Google Analytics rechtssicher nutzen
- Details
- Veröffentlicht: 21. November 2011
- Zugriffe: 12981
Ausgangssituation
Die Aufsichtsbehörden diskutierten bereits seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics.
Auf Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.
Was ist zu tun?
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:
- Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
- Anonymisierung der IP-Adressen
- Widerspruchsrecht der Betroffenen
- Angepasster Datenschutzhinweis
- Löschung von Altdaten (bestehende Google Analytics Profile)
1. Vertrag zur Auftragsdatenverarbeitung
Da nach Ansicht der Aufsichtsbehörden Webseitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.
Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.
2. IP-Adressen anonymisieren
Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung „anonymizeIp“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.
Aktuell werden zwei Varianten des Tracking-Codes genutzt:
- Universal Analytics
- Klassisches Analytics
Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden.
Datenschutz mit “Universal Analytics”:
Der datenschutzkonforme Tracking-Code für Universal Analytics könnte wie folgt aussehen:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,'//www.google-analytics.com/analytics.js’,'ga’);ga(‘create’, ‘UA-XXXXXXX-X’, ‘website.de’);
ga(‘set’, ‘anonymizeIp‘, true);
ga(‘send’, ‘pageview’);</script>
Weitere Informationen zur Einrichtung finden Sie hier.
Datenschutz mit “Klassisches Analytics”:
Der datenschutzkonforme Tracking-Code für Klassisches Analytics könnte wie folgt aussehen:
<script type=”text/javascript”>
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);(function() {
var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
})();</script>
Weitere Informationen zur Einrichtung finden Sie hier.
3. Widerspruchsrecht
Daneben ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.
Normalerweise erfolgt dies durch das Setzen eines entsprechenden Cookies. Google hat sich jedoch für einen anderen Weg entschieden und bietet ein Deaktivierungs-Add-on für Browser an, auf das auch im Datenschutzhinweis (siehe 4.) hinzuweisen ist. Durch dieses Add-on wird verhindert, dass Google Analytics auf den besuchten Webseiten ausgeführt wird. Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar, was von den Aufsichtsbehörden beanstandet wurde. Google hat nun eingelenkt und die Browser Safari sowie Opera hinzugefügt, so dass nunmehr sämtliche gängigen Browser berücksichtigt sind.
4. Angepasster Datenschutzhinweis
Die Nutzung von Google Analytics ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.
Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.
Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt) kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit den von uns vorgeschlagenen Ergänzungen versehen. Diese Ergänzungen sind rot markiert:
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.
Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter http://www.google.com/intl/de/analytics/privacyoverview.html. Wir weisen Sie darauf hin, dass auf dieser Webseite Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.
Gerne kann unsere Formulierung unter Angabe der Quelle
www.datenschutzbeauftragter-info.de übernommen werden.
Sollten Sie Erweiterungen von Google Analytics verwenden, um zusätzliche Daten auszuwerten, müssen Sie auch hierauf hinweisen. Für die Auswertung von Daten aus Adwords oder dem DoubleClick-Cookie können Sie z.B. folgenden Hinweistext verwenden:
Wir nutzen Google Analytics zudem dazu, Daten aus AdWords und dem Double-Click-Cookie zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.
5. Löschung von Altdaten (bestehende Google Analytics Profile)
Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.