Blog Allgemein Google Analytics DSGVO-konform konfigurieren

Google Analytics DSGVO-konform konfigurieren

Artikel teilen

Facebook
Twitter
Whatsapp
Linkedin
Mail

Stand November 2020. Wenn es um die Datenschutzgrundverordnung geht, gilt es genau aufzupassen: Die Bußgelder bei Verstößen gegen die DSGVO können maximal bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes betragen und somit existenzbedrohend sein. Dieser Blog-Beitrag erläutert eine DSGVO-konforme Google-Analytics-Verwendung im Sinne einer Risikominimierung.

DSGVO-Änderung 2018: Was hat sich geändert?

Die EU hat mit 25.5.2018 die EU-Datenschutz-Grundverordnung, kurz DSGVO, geändert und gleichzeitig verschärft. Die Änderungen dienen dem Schutz der Persönlichkeitsrechte im Internet. Personenbezogene und sensible Daten sollen durch die Regelungen besser geschützt werden. Zu diesen personenbezogenen Daten gehören neben dem eigenen Namen, Geburtsdatum, Wohnort und dergleichen auch die IP-Adresse, da sie jedem Nutzer weltweit zugeschrieben werden kann, weil es sie nur exakt einmal gibt!

Dabei hat sich auch in Bezug auf die DSGVO-konforme Verwendung von Marketing Tools wie Google Analytics unter anderem Folgendes verändert: 

  • Die Einwilligungshandlung muss strengeren Vorgaben genügen (z. B. durch Kontrollkästchen auf Webseiten oder Auswahl spezifischer Einstellungen). Das stillschweigende Einverständnis genügt nicht mehr. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, müssen Nutzer/innen die Möglichkeit haben, in jeden einzelnen gesondert einzuwilligen. Das ist besonders für die Verwendung von Google Analytics interessant und wichtig!
  • Die erteilte Einwilligung muss der oder die Betroffene jederzeit und unbegründet widerrufen können. Der Widerruf muss einfach und verständlich möglich sein. Das ist ebenfalls relevant für Google Analytics-Anwendungen.
  • Es muss den Betroffenen möglich sein, aktiv gegen einzelne Zwecke der Datenverarbeitung zu widersprechen, was wiederum auf Google Analytics zutrifft.
  • Das bereits bestehende Koppelungsverbot wurde in der EU-Datenschutzgrundverordnung noch einmal verschärft: Ein Vertrag darf nicht mehr davon abhängig gemacht werden, dass der/die Betroffene eine Einwilligung in die Datenverarbeitung
  • Die Auskunftsrechte der Betroffenen wurden inhaltlich erweitert: So sollen auch Angaben zu der jeweiligen Rechtsgrundlage der erhobenen und verarbeiteten Daten oder die Dauer der Speicherung bzw. der Kriterien genannt werden.
  • Mit der neuen EU-Verordnung zum Datenschutz müssen Unternehmen nun in der Lage sein, den Betroffenen die überlassenen Daten in einem portablen und dennoch sicheren Format auszuhändigen. Auf Wunsch der Nutzer/innen können die Daten auch direkt an einen Dritten weitergegeben werden.
  • Die Pflicht zur Löschung veralteter oder falscher Daten wurde erweitert. Nunmehr müssen die öffentlichen und nicht öffentlichen Stellen, die solche Daten an Dritte weitergegeben haben, die jeweiligen Ansprechpartner kontaktieren und über die Unrichtigkeit in Kenntnis setzen.

Google Analytics DSGVO-konform machen in 5 einfachen Schritten

Beispielbild

Google Analytics ist ein überaus beliebtes und kostenfreies Tool, um Daten zur Webseitennutzung einzuholen. Das Tool zeigt an, wie viele Besucher die eigene Seite hat, woher sie stammen und was sie auf der Seite überhaupt machen. Im Prinzip sind die für DSGVO-konforme Einbindung von Google Analytics nur 5 Schritte nötig:

  1. Vertrag zur Auftragsdatenverarbeitung abschließen
  2. Cookie-Consent-Tool auf Ihrer Seite einbinden und Opt-In-Tool laden
  3. IP-Anonymisierung aktivieren und ggf. alte Daten löschen
  4. Datenschutzerklärung auf der Seite aktualisieren
  5. Opt-Out-Cookies

Im Folgenden werden wir diese 5 Schritte genauer erklären und beschreiben, was genau Sie für jeden einzelnen Punkt zu tun haben.

Achtung!

Wir haben diesen Artikel nach ausgiebiger Recherche nach bestem Wissen und Gewissen geschrieben, sind aber keine Rechtsanwälte. Dieser Artikel stellt deshalb keine Rechtsberatung dar! Wir übernehmen keinerlei Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Ratgebers. Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder zu allgemeinen datenschutzrechtlichen Fragen sollten Sie eine/n fachkundige/n Rechtsanwalt/-anwältin für Datenschutz aufsuchen.

1. Vertrag mit Google zur Auftragsverarbeitung abschließen

Der Auftragsverarbeiter ist diejenige juristische Person, Behörde oder Einrichtung, welche die personenbezogenen Daten verarbeitet, die auf einer Webseite erhoben werden. Für die DSGVO bedeutet Verarbeitung dabei also jeglichen Umgang mit personenbezogenen Daten. Darunter fallen folgende datenbezogene Aktionen:

  • erheben, erfassen, organisieren, ordnen, speichern, anpassen
  • verändern, auslesen, abfragen, verwenden, offenlegen durch Übermittlung, verbreiten, bereitstellen
  • abgleichen, verknüpfen, einschränken, bis hin zum Löschen oder Vernichten

Online findet man zahlreiche kostenlose Musterverträge und Vorlagen zum Herunterladen für einen Auftragsdatenverarbeitungs-Vertrag (unter anderem auch von der österreichischen Wirtschaftskammer). Dieser Vertrag muss nicht wie früher postalisch an Google übermittelt werden, sondern kann direkt in Ihr Google Analytics-Konto eingebunden werden. Scrollen Sie dafür unter „Verwaltung > Kontoeinstellungen“ nach unten bis zur Rubrik „Zusatz zur Datenverarbeitung“.

Beispielbild

Dann klicken Sie auf „Zusatz anzeigen“ und bestätigen den zuvor hochgeladenen Auftragsverarbeitungsvertrag. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie im Anschluss Ihre Firmen- bzw. Kontaktangaben ausfüllen und die Änderungen speichern.

2. Consent Tool und Opt-In auf Ihrer Seite einbinden

Google Analytics hat bisher auch ohne explizite Einwilligung des Users Cookies zur Datenverwertung gesetzt. Das ist jetzt nicht mehr möglich und der User muss einwilligen, dass seine Daten – zu welchen Zwecken auch immer – erhoben, gespeichert und verarbeitet werden. Dafür gibt es das sogenannte Opt-In.

Für das gängige CMS WordPress empfehlen wir Plugins wie Borlabs Cookie oder WP DSGVO Tools.

Ein Opt-In bedeutet, dass erst dann Daten von Google Analytics erhoben und Cookies gesetzt werden dürfen, wenn der User aktiv eingewilligt hat. Diese aktive Einwilligung gibt er durch einen Klick in den Einstellungen.

Beispielbild

Das Implementieren eines Opt-Ins hat folgende Gründe: Einem User muss gewährt werden, eine Seite im Internet ohne Tracking nutzen zu können. Darüber hinaus muss dem User auch eine Auswahl geboten werden, von welchen Diensten Daten verarbeitet und Cookies gesetzt werden dürfen. Beim Auswählen dürfen die einzelnen Dienste oder Gruppen nicht vorausgewählt sein! So muss jeder User explizit zustimmen, dass seine Daten über Google Analytics erhoben werden dürfen.

3. IP-Adresse des Users anonymisieren und alte Daten löschen

Mittlerweile darf die IP-Adresse des Users nur noch in verkürzter Form gespeichert werden. Das müssen Sie über die Funktion anonymizeIP oder IP-Maskierung manuell in Ihrem Google Analytics-Konto einbinden. Hat man den Code hardcoded – also zum Beispiel über die header.php Datei – eingebunden, erweitert man den Tracking-Code einfach um ein paar Zeichen. Der DSGVO-konforme Code zum Einbinden sieht dann wie folgt aus:

Beispielbild

So werden die letzten Stellen der IP-Adresse des Users anonymisiert, sodass Google Analytics den User nicht mehr auf einen einzelnen Rechner zurückverfolgen können sollte. Jedoch reicht die verbleibende Information über die IP-Adresse immer noch aus, um die Herkunft des Users zu erkennen. Erst nach dem Einfügen von diesem Code werden die IP-Adressen der User anonym angezeigt. Alle alten Daten – also auch vollständige IP-Adressen – die Sie über Ihr Analytics-Konto erhoben haben, müssen also gelöscht werden. Andernfalls können Sie für diese belangt werden!

4. Datenschutzerklärung anpassen

Bei der Datenschutzerklärung muss im Folgenden auch nachgebessert werden. Generell sind Sie nun verpflichtet, die nachstehenden Informationen anzugeben:

  • Umfang der Datenerhebung
  • Rechtsgrundlage
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer
  • Hinweis auf das Widerrufsrecht und dessen Umsetzung
  • Hinweis zu anonymizeIP

Für diese angepasste Datenschutzerklärung finden sich im Internet unzählige Muster. Wir empfehlen hier wieder, sich an die WKO zu halten und jene Vorlage für Ihre Webseite zu adaptieren.

5. Wiederspruch über Deaktivierungs-Add-On und Opt-Out-Cookie ermöglichen

Wie bereits erwähnt müssen die Nutzer Ihrer Webseite auch die Möglichkeit haben, diese zu besuchen, ohne dass Daten erhoben und verwertet werden. Dazu benötigen Sie ein sogenanntes Opt-Out. Diese Möglichkeit wird über ein Browser Add-on ermöglicht, das verhindert, dass personenbezogene Daten an Google Analytics gesendet werden.

Das Opt-Out-Cookie funktioniert, indem der User mit einem Klick auf den Link, der innerhalb der Datenschutzerklärung gesetzt werden sollte, keine Cookies zulässt. So lässt sich verhindern, dass weitere Daten gemessen werden. Das Opt-Out-Cookie muss im Quelltext vor dem vorhandenen Google Analytics Script eingefügt werden.

Damit man seine Website datenschutzkonform betreibt, muss ein Link zum Download des Deaktivierungs-Add-Ons vorhanden sein. Google Analytics bietet dieses Ad-On auf seiner Seite sogar selbst an! Und auch der Google-Analytics-Leitfaden bietet hilfreiche Hinweise für Webseitenbetreiber.

Bildquellen: © Ingvar Bjork - stock.adobe.com, © WDnet Digital Creation Studio - stock.adobe.com

Neuen Kommentar schreiben

Plain text

  • No HTML tags allowed.
  • Global tokens will be replaced with their respective token values (e.g. [site:name] or [current-page:title]).
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.

Newsletter

Abonnieren Sie unseren Newsletter!

Jetzt Anmelden

Information

Spam-, beleidigende oder anderweitig unpassende Kommentare werden nicht toleriert. Wir behalten uns vor, unangemessene Kommentare zu entfernen.