Google Analytics datenschutzkonform?

Google Analytics 2020 datenschutzkonform auf Webseiten einbinden

Seit der Aktualisierung der DSGVO im Mai 2018, gibt es im Datenschutzdschungel immer noch viele Unklarheiten zur rechtskonformen Nutzung von Google Analytics. 2020 hat der Europäische Gerichtshof einige Urteile zum Tracking von Cookies gefällt, die zumindest eine Sache klar festlegen: Rechtskonformes Tracking mit Tools von Drittanbietern wie Google Analytics benötigen grundsätzlich immer eine aktive Einwilligung des Users.

Doch was bedeutet das nun für Dich als Websitebetreiber? Was kannst und musst Du tun, um Deine Seite rechtssicher zu betreiben und hohe Strafen und kostspielige Abmahnungen zu vermeiden? Unsere 6 Tipps helfen Dir Google Analytics datenschutzkonform zu nutzen.

Um Google Analytics datenschutzkonform einzusetzen, solltest Du diese 6 Punkte beachten.

Google Analytics nur mit Einwilligung des Users!

Aufgrund der aktuellen EuGH-Urteile 2020, ist das Tracking von Cookies ausschließlich mit der aktiven Zustimmung des Users erlaubt, unabhängig davon ob personenbezogene oder anonyme Daten in den Cookies gespeichert sind. Daher darf das Tracking über Google Analytics nur noch mit vorheriger Einwilligung über ein sog. Consent–Tool erfolgen, das beim Öffnen der Website erscheint und den User zur Einwilligung zum Tracking auffordert. Es gibt dazu verschiedene Consent-Tool Anbieter. Bei der Nutzung eines solchen Tools sollten unbedingt folgende Kriterien erfüllt sein:

Die Einwilligung zum Tracking muss durch den Nutzer selbst aktiv gesetzt werden und darf nicht schon per default angekreuzt sein
Das Tool muss vor der Einwilligung alle Cookies auf der Website (bis auf das eigene Cookie des Consent Tools) blocken
Cookies dürfen erst nach der aktiven Einwilligung des Nutzers gesetzt werden
Jedes einzelne Tracking Tool muss in der Einwilligungsbox aufgeführt sein
Das Consent Tool muss ebenfalls in der Datenschutzerklärung genannt werden
Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden (siehe Beispiel).
First-Party Cookies – ohne Einwilligung

Sogenannte First-Party-Cookies dürfen jedoch weiter ohne Einwilligung auf der Website genutzt werden, da die Daten lokal auf dem Rechner des Users gespeichert und nicht an Drittanbieter weitergegeben werden. Dazu zählen beispielsweise folgende Cookies:
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies, die eine Länder- oder Sprachauswahl betreffen
- Cookies, die Consent Tools für die Cookie Einwilligung setzen

Passe den Tracking-Code an!

Da der Tracking-Code von Google Analytics nicht die Datenschutzanforderungen erfüllt, muss dieser händisch angepasst werden. Denn nur mit der Code-Erweiterung „anonymizeIp“ ist die datenschutzkonforme Nutzung von Google Analytics möglich.

Die Code-Erweiterung sorgt für die Löschung der letzten 8 Bit der IP-Adressen und bewirkt so eine Anonymisierung. Hast du Nutzerprofile ohne IP-Anonymisierung erhoben sind diese rechtswidrig erhoben und müssen gelöscht werden.

Anonymisierung mit Google Tag Manager

Wenn Du Google Analytics über den Google Tag Manager integrierst, musst Du die Variable „Google Analytics-Einstellung“ einfach um den Feldnamen anonymizeIp mit dem Wert „true“ ergänzen.

Widerspruchsmöglichkeit für User!

Zudem musst Du als Websitebetreiber dem User die Gelegenheit geben, Widerspruch gegen die Erstellung von Nutzungsprofilen einzulegen. Das dafür von Google entwickelte Deaktivierungs-Add-on unterbindet die künftige Datenerfassung. Das Add-On ist eine Erweiterung für verschiedene Browser, welche die Erfassung durch den Google Analytics Code unterbindet und muss in der Datenschutzerklärung mit folgendem Link angegeben werden https://tools.google.com/dlpage/gaoptout?hl=de. Außerdem solltest Du auch an die Einrichtung einer Opt-Out-Funktion denken.

Einrichtung eines Opt-Out Cookies

1. Schritt:

Um ein Opt-Out Cookie einzubinden musst Du im ersten Schritt ein JavaScript schreiben und auf auf Deiner Seite einbinden. Dieses sollte folgendermaßen aussehen:

Die Zeichenfolge ‚UA-XXXXXXX-X‘ musst Du durch Deine Google Analytics Property ersetzen. Die darauffolgenden vier Zeilen bis window[disableStr] = true;} verursachen dann die Deaktivierung des Analytics Cookies. Über einen Link in Deiner Datenschutzerklärung kann der Nutzer die Ausführung des Skriptes und somit die Deaktivierung von Google Analytics deaktivieren.

Wichtig: Das Skript muss unbedingt vor dem Google Analytics Code eingebaut sein, damit es vor der Datenerfassung greifen kann. Wenn du den Google Tag-Manager nutzt, muss es auch vor dem Tag Manager stehen.

