Google Analytics 2020 datenschutzkonform auf Webseiten einbinden
Seit der Aktualisierung der DSGVO im Mai 2018, gibt es im Datenschutzdschungel immer noch viele Unklarheiten zur rechtskonformen Nutzung von Google Analytics. 2020 hat der Europäische Gerichtshof einige Urteile zum Tracking von Cookies gefällt, die zumindest eine Sache klar festlegen: Rechtskonformes Tracking mit Tools von Drittanbietern wie Google Analytics benötigen grundsätzlich immer eine aktive Einwilligung des Users.
Doch was bedeutet das nun für Dich als Websitebetreiber? Was kannst und musst Du tun, um Deine Seite rechtssicher zu betreiben und hohe Strafen und kostspielige Abmahnungen zu vermeiden? Unsere 6 Tipps helfen Dir Google Analytics datenschutzkonform zu nutzen.
Um Google Analytics datenschutzkonform einzusetzen, solltest Du diese 6 Punkte beachten.
Google Analytics nur mit Einwilligung des Users!
- Die Einwilligung zum Tracking muss durch den Nutzer selbst aktiv gesetzt werden und darf nicht schon per default angekreuzt sein
- Das Tool muss vor der Einwilligung alle Cookies auf der Website (bis auf das eigene Cookie des Consent Tools) blocken
- Cookies dürfen erst nach der aktiven Einwilligung des Nutzers gesetzt werden
- Jedes einzelne Tracking Tool muss in der Einwilligungsbox aufgeführt sein
- Das Consent Tool muss ebenfalls in der Datenschutzerklärung genannt werden
- Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden (siehe Beispiel).
First-Party Cookies – ohne Einwilligung
Sogenannte First-Party-Cookies dürfen jedoch weiter ohne Einwilligung auf der Website genutzt werden, da die Daten lokal auf dem Rechner des Users gespeichert und nicht an Drittanbieter weitergegeben werden. Dazu zählen beispielsweise folgende Cookies:
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies, die eine Länder- oder Sprachauswahl betreffen
- Cookies, die Consent Tools für die Cookie Einwilligung setzen
Passe den Tracking-Code an!
Die Code-Erweiterung sorgt für die Löschung der letzten 8 Bit der IP-Adressen und bewirkt so eine Anonymisierung. Hast du Nutzerprofile ohne IP-Anonymisierung erhoben sind diese rechtswidrig erhoben und müssen gelöscht werden.
Anonymisierung mit Google Tag Manager
Wenn Du Google Analytics über den Google Tag Manager integrierst, musst Du die Variable „Google Analytics-Einstellung“ einfach um den Feldnamen anonymizeIp mit dem Wert „true“ ergänzen.
Widerspruchsmöglichkeit für User!
Einrichtung eines Opt-Out Cookies
1. Schritt:
Um ein Opt-Out Cookie einzubinden musst Du im ersten Schritt ein JavaScript schreiben und auf auf Deiner Seite einbinden. Dieses sollte folgendermaßen aussehen:
Die Zeichenfolge ‚UA-XXXXXXX-X‘ musst Du durch Deine Google Analytics Property ersetzen. Die darauffolgenden vier Zeilen bis window[disableStr] = true;} verursachen dann die Deaktivierung des Analytics Cookies. Über einen Link in Deiner Datenschutzerklärung kann der Nutzer die Ausführung des Skriptes und somit die Deaktivierung von Google Analytics deaktivieren.
Wichtig: Das Skript muss unbedingt vor dem Google Analytics Code eingebaut sein, damit es vor der Datenerfassung greifen kann. Wenn du den Google Tag-Manager nutzt, muss es auch vor dem Tag Manager stehen.
Der Befehl function gaOptout() setzt den Opt-Out Cookie, sobald der Link auf Deiner Datenschutzseite eingebaut ist und vom User angeklickt wird. Das gesetzte Opt-Out Cookie ist diesem Beispiel ist bis zum 31. Dezember 2099 um 23:59:59 Uhr gültig (sollte es nicht vorher vom User gelöscht werden).
2. Schritt:
Im zweiten Schritt musst Du einen Link auf deiner Datenschutzseite setzen, um den Befehl „function gaOptout()“ ausführen zu können. Die Verlinkung kann folgendermaßen aussehen:
<a href=“javascript:gaOptout();“ onclick=“alert(‚Google Analytics wurde deaktiviert‘);“>Erfassung von Daten durch Google Analytics für diese Website deaktivieren</a>
Über den Zusatz: onclick=“alert(‚Google Analytics wurde deaktiviert‘) öffnet sich ein separates Fenster, in dem der User eine Mitteilung erhält, dass Google Analytics nun deaktiviert ist.
3. Schritt:
Im letzten Schritt solltest Du überprüfen, ob das Cookie richtig gesetzt wurde. Dazu empfehlen wir Dir zunächst alle Cookies in Deinen Browsereinstellungen zu löschen. Anschließend klickst Du auf den Link in Deiner Datenschutzerklärung zur Deaktivierung von Google Analytics . Nun sollte zunächst das Infofenster erscheinen. Anschließend kannst Du prüfen, ob der Opt-Out Cookie (ga–disable-UA-XXXXXX-X) gesetzt wurde.
Eine andere Kontrollmöglichkeit ist das Browser-Plugins EditThisCookie.
Hinweise:
Hat der User JavaScript deaktiviert, löst zwar das Cookie nicht aus, aber Google Analytics würde trotzdem keine Daten erhalten, da Analytics ebenfalls über ein JavaScript eingebaut ist.
Wenn du den Out-Out-Link mit dem WordPress Visual Composer auf Deiner Datenschutzseite einfügst, überschreibt das Baukastensystem Visual Composer das JavaScript Snippet und der Opt-Out Cookie kann nicht mehr gesetzt werden. Um dies zu vermeiden musst Du das Script im HTML-Modus der Seite einbinden.
Auftragsverarbeitung klären
Diesen findet man in Google Analytics im Menüpunkt unter „Verwaltung > Kontoeinstellungen“ unter dem Reiter „Zusatz zur Datenverarbeitung“.Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ können Firmen- bzw. Kontaktangaben ausgefüllt und direkt abgespeichert werden.
Bestimme die Aufbewahrungsdauer der Daten!
Passe Deine Datenschutzerklärung an!
Fazit: rechtssicher durch Profi-Hilfe
Unsere Tipps zum datenschutzkonformen Einsatz von Analyse-Tools helfen Dir, Analyse-Tools nach aktuellem Stand (September 2020) datenschutzkonform einzusetzen. Der Artikel zeigt aber auch deutlich wie sehr das Thema Tracking und Webanalyse im rechtlichen Wandel ist. Neue Urteile oder Gesetzesänderungen können in Zukunft weitere Anpassungen erforderlich machen. Um alle Anpassungen rechtzeitig und rechtskonform durchzuführen, solltest Du also immer auf den Laufenden bleiben!
Als Digitalagentur mit viel Fachwissen rund um den Google Analytics Datenschutz stehen wir Dir dabei gerne mit Rat und Tat zur Seite.