Analytics

DSGVO & Google Analytics – was sich mit der neuen Datenschutz-Grundverordnung am Tracking ändert

Mira Rodrigues

Veröffentlicht von Mira Rodrigues

Alle Beiträge von Mira Rodrigues
DSGVO & Google Analytics – was sich mit der neuen Datenschutz-Grundverordnung am Tracking ändert

Plot Twist: Eigentlich fast nichts.

Am 25. Mai 2018 war es so weit: Der Stichtag für die neue Datenschutz-Grundverordnung war erreicht. Laut eco-Verband der Internetwirtschaft waren zum Stichtag nur 13% der deutschen Unternehmen nach eigener Aussage bereits datenschutzkonform unterwegs, knapp mehr als die Hälfte steckte noch in den Vorbereitungen. Jetzt, drei Monate später sieht das Ganze etwas anders aus – einige Websitebetreiber haben aber aus Zeitmangel auch entschieden, „den Stecker zu ziehen“ und die Seite kurzerhand aus dem Netz genommen. Doch was genau ist eigentlich zu tun? Und wen betrifft die DSGVO? Wir klären auf.

Die DSGVO kurz erklärt

Seit Anfang des Jahres sind „Datenschutz“ und „DSGVO“ in aller Munde – so sehr, dass es schon beinahe nervt. Deswegen möchten wir uns bei unserer Erklärung kurz fassen: Was ist eigentlich die DSGVO?

Was ist die DSGVO?

Die Datenschutzgrundverordnung soll dafür sorgen, dass die Datenschutzgesetze innerhalb der EU einheitlich sind – aktuell gelten für die verschiedenen EU-Staaten verschiedene Standards. Ob das Unternehmen auch innerhalb der EU ansässig ist, ist dabei zweitrangig – sobald Daten von EU-Nutzern verarbeitet werden, müssen sich Unternehmen an die Verordnung halten.

Für wen gilt die DSGVO?

Die neue Verordnung gilt für alle Unternehmen, die

  • In der EU ansässig sind
  • Personenbezogene Daten von EU-Bürgern verarbeiten

Die DSGVO gilt unabhängig von der Branche oder der Unternehmensgröße – das Café um die Ecke, das Google Analytics auf seiner Website nutzt muss sich also genauso daran halten wie „die ganz großen“, also Amazon, Google und Co.

Warum ist die Aufregung so groß?

Wer sich nicht an die neuen Richtlinien hält, muss mit hohen Strafen rechnen. Gerade für kleine Betriebe ergibt sich hier also ein hoher Aufwand (Datenschutzerklärung aktualisieren, Tracking auf den Prüfstand stellen, ggf. einen Datenschutzbeauftragten suchen). Dieser ist – in Kombination mit dem Risiko, das sich durch einen Verstoß ergeben könnte – für viele nicht tragbar, weswegen schon jetzt einige Websites aus dem Internet genommen werden.

So viel zur DSGVO an sich. Wir möchten uns hier noch etwas genauer mit dem Thema „Google Analytics“ befassen. Was ändert sich? Was ist zu tun?

Google Analytics: Diese Änderungen kommen mit der DSGVO

In Stichpunkten: To Dos für datenschutzkonformes Google Analytics-Tracking

  1. Vertrag zur Datenverarbeitung mit Google abschließen (Google ADV)
  2. Analytics-Code anonymisieren
  3. Datenschutzerklärung anpassen
  4. Opt-Out-Möglichkeit bieten, damit der Nutzer sein Widerspruchsrecht geltend machen kann

Wer keine personenbezogenen Daten, wie zum Beispiel die E-Mail-Adresse oder den Namen des Nutzers übergibt, braucht sich um Google Analytics fast keine Gedanken mehr zu machen – wichtig ist, zu prüfen, welche Daten denn aktuell überhaupt gesammelt werden. Eine kleine Hürde gibt es dennoch: Die IP-Adresse des Nutzers fällt nach deutschem Recht unter „personenbezogene Daten“ und muss deswegen anonymisiert werden.

