Google Analytics ist eines der verbreitetsten Analysewerkzeuge, um Zugriffe auf Websites und Nutzerverhalten auszuwerten. Für einen datenschutzkonformen Einsatz von Google Analytics müssen unter der EU-Datenschutz-Grundverordnung (DSGVO) allerdings einige Aspekte beachtet werden.

Datenschutzrechtliche Aspekte bei Google Analytics

Google verwehrt grundsätzlich die Speicherung personenbezogener Daten in Analytics, wertet die IP-Adresse allerdings nicht als solche. Des Weiteren kann eine Übertragung von Daten zu diesem Zweck in die USA nicht umgangen werden. Laut DSGVO zählen IP-Adressen jedoch zu den personenbezogenen Daten. Grundsätzlich bedarf es der ausdrücklichen Einwilligung eines Internetnutzers, dass seine personenbezogenen Daten durch den Websitebetreiber verarbeitet werden dürfen, soweit nicht ein Gesetz eine Rechtsgrundlage hierfür liefert (Art. 6 DSGVO).

Bis zum Inkrafttreten der DSGVO wurde § 15 Abs. 3 Telemediengesetz (TMG) als Rechtsgrundlage angesehen. Demnach konnte der Betreiber einer Website unter anderem für Zwecke der Werbung oder zur Optimierung der Website bei Verwendung von Pseudonymen Nutzungsprofile erstellen, sofern der Nutzer dem nicht widersprach. Voraussetzung war jedoch, dass der Benutzer per Widerspruchsrecht auf diese Nutzung hingewiesen wurde und der Betreiber die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammenführte.

Um Google Analytics unter der DSGVO (weiterhin) datenschutzkonform zu betreiben, sind fünf Schritte notwendig:

1. Einholung der Einwilligung

Am 30. April 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Positionspapier, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern beschäftigt. Die DSK erhält die datenschutzrechtlichen Regelungen in § 15 TMG mit Geltung der DSGVO für nicht mehr anwendbar.

Soll also Google Analytics eingesetzt werden, muss die sogenannte informierte Einwilligung i. S. d DSGVO eingeholt werden, bevor Cookies platziert bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Achtung: Sofern sich Websitenbetreiber auf eine andere Rechtsgrundlage (bspw. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO) berufen, weisen wir an dieser Stelle auf ein bestehendes Abmahn- und Sanktionsrisiko hin.

Praktische Umsetzung

Hierfür bieten sich je nach verwendetem Content-Management-System (CMS) der Website diverse Cookie-Consent-Plugins an. Websitebetreiber sollten jedoch sicherstellen, dass

  1. bis zur Einwilligung (z. B. durch Klick auf einen Button) wirklich kein Cookie gesetzt wird und
  2. keine automatische Einwilligung durch Scrollen, Navigation auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung erfolgt.

2. Auftragsverarbeitungsvertrag mit Google

Weil Google Zugriff auf die in Google Analytics erhobenen personenbezogenen Daten erhält, begründet sich ein Auftragsverarbeitungs-Verhältnis. Deswegen müssen Websitebetreiber mit Google einen Vertrag über Auftragsverarbeitung abschließen.

Praktische Umsetzung

Die DSGVO ermöglicht das „Unterschreiben“ eines Auftragsverarbeitungsvertrages (AVV) in digitaler Form. Daher kann man nun mit Google den AVV elektronisch abschließen. Weitere Infos stellt Google hier zur Verfügung.

Wer bereits vor dem 25. Mai 2018 den alten AVV mit Google abgeschlossen hat, muss diesen aktualisieren. Dafür reicht es, als Websitebetreiber den sogenannten „Zusatz zur Datenverarbeitung“ online zu bestätigen (siehe diese Anleitung von Google).

