121WATT

Haben Sie Fragen?
089 416126990

Google Analytics und Datenschutz – diese rechtlichen Anforderungen musst du erfüllen

Keinen Artikel mehr verpassen: Jetzt Newsletter abonnieren

Warum du dich datenschutzkonform verhalten musst

Wer im Online-Marketing tätig ist, kommt um Google Analytics kaum herum. Google Analytics ist eines der beliebtesten Analysetools für Webseiten. Und wer das Tool derzeit noch nicht nutzt, überlegt vielleicht, dies zukünftig zu tun. In jedem Fall solltest du dich, wenn du Google Analytics verwendest und juristische Probleme vermeiden möchtest, mit den rechtlichen Aspekten auseinandersetzen. Die gute Nachricht: seit dem 15.09.2011 ist der beanstandungsfreie Betrieb von Google Analytics möglich.

Der Betreiber einer Webseite ist verantwortlich dafür, dass Google Analytics datenschutzkonform in die Webseite eingebunden wird und der Webseitennutzer ausreichend über den Einsatz in einer Datenschutzerklärung informiert wird. Dies gilt unabhängig von vergangenen Diskussionen zwischen Aufsichtsbehörden und Google darüber, wie der Dienst ausgestaltet sein muss, um überhaupt datenschutzrechtlich zulässig eingesetzt werden zu können.

Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:

Was du beachten musst, um Google Analytics rechtskonform einzusetzen

Für dich als Webseitenbetreiber stellen sich die folgenden Fragen:

  • Benötige ich einen besonderen Datenschutzvertrag mit Google?
  • Wie muss ich die User über den Einsatz des Analyse-Tools informieren?
  • anonymizeIp – Wie kann ich technisch den Datenschutzanforderungen gerecht werden?
  • Welche Add-Ons muss ich meinen Nutzern zur Verfügung stellen?
  • Welche Datenschutzregelungen müssen sonst noch beachtet werden?
  • was mache ich mit Daten, die ich nicht datenschutzkonform gesammelt habe?

Vertrag zur Auftragsdatenverarbeitung mit Google

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließt. Eine Vorlage hierfür findest du auf dieser Seite von Google. Die deutschen Aufsichtsbehörden haben diesen Entwurf bereits genehmigt und empfehlen ihn als Vorlage zu nutzen. Beachte, dass du den Vertrag an zwei Stellen komplettieren musst: auf der ersten Seite und nach der ersten Anlage. Den Vertrag musst du zweimal ausdrucken und beide Male an den besagten Stellen ausfüllen/unterschreiben. Als europäisches Unternehmen muss dieser Vertrag an Googles Sitz in Irland geschickt werden. Die Adresse lautet:

Contract Administration Department, Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland

Google unterschreibt dann beide Versionen und sendet dir eine davon für deine Unterlagen zurück.

Wichtiger Hinweis: Denk daran, deiner Post einen Rückumschlag mit deiner Anschrift beizulegen. Frankiert wird der Brief von Google – du musst dir also keine Sorgen machen, wie du an eine irische Briefmarke kommst.

Nach Ansicht der Datenschützer musst du ohne einen solchen Vertrag jeden User um seine Einwilligung bitten, seinen Besuch mittels Google Analytics zu erfassen und auszuwerten. Sicher nicht praktikabel.

Google Analytics Add-on und Opt-out-Cookie

Stelle sicher, dass du die Besucher deiner Webseite über die Nutzung von Google Analytics ausreichend informierst und Ihnen die Möglichkeit gibst, dies zu unterbinden. Wo baust du eine solche Erklärung am besten ein? Der geeignete Ort hierfür ist die Datenschutzerklärung. Im Folgenden findest du eine entsprechende Erklärung – wie sie oft im Netz verwendet wird. Diese Erklärung haben wir noch um einen Abmeldungshinweis erweitert. Google stellt hier zwei Möglichkeiten zur Verfügung:

a) Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.

b) Ein Opt-Out-Cookie, dass es dem Nutzer ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst ist hier bei Google beschrieben.