Die Auftragsdatenverarbeitung muss mit Google vereinbart werden

Da Google Analytics ein externer Dienst ist muss ein Vertrag zur Datenverarbeitung geschlossen werden. Vertragspartner sind dabei der Websiteinhaber und Google Inc. – Google stellt hierfür ein passendes Formular zur Verfügung. Dieses muss nur noch ausgefüllt und an Google Ireland Ltd. gesendet werden.

IP anonymisieren: AnonymizeIP für Universal Analytics (im Tag Manager oder im Code)

Universal Analytics ist aktuell die wohl am meisten genutzte Version von Google Analytics. Wer Analytics in die Website-Templates eingebunden hat, sollte folgendes Snippet im Code finden:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('send', 'pageview');
 </script>

Um die IP zu anonymisieren, wird bei dieser Form der Integration ganz einfach ga(´set´, ´anonymizeIp´, true) in das Code-Snippet integriert. Der Code sollte dann folgendermaßen aussehen:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', 'true');
ga('send', 'pageview');
 </script>

AnonymizeIp im Google Tag Manager

Wer den Google Tag Manager nutzt, hat die Möglichkeit, alle Analytics-Einstellungen in einer Variable festzuhalten. Das hat den Vorteil, dass die IP-Anonymisierung, aber auch andere Konfigurationen, beispielsweise benutzerdefinierte Dimensionen oder Content-Gruppen nur einmalig festgelegt und dann im gesamten Konto genutzt werden können.

Ob nun mit Variable oder nicht – die IP-Anonymisierung funktioniert immer nach dem gleichen Prinzip:

    1. Im Analytics-Tag unter „Weitere Einstellungen“ > Festzulegende Felder auswählen.
    2. Bei Feldname „anonymizeIp“ eintragen und als Wert „true“ angeben
    3. Tag speichern und veröffentlichen.

Das Ganze sieht am Ende so aus:

AnonymizeIP im Google Tag Manager

Achtung:Wer sich dafür entscheidet, ohne Variable und direkt in den Tags zu arbeiten, sollte dringend darauf achten, dass „anonymizeIp“ in jedem Google-Analytics-Tag auf „true“ gesetzt wird.

AnonymizeIP für mit gtag.js

Wer Analytics erst Ende letzten Jahres aufgesetzt, oder in der Zwischenzeit auf das neue Global Site Tag (gtag.js) umgestellt hat, dürfte bereits mit dem etwas anderen Code vertraut sein. Keine Sorge: Die IP-Anonymisierung ist ganz ähnlich wie die für Universal Analytics. Auch hier muss einfach eine Zeile zusätzlich in den Code geschrieben werden:

<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-X"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

</script>

Typische Fehlerquellen

Es kommt oftmals vor, dass personenbezogene Daten versehentlich an Google Analytics gesendet werden – beispielsweise über Formulare, Logins und Bestätigungslinks in E-Mails. Dabei können über URL Parameter personenbezogene Daten einlaufen – unverzichtbar ist es hier, sich den Seitenbericht von Google Analytics anzuschauen.

Das Google Analytics Opt-out-Cookie

Wichtig ist, dass die Nutzer einer Website ausreichend über die Nutzung von Google Analytics informiert werden. Dabei müssen sie jetzt auch die Möglichkeit haben, dies zu unterbinden – am besten wird diese Option in der Datenschutzerklärung eingebaut.

Damit die Besucher mit einem einfachen Klick in der Datenschutzerklärung das Analytics-Tracking verbieten können, sollte ein Opt-Out-Cookie verwendet werden.

Dazu muss ein entsprechendes Script über das Google Analytics Script eingefügt werden:

<script>
var gaProperty = 'XXXXXX';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
 </script>

Eine andere Methode ist der Einbau eines Add-Ons, das für alle gängigen Browser verfügbar ist. Dieses Add-On verbietet Analytics die Erhebung von Daten. Doch hier ist Vorsicht geboten: Da das Add-On bei mobilen Endgeräten nicht funktioniert, muss bei Websites, die auf mobile Endgeräte optimiert sind, ein Opt-Out-Cookie verwendet werden.