Der Befehl function gaOptout() setzt den Opt-Out Cookie, sobald der Link auf Deiner Datenschutzseite eingebaut ist und vom User angeklickt wird. Das gesetzte Opt-Out Cookie ist diesem Beispiel ist bis zum 31. Dezember 2099 um 23:59:59 Uhr gültig (sollte es nicht vorher vom User gelöscht werden).

2. Schritt:

Im zweiten Schritt musst Du einen Link auf deiner Datenschutzseite setzen, um den Befehl „function gaOptout()“ ausführen zu können. Die Verlinkung kann folgendermaßen aussehen:

<a href=“javascript:gaOptout();“ onclick=“alert(‚Google Analytics wurde deaktiviert‘);“>Erfassung von Daten durch Google Analytics für diese Website deaktivieren</a>

Über den Zusatz: onclick=“alert(‚Google Analytics wurde deaktiviert‘) öffnet sich ein separates Fenster, in dem der User eine Mitteilung erhält, dass Google Analytics nun deaktiviert ist.

3. Schritt:

Im letzten Schritt solltest Du überprüfen, ob das Cookie richtig gesetzt wurde. Dazu empfehlen wir Dir zunächst alle Cookies in Deinen Browsereinstellungen zu löschen. Anschließend klickst Du auf den Link in Deiner Datenschutzerklärung zur Deaktivierung von Google Analytics . Nun sollte zunächst das Infofenster erscheinen. Anschließend kannst Du prüfen, ob der Opt-Out Cookie (ga–disable-UA-XXXXXX-X) gesetzt wurde.

Eine andere Kontrollmöglichkeit ist das Browser-Plugins EditThisCookie.

Hinweise:

Hat der User JavaScript deaktiviert, löst zwar das Cookie nicht aus, aber Google Analytics würde trotzdem keine Daten erhalten, da Analytics ebenfalls über ein JavaScript eingebaut ist.

Wenn du den Out-Out-Link mit dem WordPress Visual Composer auf Deiner Datenschutzseite einfügst, überschreibt das Baukastensystem Visual Composer das JavaScript Snippet und der Opt-Out Cookie kann nicht mehr gesetzt werden. Um dies zu vermeiden musst Du das Script im HTML-Modus der Seite einbinden.

Auftragsverarbeitung klären

Die ursprüngliche Einbindung von Google Analytics über eine Auftragsverarbeitung gemäß Art. 28 DSGVO, ist nach der Einschätzung von Datenschutzbehörden nicht mehr zulässig, wenn Google Analytics mit den von Google empfohlenen Standardeinstellungen betrieben wird. (Stand März 2020). In diesem Fall liegt eine sog. gemeinsame Verantwortlichkeit zwischen Google und dem Webseitenbetreiber gemäß Art. 26 DSGVO vor. Bis heute (September 2020) gibt es jedoch noch keine Vereinbarung, die den Anforderungen nach Art. 26 DSGVO entspricht. Daher empfehlen wir weiterhin einen Zusatz zur Auftragsverarbeitung abzuschließen.

Diesen findet man in Google Analytics im Menüpunkt unter „Verwaltung > Kontoeinstellungen“ unter dem Reiter „Zusatz zur Datenverarbeitung“.Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ können Firmen- bzw. Kontaktangaben ausgefüllt und direkt abgespeichert werden.

Bestimme die Aufbewahrungsdauer der Daten!

Google bietet Optionen zum Zeitraum der Speicherung der erfassten Daten an (gilt nicht für aggregierte Daten). Die mit Cookies sowie mit Werbe- und User-Ids verknüpften Daten werden laut Standardeinstellung 26 Monate lang gespeichert. Um bei Google Analytics und DSGVO alles richtig zu machen, solltest Du diesen Aufbewahrungszeitraum auf 14 Monate beschränken und zudem den Button „Bei neuer Aktivität zurücksetzen“ deaktivieren.

Passe Deine Datenschutzerklärung an!

Wer Google Analytics datenschutzkonform einbinden will, muss den Einsatz in der Datenschutzerklärung zwingend angeben. Vorlagen und Inspiration für eine rechtskonforme Datenschutzerklärung findest du zum Beispiel bei E-Recht24.Wie bereits erwähnt müssen auch Angaben zur Nutzung des Consent Tools in der Datenschutzerklärung gemacht werden.

Fazit: rechtssicher durch Profi-Hilfe

Unsere Tipps zum datenschutzkonformen Einsatz von Analyse-Tools helfen Dir, Analyse-Tools nach aktuellem Stand (September 2020) datenschutzkonform einzusetzen. Der Artikel zeigt aber auch deutlich wie sehr das Thema Tracking und Webanalyse im rechtlichen Wandel ist. Neue Urteile oder Gesetzesänderungen können in Zukunft weitere Anpassungen erforderlich machen. Um alle Anpassungen rechtzeitig und rechtskonform durchzuführen, solltest Du also immer auf den Laufenden bleiben!

Als Digitalagentur mit viel Fachwissen rund um den Google Analytics Datenschutz stehen wir Dir dabei gerne mit Rat und Tat zur Seite.

Möchtest Du mehr wissen? Dann kontaktiere uns jetzt!

Kontakt aufnehmen