Google Analytics-Datenschutzerklärung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Im Auftrag des Betreibers dieser Website wird Google diese Information benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseiten-Aktivitäten zusammenzustellen und um weitere mit der Webseiten-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Webseitenbetreiber zu erbringen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie auf diesen Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen. [Anm. Hinweise zur Einbindung des Opt-Out-Cookie finden Sie unter: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable].

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

anonymizeIp direkt im Quellcode oder über den Google Tag Manager

Denk unbedingt daran, die Funktion zur Maskierung von IP-Adressen („anonymizeIP“) zu nutzen. Dies ist eine Erweiterung des Google Analytics-Codes, die es ermöglicht, IP-Adressen zu kürzen und somit zu anonymisieren. Google löscht hier beim Erheben der Daten die letzten 8 Bit der IP-Adresse, bevor die Daten gespeichert werden. Praktisch bedeutet dies, dass das letzte Oktett auf 0 gesetzt wird. Welche Daten Google Analytics aus der IP-Adresse interpretiert, findest du hier in einem Artikel von Alexander zum Thema not set in Google Analytics. Wenn du noch den alten Tracking-Code benutzt, muss dieser Befehl bei Google Analytics wie folgt eingebaut werden : anonymizeIP Befehl fürs klassische Google Analytics

Hast du deine Daten schon zu Universal Analytics migriert? Dann solltest du deinen Tracking-Code um die folgende Zeile erweitern. Diese Referenz von Google kannst du an deinen Entwickler geben.

anonymizeIp-universal-analytics-datenschutz

Am einfachsten ist es die Anonymisierung zu machen, wenn du deinen Google Analytics Trackingcode über den Google Tag Manager implementiert hast.

AnonymizeIp über den Google Tag Manager

Bei Accelerated Mobile Pages (AMP) ist eine Anonymisierung nicht notwendig. Die Google-Dokumentation sagt dazu: „Data from AMP documents is always IP anonymized.“

Universal Analytics und die derzeitige rechtliche Lage

An dieser Stelle der wichtige Hinweis, dass die rechtliche Lage zur Verwendung von Universal Analytics derzeit nicht ganz klar ist. Die zu Google Analytics mit den Aufsichtsbehörden abgestimmte Formulierung eines Hinweises für die Datenschutzerklärung wird häufig auch dann verwendet, wenn Universal Analytics genutzt wird. Tatsächlich unterscheidet sich Universal Analytics jedoch durch die Möglichkeit, Cross-Device-Tracking zu betreiben. Dies geschieht durch den Einsatz einer User-ID, die etwa bei einem Login dem Nutzer zugeordnet wird. Die User-ID fungiert dabei als Pseudonym und eine Identifizierung des dahinterstehenden Nutzers soll ausgeschlossen sein. Dem sollte dadurch Rechnung getragen werden, dass der oben formulierte Datenschutzhinweis um eine kurze Erläuterung zu Universal Analytics ergänzt wird. Der ergänzende Hinweis könnte wie folgt lauten:

Wir verwenden Google Analytics einschließlich der Funktionen von Universal Analytics. Universal Analytics erlaubt es uns, die Aktivitäten auf unseren Seiten geräteübergreifend zu analysieren (z.B. bei Zugriffen mittels Laptop und später über ein Tablet). Dies wird durch die pseudonyme Zuweisung einer User-ID zu einem Nutzer ermöglicht. Eine solche Zuweisung erfolgt etwa, wenn Sie sich für ein Kundenkonto registrieren bzw. sich bei Ihrem Kundenkonto anmelden. Es werden jedoch keine personenbezogenen Daten an Google weitergeleitet. Auch wenn mit Universal Analytics zusätzliche Funktionen zu Google Analytics hinzukommen, bedeutet dies nicht, dass damit eine Einschränkung von Maßnahmen zum Datenschutz wie IP-Masking oder das Browser-Add-on verbunden ist.

Warum IP-Adressen anonymisiert werden müssen

Du magst dich vielleicht fragen, warum IP-Adressen anonymisiert werden müssen. Gegebenenfalls vertrittst du die Meinung, dass IP Adressen gar keine personenbezogenen Daten sind, weil sie meist dynamisch erstellt werden und Serviceprovider sie an unterschiedliche Nutzer zu unterschiedlichen Zeiten verteilen. Wer also welche IP-Adresse gerade im Moment nutzt, kann nur der Serviceprovider beantworten und das auch nur, wenn man samt rechtlicher Verfügung an die Tür klopft. Darüber hinaus sagt die IP noch nicht, ob Person X darüber ins Internet gegangen ist oder vielleicht der Kollege bei der Arbeit oder ein anderes Familienmitglied daheim. Dies klingt nach einem berechtigten Einwand. Allerdings gibt es neben den dynamischen auch statische IP-Adressen, die einen direkteren Schluss auf den Nutzer zulassen.

Außerdem besteht unter den Datenschutzbehörden die Meinung, dass auch dynamisch erzeugte IP-Adressen personenbezogene Daten sind. Es sei nämlich ausreichend, dass irgendjemand (hier also der Accessprovider), wenn auch nur theoretisch, die Möglichkeit hat, mittels weiterer Informationen die hinter der IP-Adresse stehende Person zu ermitteln.

Lösche alle Daten, die du vor der Einbindung von „anonymizeIP“ erhoben hast. Diese sind laut den deutschen Datenschutz-Aufsichtsbehörden unrechtmäßig erhoben worden und müssen demnach sofort gelöscht werden. Damit du nicht gleich dein ganzes Konto bei Google löschen musst, bietet Google dir die Möglichkeit, einzelne Profile/Datenansichten zu löschen. Wie so etwas geht? Hier ein Screenshot aus der Analytics-Hilfe von Google: Datenansicht bei Google löschen

Wann greift das Bundesdatenschutzgesetz eigentlich?

Falls du dich abschließend noch fragst, ob deutsches Datenschutzrecht für deine Webseite überhaupt anwendbar ist, da diese im Ausland gehostet wird, dann muss dies mit „ja“ beantwortet werden, wenn dein Unternehmen einen Sitz in Deutschland hat. Dies kann auch nur eine kleinere Zweigstelle oder ein Rechenzentrum sein. Wenn kein Sitz in Deutschland vorliegt, dann greift je nach Ort des Unternehmenssitzes das europäische Recht oder das Territorialprinzip. Letzteres besagt, dass das Sammeln, Speichern und Auswerten von Daten auf deutschem Territorium auch deutschem Recht unterliegt.

Ändert sich durch das neue Safe Harbor Urteil etwas?

Du hast vielleicht gehört, dass der Europäische Gerichtshof das Safe Harbor Verfahren für ungültig erklärt hat. Hier ein Artikel dazu. Die Übermittlung von personenbezogenen Daten in die USA lässt sich nun nicht mehr damit rechtfertigen, dass sich das U.S.-Unternehmen den Safe Harbor-Regeln unterworfen hat. Bei der Nutzung von Google Analytics mit „anonymizeIP“ werden jedoch gar keine personenbezogenen Daten in die USA geschickt. Insofern ist Google Analytics von der Safe Harbor-Entscheidung nicht betroffen.

Wie prüfen die Landesdatenschutzbehörden das eigentlich?

Die bayerische Landesdatenschutzbehörde beispielsweise beschreibt auf ihrer Seite, dass sie ein Online-Überprüfungstool entwickelt hat, um zu überprüfen ob

  • der Google Analytics-Trackingcode in deine Seite eingebunden ist.
  • der Trackingcode korrekt mit anonymizeIP implementiert ist.
  • deine Datenschutzerklärung leicht zu finden ist.
  • die Datenschutzerklärung den Anforderungen genügt.

Was passiert eigentlich, wenn ich diese Prüfung nicht bestehe?

Die bayerische Landesdatenschutzbehörde verhängt beim erstmaligen Erkennen nach eigenen Angaben keine Bußgelder. Demnach also erst nach Aufforderung. Zitat auf der Website des BayLDA:

aus diesem Grund wird das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Webseitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.

In anderen Bundesländern kann das selbstverständlich auch anders geregelt sein.

Checkliste: Google Analyics Datenschutzkonform verwenden

Hast du…

  • einen Auftragsdatenverarbeitungsvertrag mit Google abgeschlossen?
  • die Besucher deiner Webseite über die Nutzung von Google Analytics unterrichtet? (in der Datenschutzerklärung)
  • deinen Nutzern die Möglichkeit gegeben, sich von der Datenerhebung auszuschließen? (Add-On oder Opt-Out Cookie nicht vergessen)
  • den Code zur Anonymisierung der IP-Adressen der Besucher in deine Webseite eingebaut?
  • überprüft, ob die Anonymisierung der IP Adresse auch tatsächlich funktioniert?
  • fälschlich erhobene Daten gelöscht?

Glückwunsch! Dann verwendest du Google Analytics momentan rechtskonform. Warum momentan? Da sich auf Grund der europäischen Rechtslage immer wieder Änderungen ergeben können. Gleiches gilt natürlich auch bei technischen Neuerungen von Google. So ist derzeit etwa noch unklar, ob der Einsatz von Google Universal Analytics genauso zu behandeln ist, wie der Einsatz von Google Analytics. Sobald sich Neuerungen ergeben, werden wir dich wieder informieren.

Du willst jetzt noch tiefer in die Materie eingehen und Google Analytics von der Pike auf lernen? Dann solltest du dir das Google Analytics Seminar von Alexander Holl mal genauer ansehen:

    • Fast Lane Institute for Knowledge Transfer Hamburg
    • Fast Lane Institute for Knowledge Transfer Hamburg
      Gasstraße 4a
      22761 Hamburg
    08.09.2016
    2-tägiges Google Analytics Seminar Fast Lane Institute for Knowledge Transfer Hamburg
    Jetzt informieren
    • Design Office München
    • Design Office München
      Luise-Ullrich-Str. 20
      80636 München
    19.09.2016
    2-tägiges Google Analytics Seminar Design Office München
    Jetzt informieren
    • Design Office München
    • Design Office München
      Luise-Ullrich-Str. 20
      80636 München
    13.10.2016
    2-tägiges Google Analytics Seminar Design Office München
    Jetzt informieren

13 Kommentare zu “Google Analytics und Datenschutz – diese rechtlichen Anforderungen musst du erfüllen”

  1. Andi Petzoldt

    07.12.2015 um 14:44

    Meiner Meinung nach fehlt in der obigen Datenschutzerklärung noch der Link mit der Funktion, um auf Mobil-Geräten das entsprechende Opt-Out-Cookie zu setzen.

    • Theresa Richter

      07.01.2016 um 12:06

      Hallo lieber Herr Petzolt, danke für Ihren Kommentar. Ihr Hinweis ist bedingt richtig. Für den Opt-Out-Cookie existiert kein Standard-Link. Vielmehr bedarf es einer Implementierung des entsprechenden Codes. Infos dazu gibt Google unter https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable. Jeder Website-Programmierer sollte damit etwas anfangen können.
      Viele liebe Grüße

      • Andi Petzoldt

        07.01.2016 um 12:57

        In der Dokumentation von Google steht leider nicht, dass die Funktion zum Opt-Out in der Datenschutzerklärung integriert werden muss. Ohne diesen Link (mit hinterlegter Funktion) ist die Implementation der Opt-Out-Funktion (wie von Google dokumentiert) ja völlig zweckfrei, da ein Website-Besucher gar keine Möglichkeit hat, diese auszuführen. Und diesen Hinweis habe ich in diesem Artikel hier vermisst (welcher ansonsten sehr gut ausgearbeitet ist).

  2. Theresa Richter

    08.01.2016 um 12:28

    Wenn wir Sie richtig verstehen, beziehen Sie sich auf die empfohlene „Google Analytics Datenschutzerklärung“? Sie haben Recht, dort ist in der Tat der Hinweis „(bitte einfügen)“ im Zusammenhang mit der Erwähnung eines Opt-Out Cookie nicht ganz selbsterklärend. Wir haben den Satz nach Rücksprache mit unseren Rechtsanwälten noch einmal überarbeitet.

    Der Link, der eingefügt wird, muss individuell aufgesetzt werden. Wie Sie diesen aufsetzten können, finden Sie hier: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable – Vielen Dank für Ihren Hinweis.

  3. Melanie H.-R.

    10.02.2016 um 13:13

    Vielen Dank für die kompakte und hilfreiche Zusammenfassung. Folgende Fragen sind bei mir noch offen geblieben:
    _ Müssen bei der Integration von anonymizeIP über den Google Tag Manager alle Tags entsprechend konfiguriert werden?
    _ Wie kann ich bei der Implementierung über den Google Tag Manager anschließen sicherstellen, dass die Anymisierung korrekt funktioniert?

    • Theresa Richter

      17.02.2016 um 11:01

      Liebe Melanie, vielen Dank für deine Fragen. Bezüglich deiner zweiten Frage: Wenn du Google Chrome nutzt, dann schau Dir doch einmal das Plug-In WASP an. (Hier kannst du es deinem Browser hinzufügen: https://chrome.google.com/webstore/detail/waspinspector-analytics-s/niaoghengfohplclhbjnjheodgkejpih). Mit Hilfe dieses Tools kannst du die Anonymisierung auf deiner Seite nachverfolgen und sicherstellen, dass sie korrekt funktioniert. In Hinsicht auf deine erste Frage muss ich noch Antworten von unserem Techniker einholen. Wir melden uns, sobald wir Dir damit weiterhelfen können. Lieben Gruß, Theresa

  4. Moritz

    15.04.2016 um 13:42

    Guten Tag.

    Ein sehr guter Artikel.
    Genügt rechtlich tatsächlich die Löschung der Datenansicht um das Konto nach dem Abschluss der Auftragsdatenverarbeitung mit Google auf „null“ zu setzen?
    Ich dachte, die Daten blieben trotzdem mit dem Konto/Account verbunden, wodurch das Anlegen eines neuen Accounts notwendig wäre, um auf Nummer sicher zu gehen?
    Mit freundlichen Grüßen, Moritz

    • Alexander Holl

      19.04.2016 um 17:18

      Hallo Moritz, danke für Deinen Kommentar, allerdings ist die Löschung der Datenansicht nicht ausreichend, da ja in Google Analytics die Daten auf Property Ebene gesammelt werden. Auch der Anonymizer wird nach der Property ID (also zum Beispiel UA-xxxxxx-xx)eingesetzt. Die Datenansicht ist somit immer nur eine Berichtsebene.

      • Moritz

        19.04.2016 um 17:30

        Hallo Alexander.

        Vielen Dank für die Antwort.
        Dann stimmt die Aussage von e-recht24.de: das Löschen der Datenansicht genügt (neben allen anderen Maßnahmen: Anonymizer, Vertrag mit Google…) nicht und man muss das komplette Konto löschen / sich ein neues anlegen um ganz auf Nummer sicher zu gehen?

        „3. Die bisherigen Google-Analytics-Daten müssen gelöscht werden:
        Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.“ – e-recht24.de

        Es ist wirklich schwierig eine klare Antwort zu bekommen bzw. abzuwägen welches Risiko man eingeht, wenn man „nur“ die aktuellen „Bestimmungen“ umsetzt, aber die Daten nicht zurücksetzt – und wenn man dies tut, auf welcher Ebene.

        Ich freue mich auf eine Antwort.

        Mit freundlichen Grüßen, Moritz

        • Alexander Holl

          06.05.2016 um 16:31

          Hallo Moritz ick kann nur noch mal auf dieses Dokument hinweisen, was sehr klar sagt, das wenn Du die Daten nicht datenschutzkonform erhoben hast, du alle bisher gesammelten Daten löschen musst. Praktisch heisst das, das du einen Property mit einer neuen ID anlegen musst. Siehe hier noch mal https://www.lda.bayern.de/media/info_google_analytics.pdf

          • Moritz Conjé

            07.05.2016 um 14:02

            Das ist eine Quelle nach der ich gesucht habe.
            Vielen Dank für den Link.

            Mit freundlichen Grüßen, Moritz

  5. DaLA

    27.06.2016 um 12:59

    Was kann ich machen wenn ich schon seit Wochen darauf warten den Vertrag von google zurückzubekommen?

    • Alexander Holl

      27.06.2016 um 16:10

      Üblicherweise dauert es ca. 4 – 6 Wochen bis der Vertrag zur Auftragsdatenverarbeitung aus Dublin von Google zurückkommt.

Deine Meinung zählt, schreibe uns einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *