Wie Sie Google Analytics in 5 Schritten rechtssicher konfigurieren. Sie erhalten den passenden Textauszug für Ihre Datenschutzerklärung, ebenso wie die Javascript Codes für anonymes Tracking und Integration eines Widerspruchsrechts für Seitenbesucher.
Inzwischen wurde eine Einigung erzielt, die es erlaubt, Google Analytics datenschutzkonform und damit auch rechtssicher zu nutzen. Die Basis dazu bilden die Eckpunkte zum datenschutzkonformen Umfang mit Webanalysetools, die im November 2009 vom Düsseldorfer Kreis beschlossen wurden.
Diese Einigung nimmt allerdings nicht nur Google, sondern auch Webseitenbetreiber in die Pflicht. Um alle Voraussetzungen für einen rechtssicheren Umgang mit Analytics zu erfüllen, sind daher einige Schritte erforderlich. Das klingt spektakulär. Letztlich sind es aber eher kleine Anpassungen.
1. Alte Daten löschen
Das Problem: Die bisher von Google Analytics gesammelten Daten entsprechend nicht diesen Vorgaben und müssen gelöscht werden. Laut Google ist das nur möglich, indem die alten Profile komplett gelöscht und dann wieder neu angelegt werden.
2. Vertrag über die Auftragsdatenverarbeitung
Zudem muss mit Google ein Vertrag über die Auftragsdatenverarbeitung abgeschlossen werden. Die entsprechenden Formulare finden Sie hier. Insgesamt sind es 19 Seiten. Füllen Sie den Vertrag aus, lesen die Bedingungen und unterschreiben die Papiere. Google liefert dazu eine übersichtliche Anleitung. Hauptbestandteil sind die „Google Analytics Bedingungen“ samt „Anlage 1 – Regelungen zur Auftragsdatenverarbeitung“ und „Anlage 2 – Technische und organisatorische Maßnahmen“. Schicken Sie die Formulare dann mit einem frankierten Rückumschlag an Google.
3. Datenschutzhinweis
Im Vertrag, konkret den Bedingungen, wird sehr ausführlich auf den Datenschutz eingegangen (Punkt 8). Hier liefert Google auch eine Text-Vorlage für den Datenschutzhinweis, der auf allen Webseiten, die Analytics nutzen, veröffentlicht werden muss. Der Hinweis wird in die Datenschutzerklärung der Website integriert.
Hier der Wortlaut in Deutsch:
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.
Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.
Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: Browser Add On zur Deaktivierung von Google Analytics.
In Englisch:
This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website will be transmitted to and stored by Google on servers in the United States. In case IP-anonymisation is activated on this website, your IP address will be truncated within the area of Member States of the European Union or other parties to the Agreement on the European Economic Area.
Only in exceptional cases the whole IP address will be first transfered to a Google server in the USA and truncated there. The IP-anonymisation is active on this website. Google will use this information on behalf of the operator of this website for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing them other services relating to website activity and internet usage. The IP-address that your Browser conveys within the scope of Google Analytics will not be associated with any other data held by Google. You may refuse the use of cookies by selecting the appropriate settings on your browser, however please note that if you do this you may not be able to use the full functionality of this website.
You can also opt-out from being tracked by Google Analytics with effect for the future by downloading and installing Google Analytics Opt-out Browser Addon for your current web browser.
Aus Sicht von Datenschützern und Rechtsexperten sollte dieser Hinweis ergänzt werden, um mehr Transparenz zu schaffen und den Nutzern die Möglichkeit zu geben, sich selbst ein Bild von den Bedingungen und dem Datenschutz zu machen. Als Formulierung wird empfohlen:
Neben der Option, das Browser-Add-on zu installieren, gibt es eine weitere Alternative, die Erfassung der Daten durch Google Analytics zu verhindern. Sie ist insbesondere für Nutzer mobiler Geräte interessant. Klicken Sie dazu bitte auf diesen Link (javascript:gaOptout()). Sie installieren damit einen sogenannten Opt-Out-Cookie, der das Tracking der Daten auf dieser Webseite verhindert. Die Funktion bleibt solange bestehen, bis der Cookie gelöscht wird. Wurde der Cookie gelöscht reicht es, den Link erneut aufzurufen.
Weitere Informationen zu den Nutzungsbedingungen und dem Datenschutz erhalten Sie auf folgenden Seiten:
http://www.google.com/analytics/terms/de.html
https://www.google.de/intl/de/policies/
Ergänzung in Englisch:
For further information please visit:
http://www.google.com/analytics/terms/gb.html
4. Anonymisierung der IP-Adressen
Im Datenschutzhinweis nennt Google die Option, die IP-Adressen der Besucher zu anonymisieren. Um Analytics rechtskonform zu nutzen, ist dieser Schritt unumgänglich. Technische Informationen dazu bietet Google hier. Für Websitebetreiber ist es ein Eingriff von weniger als einer Minute. Es geht schlicht und ergreifend darum, den Google Analytics Code um eine Zeile zu erweitern:
_anonymizeIp()
Diese Zeile muss vor _trackPageview eingefügt werden. Dadurch werden die letzten acht Bit der IP-Adresse kurzerhand gekappt. Mit den verbleibenden Informationen ist es Google nach wie vor möglich, den Besucher grob zu lokalisieren. Dagegen ist aus datenschutzrechtlicher Sicht jedoch nichts einzuwenden.
Bei asynchroner Nutzung des Codes – von Google empfohlen – ergibt sich folgendes Bild:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);
In der klassischen Variante muss die Änderung so aussehen:
_gat._anonymizeIp();
pageTracker._trackPageview();
Detaillierte Informationen über die Code-Anpassung werden von Google hier (asynchrone Variante) und hier (klassische Variante) zur Verfügung gestellt.
Sie können im Datenschutzhinweis auf die Anonymisierung hinweisen. Hierfür genügt ein Satz, der darauf hinweist, dass der Analytics-Code angepasst wurde und somit eine anonymisierte Erfassung der IP-Adresse gewährleistet ist.
5. Widerspruchsrecht
Der letzte Punkt auf der Liste ist das Widerspruchsrecht. Besuchern der Seite muss das Recht eingeräumt werden, Widerspruch gegen die Erfassung der Daten einzulegen. Google nutzt für diese Zwecke ein Tool, ein Deaktivierungs-Add-on, auf das am Ende des Datenschutzhinweises aufmerksam gemacht wird. Es kann unter folgender URL heruntergeladen werden und sorgt dafür, dass Google Analytics nicht ausgeführt wird: http://tools.google.com/dlpage/gaoptout?hl=de.
Aufsichtsbehörden haben beanstandet, dass das Deaktivierungs-Add-on auf Desktop-Browser beschränkt ist. Ergänzend räumt Google dem Nutzer die Option ein, ein Opt-Out-Cookie zu setzen. Ist das Cookie gesetzt, wird ein Tracking verhindert. Damit das Cookie funktioniert, muss sich im Quelltext vor dem eigentlichen Analytics-Code folgendes Script befinden:
var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
Weitere Informationen über das Script stellt Google hier zur Verfügung.
Fazit
Google hat gleich mehrere Felsbrocken, die Datenschützer bislang monierten, aus dem Weg geräumt. Werden die neuen Vorgaben berücksichtigt, ist man vorerst auf der sicheren Seite. Es ist allerdings ratsam, auf künftige Neuerungen zu achten. Zu erwähnen ist in dem Zusammenhang vor allem die Cookie-Richtlinie.
Tipp: Konfigurator für die Datenschutzerklärung
Die korrekte Integration von Google Analytics ist nur eine Maßnahme, um die eigene Website datenschutzkonform zu betreiben. Ebenso darf eine sicher formulierte Datenschutzerklärung nicht fehlen. Mit unserem Datenschutzerklärung-Generator gelingt das in nur 2 Minuten!