Google Analytics DSGVO konform

EU verschärft Datenschutz, gültig seit 25.5.2018

  • DSGVO & GDPR Europa- Datenschutzgrundverordnung

Google Analytics DSGVO konform einsetzen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung oder auch bekannt unter DSGVO in Kraft. Diese dient dem Schutz der Persönlichkeitsrechten im Internet. Vor allem werden personenbezogene oder sensible Daten besser geschützt. Neben Informationen wie Name, Geburtsdatum und dergleichen ist unter anderem die IP-Adresse ein personenbezogenes Datum. Da diese einmalig vergeben wird und so einem Gerät und in weiterem einer Person zugeordnet werden kann.

Warum brauchen wir die IP-Adresse?

Sobald ein User mit einem internetfähigen Endgerät (z.B. einem PC, Mac oder Smartphone) online geht, wird diesem eine IP-Adresse zugewiesen. Diese IP-Adresse (IP = Internet Protokoll) ist notwendig, damit das Web (http und https) funktionieren kann. Sie wird benötigt um eine Verbindung zwischen zwei Geräten (z.B. Endgerät & WLAN-Router) aufzubauen. Im öffentlichen Internet wird also dem User eine IP-Adresse zugeordnet. Diese Zurodnung erfolgt entweder fix (das ist dann der Fall, wenn Ihrem Standort eine fixe IP zugeordnet ist) oder dynamisch in dem Fall verteilt der Netzbetreiber dynamische IP-Adressen. Schützwürdig ist die IP-Adresse jedenfalls, besonders wenn es sich um eine „fixe IP“ handelt. Dann wird die IP-Adresse zum personenbezogenen Datum und somit Gegenstand der DSGVO.

Über diese IP-Adresse ist es möglich das Land, Bundesland und den exakten Ort zu ermitteln, wo der Nutzer die Internetverbindung aufgebaut hat. Bis jetzt wurde mithilfe von Google Analytics die IP-Adresse dazu genutzt, um nachzuvollziehen woher die Nutzer stammen. So spricht man auch von der Standortbestimmung von IP-Adressen. Damit nun der Einsatz mit Google Analytics auch DSGVO konform verläuft, müssen ein paar Punkte beachtet werden.

In 5 Schritten DSGVO konform werden!

Schritt 1: Auftragsverarbeitung Vertrag

Nach Ansicht der Aufsichtsbehörden wird mit der Verwendung von Google Analytics ein Auftrag an Google erteilt. Somit ist ein schriftlicher Vertrag mit Google abzuschließen, der die Auftragsdatenverarbeitung beinhaltet.

Wer schon länger mit einem Google Analytics Account arbeitet, hat solch einen Vertrag mit Google nicht abgeschlossen. Daher gibt es eigene Vertrags-Vorlagen, die genützt werden können um den offiziellen, schriftlichen Vertrag nachzuholen.

Den Auftragsverarbeitungs-Vertrag von Google Analytics finden Sie unter folgendem Link: Google Analytics AV-Vertrag

Schritt 2: IP-Adresse anonymisieren

Damit die IP-Adresse nicht mehr einem Nutzer zugewiesen werden kann, hat Google eine spezielle Code-Erweiterung unter dem Namen „anonymizeIP“ generiert, welche die letzten Zahlen der IP-Adresse unkenntlich macht. Die folgende Grafik zeigt ganz vereinfacht, wie die Anonymisierung der IP-Adresse funktioniert.

Google Analytics DSGVO - Anonyme IP-Adresse

Durch die Verfälschung der IP-Adresse ist es schon so, dass die Genauigkeit der geografischen Berichterstattung leicht beeinträchtigt wird. Trotzdem erhält man alle wichtigen Daten, die man zur Auswertung benötigt.

Leider ist bei Google Analytics der standardmäßig erstelle Tracking-Code nicht DSGVO konform, weshalb der Code händisch angepasst werden muss.

Zur Implementierung des angepassten Tracking-Codes muss man als erstes zwischen Universal Analytics und dem Klassischen Analytics unterscheiden.

Unter der Hilfe von Google Analytics bekommt man zusätzlich eine Hilfestellung zur Anonymisierung der IP-Adresse mithilfe des Tracking-Codes.

