Google Analytics & DSGVO: Das gibt es zu beachten

Als die neue Datenschutzgrundverordnung (DSGVO) Mitte 2018 verbindlich in Kraft trat, kochten im Internet die Befürchtungen hoch – werden wir jetzt alle abgemahnt? Dürfen wir überhaupt noch Analyse-Tools wie Google Analytics verwenden, und wie funktioniert das alles mit dem Opt-In? Viele Website-Betreiber ignorieren das Thema Datenschutz der Einfachheit halber auch heute noch weitestgehend. Eine Bitkom-Umfrage ergab kürzlich, dass anderthalb Jahre nach Inkrafttreten der DSGVO gerade mal ein Viertel der Unternehmen die Vorgaben komplett umgesetzt hat. Sechs Prozent geben an, gerade erst mit der Umsetzung begonnen zu haben. Der Rest befindet sich irgendwo in der Mitte – sie alle riskieren dabei, abgemahnt zu werden.

Dabei ist die DSGVO-konforme Einbindung von Google Analytics gar nicht so schwer. Wir zeigen Ihnen Schritt für Schritt, wie es geht – damit Sie diesen Teil der Datenschutzgrundverordnung schon einmal erfüllt haben.

Google Analytics DSGVO-konform einbinden: So geht es

Die DSGVO räumt Nutzern einer Website die Selbstbestimmung über ihre persönlichen Daten ein. Dafür muss ihnen transparent gemacht werden, wer welche Daten wofür erhebt. Außerdem müssen die Nutzer die einfache Wahl haben, der Erhebung ihrer Daten zuzustimmen bzw. sie abzulehnen. Drittens dürfen die Daten nicht unendlich lang aufbewahrt werden und müssen auf Aufforderung der Nutzer sofort gelöscht werden.

Google Analytics gibt Ihnen Hilfestellungen, diese Anforderungen relativ einfach zu erfüllen. Da Sie sich dafür allerdings durch einen ganzen Wald an Menübäumen klicken müssen, finden Sie hier detaillierte Anleitungen zu den einzelnen Themen.

Mit Google Analytics den Vertrag zur Auftragsdatenverarbeitung abschließen

Zunächst müssen Sie mit Google Analytics offiziell einen Vertrag zur Auftragsverarbeitung abschließen. Keine Sorge, dazu müssen Sie nicht zum Notar, es reicht aus, den richtigen Haken zu setzen.

Warum muss ich einen Vertrag zur Auftragsbearbeitung mit Google abschließen?

Die Aufsichtsbehörden sehen Website-Betreiber, die Google Analytics nutzen, als Auftraggeber von Google an. Dieser Auftrag, Daten zu erheben und weiterzuverarbeiten, muss per Vertrag geregelt werden. Beachten Sie: Wenn Sie dem Vertrag mit Google bereits vor September 2016 zugestimmt haben, müssen Sie einen neuen Vertrag abschließen. Zwischenzeitlich haben sich die Vertragsbedingungen nämlich geändert. Die alten beriefen sich auf den Safe-Harbor-Beschluss, der Transfer und Verarbeitung europäischer Datensätze in den USA ermöglichte. Er ist mittlerweile nicht mehr in Kraft. Befolgen Sie für das erneute Abschließen des Vertrags mit Google Analytics einfach die unten genannten Schritte.

Sie finden den entsprechenden Bereich in Google Analytics bei
Verwaltung > Kontoeinstellungen unter Zusatz zur Datenverarbeitung.
Falls Sie noch keinen Vertrag mit Google Analytics geschlossen haben, finden Sie ganz unten auf der Seite einen entsprechenden Hinweis.

Google Analytics den Vertrag zur Auftragsdatenverarbeitung

Lassen Sie sich durch einen Klick auf die Schaltfläche den Zusatz anzeigen und bestätigen Sie ihn. Klicken Sie außerdem rechts unten auf den Link Details zum Zusatz zur Datenverarbeitung verwalten.
Hier geben Sie Ihre Firmen- bzw. Kontaktdaten ein und bestätigen schließlich alles mit Speichern.

Im Fenster erscheint nun in zufriedenstellend grüner Schrift, dass Sie die notwendigen Schritte durchgeführt haben.

Google-Analytics Tracking Code DSGVO-konform machen

1. IP-Anonymisierung bei Google Analytics

Um Google Analytics datenschutzkonform zu betreiben, müssen Sie die IPs Ihrer Nutzer anonymisieren. So können die Analytics-Daten nicht auf Einzelpersonen zurückgeführt werden. Dazu müssen Sie nur den Trackingcode anpassen.
Die Code-Erweiterung

ga(’set‘, ‚anonymizeIp‘, true);

löscht die letzten 8 Bit der IP-Adressen Ihrer Nutzer. Eine grobe Lokalisierung Ihrer Besucher ist damit zwar weiterhin möglich, dies sehen die deutschen Datenschutzbehörden jedoch als hinnehmbar an.

Am besten führen Sie diese Anpassung mit dem Google Tag Manager durch. So müssen Sie nicht direkt in den Code eingreifen, versehentliche Seitenabstürze durch Code-Fehler sind ausgeschlossen. Legen Sie die Benutzerdefinierte Variable

anonymizeIP = true

im Tag-Manager an und verknüpfen Sie sie im Tag Manager mit Google Analytics.

