07.09.2020

So setzen Sie Google Analytics datenschutzkonform ein

Aus den Augen, aus dem Sinn: Datenschutz, da war doch was... Nur weil der Wirbel von 2018 um die DSGVO verflogen ist, können Sie als Manager Ihres Unternehmens Daten nicht willkürlich tracken und analysieren. Der korrekte Umgang mit Google Analytics will umso mehr gelernt sein.

Google Analytics

DSGVO – was hatte es damit noch auf sich?

Wir erinnern uns: einst im Mai. 2018 trat da die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, das neue Bundesdatenschutzgesetz (BDSG-neu) ist seither anwendbar. Ein Riesenwirbel entstand damals um den Datenschutz. Viele befürchteten eine Abmahnflaute.

Führte das Inkrafttreten der DSGVO zu einer Abmahnflaute?

Nein, eine solche ist zum Glück ausgeblieben. Unsicherheiten bestehen dennoch seither, gerade in kleineren Unternehmen. Gerade Sie als Geschäftsführer eines kleineren Unternehmen möchten gerne mehr über Ihre Kunden wissen. Das probate Mittel der Wahl ist für Sie hier Ihre eigene Website. Wenn Sie das Surfverhalten von deren Besucher kennen, sind Sie klar im Vorteil, Sie können damit:

  • ungenutzte Potenziale erkennen,
  • Schwachstellen aufdecken und
  • die Effizienz von Ihren Online-Marketing-Aktionen im Auge behalten.

Eine regelmäßige Web-Analyse ist zur Überprüfung des Erfolgs Ihrer Online-Präsenzen unverzichtbar. Über sie können Sie Daten zum Verhalten möglicher Kunden erheben. Tracking- und Analyse-Software wie Google Analytics erleichtert Ihnen das.

Wie nutzen Sie als Manager Google Analytics gemäß DSGVO?

Web-Tracking- und Analyse-Tools wie Google Analytics (GA) erfassen IP-Adressen, um das Surf-Verhalten der Nutzer auf Internetseiten zu analysieren. Um sie rechtskonform einzusetzen, schließen Sie zunächst schriftlich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) nach § 28 DSGVO:

  • Entweder mit dem Hersteller der Software, die Sie benutzen – also Google, wenn Sie GA einsetzen. Das ist nicht schwer: Klicken Sie in Ihrem GA-Konto unter „Verwaltung“ auf „Kontoeinstellungen“, geben den Namen der in Ihrem Unternehmen für den Datenschutz verantwortlichen Person an und bestätigen unter „Zusatz anzeigen“ den „Zusatz zur Datenverarbeitung“; damit kommt der Vertrag zustande.
  • Oder mit einem Dienstleister, sofern ein solcher für Sie ein GA-Konto einrichtet und betreut.

Als nächstes anonymisieren Sie Ihre IP-Adressen. Sie zählen nach DSGVO zu den personenbezogenen Daten. Daher müssen Sie GA vor Inbetriebnahme so konfigurieren, dass es keine vollständigen IP-Adressen erfasst und speichert. Auch die Anonymisierung von IP-Adressen ist kein Hexenwerk. Mit einer geringfügigen Änderung im allgemeinen Website-Tag, einer für die Datenanalyse benötigte Webseitenmarkierung, löschen Sie die letzten acht Bit einer IP-Adresse. Eine IP-Adresse besteht in dem heute geläufigen IPv4-Format aus vier Zahlenblöcke zu jeweils 4 Oktetten oder Bytes, bei denen jedes Oktett aus 2 Bits besteht. Beispiel: Aus der IP-Adresse 192.168.011.21 löschen Sie zur Anonymisierung die letzte Zahl 21. Eine personenbezogene Zuordnung zum Besitzer des betreffenden Internetanschlusses ist somit nicht mehr möglich.

Die Anonymisierung erfolgt durch das Einfügen des Parameters anonymize_ip im allgemeinen Website-Tag. Platzieren Sie dazu den Parameter in geschweiften Klammern {‘anonymize_ip’: true} an der fett markierten Stelle des Tags:

<!– Global site tag (gtag.js) – Google Analytics –>

<script async src=“https://www.googletagmanager.

com/gtag/

js?id=UA-xxxxxx-xx“></script>

<script>

window.dataLayer = window.dataLayer || [ ];

function gtag(){dataLayer.push(arguments);}

gtag(‚js‘, new Date());

gtag(‚config‘, ‚UA-xxxxxx-xx‘, {‚anonymize_ip‘: true});

</script>

Die hier im Beispiel fett dargestellte Zeichenfolge UAxxxxxx- xx ist ein Platzhalter für die Tracking-ID, die Ihrer Google-Analytics-Property zugeordnet ist. Setzen Sie an ihrer Stelle Ihre eigene Tracking-ID ein!

Nicht vergessen: weisen Sie in Ihrer Datenschutzerklärung auf den Einsatz der Analyse-Software hin! Informieren Sie Ihre Website-Besucher in Ihrer Datenschutzerklärung darüber, dass Sie auf Ihrer Website keine personenbezogenen Daten erheben und IP-Adressen nur anonymisiert speichern.

Tipp der Redaktion

Wenn Ihnen dieser Beitrag gefällt und Sie sich für solche und ähnliche Themen interessieren, lesen Sie jetzt 14 Tage lang kostenlos eine Ausgabe des „Führung und Management AKTUELL“.

Schließlich räumen Sie Ihren Nutzern eine Widerspruchsmöglichkeit gegen die Datenerfassung ein. Weisen Sie sie zu diesem Zweck auf die Möglichkeit zur Deaktivierung des Trackings hin, z. B. durch einen Link zum Setzen eines sogenannten Opt-out-Cookies oder durch den Download eines Browser-Plug-ins. Unter dem Link https://tools. google.com/dlpage/gaoptout?hl=de bietet Google ein entsprechendes Browser-Plug-in an.

Wie funktioniert ein Analyse-Programm wie GA?

Dazu muss es Cookies setzen. Das Programm muss den Aufruf mehrerer Unterseiten einer Website als einen zusammenhängenden Besuch (Visit) eines Nutzers oder besser: dessen Browsers erkennen können. Um das zu können, setzt das Programm persistente, also feste Cookies. Diese merken sich, welche Seiten der Browser des Nutzers aufgerufen hat. Haben Sie die IP-Adresse anonymisiert, kann das Programm dabei keine personenbezogenen Daten erfassen. Standardmäßig setzt GA die Cookies ohne User-ID, also ohne die Identifizierung des Nutzers; sie gelten somit als datenschutzrechtlich unproblematisch.

Auch die User-IDs selbst sind keine personenbezogenen Daten. Wenn Sie sie jedoch – beispielsweise in Online-Shops – mit einem Nutzerkonto verknüpfen, stellen Sie damit den Personenbezug auf einmal her. Solche Verknüpfungen durch die User-ID sind grundsätzlich möglich. Deshalb ist die Aktivierung von User- IDs in GA datenschutzrechtlich bedenklich. Standardmäßig sind sie nicht aktiviert. Um eine User-ID zu erstellen und im Cookie von GA zu setzen, ist eine Ergänzung im allgemeinen Website-Tag notwendig. Solange Sie diese nicht eingefügt haben, sind Sie datenschutzrechtlich hier auf der sicheren Seite.

Sie finden in GA in der „Verwaltung“ unter dem Menüpunkt „Property-Einstellung“ weitere Konfigurationsmöglichkeiten, die Sie unter Datenschutzaspekten berücksichtigen müssen:

  • Datenaufbewahrung: Spezielle Nutzer- und Ereignisdaten dürfen Sie nach DSGVO nur eine bestimmte Zeit lang speichern, insbesondere solche aus der Verwendung von
    • User-ID-Cookies,
    • Ereignis-Tracking und
    • Werbe-IDs.

Für diese sollten Sie den kürzest möglichen Zeitraum wählen. Für die meisten Standard-Web-Analyse-Daten gelten diese Einschränkungen nicht.

  • Datensammlung: Schalten Sie im Menüpunkt „Datensammlung“ die Optionen „Remarketing“ und „Funktionen“ aus.
  • User-ID: Schalten Sie den Button der „Richtlinie zur User-ID“ aus.
  • Altdaten löschen: Haben Sie GA bisher nicht datenschutzkonform eingesetzt und IP-Adressen nicht anonymisiert erfasst, müssen Sie alle Altdaten löschen, indem Sie die betreffenden Konten in GA oder Properties löschen und neue anlegen.
  • Löschen eines Google-Analytics-Kontos: Verschieben Sie dazu unter „Verwaltung“, „Kontoeinstellungen“ das Google-Analytics-Konto in den Papierkorb.
  • Löschen einer Property: Wählen Sie unter „Property-Einstellungen“ im Bereich „Verwaltung“ die Property aus, die Sie löschen wollen, und schieben Sie sie in den Papierkorb.

Beachten Sie, dass Daten im Papierkorb erst nach 35 Tagen endgültig gelöscht werden, solche aus monatlichen Datensicherungen sogar erst nach 84 Tagen. Erst danach sind die unrechtmäßig erhobenen Daten rechtssicher aus GA gelöscht.

Autor: Franz Höllriegel