AdWords, Doubleclick, 360 Suite – was bedeutet die DSGVO für andere Google Dienste?

Gute Nachrichten: Die Produkte der Google Suite können auch nach Einführung der neuen DSGVO weiter genutzt werden – es muss lediglich der Vertrag zur Datenverarbeitung mit Google geschlossen werden, der auch für die Nutzung von Google Analytics relevant ist.

Bei Werbediensten wie AdWords, DoubleClick oder AdSense gilt Google als Verantwortlicher für die Daten. Wenn man die Dienste nutzt, bekommt man als Unternehmen keine nutzerspezifischen Daten zur Verfügung gestellt – und ist damit zunächst einmal „fein raus“.

Anpassung der Datenschutzerklärung

In der Datenschutzerklärung muss auf die Speicherung und Verarbeitung der Nutzer-Daten durch Google Analytics hingewiesen werden.

Dabei gehören in die Datenschutzerklärung auch ein Hinweis auf folgende Punkte:

  • Die Auftragsverarbeitung
  • Das Verwenden der anonymizeIP Funktion
  • Die Widerspruchsmöglichkeit der Besucher

Der letzte Schritt: Löschen alter Daten – wie lange darf ich Daten speichern?

Da bei der Anonymisierung der IP Adressen nur neue Adressen anonymisiert werden, müssen Altdaten, die vollständige IP Adressen aufweisen, gelöscht werden.

Zusätzlich bietet Analytics nun die Möglichkeit, die Vorhaltezeit der gesammelten Daten zu konfigurieren. Zur Auswahl stehen verschiedene Optionen, von 14 bis 50 Monate – sogar eine unbegrenzte Datenaufbewahrung ist weiterhin möglich. Doch auch erlaubt?

Auf folgende Dinge solltet ihr achten, wenn ihr Nutzerdaten speichern möchtet:

  1. Informiert eure Nutzer!
  2. Gebt ihnen die Möglichkeit, ihre Daten zu löschen!
    (Google arbeitet hier an einer Lösung, die Nutzern ermöglichen soll, ihre Daten aus Analytics zu
    löschen)
  3. Habt einen guten Grund, warum ihr die Daten so lange aufbewahren wollt
    Laut DSGVO sollen Nutzerdaten nicht länger gespeichert werden, als notwendig. Macht Sinn. Wer
    Daten also über einen längeren Zeitraum hinweg speichert, sollte einen guten Grund dafür haben. Als Gründe können hier zum Beispiel “wissenschaftliche” oder “statistische” Zwecke angeführt werden:

Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. (Art. 89 DSGVO)

Fazit: DSGVO und Google Analytics – Schreckgespenst oder nur heiße Luft?

Das Online-Magazin t3n bezeichnete die DSGVO schon vor dem Stichtag am 25. Mai als „eine Datenschutz-Karikatur“ – wir sehen das ähnlich. Gerade als Angela Merkel kurz vor Schluss entschieden hat, ein scharfes Auge auf die Entwicklung der DSGVO zu richten. War am Ende also alles „nur eine große Panikmache“? Nein – nicht ganz. Die ersten Gerichtsurteile sind bereits gefallen, ein kleiner Teil davon ging sogar medienwirksam durch die Presse.

Bevor es zu Strafen kommt, sollten also auch die rund 30% der Unternehmen, die sich aktuell noch nicht mit dem Thema „Datenschutz“ auseinandergesetzt haben, handeln und ihre Prozesse entsprechend anpassen.

Dennoch: Nichts wird so heiß gegessen, wie es gekocht wird. Das Internet wurde am 25.05. nicht abgeschaltet und das Leben geht weiter ;).

Haftungsausschluss: Die hier enthaltenen Tipps sind jeglich als Unterstützung gedacht und ersetzen keine rechtliche Beratung durch einen Fachanwalt. Für den Inhalt dieses Artikels übernehmen wir keine Haftung – die Umsetzung erfolgt auf eigenes Risiko.

Mira Rodrigues

Veröffentlicht von Mira Rodrigues

Alle Beiträge von Mira Rodrigues

Weiteres zum Thema Analytics