IP anonymisieren im Google Tag Manager
IP anonymisieren im Google Tag Manager

2. Widerspruchsrecht und Opt-Out Funktion

Alle Websitebesucher müssen außerdem die Möglichkeit haben, die Erfassung per Google Analytics einfach abzulehnen. Dafür gibt es ein Deaktivierungs Add-on von Google, das ein Cookie auf den Endgeräten der User setzt. Es verhindert die Datenerfassung durch Google Analytics auch bei zukünftigen Besuchen des Nutzers auf Ihrer Seite (sofern er nicht das Endgerät wechselt oder die Cookies löscht – dann muss er seinen Widerspruch erneut einlegen). Bieten Sie Ihren Usern in Ihren Datenschutzbestimmungen einfach den Downloadlink an: Browser-Add-on zur Deaktivierung von Google Analytics.

Legen Sie die Aufbewahrungsdauer der Google Analytics Daten fest

Artikel 25 DSGVO beschreibt, wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen geregelt werden kann. Dementsprechend ist es empfehlenswert, die Nutzerdaten nicht länger als nötig aufzubewahren und die sehr weit gefassten Voreinstellungen von Google Analytics etwas anzupassen. Setzen Sie die voreingestellten 26 Monate herunter auf 14 Monate und deaktivieren Sie den Button „bei neuer Aktivität zurücksetzen“. Natürlich können Sie auch eine andere Einstellung wählen. Denken Sie in jedem Fall daran, die Aufbewahrungsdauer in Ihrer Datenschutzerklärung entsprechend anzugeben.

Die Aufbewahrungsdauer der Google Analytics Nutzerdaten finden Sie unter Verwaltung in der Spalte Ihrer Property. Dort klicken Sie unter Tracking-Informationen auf Datenaufbewahrung. Setzen Sie die voreingestellte Zeit herunter und deaktivieren Sie den Button „bei neuer Aktivität zurücksetzen“.

Aufbewahrungsdauer in Google Analytics

Erstellen Sie eine DSGVO-konforme Datenschutzerklärung

Wenn Sie alle Einstellungen eingerichtet haben, fehlt nur noch die Datenschutzerklärung. Wie alle Dienste, die auf Ihrer Website erhobene Daten nutzen, muss auch Google Analytics verpflichtend in der Datenschutzerklärung genannt werden. Hier geben Sie den Namen des Dienstleisters sowie den Umfang der erhobenen Daten an. Dazu gehören neben dem Nutzungszweck auch die Speicherdauer und der Speicherort, bzw. Serverstandort. Außerdem müssen Sie Ihre Nutzer über ihr Widerrufsrecht informieren und ihnen die Möglichkeiten zum Opt-Out beschreiben.

Wir haben hier bewusst darauf verzichtet, Ihnen ein kopierfähiges Beispiel für die DSGVO-konforme Datenschutzerklärung einzubinden, da diese schnell veralten können. Online finden Sie rasch verschiedenste Anbieter, die Ihnen einen stets aktuellen vorformulierten Text anbieten, den Sie nur noch gemäß Ihren individuellen Anforderungen anpassen müssen. Hier ist eine Auswahl von drei Anbietern, auf die wir auch selbst zurückgreifen:

Alte Daten manuell löschen

Falls Sie Google Analytics schon länger auf Ihrer Website verwenden und das IP-Tracking erst nachträglich anonymisiert haben, kann es sein, dass noch personalisierte Nutzerdaten gespeichert sind. Diese sollten Sie umgehend löschen, denn sie wurden nach der DSGVO illegal erhoben. Dazu legen Sie sich eine neue Datenansicht an, die nur noch auf den aktuell erhobenen anonymisierten Datensätzen basiert. Alte Datenansichten Ihrer Property verschieben Sie in den Papierkorb. Dort werden sie nach 35 Tagen automatisch gelöscht. Vorsicht: Dabei gehen Ihnen natürlich auch Ihre Benchmark-Daten aus den vergangenen Quartalen bzw. Jahren flöten. Vergewissern Sie sich also, dass die erfassten IPs bisher tatsächlich nicht anonymisiert waren.

Benötigen Sie Hilfe beim Datenschutz-konformen Einrichten Ihres Google Analytics Kontos?

Selbstverständlich übernehmen wir das gerne für Sie oder erklären Ihnen noch einmal persönlich, was genau zu tun ist.

Wie hat Ihnen der Artikel Google Analytics & DSGVO: Das gibt es zu beachten gefallen?

Jetzt bewerten!
16 votes, average: 4,69 out of 516 votes, average: 4,69 out of 516 votes, average: 4,69 out of 516 votes, average: 4,69 out of 516 votes, average: 4,69 out of 5 16 Bewertungen, Durchschnitt: 4,69

Loading...

Weitere Beiträge

2 Kommentare

  1. Martin Lobinger

    Gut zu wissen, dass die Aufsichtsbehörden Website-Betreiber, die Google Analytics nutzen, als Auftraggeber von Google im datenschutzrechtlichen Sinne ansehen. Mein Neffe möchte sich im Bereich des Datenschutzrechts ausbilden lassen. Er wusste nicht, dass Google Analytics nutzende Webseite-Betreiber eigentlich als bloße Auftraggeber von Google und nicht als eigenständige Verantwortliche angesehen werden.

    Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner