Google Analytics und Datenschutz

Um Google Analytics, die Mutter aller Websiteanalysetools, nach deutschem Recht datenschutzkonform einsetzen zu können, müssen einige Anforderungen vom Webseitenbetreiber erfüllt sein. Welche das sind, wird in folgendem Artikel beschrieben.

Bereits 2009 wurden vom Düsseldorfer Kreis die Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools beschlossen, siehe hier. Einige Zeit ging ins Land und inzwischen kann man auch beim Einsatz von Google Analytics die beschlossen Eckpunkte einhalten. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat dazu ein nützliches Dokument mit einer Auflistung der Mindestanforderungen an Webseitenbetreiber bereit gestellt.
In diesem Beitrag soll die technische Umsetzung der Anforderungen etwas genauer beschrieben werden.

1. Vertrag zur Auftragsdatenverarbeitung

Der Webseitenbetreiber muss mit Google einen schriftlichen Vertrag zur Auftragsdatenverarbeitung abschließen. Google hat dazu einen Vertrag vorbereitet, welcher mit den Datenschutzaufsichtsbehörden abgestimmt ist und hier heruntergeladen werden kann. Trotz Vorformulierung gilt der Webseitenbetreiber als Auftragsgeber und Google als Auftragnehmer.

2. Datenschutzerklärung und Widerspruchsrecht

In der Datenschutzerklärung der Webseite muss der Besucher auf die Erfassung der persönlichen Daten durch die Verwendung von Google Analytics und die Widerspruchsmöglichkeit hingewiesen werden.

Widerspruchsmöglichkeiten:

  • Möglichkeit des Installieren eines Browser Add-On zum Deaktivieren von Google Analytics im Browser (http://tools.google.com/dlpage/gaoptout?hl=de)
  • Möglichkeit zum Setzen eines Opt-Out-Cookies zur Deaktivierung von Google Analytics für die entsprechende Webseite

Browser Ad-On zur Deaktivierung Google Analytics

Über das Browser Add-on wird Google Analytics an der Ausführung auf der besuchten Webseite gehindert. Als Webseitenbetreiber hat man die Pflicht, auf diese Software zu verlinken.
Link: http://tools.google.com/dlpage/gaoptout?hl=de

Da das Add-on nur für Desktop-Browser verfügbar ist und mobile Geräte ausgeschlossen werden, muss auch die zweite Möglichkeit (Deaktivierung über das Setzen eines Opt-Out-Cookie) umgesetzt werden.

Setzen und Auswerten eines Opt-Out-Cookies

Dem Besucher muss die Möglichkeit eingeräumt werden, über einen Link ein Opt-Out-Cookie zu setzen, über welches Google Analytics mitgeteilt wird, dass es für die besuchte Webseite nicht ausgeführt werden darf.
Die Implementierung des Auslesens des Cookie und Setzen der entsprechenden Schalter über die Google Analytics API ist vom Webseitenbetreiber vorzunehmen. Google hat dafür ein Skript (siehe hier) bereitgestellt, welches im Quelltext vor dem eigentlichen Tracking-Code eingefügt werden soll.

<script>
// Set to the same value as the web property used on the site
var gaProperty = 'UA-XXXX-Y';

// Disable tracking if the opt-out cookie exists.
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
 window[disableStr] = true;
}

// Opt-out function
function gaOptout() {
 document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
 window[disableStr] = true;
}
</script>

Datenschutzhinweis

Hier eine Vorlage für den Datenschutzhinweis bzgl. Google Analytics. Diese Vorlage wurde von www.datenschutzbeauftragter-info.de bereit gestellt.

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Der Link zum Deaktivieren von Google Analytics per gaOptout()-Funktion ist hier zur besseren Lesbarkeit als HTML-Quelltext dargestellt. Auf der Datenschutz-Seite muss dieser dann korrekt verlinkt werden.

3. Anonymisierung der IP-Adressen

Laut Vorgabe ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Der von Google Analytics generierte Tracking-Code erfüllt diese Anforderung nicht. Um sie dennoch erfüllen zu können, hat Google eine Funktion in der Analytics API bereitgestellt. Um die Anonymisierung nutzen zu können muss der Webseitenbetreiber den generierten Tracking-Code von Hand um folgende Zeile erweitern.

<pre>ga('set', 'anonymizeIp', true);</pre>

Der angepasste Tracking-Code sollte nun also so aussehen:


<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

Mehr Informationen in der API-Dokumentation unter IP Anonymization.

 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert