Google Analytics datenschutzkonform nutzen

23. 01. 2018
|
Analytics
|

Google Analytics ist in der Regel unerlässlich um zu sehen wie viele User auf die eigene Website kommen, woher sie stammen und was sie überhaupt auf der Seite machen.

Wer seinen Sitz in Deutschland oder Österreich (oder auch in anderen europäischen Ländern hat) für den gelten strenge Regeln beim Einsatz solcher Analyse Tools. Die Privatsphäre des Users muss berücksichtigt werden.

Zumindest die folgenden vier Punkte sollte man daher beachten, um rechtlich auf der sicheren Seite zu sein:
• Eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen
Den User auf den Einsatz von Cookies hinweisen Google Analytics erst nach Opt-In laden
• IP-Adressen anonymisieren
• Eine Möglichkeit zum OptOut anbieten

Vereinbarung zur Auftragsdatenverarbeitung

Weil Google rechtlich gesehen im Auftrag des Webseitenbetreibers handelt, sollte man auch eine Vereinbarung zur Auftragsdatenverarbeitung abschließen.

Diese Auftragsdatenverarbeitung wird auch nach der DSGVO  zukünftig erlaubt bleiben. Das heißt, dass jeder der auf seiner Seite Google Analytics einsetzt einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen muss.
Während deutsche Websitebetreiber dazu (bisher) explizit den von Google bereitgestellten Vertrag ausdrucken, unterzeichnen und per Post nach Irland zu Google schicken mussten, reicht es in Österreich und anderen EU-Ländern (sowie der Schweiz) online den „Zusatz zur Datenverarbeitung“ zu akzeptieren. Sobald die Datenschutzgrundverordnung schlagend wird, also mit 25.Mai können dann auch deutsche Websitebetreiber die elektronische Zustimmung nutzen. Dazu einfach in der Verwaltungsansicht auf Kontoebene in den Kontoeinstellungen ganz unten auf „Zusatz anzeigen“ klicken, dann auf „Zustimmen“ und schließlich abspeichern.

Cookie Consent

Google Analytics setzt beim User Cookies im Browser. Für alle Cookies, die nicht unbedingt erforderlich sind, damit der Nutzer die Webseite uneingeschränkt nutzen kann, ist aber laut europäischer Rechtsprechung eine informierte Zustimmung des Nutzers erforderlich.

Um diese Zustimmung einzuholen setzt man am besten auf ein Cookie Consent Overlay, das den User beim ersten Aufruf der Website auf den Einsatz von Cookies hinweist. Neben einem Button zur Zustimmung sollte man außerdem wohl einen Link zu mehr Informationen auf der Datenschutzseite hinzufügen. Dafür gibt es verschiedene vorgefertigte Lösungen, wie die frei zu verwendende Lösung von silktide oder verschiedene WordPress-Plugins.

 

Update: Google Analytics erst nach Opt-In laden

Nachdem das österreichische Telekommunikationsgesetz in §96 vorsieht, dass jede technisch nicht notwendige Erhebung personenbezogener Daten eine Einwilligung des Users benötigt, und der Europäische Gerichtshof in einem Urteil im Oktober 2019 die Art und Weise, wie eine Einwilligung auszusehen hat spezifiziert hat, darf Google Analytics in Österreich nur mit Opt-In genutzt werden. Ein Opt-In bedeutet, dass bevor der User nicht aktiv zugestimmt hat, keinerlei Google Analytics Code geladen werden darf und auch keine Cookies gesetzt werden dürfen.

Der User muss zudem die Wahl haben, die Seite auch ohne Tracking nutzen zu können. Sind mehrere Dienste im Einsatz darf dem User auch eine Auswahl geboten werden, von welchen Diensten Daten verarbeitet und Cookies gesetzt werden dürfen. Wichtig ist: Wenn eine eigene Auswahl getroffen werden kann, dürfen die einzelnen Dienste oder Gruppen nicht vorausgewählt sein.
Erst wenn der User, seine Einwilligung für Google Analytics gegeben hat (sei es indem er „Alles akzeptiert“ oder lediglich Google Analytics), darf der Tracking Code ausgeführt werden und Cookies gesetzt werden.

In der Praxis lässt sich dies in der Regel mit vorgefertigten Plugins und Modulen umsetzten. Für das gängige CMS WordPress empfehlen wir Plugins wie Borlabs Cookie* oder WP DSGVO Tools*, mit denen sich nicht nur der Google Analytics Code korrekt implementieren lässt, sondern die auch bei der datenschutzkonformen Nutzung von Marketing Tools, wie dem Facebook Pixel unterstützen und bei der Formulierung von Datenschutzerklärungen helfen

IP Adressen anonymisieren

Auch im Google Analytics Code sollten einige Veränderungen vorgenommen werden. Zum einen sollte man die IP-Adressen anonymisieren.

