Letzte Änderung: Uhr

Dieser Artikel wird gerade überarbeitet! Er beinhaltet noch nicht die aktuellen Betrachtungen und Empfehlungen, die aufgrund des vorliegenden Urteils im Fall net******or.at vorliegen. Danke für dein Verständnis – das Update folgt in Kürze. Solltest du daran interessiert sein, sende uns eine Nachricht per E-Mail an datenschutz@medienkraft.at

Google Analytics DSGVO konform

EU verschärft Datenschutz, gültig seit 25.5.2018

Innenministerium Österreichisch Datenschutz

Google Analytics DSGVO konform einsetzen

Seit 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung oder auch bekannt unter DSGVO. Diese dient dem Schutz der Persönlichkeitsrechte im Internet. Vor allem werden personenbezogene oder sensible Daten besser geschützt. Neben Informationen wie Name, Geburtsdatum und dergleichen, ist unter anderem die IP-Adresse ein personenbezogenes Datum. Da diese einmalig vergeben wird und so einem Gerät und in weiterem einer Person zugeordnet werden kann.

Warum brauchen wir die IP-Adresse?

Sobald ein User mit einem internetfähigen Endgerät (z.B. einem PC, Mac oder Smartphone) online geht, wird diesem eine IP-Adresse zugewiesen. Diese IP-Adresse (IP = Internet Protokoll) ist notwendig, damit das Web (http und https) funktionieren kann. Sie wird benötigt um eine Verbindung zwischen zwei Geräten (z.B. Endgerät & WLAN-Router) aufzubauen. Im öffentlichen Internet wird also dem User eine IP-Adresse zugeordnet. Diese Zurodnung erfolgt entweder fix (das ist dann der Fall, wenn Ihrem Standort eine fixe IP zugeordnet ist) oder dynamisch in dem Fall verteilt der Netzbetreiber dynamische IP-Adressen. Schützwürdig ist die IP-Adresse jedenfalls, besonders wenn es sich um eine „fixe IP“ handelt. Dann wird die IP-Adresse zum personenbezogenen Datum und somit Gegenstand der DSGVO.

Über diese IP-Adresse ist es möglich das Land, Bundesland und den exakten Ort zu ermitteln, wo der Nutzer die Internetverbindung aufgebaut hat. Bis jetzt wurde mithilfe von Google Analytics die IP-Adresse dazu genutzt, um nachzuvollziehen woher die Nutzer stammen. So spricht man auch von der Standortbestimmung von IP-Adressen.

Damit nun der Einsatz mit Google Analytics DSGVO konform verläuft, müssen ein paar Punkte beachtet werden. Dabei sind bestehende als auch neue Konten im Analysetool betroffen. Das heißt, Sie müssen in jedem Fall ein paar Adaptierungen vornehmen, da Google Analytics den „gesetzeskonformen Trackingcode“ nicht standardmäßig ausgibt.

Mit anderen Worten: Sie riskieren eine Abmahnung wenn Sie den Tracking-Code von Analytics ohne Adaptierungen einbauen.

In 5 Schritten Google Analytics DSGVO konform machen!

Schritt 1: Auftragsverarbeitungs-Vertrag

Nach Ansicht der Aufsichtsbehörden wird mit der Verwendung von Analytics ein Auftrag an Google erteilt. Somit ist ein schriftlicher Vertrag mit Google abzuschließen, der die Auftragsdatenverarbeitung beinhaltet.

Diejenigen, die schon länger mit einem Google Analytics Account arbeiten, haben so einen Vertrag mit Google nicht abgeschlossen. Daher gibt es eigene Vertragsvorlagen, die genützt werden können, um den offiziellen, schriftlichen Vertrag nachzuholen.

Den Auftragsverarbeitungs-Vertrag finden Sie unter folgendem Link: Google Analytics AV-Vertrag

Dieser ist in Form eines kostenfreien Downloads erhältlich.

Schritt 2: IP-Adresse anonymisieren

Damit die IP-Adresse nicht mehr einem Nutzer zugewiesen werden kann, hat Google eine spezielle Code-Erweiterung unter dem Namen „anonymizeIP“ generiert, welche die letzten Zahlen der IP-Adresse unkenntlich macht. Die folgende Grafik zeigt ganz vereinfacht, wie die Anonymisierung der IP-Adresse funktioniert.

Google Analytics DSGVO - Anonyme IP-Adresse

Durch die Verfälschung der IP-Adresse ist es schon so, dass die Genauigkeit der geografischen Berichterstattung leicht beeinträchtigt wird. Trotzdem erhält man alle wichtigen Daten, die man zur Auswertung benötigt.

Leider ist bei Google Analytics der standardmäßig erstelle Tracking-Code nicht DSGVO konform, weshalb der Code händisch angepasst werden muss.

Zur Implementierung des angepassten Tracking-Codes muss man als erstes zwischen Universal Analytics und dem Klassischen Analytics unterscheiden.

Unter der Hilfe von Google Analytics bekommt man zusätzlich eine Hilfestellung zur Anonymisierung der IP-Adresse mithilfe des Tracking-Codes.

Tracking-Code Anpassung bei Universal Analytics

Damit die IP-Adresse für alle Nutzer einer Website anonymisiert wird, muss folgender Zusatz implementiert werden:

ga('set', 'anonymizeIp', true);

Adaptierter Tracking-Code:

Tracking-Code Anpassung für Klassisches Analytics

Um die Verfolgung bei „Klassisches Analytics“ zu anonymisieren, muss die Push-Funktion verwendet werden. Das heißt dem Tracking-Code muss folgender Zusatz hinzugefügt werden:

Tracking-Code nach der Implementierung der Push-Funktion:

Video-Anleitung zur Adaptierung des Tracking-Codes

Weitere Informationen zur IP Anonymisierung, finden Sie im Google Analytics Leitfaden.

Tracking-Code Adaptierung – Google Tag Manager (gtag.js)

Um die Anonymisierung der IP-Adresse zu implementieren, muss dem Gesamt-Code eine Zeile hinzugefügt werden.

Zusätzliche Zeile:

gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

Im Gesamten sieht das dann so aus:


Schritt 3: Widerspruchsrecht ergänzen

Wenn man Benutzerdaten über Google Analytics erfasst, ist es verpflichtend, die Nutzer nicht nur darüber zu informieren, zudem müssen sie die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzerdaten haben.

Dabei müssen zwei Arten des Widerspruchs gegeben sein:

  • Link zum Deaktivierungs-Add-on
  • Setzen eines Opt-Out-Cookies

Das Deaktivierungs-Add-on ist ein Browser Add-on, dass verhindert, dass weitere Daten an Google Analytics gesendet werden. Damit man seine Website Datenschutzkonform betreibt, muss ein Link zum Download des Deaktivierungs-Add-on vorhanden sein.

Nähere Infos zum Browser-Add-on zur Deaktivierung von Google Analytics

Das Opt-Out-Cookie funktioniert dabei schon direkter. Da der Websitebesucher mit Klick auf den Link, der innerhalb der Datenschutzerklärung gesetzt werden sollte, ein Opt-Out-Cookie angelegt wird. So wird das weitere Messen von Daten verhindert. Das Opt-Out-Cookie muss im Quelltext vor dem vorhandenen Google Analytics Script eingefügt werden.

Zum händischen Einbau des Opt-Out-Cookies, müssen Sie folgenden Code vor dem Google Analytics Code zur Anonymisierung der IP Adresse setzen.

Weitere Hilfen bzw. den Code selbst, erhalten Sie im Google Analytics Leitfaden.

Schritt 4: Datenschutzerklärung adaptieren

Adaptieren Sie die Datenschutzerklärung auf Ihrer Website! Lange Zeit wurde von Google Analytics ein Text zur Datenschutzerklärung als Vorlage bereitgestellt. Dies ist nun nicht mehr der Fall. Wer jedoch noch diese Vorlage für seine Website verwendet, kann diese weiterhin nützen, sollte jedoch ein paar Punkte ergänzen. Beispielsweise den Link zur Deaktivierung von Google Analytics im Browser  anführen, die Verwendung von „anonymizeIP“ beschreiben und den Link zum „Opt-Out-Cookie“ anführen.

Bisherige Datenschutz-Info von Google

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren. Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert: Google Analytics deaktivieren Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „anonymizeIp“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.


Hilfreiche Links zur Erstellung der Datenschutzerklärung nach DSGVO:

Schritt 5: Altdaten löschen

Wenn Sie nun alle genannten Maßnahmen umgesetzt haben, beispielsweise die IP-Adressen der Nutzer anonymisiert haben, sind Sie noch nicht ganz fertig. Da erst ab dem Zeitpunkt der Implementation die IP-Adressen anonymisiert sind, müssen Sie gegebenenfalls alte Daten löschen, bei denen die vollständigen IP-Adressen abgebildet wurde. Daher sind Sie im Besitz von nicht rechtmäßigen Daten und können für diese belangt werden.Wenn Sie sich nun einen mühsamen Rechtsstreit sparen möchten, sollten Sie Ihr aktuelles Google Analytics Konto löschen und ein neues Konto erstellen. Innerhalb des neuen Kontos haben Sie die Möglichkeit, dieses von Anfang an gesetzeskonform zu adaptieren. So entgehen Sie dem Risiko, Daten zu generieren für diese Sie abgemahnt werden können.

Generell empfehlen wir, alte personenbezogene Daten von Nutzern oder Kunden zu löschen, die nicht mehr in Verwendung sind. Vor allem, wenn dessen Speicherung bzw. Aufbewahrung nicht wirklich zu rechtfertigen oder nachvollziehbar sind.

Daher empfehlen wir einen Frühjahrsputz des Datenspeichers. Die Vorteile sind klar, mehr Speicherplatz wird freigeräumt, die Daten sind danach meist ordentlicher und strukturierter und Sie handeln nach DSGVO.

Die neuen Anforderungen sorgen für Verwirrung? Kein Problem – wir helfen gerne bei der Umsetzung!