Datenschutz bei der Nutzung von Google Analytics

Mit Google Analytics könnt ihr viele Daten über die Nutzer eurer Website sammeln. Aber ihr dürft nicht alles, was vielleicht technisch möglich wäre. Wir sagen euch, was ihr aus Datenschutzsicht bei der Nutzung von Google Analytics beachten müsst.  

Personenbezogene Daten erlauben einen Rückschluss auf die tatsächliche Person, die vor dem Bildschirm sitzt, also Name, Adresse oder auch Telefonnummer. Die Erfassung und Verwendung von personenbezogenen Daten ist in Deutschland im Telemediendienstgesetz (TMG) geregelt. Da die Vorgaben im TMG recht allgemein sind, hat der Düsseldorfer Kreis, der Arbeitskreis der Datenschützer der Länder und des Bundes, eine Liste von Vorgaben erstellt, die ihr als Website-Betreiber beim Einsatz eines Webanalysetools berücksichtigen müsst.

Aus dem TMG ergeben sich folgende Vorgaben für den Einsatz von Webanalyse ohne die explizite Einwilligung der Nutzer eurer Website:

  • Hinweispflicht
  • Widerspruchsmöglichkeit
  • Kürzen der IP-Adresse
  • Pseudonymisierte Daten
  • Vertrag zur Auftragsdatenverarbeitung

1. Hinweispflicht

Ihr müsst die Besucher eurer Website darüber informieren, dass ihr Nutzungsdaten mit Google Analytics erfasst. Dies geschieht am besten auf einer eigenen Seite zum Datenschutz, also eurer Datenschutzerklärung, oder alternativ im Impressum. In beiden Fällen ist wichtig, dass diese Seiten von jeder Seite eures Webauftritts aus erreichbar sind.

2. Widerspruchsmöglichkeit

Außerdem müsst ihr den Nutzern eurer Website die Möglichkeit geben, dem Tracking zu widersprechen, das heißt, die Besucher müssen in der Lage sein, die Website auch zu nutzen, ohne von euch erfasst zu werden.

Als Lösung hat Google hier ein Browser-Plugin erstellt, das für Internet Explorer, Firefox, Safari, Opera und Chrome verfügbar ist. Ihr findet es unter http://tools.google.com/dlpage/gaoptout?hl=de. Um der Anforderung zu entsprechen, genügt ein Hinweis mit entsprechendem Link in eurer Datenschutzerklärung.

Gerade bei mobilen Websites ist das Plugin keine Option: es ist nur für die wichtigsten Desktop Browser verfügbar. Da aber auch für Smartphones und Tablets ein Opt-out realisiert werden muss, ist das Universal Analytics Script um eine Eigenschaft erweitert.

Dazu setzt ihr eine window Eigenschaft auf true bevor der eigentliche Tracking-Code geladen wird:

window['ga-disable-UA-XXXX-Y'] = true;

Dabei ersetzt ihr das XXXX-Y mit eurer Property ID. Dadurch wird die Ausführung des Tracking-Codes unterbunden. Ist die Eigenschaft nicht oder auf false gesetzt, funktioniert die Zählung wie gewohnt. Weitere Infos zum User Opt-Out findet ihr in der Google Analytics Dokumentation.

Die Eigenschaft müsst ihr auf jeder Seite des Auftritts erneut setzen. Sie wird nicht automatisch gespeichert.

3. Kürzen der IP-Adresse (Anonymisierung)

In Deutschland haben sich die Datenschützer auf die Einschätzung geeinigt, IP-Adressen als personenbezogene Daten zu klassifizieren. Dadurch sind alle Zugriffe, die ihr erfassen könntet, datenschutzrechtlich relevant. Denn im Internet wird immer eine IP-Adresse übertragen, ohne sie funktioniert die Datenübertragung nicht. Daraus ergibt sich eine Grundanforderung an alle Webanalyse-Systeme, nämlich bei der Datenerfassung auf die vollständige IP-Adresse zu verzichten.

Google hat für diese Kürzung extra eine eigene Funktion eingeführt: anonymizeIp. Diese Funktion muss bei jedem Laden des Tracking-Codes übergeben werden, damit die IP-Adresse gekürzt wird. Leider wird die Funktion beim Einrichten eines neuen Tracking-Codes nicht automatisch eingefügt und kann auch nicht per Option hinzugefügt werden. Das bedeutet, ihr müsst beim Einbau eines Tracking-Codes auf einer neuen Website selbst daran denken, die Funktion aufzunehmen.

4. Pseudonymisierte Daten

Es gibt im Beschluss der Datenschützer zwei Hinweise zu pseudonymisierten Nutzungsdaten. Die Verwendung von Pseudonymen bedeutet konkret, dass ihr zwar mehrere Nutzer eurer Website unterscheiden dürft, also etwa Nutzer A und Nutzer B. Ihr dürft für diese Unterscheidung aber nicht tatsächliche personenbezogene Daten verwenden, also etwa den Nachnamen – falls ihr diesen kennen solltet. A und B gelten als Pseudonyme, die keinen Rückschluss auf die tatsächliche Person zulassen.

5. Vertrag zur Auftragsdatenverarbeitung

Gesetzlich ist geregelt, dass ihr bestimmte Kriterien einhalten müsst, wenn ihr über einen Dritten, wie Google Analytics, Nutzungsprofile erfasst und auswertet. Das Problem bei Google Analytics ist in diesem Fall, dass ihr den Dienst kostenlos verwenden könnt – es bedarf keiner schriftlichen Beauftragung und gibt daher auch keinen gegengezeichneten Vertrag. Genau diesen möchten die Datenschützer aber sehen.

Um dieses Problem zu lösen, hat Google speziell für Deutschland einen Vertrag zur Auftragsdatenverarbeitung erstellt. Diesen müsst ihr vor der Erfassung von Daten ausfüllen und zur europäischen Google-Niederlassung nach Irland schicken. Innerhalb einiger Wochen erhaltet ihr ein unterschriebenes Exemplar zurück, womit der Anforderung entsprochen ist.

Mit dem Vertrag zur Auftragsdatenverarbeitung geht ihr keine sonstigen Verpflichtungen gegenüber Google ein. Der Service bleibt weiterhin kostenlos.

Hier findet ihr den Vertrag zur Auftragsdatenverarbeitung.

Fazit:

Ihr müsst diese fünf Punkte auf jeden Fall umsetzen, wenn ihr Google Analytics datenschutzkonform nutzen möchtet. Wenn ihr Nutzungsdaten erfasst habt, ohne vorher alle Vorgaben umzusetzen, gelten diese Daten als datenschutzrechtlich nicht korrekt erhoben. Da ihr aus einem Analytics-Konto einmal erhobene Daten nicht mehr löschen könnt, kann so ein Fall zur Löschung eures gesamten Kontos führen.

 

Anmerkung:

Wir sind eine Digital Marketing Agentur und keine Rechtsanwaltskanzlei. Dieser Text beruht auf unserem professionellen Erfahrungsstand, ist aber keine Rechtsberatung.

 

Mehr zum dem Umgang mit Google Analytics finden Sie im Buch “Google Analytics – Das umfassende Handbuch” von Markus Vollmert und Heike Lück.

 

 

 

 

 

 

Bildnachweis: Titelbild © tom/ fotolia.com

Hat dir der Beitrag gefallen?

Abonniere unseren Newsletter und verpasse keinen Artikel mehr:

Verwandte Artikel

0 Kommentare

Dein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.