Google Analytics DSGVO-konform einsetzen (Stand 04.2018)

Wie setze ich Google Analytics DSGVO- bzw. rechtskonform ein wenn die Datenschutzgrundverordnung ab 25. Mai 2018 gilt. Darauf möchte ich hier genauer eingehen und Schritt für Schritt durchspielen was ihr beachten solltet.

Ganz grundsätzlich gilt, Google Analytics darf auch weiterhin ohne Zustimmung des Besuchers eingesetzt werden, jedoch müssen dazu folgende Kriterien erfüllt sein:

  1. Es wird in der Datenschutzerklärung umfassend auf Google Analytics hingewiesen
  2. Der Besucher kann das Tracking über eine Opt-Out Funktion stoppen
  3. Die IP des Besuchers wird anonymisiert
  4. Es wurde ein Vertrag mit Google zur Auftragsdatenverarbeitung abgeschlossen.

Im Folgenden gehe ich nun mit euch die einzelnen Punkte durch und erkläre wie ihr das umsetzen könnt.

Google Analytics in der Datenschutzerklärung inkl. Opt-Out Link

Setzt ihr Google Analytics ein, ist es sinnvoll einen entsprechenden Passus bzw. die gesamte Datenschutzerklärung mithilfe eines Datenschutzgenerators zu erzeugen. Diese kann auf verschiedene Funktionen von Analytics eingehen und den Besucher umfassend informieren. Hier geht es zu Datenschutzgenerator auf e-recht24.de

Es muss ein Abschnitt mit dem Thema Widerruf dabei sein der einen Opt-Out-Link enthält. Über diesen Opt-Out-Link kann der Besucher das Tracking deaktivieren. Der Link ruft eine JavaScript Funktion auf die wir im nächsten Kapitel inkl. der IP-Anonymisierung im Tracking-Code integrieren.

Bleiben wir aber vorerst noch beim Abschnitt Widerruf, dieser sollte so aussehen:

<strong>Widerspruch gegen Datenerfassung</strong>

<p>Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: <a href="javascript:gaOptout()"><strong>Google Analytics deaktivieren</strong></a></p>.
<p>Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: <a href="https://support.google.com/analytics/answer/6004245?hl=de" target="_blank" rel="noopener">https://support.google.com/analytics/answer/6004245?hl=de</a>.</p>

Nun hat der Besucher die Möglichkeit von seinem Recht Gebrauch zu machen und das Tracking zu unterbinden.
Auf zum nächsten Kapitel.

Die IP-Adresse anonymisieren & Opt-Out Funktion integrieren

Um die IP eines jeden Besuchers zu verfremden bevor diese abgespeichert wird, ist es notwendig den Analytics Tracking-Code anzupassen. Je nachdem welche Tracking-Code Variante ihr verwendet („Universal Analytics“ oder die veraltete „Klassische Analytics“) sieht die Anpassung etwas unterschiedlich aus.

Im gleichen Schritt ergänzen wir nun die entsprechende Funktion die es dem Besucher ermöglich Tracking zu unterbinden.
Dazu haben wir in Schritt 2 bereits einen entsprechenden Opt-Out-Link in der Datenschutzerklärung integriert.
Bisher fehlte allerdings noch die Funktion die tatsächlich ausgeführt wird, sobald dieser Link angeklickt wird.

Vollständiger Code inkl. Opt-Out Funktion:

<script>

var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true; 
alert('Google Analytics Tracking ist nun deaktiviert'); 
}
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

Wichtig: UA-XXXXXXX-X ersetzt ihr im Tracking-Code bitte mit der eigenen Tracking-ID.

Vollständiger Code inkl. Opt-Out Funktion:

<script type="text/javascript">

var gaProperty = 'UA-XXXXXXX-XX'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Google Analytics Tracking ist nun deaktiviert');  
    }

  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-XXXXXXX-XX']);
  _gaq.push(['_gat._anonymizeIp']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();

</script>

Wichtig: UA-XXXXXXX-XX ersetzt ihr im Tracking-Code bitte mit der eigenen Tracking-ID.

Kopiert einen der beiden Skripte, je nachdem welchen Tracking-Code Typ Ihr bisher verwendet und bindet ihn im Kopf eurer Webseite ein (bzw. ersetzt den bisherigen Tracking-Code). Ersetzt die ID an den beiden rot markierten Stellen.
Hier sollte

<head>
<script> Tracking Code </script>
</head>

Vertrag zur Auftragsdatenverarbeitung mit Google abschließen

Die DSGVO sieht vor dass der Abschluss von Auftragsdatenverarbeitungsverträgen in digitaler Form geschlossen werden kann. Da jedoch Stand heute (06.04.2018) das deutsche Datenschutzrecht gilt, welche die Schriftform verlangt, solltet ihr auf Nummer sicher gehen. Die Vertrags-PDF ausdrucken und nach Irland schicken.

Vertrag herunterladen

Ab dem 25. Mai könnt ihr den Vertrag dann auch online abschließen. Dazu geht ihr folgendermaßen vor:

  • Google Analytics
  • Verwaltung -> Kontoeinstellungen
  • Scrollt bis zum Punkt „Zusatz zur Datenverarbeitung“
  • Zusatz anzeigen -> Details zum Zusatz zur Datenverbeitung verwalten
  • Ggf. Firmendaten ergänzen und auf Speichern klicken.

Wurde bereits ein schriftlicher Vertrag mit Google abgeschlossen, könnt ihr euch diesen Schritt am 25. Mai 2018 sparen. Diese gelten weiterhin. Es sei denn ihr habt den Vertrag vor September 2016 abgeschlossen – diese sind ungültig da sie sich auf den Safe-Harbor-Beschluss beziehen.

Rechtswidrig erhobene Daten löschen

Besucherdaten die ohne abgeschlossenen Auftragsdatenverarbeitungsvertrag oder fehlende Anonymisierungsfunktion erhoben wurden sind zu löschen. Diese wurden genau genommen rechtswidrig erhoben.

Um bisherige Daten zu löschen geht ihr folgendermaßen vor:

  • Google Analytics
  • Verwaltung -> Property Einstellungen (der betreffenden Domain)
  • In den Papierkorb verschieben

Habt ihr diese Punkte umgesetzt, müsst ihr euch keine Sorgen machen was den Einsatz von Google Analytics angeht.

Bei Fragen helfe ich euch gerne weiter. Kontaktiert mich einfach!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.