Mit Google Analytics dürft ihr nicht alle Daten sammeln, die technisch möglich wären. In Deutschland bzw. der EU gibt es Gesetze und Regeln für die Erfassung von Daten in elektronischen Medien. Besonders Google Analytics stand dabei aufgrund der großen Verbreitung im Fokus. Mit der Datenschutz-Grundverordnung, DSGVO (englisch: General Data Protection Regulation, kurz GDPR), wurde 2018 eine einheitliche verbindliche Regelung für den gesamten EU-Raum eingeführt. In diesem Artikel erfahrt ihr, wie ihr Google Analytics datenschutzkonform nutzen könnt.
Exkurs: Was ist die DSGVO?
Die DSGVO regelt Verarbeitung von personenbezogenen Daten in der Europäischen Union, sowohl für private als auch für öffentliche Betreiber. In Deutschland übernahm sie bei Einführung 2018 die Aufgaben des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetzes (TMG). Als Verordnung ist die DSGVO in allen EU-Mitgliedsstaaten verbindliches Recht und muss nicht in ein nationales Gesetz überführt werden.
Mit der DSGVO erhält jeder EU-Bürger garantierte Rechte über seine Daten:
- Recht auf transparente Information über die Verarbeitung seiner Daten
- Recht auf Auskunft darüber, welche Daten gesammelt und wie diese verarbeitet wurden
- Recht auf Datenübertragbarkeit erlaubt Personen den Zugriff und Übertragung aller gesammelten Daten in einer (maschinen)lesbaren Form
- Recht auf Berechtigung wenn Daten unrichtig sind
- Recht auf Löschung (oder auch: auf Vergessenwerden) garantiert die unverzügliche Löschung aller Daten über eine Person
- Recht auf Einschränkung der Verarbeitung kann jederzeit von Personen geltend gemacht werden
- Recht auf Widerspruch bei Ablehnung der Verarbeitung
Daraus ergeben sich Anforderungen einerseits für die Features eines Tools, andererseits für die zu sammelnden Daten. Beim Tracking sind vor allem zwei Komponenten kritisch:
- die IP-Adresse, die automatisch bei Datenübertragungen im Internet vorhanden ist
- die individuelle ID, die ein Nutzer von Analytics erhält und die in einem Cookie gespeichert wird
Durch diese beiden Daten müsst ihr vor dem Einsatz von Google Analytics einige Vorkehrungen treffen.
Google Analytics datenschutzkonform nutzen
Wenn ihr in Google Analytics Nutzungsdaten erfasst habt, ohne vorher alle Vorgaben umzusetzen, gelten diese Daten als datenschutzrechtlich nicht korrekt erhoben. Die Daten dürfen in diesem Fall nicht genutzt und müssen gelöscht werden.
Einwilligung einholen
Seit Einführung der DSGVO im Mai 2018 ist es inzwischen Standard, neue Nutzer bereits beim ersten Aufruf über verwendete Analysetools und damit verbundene Cookies zu informieren. Zu Beginn geschah dies häufig wenig prominent und war weiterhin eine Opt-out-Variante. Das heißt, der Nutzer musste selbst explizit das Tracking deaktivieren, über entsprechende Konfigurationsmöglichkeiten.
Inzwischen setzt sich die Einschätzung der Beauftragten für den Datenschutz durch, dass ein Tracking erst nach einer expliziten Zustimmung erfolgen darf. Dazu genügt nicht ein einfaches Schließen eines Popups oder ein OK-Button. Dazu Ulrich Kelber, aktuell Bundesbeauftragter für den Datenschutz:
Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind, und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.
Ihr solltet also beim Einholen der Einwilligung deutlich machen, wofür ihr diese Einwilligung braucht, und die Zustimmung sollte deutlich gekennzeichnet sein. Außerdem sollten eure Nutzer die Möglichkeit zur Ablehnung (bzw. Widerspruch) enthalten. Hier ein Beispiel der Consent Management Plattform Usercentrics.
Der konkrete Aufbau der Consent-Leiste ist ebenso wenig verbindlich geregelt wie die angesprochene Ablehnen-Funktion. Diese kann über einen expliziten Button erfolgen, manche Betreiber wählen einen Link zu weiteren Einstellungen. Auf www.volkswagen.de kann ein Nutzer zustimmen oder unter Details anzeigen einzelne Funktionen auswählen sowie komplett ablehnen.
Ihr habt also einen gewissen Spielraum bei der Gestaltung dieser Banner. Wichtig ist, dass ihr nur nach einer aktiven Zustimmung das Tracking startet und nicht etwa nach einem Klick zur nächsten Seite oder einem Scrolling. Auch solltet ihr Nutzern, die dem Tracking widersprechen, weiterhin Zugang zu allen Funktionen eurer Website bieten. Ihr könnt aber eine explizite Auswahl in der Consent-Leiste einfordern, bevor ein Nutzer weiter auf eurer Website surfen darf. Das kann etwa durch Overlays geschehen, bei dem sich die Consent-Abfrage über die gesamte Website legt und diese blockiert, bis der Nutzer eine Option gewählt hat. So lässt sich die lufthansa.de-Website erst verwenden, nachdem der Nutzer sich für oder gegen Cookies und Trackings entschieden hat.
Im Lufthansa-Beispiel seht ihr einen weiteren Unterschied zur ersten Leiste von Usercentrics: Der Nutzer kann hier vier Kategorien auswählen – Notwendig, Statistik, Komfort und Personalisierung (genau genommen kann der Nutzer nur aus drei Kategorien wählen, weil notwendige Cookies obligatorisch sind).
Die unterschiedlichen Cookies und damit verbundenen Funktionen und Tools wurden unterteilt, der Nutzer kann einzelne Kategorien von Tools zulassen oder sperren. Die Idee dahinter ist, dass manche Nutzer bereit sind, z.B. Statistik-Tools zuzulassen, aber dafür keine Personalisierung möchten und somit die Zustimmung zur Statistik etwas höher ausfällt.
Häufiger als die hier gezeigte Aufteilung ist die Unterscheidung von Analyse- und Marketing-Cookies. Analyse-Cookies werden zur Verbesserung und Optimierung der Website erstellt. Marketing-Cookies dagegen werden zur Auswertung und Steuerung von Werbung genutzt. Ob sich durch solch eine Auswahl die Zustimmung deutlich verändert, lässt sich bisher noch nicht sagen.
Voraussichtlich wird bei vielen Nutzern auf Dauer ein Lern- oder Abstumpfungseffekt eintreten, da sie auf eigentlich jeder Website mit einer Consent-Entscheidung konfrontiert werden. Daher solltet ihr die Nutzung eurer Abfrage so klar und einfach wie möglich für den Nutzer gestalten.
Wenn ihr euren Nutzern Apps anbieten, müsst ihr auch in diesen eine Einwilligung zum Tracken einholen. Meistens geschieht dies beim ersten Aufruf einer App durch ein entsprechendes Popup.
Widerspruchsmöglichkeit
Ihr müsst den Besuchern eurer Website die Möglichkeit geben, dem Tracking zu widersprechen, das heißt, die Besucher müssen in der Lage sein, die Website auch zu nutzen, ohne von euch erfasst zu werden. Mit einem Consent-Management-Service oder einem entsprechenden Plugin für euer CMS könnt ihr euren Nutzern sowohl den Hinweis zur Verwendung von Cookies als auch die Widerspruchsmöglichkeit anbieten. Die meisten dieser Tools bieten außerdem die Option, auch zu einem späteren Zeitpunkt die Einstellungen zu ändern und somit einen Widerspruch umzusetzen.
Die Verwendung eines solchen Tools bietet euren Nutzern allerdings zunächst nur die Einstellmöglichkeiten. Die tatsächliche Umsetzung, damit das Google Analytics Tracking ausbleibt, müsst ihr in eurer Programmierung bzw. dem Google Tag Manager vornehmen. Die Consent Tools bieten meistens eine Abfragemöglichkeit, mit der man überprüfen kann, welche Auswahl ein Nutzer getroffen hat, um dann entweder einen Tracking-Code aufzurufen oder nicht. Je nachdem für welches Tool oder Service ihr euch entscheidet, müsst ihr euch über diese Abfragen informieren. Durch die große Verbreitung von Google Analytics wird es sicherlich ein Beispiel für diesen Fall geben.
Zusätzlich solltet ihr immer auch die Möglichkeit in eurer Datenschutzerklärung bieten, per Klick auf einen Link oder Button das Tracking von Google Analytics zu deaktivieren.
1. Ihr gebt dem Tracking-Code die Information, dass er keine Erfassung durchführen soll. Dazu fügt ihr folgendes JavaScript auf allen Seiten eurer Website vor dem Tracking-Code von Google Analytics ein:
<script> var gaProperty = 'UA-XXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } </script>
Im Feld gaProperty tragt ihr die UA-Nummer eurer Analytics-Property ein. Der Vorteil dieser Variante ist, dass sie in allen Browsern funktioniert, die JavaScript unterstützen, also etwa auch auf Smartphones.
2. Ihr verweist auf das Browser-Plugin, das Google für diesen Zweck für Firefox, Safari, Opera und Chrome zur Verfügung stellt. Ihr findet es unter https://tools.google.com/dlpage/gaoptout?hl=de. Achtet darauf, dass der Link tatsächlich anklickbar ist.
3. Ihr nutzt den Google Tag Manager, um die Ausführung von Google Analytics Codes generell zu blockieren, wenn z.B. ein bestimmtes Cookie vorhanden ist.
Weist in Eurer Datenschutzerklärung explizit auf die Widerspruchsmöglichkeit hin, entweder per Link oder Button. Der passende Link zum obigen Beispiel wäre:
<a href="javascript:gaOptout()"> Google Analytics deaktivieren </a>
Datenschutzerklärung
Ihr müsst eure Besucher darüber informieren, dass ihr Nutzungsdaten mit Google Analytics erfasst. Dies sollte auf einer eigenen Seite zum Datenschutz geschehen. Diese Seite muss überall in eurem Webauftritt möglichst leicht auffindbar und erreichbar sein.
Google macht dies in seinen Nutzungsbedingungen für Analytics selbst zur Bedingung:
Sie sind ferner verpflichtet, an prominenten Stellen eine sachgerechte Datenschutzerklärung vorzuhalten (und sich an diese zu halten). Sie sind dazu verpflichtet, den Einsatz von Google Analytics offenzulegen und anzugeben, wie damit Daten erfasst und verarbeitet werden. Dazu können Sie einen gut sichtbaren Link zur Seite »Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner« verwenden (erreichbar unter www.google.com/policies/privacy/partners/ oder jeder anderen URL, die Google nachfolgend zu diesem Zweck benennt). Sie sind dazu verpflichtet, wirtschaftlich zumutbare Schritte zu ergreifen, um sicherzustellen, dass ein Nutzer transparente, umfassende Informationen über das Speichern von und das Zugreifen auf Cookies oder auf weitere Informationen auf dem Endgerät des Nutzers erhält und dass sich der Nutzer damit einverstanden erklärt, insoweit dies im Zusammenhang mit den Services erfolgt und das Bereitstellen solcher Informationen und das Einholen eines solchen Einverständnisses gesetzlich vorgesehen ist.
Ihr müsst also einen Text dafür erstellen. In der Vergangenheit lieferte Google eine entsprechende Textvorlage in seinen Nutzungsbedingungen mit, hat diese Praxis inzwischen aber eingestellt. Eine Erklärung sollte (für Analytics) mindestens folgende Punkte behandeln:
- Umfang der Datenerhebung
- Anonymisierung der IP-Adresse
- Speicherdauer
- Widerrufsrecht
- Hinweis auf eine Widerspruchsmöglichkeit
- Rechtsgrundlage
Verwendet ihr die Werbefunktionen von Google Analytics, müssen Sie auf sie ebenfalls hinweisen. Dazu gehören:
- interessenbezogene Werbung
- Remarketing
- Impressionen aus dem Google Displaynetzwerk
- demografische Merkmale und Interessen
- Google Signals
Ihr findet im Internet diverse Vorlagen auf Websites von Datenschützern oder Anwälten, die ihr häufig kostenfrei verwenden dürft. Als Beispiele seien der Datenschutz-Generator.de der Anwaltskanzlei Dr. Schwenke und der Datenschutzgenerator von Rechtsanwälte Wilde Beuger Solmecke auf wbs-law.de genannt.
Beide Generatoren führen euch anhand von Auswahlfragen zu einer umfangreichen Datenschutzerklärung, die nicht nur Analysetools, sondern viele Online-Services wie Newsletter, Foren, E-Commerce oder CMS abdeckt, für die ihr einen Hinweis aufnehmen müsst.
Kürzen der IP-Adresse (anonymisieren)
In Deutschland haben sich die Datenschützer schon geraume Zeit vor der DSGVO auf die Einschätzung geeinigt, IP-Adressen als personenbezogene Daten zu klassifizieren. Dadurch sind alle Zugriffe, die ihr erfassen könnt, datenschutzrechtlich relevant, denn im Internet wird immer eine IP-Adresse übertragen, ohne sie funktioniert die Datenübertragung nicht. Daraus ergibt sich eine Grundanforderung an alle Webanalyse-Systeme, nämlich bei der Datenerfassung auf die vollständige IP-Adresse zu verzichten. Im Wortlaut:
Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Google hat für diese Kürzung extra eine eigene Funktion eingeführt: anonymizeIp. Diese Funktion muss bei jedem Laden des Tracking-Codes übergeben werden, damit die IP-Adresse gekürzt wird. Leider wird die Funktion weder beim Tracking-Code einer neuen Property noch bei einem neuen Tag im Tag Manager automatisch eingefügt. Ihr müsst also beim Einbau eines Tracking-Codes auf einer neuen Website selbst daran denken, die Funktion mit aufzunehmen.
Beim aktuellen gtag.js-Code geben Sie einen zusätzlichen Parameter im Code mit:
gtag('config', 'UA-6859XXXX-6', { 'anonymize_ip': true });
Verwendet ihr noch den Code mit analytics.js, müsst ihr den Befehl
ga('set', 'anonymizeIp', true);
aufgenommen haben.
Ein Hinweis in der Datenschutzerklärung zur IP-Kürzung ist zwar nicht zwingend vorgeschrieben, sollte der Vollständigkeit halber aber ebenfalls eingefügt werden.
Aufbewahrungsdauer der Daten festlegen
In der Property-Verwaltung könnt ihr den Zeitraum einstellen, für den Google Nutzer- und Ereignisdaten aufbewahrt werden, die mit Cookies, Nutzer-ID oder Werbe-IDs verknüpft sind. Konkret bedeutet dies, dass ihr nach Ablauf der Zeit die Möglichkeit verliert, auf einzelne Nutzer zuzugreifen, was z.B. für komplexeres Segmentieren erforderlich ist. Aggregierte Daten sind von dieser Einstellung nicht betroffen, d.h., die normalen Berichte wie Seiten oder Quellen bleiben wie gewohnt verfügbar.
Die Voreinstellung sind 26 Monate nach dem zuletzt gemessenen Ereignis. In einigen Blog-Beiträgen werden eine Dauer von 14 Monaten sowie das Ausschalten des Zurücksetzens empfohlen. Eine wirklich definitive Aussage gibt es allerdings nicht.
Vertrag zur Auftragsdatenverarbeitung
Die Aufsichtsbehörden in Deutschland fordern beim Einsatz von Google Analytics den Abschluss eines Vertrags zur Auftragsverarbeitung. In diesem Fall hat die DSGVO ausnahmsweise den ganzen Vorgang einfacher gemacht: Ihr müsst diesen Vertrag nämlich nicht mehr ausdrucken, unterschreiben und von Google gegenzeichnen lassen, sondern könnt alles digital vornehmen.
Geht dazu in die Kontoeinstellungen des Kontos. Am Ende der Seite findet ihr den Zusatz zur Datenverarbeitung. Klickt dann auf Zusatz anzeigen, und stimmt diesem zu.
Kontaktperson benennen
Im Zusatz zur Datenverarbeitung findet ihr außerdem den Link zur Verwaltung der Zusätze. Klickt ihn an, und wechselt zur Seite Kontaktpersonen der Marketing-Platform-Verwaltung. Legt nun einen neuen Eintrag mit den Kontaktdaten eures Datenschutzbeauftragten an.
Löschen von Altdaten
Nutzerdaten, die erfasst wurden, obwohl die Anforderungen des Datenschutzes nicht umgesetzt waren, sind rechtswidrig erhoben und sollten gelöscht werden. Ihr habt dazu zwei Optionen
- In der Property-Verwaltung findet ihr den Menüpunkt Löschanfragen für Daten. Dort könnt ihr eine Anfrage an Google stellen, um Daten in bestimmten Zeiträumen aus einer Property zu löschen.
- Ihr löscht die komplette Datenansicht und/oder Property, die diese kritischen Daten enthält. Dazu geht in die Einstellungen der Property (oder Datenansicht) und klickt auf In Papierkorb verschieben.
Fazit
Die Verwendung von Google Analytics wird gerade in Deutschland von vielen Datenschutzbeauftragen kritisch gesehen. Im Laufe der Zeit sind eine Reihe von Vorgaben und Anforderungen entstanden, die ihr vor und beim Einbau beachten müsst. Werden diese allerdings umgesetzt und erläutert, lassen sich viele Bedenken eines Datenschützers häufig ausräumen.
Bildnachweis: Titelbild © tom/ fotolia.com