsdatenverarbeitung . Du kannst den Vertrag direkt über die Google-Analytics-Plattform abschließen.
Google Analytics aufräumen
2.
Lösche ggf. Altdaten
Hast du bisher Website-Besucher mit der vollständigen IP-Adresse deiner Besucher aufgezeichnet? Um zu überprüfen, ob dies bei dir der Fall ist, schaust du am besten in deinen Google-Analytics-Trackingcode. Wenn dort nichts von „anonymizeIp“ steht, solltest du zum einen den Trackingcode so anpassen, dass er IPs nur anonymisiert speichert (wie das geht erkläre ich dir gleich) und zum anderen deine Altdaten löschen. Denn bisher hast du die Besucher mit vollständiger IP-Adresse getrackt und dies ist laut DSGVO verboten.
Betreibst du einen Online-Shop, solltest du außerdem überprüfen, ob du die Shop-ID des Kunden mit Google Analytics verknüpft hast. Der Kunde darf ohne sein Wissen und seine Einwilligung nicht auf einer anderen Webseite weiterverfolgt werden. Das ist jedoch der Fall, wenn du seine Shop-ID an Google Analytics weitergibst.
So entfernst du personenbezogene Daten aus deinem GA-Account
Seit April 2018 kann man Aufbewahrungsfristen im eigenen Google-Analytics-Account definieren. Standardmäßig stellt Google dort 26 Monate ein. Du könntest also einfach nur deinen Trackingcode anpassen und die 26 Monate abwarten.
Möchtest du jedoch sichergehen und sofort einen datenschutzkonformenen Google-Analytics-Account haben, solltest du die Altdaten löschen. Das geht aktuell nur, indem du eine neue Property für deine Website erstellst und deine bisherige Property löschst.
So legst du eine neue Property in Google Analytics an:
- Gehe in den Verwaltungsbereich von Google Analytics (Zahnrad ganz unten in der Tool-Leiste)
- Erstelle unter Property eine neue Property, siehe Screenshot
- Damit du später schnell erkennst, welche Property die neue ist, vergib einen anderen Namen für die neue Property. (Unsere bisherige Property hieß z. B. https://visual4.de und die neue visual4.de – wir hätten auch visual4-Neu als Namen vergeben können.)
- Lösche deine bisherige Property, indem du sie aufrufst und dann in den Papierkorb verschiebst
AnonymizeIP für Google Analytics
3.
Anonymisiere die IPs
der Website-Besucher
Google Analytics bietet die Funktion anonymizeIP zur Anonymisierung der IP-Adressen an. Damit lassen sich die letzten drei Ziffern der IP-Adresse – also die Hostkennung des Besuchers – löschen. Der grobe Standort lässt sich so weiterhin identifizieren, aber keinem Gerät des Besuchers – und damit keiner Person – zuweisen.
Nutzt du Universal Analytics (die aktuelle Google-Analytics-Variante), dann kannst du folgenden Code einbinden. Acht darauf in Zeile 6 den Namen deiner Website einzutragen.
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
Nutzt du die klassische Google-Analytics-Variante (der Vorgänger von Google Universal Analytics), dann binde folgenden Code ein:
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
Verwendest du den Google Tag Manager? Google erklärt, wie du die IP-Adressen anonymisierst: https://support.google.com/analytics/answer/2763052?hl=de
Du möchtest mehr über die Anonymisierung von IP-Adressen in Google Analytics erfahren? Hier sind noch ein paar Links mit weiteren Informationen:
Aufbewahrungsfrist DSGVO
4.
Speichere Daten nur
so lange wie nötig
Google hat auf die DSGVO reagiert und eine neue Funktion eingeführt: Wir können jetzt die Aufbewahrungsfristen für unsere Tracking-Daten einstellen. Im Rahmen der DSGVO solltest du schriftlich definieren, warum du welche Tracking-Daten brauchst und begründen, warum du zum Beispiel die Tracking-Daten der letzten zwei Jahre speicherst.
Wenn es wichtig für dein Unternehmen ist, den Wintersale mit dem des Vorjahres vergleichen zu können, dann wäre dies eine Begründung für eine Aufbewahrungsfrist von den standardmäßig eingestellten 26 Monaten. Wenn du Werbeaktionen der WM miteinander vergleichen willst, müsstest du die Daten schon vier Jahre speichern.
Datenschutzerklärung für Google Analytics
5.
Datenschutzerklärung
anpassen
Für Google Analytics gibt es Standard-Formulierungen für die Datenschutzerklärung. Du kannst zum Beispiel den Impressum-Generator von eRecht24.de nutzen. Dieser generiert auch die Datenschutzerklärung mit dem Abschnitt zu Google Analytics.
Google Add-on und Browser-Cookie
6.
Ermögliche Widerruf
durch Opt-out
Laut DSGVO müssen Websitebesucher jederzeit ihre Einwilligung zur Verarbeitung von personenbezogenen Daten widerrufen können. Da durch das Verhalten der Besucher auch mit anonymisierter IP sich Rückschlüsse auf die Identität ziehen lassen, müssen Besucher sich gegen das Tracking ihres Verhaltens aussprechen können.
Das bedeutet, Websitebetreibende müssen Besuchern eine Möglichkeit bieten, ein Opt-out für das Tracking zu setzen. Google bietet hierfür ein Browser-Add-on, das sich Besucher installieren können. Da sich das Browser-Add-on jedoch auf mobilen Geräten nicht installieren lässt, müssen Websitebetreiber in der Datenschutzerklärung zusätzlich auf ein Opt-out-Cookie verlinken. Wenn ein Websitebesucher dem Tracking über das Klicken des Links widerspricht, setzt das Opt-out-JavaScript das Opt-out-Cookie im Browser des Besuchers.
Weitere Informationen zum Opt-out-Cookie und wie du es am besten einbindest, findest du hier: