Dank diverser Regelungen und Vorgaben ist es mittlerweile gar nicht mehr so einfach Google Analytics datenschutzkonform und rechtssicher in Webseiten zu integrieren.
Neben technischen Anpassungen am Google Analytics Code sind auch gewisse vertragliche Zusatzvereinbarungen mit Google notwendig, um hier deutschem bzw. europäischem Datenschutzrecht zu entsprechen.
Mit dieser Thematik sollte sich daher jeder Webseitenbetreiber sowie Webdesigner beschäftigen. Gerade für Webdesigner und Agenturen ist das Thema brisant, denn diese können durchaus für die durchgeführte Integration auf der Kundenwebseite haftbar gemacht werden.
In diesem Artikel sollen nun möglichst alle Aspekte der datenschutzkonformen und rechtssicheren Integration von Google Analytics beleuchtet werden. Weiterhin stellen wir für alle WordPress-Nutzer mit „Google Analytics Germanized“ ein einfaches Plugin zur technisch datenschutzkonformen integration zur Verfügung.
1. Vertrag zur Auftragsdatenverarbeitung
Es mag für viele nun vielleicht absurd klingen, aber es ist leider notwendig mit Google einen schriftlichen Vertrag zur Auftragsdatenverarbeitung zu schließen.
Nach Meinung der Aufsichtsbehörden sind Betreiber von Webseiten bzw. konkret die Nutzer von Google Analytics Auftraggeber von Datenverarbeitungsleistungen, welche durch Google als Auftragnehmer erfolgen.
In diesem Kontext ist daher ein schriftlicher Vertrag über die Auftragsdatenverarbeitung zwischen dem Betreiber der Webseite und Google notwendig.
Seitens Google wird zu diesem Zweck eine entsprechende Vertragsvorlage zur Verfügung gestellt, welche mit den Aufsichtsbehörden abgestimmt ist.
Download als PDF: Vertrag zur Auftragsdatenverarbeitung
Der Vertrag muss ausgefüllt via Post an die Europa-Zentrale von Google gesendet werden, welche ihren Sitz in Dublin (Irland) hat.
Auf der ersten Seite der PDF-Datei werden alle relevanten Informationen zum Ausfüllen des Dokumentes erklärt.
2. Zusatz zur Datenverarbeitung
Neben dem schriftlichen Vertrag sollte auch im Google Analytics Konto, in der Kontoverwaltung, dem Punkt „Zusatz zur Datenverarbeitung“ zugestimmt werden.
Bei neuen Google Analytics Konten wird diese Zustimmung in der Regel mit der Kontoeröffnung erteilt. Bei älteren Analytics Konten muss dieser Zusatzvereinbarung noch gesondert zugestimmt werden.
Zu finden ist der Bereich in Google Analytics unter:
Verwaltung (links unten im Hauptmenü) > Kontoeinstellungen (linke Spalte)
In den Kontoeinstellungen ist am Ende dann folgender Bereich zu finden:
Zusatz zur Datenverarbeitung
Wenn Ihr Unternehmen in einem Mitgliedsstaat des europäischen Wirtschaftsraums oder der Schweiz ansässig ist oder Sie dem räumlichen Geltungsbereich der EU-Datenschutz-Grundverordnung unterliegen, können Sie den Datenverarbeitungsbedingungen von Google Anzeigen unter der Voraussetzung zustimmen, dass Sie einen Direktkundenvertrag mit Google zur Verwendung von Google Analytics abgeschlossen haben. Weitere Informationen
3. IP-Adressen anonymisieren – Anonymize IP
Um in Google Analytics die anonymisierung von IP-Adressen zu gewährleisten ist eine Modifikation des Google Analytics Codes notwendig.
Da es für Google Analytics mittlerweile verschiedene Tacking-Codes gibt, zeige ich im folgenden die wichtigsten Codes. Bitte wähle die Anpassung entsprechend deines Tracking-Codes.
Wenn du Google Analytics jetzt neu einbindest, wird in der Regel der Google Site Tag verwendet, dabei handelt es sich um die aktuellste Form der Google Analytics Integration.
Falls du WordPress verwendest kannst du unser Plugin zur rechtssicheren Integration von Google Analytics verwenden. Eine entsprechende Anleitung inkl. Video findest du weiter unten.
In den folgenden Beispielen ist „UA-XXXXXXX-X“ jeweils durch die eigene Analytics ID zu ersetzen.
Aktuell: Allgemeines Website-Tag / Google Site Tag
Der Code für die Integration von Anonymize IP in den Google Site Tag:
<!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXX-X"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-XXXXXXX-X', { 'anonymize_ip': true }); </script>
Universal Analytics
Der Code für die Integration von Anonymize IP in den Universal Analytics Code:
<script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script>
Klassisches Analytics
Der Code für die Integration von Anonymize IP in den klassischen Analytics Code:
<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-XXXXXXX-X']); _gaq.push(['_gat._anonymizeIp']); _gaq.push(['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script>
4. Widerspruchsrecht und Datenschutzerklärung
Wer Google Analytics verwendet, muss darauf zum einen in der Datenschutzerklärung hinweisen und darüberhinaus auch Möglichkeiten für einen Widerspruch (Opt-out) gegen die Erfassung mittels Google Analytics bieten.
Dieser Ausschnitt stammt aus dem Datenschutz-Generator von eRecht24. Ich möchte jedem Leser empfehlen eine individuelle Datenschutzerklärung + Impressum direkt über eRecht24 zu generieren. Der folgende Auszug soll vor allem als Beispiel dienen, nicht als Vorlage zum kopieren.
Ein solcher Hinweis in der Datenschutzerklärung kann z.B. wie folgt aussehen:
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA.
Google Analytics verwendet so genannte „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
IP-Anonymisierung
Wir haben auf dieser Webseite die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Browser Plugin
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de
Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren (hier JavaScript Funktion gaOptout() hinterlegen)
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de
Der Eintrag für die Datenschutzerklärung verweist zum einen auf die Nutzung von Google Analytics und auf ein von Google gestelltes Browser-Plugin um Google Analytics zu deaktivieren, wenn man davon nicht erfasst werden möchte.
gaOptout() Funktion
Da das von Google zur Verfügung gestellte Plugin jedoch nicht ausreicht, muss jeder Webseitenbetreiber mittels eines kleinen JavaScriptes sicherstellen, dass Google Analytics auch über einen einfachen Link deaktiviert werden kann.
Im Hintergrund wird dann ein Cookie gesetzt, welcher das Tracking abschaltet bzw. dafür sorgt, dass dieses nicht ausführt wird.
Wer unser Google Analytics WordPress Plugin zur datenschutzkonformen Integration verwendet, kann in der Datenschutzerklärung einfach folgenden Shortcode verwenden:
[ ga-optout text="Google Analytics deaktivieren" ]
Dieser Shortcode integriert den entsprechenden Link sowie die notwendigen Funktionen zum deaktivieren von Google Analytics.
Wer die Funktion selber integrieren möchte, arbeitet mit folgendem JavaScript Code und ruft die Funktion „gaOptout()“ dann über einen entsprechenden Link auf (Nutzer des WordPress Plugins müssen diese JavaScripte nicht integrieren):
<script type="text/javascript"> var gaProperty = 'UA-XXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } </script>
Google Analytics datenschutzkonform in WordPress einbinden – ganz einfach mit unserem Plugin: Google Analytics Germanized
WordPress Nutzer können Google Analytics ganz einfach über unser kostenloses WordPress-Plugin Google Analytics Germanized integrieren.
Dieses ist so voreingestellt, dass es die IP-Adressen anonymisiert und stellt auch einen Link inkl. Funktionen für einen Opt-Out mittels Shortcode zur Verfügung.
Im folgenden Video zeige ich dir die notwendigen Integrationsschritte:
Schlagworte zu diesem Artikel: Analytics, Datenschutz, Google, Plugin, WordPress
Hallo Pascal, Hut ab!
Dankeschön für diese Mühe, die du dir da gemacht hast. Ich habe dein Plugin installiert und mir auch die Datenschutzerklärung von e-recht24 per PDF „bestellt.
Danach konnte ich ganz easy den Zusatz „Link auf : -> Google Analytics deaktivieren“ einsetzen..
So schläft es sich eine Runde besser .-)
LG Tina
Gerne und vielen Dank für dein Feedback.
Auf Empfehlung von Tina habe ich euer Plugin nun auch installiert 🙂 Finde es langsam echt schwer, alles Datenschutzkonform zu machen und habe das Gefühl, dass es immer schlimmer wird 🙁 Danke daher für diese einfache Variante!
Ja, es wird in dem Bereich leider immer schwieriger.
Hallo Pascal, ich nutze jetzt Dein Plugin. Aktuell lasse ich nur die Cookie-Info anzeigen. Wenn ich die opt-in-Variante wählen möchte, frage ich mich gerade, was mit dem „Okay!“-Button passiert. Wenn den Zustimmungs-Button clicke, wird das Analytics-Cookie gesetzt; soweit klar. Beim OK-Button sollte dann eigentlich KEIN Analytics-Cookie gesetzt werden; wenn das so ist, sollte man den Text auf „Kein Tracking gewünscht“ ändern. Korrekt ? Oder verstehe ich etwas falsch ?
Hallo Frank,
mit der Option Opt-In gibt es im Backend einen Erlauben-Button-Text und einen für das Schließen der Box.
Nur mit Klick auf den Erlauben-Button wird Analytics ausgeführt.
Beste Grüße
Pascal
Hallo Pascal, noch eine Frage zum Plug-in.
Kann im Reiter „Tracking Codes“ bei „Weiteres Tracking-Codes“ im Header auch anderer Code (z.B. Facebook-Pixel) eingetragen werden oder ist das Feld nur für weitere Analytic-Codes gedacht ?
Gruß
Frank
Ja, kann auch für Facebook Pixel & Co verwendet werden.
Hallo Pascal, vielen Dank für Deine schnellenAntworten !
Dann werde ich „Okay!“ zur Vermeidung von Mißverständnissen ändern in „Weiter ohne Tracking“. Dann sollte es für den User klar und deutlich sein, was bei einem click auf den einen oder den anderen Button passiert.
Gruß
Frank