Wie setze ich Google Analytics datenschutzkonform ein?

Aufgrund der aktuellen EuGH-Urteile 2020, ist das Tracking von Cookies ausschließlich mit der aktiven Zustimmung des Users erlaubt, unabhängig davon ob personenbezogene oder anonyme Daten in den Cookies gespeichert sind. Daher darf das Tracking über Google Analytics nur noch mit vorheriger Einwilligung über ein sog. Consent–Tool erfolgen, das beim Öffnen der Website erscheint und den User zur Einwilligung zum Tracking auffordert. Es gibt dazu verschiedene Consent-Tool Anbieter. Bei der Nutzung eines solchen Tools sollten unbedingt folgende Kriterien erfüllt sein:  

• Die Einwilligung zum Tracking muss durch den Nutzer selbst aktiv gesetzt werden und darf nicht schon per default angekreuzt sein 
• Das Tool muss vor der Einwilligung alle Cookies auf der Website (bis auf das eigene Cookie des Consent Tools) blocken 
• Cookies dürfen erst nach der aktiven Einwilligung des Nutzers gesetzt werden 
• Jedes einzelne Tracking Tool muss in der Einwilligungsbox aufgeführt sein 
• Das Consent Tool muss ebenfalls in der Datenschutzerklärung genannt werden 
• Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden (siehe Beispiel).

  First-Party Cookies – ohne Einwilligung  

  Sogenannte First-Party-Cookies dürfen jedoch weiter ohne Einwilligung auf der Website genutzt werden, da die Daten lokal auf dem Rechner des Users gespeichert und nicht an Drittanbieter weitergegeben werden. Dazu zählen beispielsweise folgende Cookies:  

  • Warenkorb-Cookies 
  • Cookies für LogIns 
  • Cookies, die eine Länder- oder Sprachauswahl betreffen 
  • Cookies, die Consent Tools für die Cookie Einwilligung setzen 

   

Da der Tracking-Code von Google Analytics nicht die Datenschutzanforderungen erfüllt, muss dieser händisch angepasst werden. Denn nur mit der Code-Erweiterung „anonymizeIp“ ist die datenschutzkonforme Nutzung von Google Analytics möglich.  

Die Code-Erweiterung sorgt für die Löschung der letzten 8 Bit der IP-Adressen und bewirkt so eine Anonymisierung. Hast du Nutzerprofile ohne IP-Anonymisierung erhoben sind diese rechtswidrig erhoben und müssen gelöscht werden.  

Anonymisierung mit Google Tag Manager 

Wenn Du Google Analytics über den Google Tag Manager integrierst, musst Du die Variable „Google Analytics-Einstellung“ einfach um den Feldnamen anonymizeIp mit dem Wert „true“ ergänzen.

Zudem musst Du als Websitebetreiber dem User die Gelegenheit geben, Widerspruch gegen die Erstellung von Nutzungsprofilen einzulegen. Das dafür von Google entwickelte Deaktivierungs-Add-on unterbindet die künftige Datenerfassung. Das Add-On ist eine Erweiterung für verschiedene Browser, welche die Erfassung durch den Google Analytics Code unterbindet und muss in der Datenschutzerklärung mit folgendem Link angegeben werden https://tools.google.com/dlpage/gaoptout?hl=de.  Außerdem solltest Du auch an die Einrichtung einer Opt-Out-Funktion denken. 

Einrichtung eines Opt-Out Cookies 

 1. Schritt:

Um ein Opt-Out Cookie einzubinden musst Du im ersten Schritt ein JavaScript schreiben und auf auf Deiner Seite einbinden. Dieses sollte folgendermaßen aussehen:  

Die Zeichenfolge ‚UA-XXXXXXX-X‘ musst Du durch Deine Google Analytics Property ersetzen. Die darauffolgenden vier Zeilen bis window[disableStr] = true;} verursachen dann die Deaktivierung des Analytics Cookies. Über einen Link in Deiner Datenschutzerklärung kann der Nutzer die Ausführung des Skriptes und somit die Deaktivierung von Google Analytics deaktivieren. 

Wichtig: Das Skript muss unbedingt vor dem Google Analytics Code eingebaut sein, damit es vor der Datenerfassung greifen kann. Wenn du den Google Tag-Manager nutzt, muss es auch vor dem Tag Manager stehen.  

Der Befehl function gaOptout() setzt den Opt-Out Cookie, sobald der Link auf Deiner Datenschutzseite eingebaut ist und vom User angeklickt wird.  Das gesetzte Opt-Out Cookie ist diesem Beispiel ist bis zum 31. Dezember 2099 um 23:59:59 Uhr gültig (sollte es nicht vorher vom User gelöscht werden).  

 

2. Schritt:

 Im zweiten Schritt musst Du einen Link auf deiner Datenschutzseite setzen, um den Befehl „function gaOptout()“ ausführen zu können. Die Verlinkung kann folgendermaßen aussehen: 

<a href=“javascript:gaOptout();“ onclick=“alert(‚Google Analytics wurde deaktiviert‘);“>Erfassung von Daten durch Google Analytics für diese Website deaktivieren</a> 

Über den Zusatz: onclick=“alert(‚Google Analytics wurde deaktiviert‘) öffnet sich ein separates Fenster, in dem der User eine Mitteilung erhält, dass Google Analytics nun deaktiviert ist.

 3. Schritt: 

Im letzten Schritt solltest Du überprüfen, ob das Cookie richtig gesetzt wurde. Dazu empfehlen wir Dir zunächst alle Cookies in Deinen Browsereinstellungen zu löschen. Anschließend klickst Du auf den Link in Deiner Datenschutzerklärung zur Deaktivierung von Google Analytics . Nun sollte zunächst das Infofenster erscheinen. Anschließend kannst Du prüfen, ob der Opt-Out Cookie (ga–disable-UA-XXXXXX-X) gesetzt wurde.

Eine andere Kontrollmöglichkeit ist das Browser-Plugins EditThisCookie.

Hinweise:  

Hat der User JavaScript deaktiviert, löst zwar das Cookie nicht aus, aber Google Analytics würde trotzdem keine Daten erhalten, da Analytics ebenfalls über ein JavaScript eingebaut ist. 

Wenn du den Out-Out-Link mit dem WordPress Visual Composer auf Deiner Datenschutzseite einfügst, überschreibt das Baukastensystem Visual Composer das JavaScript Snippet und der Opt-Out Cookie kann nicht mehr gesetzt werden. Um dies zu vermeiden musst Du das Script im HTML-Modus der Seite einbinden. 

Die ursprüngliche Einbindung von Google Analytics über eine Auftragsverarbeitung gemäß Art. 28 DSGVO, ist nach der Einschätzung von Datenschutzbehörden nicht mehr zulässig, wenn Google Analytics mit den von Google empfohlenen Standardeinstellungen betrieben wird. (Stand März 2020). In diesem Fall liegt eine sog. gemeinsame Verantwortlichkeit zwischen Google und dem Webseitenbetreiber gemäß Art. 26 DSGVO vor. Bis heute (September 2020) gibt es jedoch noch keine Vereinbarung, die den Anforderungen nach Art. 26 DSGVO entspricht. Daher empfehlen wir weiterhin einen Zusatz zur Auftragsverarbeitung abzuschließen. 

Diesen findet man in Google Analytics im Menüpunkt unter „Verwaltung > Kontoeinstellungen“ unter dem Reiter „Zusatz zur Datenverarbeitung“.Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ können Firmen- bzw. Kontaktangaben ausgefüllt und direkt abgespeichert werden.