Google-Analytics und der Datenschutz in Deutschland

Einleitung:
Wenn Sie viel Mühe in Ihre Website gesteckt haben, dann möchten Sie den Erfolg sicher auch gerne nachvollziehen und messen können. Zu diesem Zweck bietet uns Google sein Projekt Google Analytics an. Die eigene Website verbindet man anfangs mit Google Analytics und erledigt einige grundlegende Einstellungen. Dann dauert es eine Zeit bis die ersten Daten eintrudeln. Wir können nun z.B. sehen woher denn die Besucher unserer Website stammen, welchen Browser oder welches Betriebssystem sie benutzen, wie lange sie auf unserer Seite verweilen und viele weitere wichtige Informationen mehr. In diesem Beitrag soll es aber weniger um die vielfältigen Funktionen gehen, sondern um die datenschutzrechtlichen Aspekte, die es im Umgang mit Google Analytics in Deutschland zu beachten gilt…

Der korrekte Datenschutz Ihrer Webseite mit Google Analytics in Deutschland

Diese 5 wichtigen Punkte sollten beachtet werden wenn Sie in Deutschland eine Webseite mit Google Analytics Tracking bereits verwenden oder in Zukunft verwenden möchten:

• 1. IP-Anonymisierung mittels ga(’set‘, ‚anonymizeIp‘, true);
• 2. Vertrag mit Google zur Auftragsdatenverarbeitungsvertrag (ADV)
• 3. Den Google Analytics Opt-Out Cookie korrekt einbinden
• 4. Korrekte Angaben in der Datenschutzerklärung zum Thema Analytics
• 5. Löschung von Besucher Informationen vor der Umstellung

(1) Daten-Anonymisierung durch eine gekürzte IP-Adresse

Google Analytics anonymizeIP Code-Beispiel

Zuerst einmal bekommt Analytics vollständige IP-Adressen geliefert, die wir anhand eines kleines Code-Snippets anonymisieren müssen. Im Prinzip wird dabei der letzte vierte Block (bei IPv4) der IP schlicht weggelassen um eine genaue Identifizierung des Webseiten Besuchers zu verhindern. Um diese Anonymisierung zu erreichen gilt es einen Schnipsel Quelltext im Analytics-Script auf der eigenen Website anzupassen.

Dieser sieht folgendermaßen aus: “ga(’set‘, ‚anonymizeIp‘, true);” . Wenn das erledigt ist gehört auch der entsprechende Passus dazu in unsere Datenschutzerklärung.

(2) Vertrag mit Google zur Auftragsdatenverarbeitungsvertrag (ADV)

Wie in Deutschland üblich, schlägt auch hier der bürokratische Irrsinn erbarmungslos zu, denn als Betreiber einer Website müssen wir mit Google einen schriftlichen sogenannten Vertrag zur Auftragsdatenverarbeitung (ADV) schließen. Im Bundesdatenschutzgesetz (BDSG) ist das unter § 13 geregelt. Datenschützer haben gemeinsam mit Google einen 18-seitigen Mustervertrag entwickelt, den Sie herunterladen und nutzen können. Dieser Vertrag muss anschließend in doppelter Form ausgedruckt, unterschrieben und per Post an eine Google-Niederlassung in Irland geschickt werden.

Adresse der Google Niederlassung in Irland:

Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland

Teils dauert es dann Wochen oder sogar Monate bis man die gegengezeichnete Kopie von Google zurückbekommt. Meinen Vertrag mit Google hab ich innerhalb von 13 Tagen zurückerhalten. Ich empfehle einen rückfrankierten Umschlag zu verwenden. Es reicht also ein einfacher DIN-A4 Umschlag mit beiden Verträgen. Sobald man dieses Schreiben zurückerhalten und zu seinen Akten gelegt hat, muss man die Datenschutzerklärung um einen entsprechenden Passus ergänzen.

(3) Google Analytics Opt-Out Cookie korrekt einbinden und dessen Funktion testen!

Google-Analytics-Cookie

Mittlerweile muss man als Website-Betreiber, der Analytics benutzt, den Besuchern eine Möglichkeit einräumen diese Analyse abschalten zu können. Hierfür gibt es das sogenannte Opt-Out-Cookie. Da das von Google angebotene Tool / bzw. die Browser Erweiterung für mobile Nutzer der Webseite nicht funktioniert, muss dementsprechend eine alternative Lösung her. Das Opt-Out Cookie ist die Lösung um den datenschutzrechtlichen Ansprüchen für mobile Nutzer gerecht zu werden. Der Opt-Out-Link für den Seitenbesucher sowie ein passender rechtlicher Passus gehören ebenfalls in unsere Datenschutzerklärung.

(4) Korrekte Angaben in der Datenschutzerklärung zum Thema Analytics

Damit auch der letzte Schritt zum Thema Analytics vollständig umgesetzt ist, muss die eigene Datenschutzerklärung auf der Webseite mit einigen Informationen erweitert werden. Neben den normalen Informationen zu Cookies, Kontaktformularen, Server-Logs etc. müssen die kompletten Angaben zur Verwendung von Google Analytics eingetragen werden.
Diese sind unter anderem:

• Der allgemeine Hinweis zur Verwendung von Google Analytics
• Informationen zum OptOut-Browser-Plugin
• Hinweis zum Opt-Out Cookie mit Möglichkeit zur Deaktivierung des Trackings (für vorwiegend mobile Nutzer)
• Hinweis zum abgeschlossenem Vertrag mit Google zur Auftragsdatenverarbeitung
• Erklärung dass die IP’s gekürzt an die Server von Google übertragen werden

Erst wenn sich all diese Informationen in der Datenschutzerklärung befinden ist ein einwandfreier rechtlicher Einsatz von Google Analytics in Deutschland möglich.

(5) Löschung von Besucher Informationen vor der Umstellung

Sie sollten alle Informationen die in Ihrer Google Analytics Property gespeichert sind löschen, bevor Sie weiterhin Daten sammeln um Ihre Besucher zu analysieren. Da, laut Datenschützern diese bereits vorab erfassten Daten in nicht rechtskonformer Art und Weise erlangt wurden, sollten Sie einfach Ihre Property und die dazugehörigen Datenansichten löschen und mit einer komplett neuen Property sowie Datenansicht beginnen. Dies ist natürlich schade, da sehr viele Informationen zu den Besuchern dann schwupps verschwunden sind, lässt sich aber leider nicht verhindern.

Fazit zum Einsatz von Google Analytics in Deutschland

Ihre Website wollen Sie nicht nur ein paar Tage sondern langfristig als einen stets öffentlich sichtbaren Teil Ihres Geschäfts betreiben. Um nun bezüglich rechtlicher Themen, wie der korrekten Implementierung einer Analyse-Software auf Nummer sicher zu gehen, bietet es sich an, diese Arbeiten einem Fachmann zu überlassen. Wir erledigen diese Arbeiten routinemäßig zu einem günstigen Pauschalpreis.