Datensicherheit im Internet

So verwenden Sie Google Analytics rechtssicher und ohne Gefahr vor Abmahnungen

Im Lichte neuester BDSG-Beschlüsse vom April 2017, dem Privacy Shield-Abkommen zwischen USA und Deutschland und der 2018 anstehenden EU-DSGVO lohnt es sich, noch einmal einen genaueren Blick auf die rechtskonforme Einbindung von Google Analytics auf den eigenen Webseiten zu werfen. Ist Ihr Datenschutz nach wie vor up to date? Was gibt es bei der Einbindung von Google Analytics Trackingcodes zu beachten? In diesem Beitrag erhalten Sie einen Überblick, wie Sie Google Analytics datenschutzkonform einsetzen.

1. Haben Sie einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen?

Der erste Schritt zur rechtlich korrekten Einbindung von Google Analytics in Ihre Website ist zugleich der umständlichste: Sie müssen einen Vertrag mit Google abschließen, der die Übertragung und Analyse der IP-Adressen Ihrer Website-Besucher ermöglicht. Google stellt hierfür einen Mustervertrag zur Verfügung, den Sie hier herunterladen können.

Dieses 15-seitige Dokument müssen Sie postalisch zu Google nach Irland schicken. Nach einer längeren Wartezeit wird der Vertrag gegengezeichnet wieder bei Ihnen eintreffen. Sollten Sie eine Agentur sein, die mehrere Properties für Kunden verwaltet, die aber alle unter der gleichen Kontonummer laufen, müssen Sie den Vertrag nur einmal abschließen. Grundsätzlich gilt: Pro Konto ein Vertrag. Die Anzahl der Properties ist dabei egal.

2. Verwenden Sie die IP-Anonymisierung?

Wenn Sie Google Analytics oder Universal Analytics nutzen, ist auf Ihrer Website ein JavaScript-Codeschnipsel eingefügt, das die Übertragung der IP-Adressen zu Google regelt. Dieses Schnipsel gehört um eine Zeile erweitert, die die Anonymisierung dieser Daten sicherstellt. Was dabei konkret passiert, ist, dass der letzte Teil der IP-Adresse nicht übermittelt wird und so die Anonymität Ihrer Besucher gewahrt wird.

Der Code für Universal Analytics sieht folgendermaßen aus und kann nach dem Einfügen der eigenen UA übernommen werden:

<script> 
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXX-X', 'website.de');ga('set', 'anonymizeIp', true);ga('send', 'pageview');
</script>

Der Code für das klassische Google Analytics sieht so aus und kann mit der personalisierten UA so übernommen werden:

<script type="text/javascript">
var _gaq = _gaq || [];_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);_gaq.push(['_gat._anonymizeIp']);_gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);})();
</script>

Sollten Sie eine Wordpress-Webseite betreiben und sich das händische Einfügen des Codes nicht zutrauen, gibt es ein hilfreiches Plugin, das die rechtssichere Einbindung des Google Analytics Codes übernimmt: Google Analytics for Wordpress.

3. Ist Ihre Datenschutzerklärung aktuell?

Als Betreiber einer Website in Deutschland sind Sie dazu verpflichtet, ein rechtsgültiges Impressum und eine Datenschutzerklärung zu haben. In die Datenschutzerklärung gehören neben dem allgemeinen Haftungsausschluss auch ein Absatz über die Verwendung von Cookies und Trackingcodes wie Google Analytics. Dieser sollte beinhalten, dass Sie die IP-Adressen Ihrer Besucher verschleiern und dass es möglich ist, der Übermittlung ihrer Daten zu widersprechen.

Eine vollständige, rechtskonforme Datenschutzerklärung können Sie ganz einfach mit dem äußerst nützlichen erstellen. Dieses liefert Ihnen sogar die benötigten JavaScript-Codes mit, die Sie für eine korrekte Umsetzung brauchen.

4. Ist es möglich, mit Opt-Out-Cookies und Browser-Plugin das Tracking auszuschalten?

Um den Prozess, Google Analytics rechtskonform einzubinden erfolgreich abzuschließen, muss zu guter Letzt die Möglichkeit geboten werden, das Tracking zu unterbinden. Für Desktop-PCs gibt es eine Browser-Erweiterung, die per Link in der Datenschutzerklärung stehen muss. Für mobile Nutzer muss die Möglichkeit bestehen, ein Opt-Out-Cookie zu setzen, da das Browser-Plugin nur auf Desktop-PCs funktioniert. Hierzu müssen Sie folgenden Code (mit Ihrer UA) in den Header Ihrer Website einfügen, VOR dem eigentlichen Google Analytics Trackingcode:

<script>
var gaProperty = 'UA-XXXXXXX-X';var disableStr = 'ga-disable-' + gaProperty;if (document.cookie.indexOf(disableStr + '=true') > -1) {  window[disableStr] = true;}function gaOptout() {  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';  window[disableStr] = true;}
</script>

In die Datenschutzerklärung fügen Sie dann eine Textpassage ein, die sowohl auf das Browser-Plugin als auch auf das Opt-Out-Cookie verweist.

Für Betreiber von Wordpress-Webseiten gibt es hierfür wieder ein sehr hilfreiches Plugin, das händische Programmierarbeiten überflüssig macht: Google Analytics Opt Out fügt den JS-Code automatisch hinzu und funktioniert mit nahezu allen Plugins reibungslos.

Zurück

Hier bloggt Ihre Redaktion.