Hat man den Code hardcoded – also direkt über die header.php Datei oder ähnliches – eingebunden, erweitert man den Tracking Code  einfach um ein paar Zeichen. Verwendet man das Universal Analytics Snippet fügt man im Code VOR der Zeile ga('send', 'pageview'); das Schnipsel

ga('set', 'anonymizeIp', true);

ein. Wer dagegen schon das neue Global Site Tag im Einsatz hat, erweitert die Zeile mit dem Snippet

gtag('config', 'UA-XXXXXXXX-X');

um die Anonymize IP Info:

gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

Wer ein Plugin wie etwa MonsterInsights(Früher yoast Google Analytics) nutzt, findet in den Einstellungen ein Häckchen

Dadurch werden die letzten Stellen der IP-Adresse des Users anonymisiert, sodass man den User nicht mehr auf einen einzelnen Rechner zurückverfolgen können sollte. Keine Angst, die Information reicht immer noch, um die Herkunft der User zu bestimmen.

IP-Adressen über GTM anonymisieren

Wer den Google Tag Manager (GTM) nutzt, um Daten an Google Analytics weiterzugeben, muss beim Erstellen des Tags unter Weiteren Einstellungen – Festzulegende Felder (fields to set)e in Feld namens “anonymizeIp” und dem Wert “true” hinzufügen.

 

Da man mittlerweile die Google Analytics in einer eigenen Google-Analytics-Settings-Variable abspeichern kann, macht es natürlich Sinn die IP Anonymisierung einmal als festzulegendes Feld in dieser globalen Variable abzuspeichern, um es nicht für jeden Tag einzeln machen zu müssen.

Wer Google Analytics auf AMP-Seiten verwendet muss sich um die Anonymisierung der IP-Adressen keine Sorgen machen, denn AMP-Analytics anonymisieren die IPs per default. (Darum auch nicht wundern, dass es bei Tags in GTM AMP Containern keine Möglichkeit gibt ein Festzulegendes Feld anzugeben.)

Opt Out Möglichkeiten anbieten

Update: Nach dem „planet49“ Urteil des Europäischen Gerichtshof von Oktober 2019 ist – jedenfalls für Österreich – klar, dass Google Analytics nur mit Opt-In genutzt werden darf (Siehe oben).

Google bietet Nutzern selbst die Möglichkeit aus der Datenerfassung aller Google Analytics Installationen auszusteigen, entweder über das Setzen eines Cookies oder über ein Browser AddOn.

Als Betreiber sollte man trotzdem den Nutzern die Möglichkeit anbieten nur aus der Datenerfassung auf der eigenen Website auszusteigen. Und das funktioniert wie folgt:

Wer seinen Google Analytics Code „per Hand“ in den Head seiner Website eingebunden hat, der stellt einfach den folgenden Code VOR den Google Analytics Tracking Code. Für den Universal Analytics Code

<script>
var gaProperty = 'UA-XXXXXXXX-X';

var disableStr = 'ga-disable-' + gaProperty; if
(document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true; }

function gaOptout() { document.cookie = disableStr + '=true;
expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] =
true; } </script>

Dabei muss man natürlich UA-XXXXXXXXX-X mit der Zahlenkombination der eigenen Google Analytics Property ersetzen. Ist das geschafft, kann man dem User einen Opt-Out Link anbieten, der unsere neue Funktion ausführt und damit ein Cookie im Browser des Users setzt. Dazu einfach javascript:gaOptout() verlinken:

<a href="javascript:gaOptout()">Mein GA OptOut Link</a>

Das Cookie beim im Browser des Users gespeichert. Löscht dieser seine Cookies geht natürlich auch das OptOut Cookie verloren. Surft er mit einem anderen Gerät oder Browser eure Seite an, hat er das Cookie auch nicht und müsste den OptOut Vorgang nochmals durchführen.

Dieses Opt-Out Cookie greift auch, wenn der Google Analytics Tag über den Tag Manager auf der Seite eingespeist wird.Und natürlich kann der gesamte Opt-Out Code auch mit über Tag Manager auf der Seite eingebunden werden.

Update April 2017: IP-Anonymisierung über Google Tag Manager & für AMP-Analytics;
Update Januar 2018: Global Site Tag
Update November 2019: Google Analytics in Österreich wohl nur mehr nach Opt-In rechtskonform

Disclaimer: Achtung! Wir haben diesen Artikel nach ausgiebiger Recherche und Gesprächen mit Spezialisten nach bestem Wissen und Gewissen geschrieben, sind aber keine Rechtsanwälte. Dieser Artikel stellt keine Rechtsberatung dar! Wir übernehmen keinerlei Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Blogs. Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder zu allgemeinen datenschutzrechtlichen Fragen sollten Sie einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen. Die mit * gekennzeichneten Links sind Affiliate Links.