3. IP-Adressen anonymisieren

Eine Speicherung der vollständigen IP-Adresse der Besucher einer Website ist gemäß der DSGVO nicht erlaubt (Grundsätze der Zweckbindung und Datenminimierung). Deshalb muss die IP-Adresse der Nutzer gekürzt werden, damit nur pseudonymisierte Nutzerprofile erstellt werden können.

Praktische Umsetzung

Google bietet für die Kürzung der erhobenen IP-Adressen einen Javascript-Schnipsel an, der in den Trackingcode zu integrieren ist. Leider muss dies händisch geschehen (siehe diese Infos von Google), die Ausgabe eines fertig konfigurierten Trackingcodes ist nicht möglich.

4. Speicherdauer

Die Grundsätze der Zweckgebundenheit und der Speicherbegrenzung, die die DSGVO vorschreibt, müssen auch beim Einsatz von Google Analytics eingehalten werden. Google stellt Websitebetreibern mittlerweile Steuerelemente zur Datenaufbewahrung zur Verfügung. Der Betreiber einer Website kann nun zwischen verschiedenen Zeitspannen wählen und damit festlegen, wie lange Nutzer- und Ereignisdaten auf den Servern von Google gespeichert werden. Sobald die gewählte Aufbewahrungszeit abgelaufen ist, werden die betroffenen Daten dann grundsätzlich von Google Analytics automatisch gelöscht; ausgenommen hiervon sind Berichte, die auf aggregierten Daten basieren.

Praktische Umsetzung

Wie die Einstellung auf der Oberfläche von Google Analytics vorzunehmen ist, finden Sie hier. Wir empfehlen, einen Zeitraum von 14 Monaten für die Datenaufbewahrung einzustellen. Für längere Speicherfristen werden sich kaum Argumente finden.

5. Anpassung der Datenschutzerklärung

Zu guter Letzt ist eine Aktualisierung der Datenschutzerklärung auf der Website unumgänglich. Wie auch schon früher, muss ein Hinweis in der Datenschutzerklärung auf den Einsatz von Google Analytics zu finden sein. Dieser Hinweis muss den Benutzern auch weiterhin eine Möglichkeit geben, sich dem Tracking durch Google Analytics zu entziehen.

Allerdings enthält die DSGVO höhere Anforderungen an den Inhalt und Umfang der Erklärung. Besucher der Website müssen konkret darüber informiert werden, welche Daten wofür und in welchem Umfang genutzt werden und welche Datenschutzrechte dem Nutzer zustehen. Zusätzlich sind die Rechtsgrundlagen der Datenverarbeitung und die Speicherdauer sowie die Übermittlung an ein Drittland anzugeben.

Praktische Umsetzung

Für die Möglichkeit eines Opt-out sind mehrere Schritte anzuraten bzw. notwendig:

  1. Setzen Sie einen Link auf das Browser-Add-on zur generellen Deaktivierung von Google Analytics.
  2. Ermöglichen Sie das Setzen eines Opt-out-Cookies für die konkrete Website (insbesondere für Browser auf mobilen Endgeräten wichtig). Dafür muss ein von Google bereitgestelltes JavaScript per Klick auf einen Link in der Datenschutzerklärung ausgeführt werden. Wichtig ist dabei, dass die Funktionalität des Opt-out-Links erhalten bleibt. Da viele CMS Javascript blockieren, muss die Einbindung entweder über eine entsprechende Funktion des Templates (z. B. Code- oder Scriptfeld) oder mittels einer Pluginlösung erfolgen.
  3. Außerdem müssen Sie wiederum den Trackingcode von Google Analytics anpassen, damit der in der Datenschutzerklärung eingebaute Opt-Out-Link auch tatsächlich ein Cookie setzt. Mehr dazu finden Sie hier.

Die Schritte eins und zwei erledigen Sie am besten mit unserem kostenlosen Datenschutzerklärungs-Generator. Anschließend müssen Sie nur noch den Trackingcode anpassen.

Bitte bewerten Sie diese Inhalte!
[6 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 15. November 2010 veröffentlicht.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.