Tracking-Code Anpassung bei Universal Analytics

Damit die IP-Adresse für alle Nutzer einer Website anonymisiert wird, muss folgender Zusatz implementiert werden:

ga('set', 'anonymizeIp', true);

Adaptierter Tracking-Code:

Tracking-Code Anpassung für Klassisches Analytics

Um die Verfolgung bei „Klassisches Analytics“ zu anonymisieren, muss die Push-Funktion verwendet werden. Das heißt dem Tracking-Code muss folgender Zusatz hinzugefügt werden:

Tracking-Code nach der Implementierung der Push-Funktion:

Video-Anleitung zur Adaptierung des Tracking-Codes

Tracking-Code Adaptierung – Google Tag Manager (gtag.js)

Um die Anonymisierung der IP-Adresse zu implementieren, muss dem Gesamt-Code eine Zeile hinzugefügt werden.

Zusätzliche Zeile:

gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

Im Gesamten sieht das dann so aus:

 

Schritt 3: Widerspruchsrecht ergänzen

Wenn man Benutzerdaten über Google Analytics erfasst, ist es verpflichtend, die Nutzer nicht nur darüber zu informieren, zudem müssen sie die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzerdaten haben.

Dabei müssen zwei Arten des Widerspruchs gegeben sein:

  • Link zum Deaktivierungs-Add-on
  • Setzen eines Opt-Out-Cookies

Das Deaktivierungs-Add-on ist ein Browser Add-on, dass verhindert, dass weitere Daten an Google Analytics gesendet werden. Damit man seine Website Datenschutzkonform betreibt, muss ein Link zum Download des Deaktivierungs-Add-on vorhanden sein.

Nähere Infos zum Browser-Add-on zur Deaktivierung von Google Analytics

Das Opt-Out-Cookie funktioniert dabei schon direkter. Da der Websitebesucher mit Klick auf den Link, der innerhalb der Datenschutzerklärung gesetzt werden sollte, ein Opt-Out-Cookie angelegt wird. So wird das weitere Messen von Daten verhindert. Das Opt-Out-Cookie muss im Quelltext vor dem vorhandenen Google Analytics Script eingefügt werden.

Schritt 4: Datenschutzerklärung adaptieren

Adaptieren Sie die Datenschutzerklärung auf Ihrer Website! Lange Zeit wurde von Google Analytics ein Text zur Datenschutzerklärung als Vorlage bereitgestellt. Dies ist nun nicht mehr der Fall. Wer jedoch noch diese Vorlage für seine Website verwendet, kann diese weiterhin nützen, sollte jedoch ein paar Punkte ergänzen. Beispielsweise den Link zur Deaktivierung von Google Analytics im Browser  anführen, die Verwendung von „anonymizeIP“ beschreiben und den Link zum „Opt-Out-Cookie“ anführen.

Bisherige Datenschutz-Info von Google

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
Google Analytics deaktivieren

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „anonymizeIp“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.


Hilfreiche Links zur Erstellung der Datenschutzerklärung nach DSGVO:

Schritt 5: Altdaten löschen

Wenn man nun alle genannten Maßnahmen umgesetzt hat, beispielsweise die IP-Adressen der Nutzer anonymisiert, ist man noch nicht ganz fertig. Da erst ab dem Zeitpunkt der Implementation die IP-Adressen anonymisiert sind, muss man gegebenenfalls alte Daten löschen, wo die vollständigen IP-Adressen abgebildet werden.

Generell empfehlen wir, dass alte personenbezogene Daten von Nutzern oder Kunden gelöscht werden, die nicht mehr in Verwendung sind. Vor allem, wenn man dessen Speicherung bzw. Aufbewahrung nicht wirklich rechtfertigen und nachvollziehen kann.

Daher empfehlen wir einen Frühjahrsputz des Datenspeichers. Die Vorteile sind klar, mehr Speicherplatz wird freigeräumt, die Daten sind danach meist ordentlicher und strukturierter und man handelt nach DSGVO.

Sollten die neuen Anforderungen für Verwirrung sorgen.
Kein Problem – wir helfen Ihnen bei der Umsetzung.

Ähnliche Beiträge