Google Analytics und der deutsche Datenschutz

Verfasst am 13. Mai 2016

(Gastbeitrag von Zeta-Producer-Anwender Thomas Lilienthal)

Google Analytics und der deutsche Datenschutz

Eine Vorbemerkung: Die nachfolgenden Ausführungen zur Anwendung von Google Analytics sollen Webmastern, die ihre Seiten mit Zeta Producer erstellen, Hinweise geben, wie man möglichst datenschutznah mit Google Analytics arbeiten kann. Datenschutzbestimmungen anderer Länder können von den deutschen Regelungen abweichen. Grundsätzlich empfiehlt sich, bei Unsicherheiten einen Anwalt zur Rate zu ziehen.

Was ist Google Analytics?

Google Analytics ist ein Tool zur Erfassung und Auswertung des Besucherverhaltens auf einer Webseite. Insbesondere werden Herkunft (z.B. direkt, soziale Medien, organische Suche, bezahlte Suche, verweisende Seite), Standort und das Verhalten (Einstiegsseite, Wanderungsverlauf, Aufenthalt auf einzelnes Seiten, Ausstiegsseiten) erfasst.

Daneben werden unter anderem verwendete Browser und Betriebssysteme, Internetprovider, Typ der mobilen Geräte und viele weitere Daten erfasst. Hier liegt die besondere Schwierigkeit, berechtigte Datenschutzforderungen der Besucher der Seite mit dem Interesse des Seitenbetreibers, über seine Besucher möglichst viel zu erfahren, in Übereinstimmung zu bringen.

Weitere Informationen findet Ihr in der Google Analytics-Hilfe.

Los geht’s – Analytics einrichten und rauf auf die Webseite? – STOPP!

Bevor über die eigene Webseite erstmalig Daten über Google Analytics erhoben werden, sind zunächst diverse Vorbereitungen zu treffen:

1. Vertrag zur Auftragsdatenverarbeitung

Zwischen Google und dem Webseitenbetreiber ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen.  Ein vorformuliertes Vertragsmuster wird von Google zum Download bereitgestellt. Auf dem Deckblatt finden sich alle notwendigen Informationen zum Ausfüllen und Versenden des Vertrages an Google.

Also durchlesen, unterschreiben und ab in die Post. Da Google einige Tage zur Bearbeitung braucht und wir vor Rücksendung des unterschriebenen Vertrages sowieso keine Daten erheben dürfen, widmen wir uns den nächsten Aufgaben.

2. Datenschutzerklärung

Mit der Erfassung des Besucherverhaltens werden personenbezogene Daten erhoben, so dass eine entsprechende Erklärung zum Datenschutz auf der Homepage erfolgen muss. Diese Datenschutzerklärung sollte von jeder Seite der Homepage aus unmittelbar erreichbar sein. Die Datenschutzbeauftragten der Länder formulieren es so, dass der Besucher nicht nach einer Datenschutzerklärung suchen muss.

Eine Aufnahme des Datenschutzes ins Impressum genügt hierbei nicht, da der „unkundige“ Besucher aus dem Begriff „Impressum“ nicht folgern kann, hier auch Hinweise zum Datenschutz zu finden. Am besten benutzt man einen der Zusatzlinks für den „Datenschutz“. Textmäßig kann hierbei die in den Zeta-Vorlagen vorhandene Erklärung verwendet werden. Beispiel einer Datenschutzseite

Nach Bundesdatenschutzgesetz ist weiterhin ein Verfahrensverzeichnis öffentlich zugänglich zu machen, welches das grundlegende Verfahren der Datenverarbeitung darstellt. Ein entsprechendes Muster  wird durch den GDD e. V. als Download zur Verfügung gestellt. Das sogenannte „Jedermannsverzeichnis“ kann dann als eigene Seite auf der Homepage untergebracht werden und wird von der Datenschutzseite aus verlinkt.

Beispiel eines Verfahrensverzeichnisses

3. Option zum Ausschalten von Analytics

Der Webseitenbesucher ist Herr über seine Daten. Er entscheidet, ob er uns Daten übermittelt oder nicht. Hierfür ist es erforderlich, ihm die entsprechende Option anzubieten. Innerhalb der Datenschutzerklärung wird bereits auf den Download des Browser-Plugins hingewiesen. Dieses Plugin wird jedoch nicht von allen Browsern, insbesondere nicht auf mobilen Geräten unterstützt. Auch werden ja schon beim Betreten der Seite Daten erhoben. Auf die Datenerhebung ist daher bereits beim erstmaligen Aufruf der Seite hinzuweisen. Hierfür sehr gut geeignet ist das Widget „Info-Banner“, welches auf der Wurzelseite platziert und dann auf alle Seiten vererbt wird. Im Banner schreibt ihr im Textmodus Euren Hinweistext, beispielsweise:

„Wir verwenden Google Analytics zur Optimierung unseres Internetauftrittes. Weitere Informationen finden Sie unter Datenschutz. Sie können unsere Seite auch ohne Google Analytics benutzen, in diesem Fall nutzen Sie bitte die nachfolgende Schaltfläche:“

Wechselt dann in den Quelltextmodus und fügt folgenden Quelltext unter dem Text ein:

<a onclick="alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()">Google Analytics deaktivieren</a>

Dieser Quelltext besteht aus zwei Teilen, mit href="javascript:gaOptout()" wird Analytics deaktiviert,  mit dem onclick="alert" wird eine Bestätigungsmeldung ausgegeben. Im Textmodus und für den Besucher sieht das dann so aus:

Wir verwenden Google Analytics zur Optimierung unseres Internetauftrittes. Weitere Informationen finden Sie unter Datenschutz. Sie können unsere Seite auch ohne Analytics benutzen, in diesem Fall nutzen Sie bitte die nachfolgende Schaltfläche: Google Analytics deaktivieren

Quelltextmuster:

<p>Wir verwenden Google Analytics zur Optimierung unseres Internetauftrittes. Weitere Informationen findet Ihr unter <a href="http://www.example.org/datenschutz.html">Datenschutz</a>. Ihr könnt unsere Seiten auch ohne Analytics benutzen, in diesem Fall betätigt bitte die nachfolgende Schaltfläche: <a onclick="alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()">Google Analytics deaktivieren</a> </p>

Damit das Opt-Out funktioniert, muss der Analytics-Code noch angepasst werden, hierzu kommen wir gleich.

Wenn der von Google unterschriebene Vertrag wieder beim Seitenbetreiber vorliegt, kann der Analytics-Code in die Homepage übernommen werden.

4. Analytics-Code und Anpassungen

In Analytics ruft Ihr unter „Verwalten“ den Tracking-Code auf. Dieser sieht dann so aus:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-12345678-1', 'auto');
ga('send', 'pageview');
</script>

Dies ist der Universal-Code für Eure Seite. Er muss jetzt noch datenschutztechnisch angepasst werden.

Anonymisierung

Mit der Anonymisierung werden die IP-Adressen verkürzt. Der Entsprechende Code lautet ga('set', 'anonymizeIp', true); und wird zwischen UA-Code und pageview eingesetzt:

<script>
 (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
 m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
 })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
 ga('create', 'UA-12345678-1', 'auto');
 ga('set', 'anonymizeIp', true);
 ga('send', 'pageview');
 </script>

Opt-Out-Code zur Deaktivierung

Für die Verwendung des JavaScripts zur Deaktivierung muss folgender weiterer Code vor dem Trackingcode eingefügt werden:

<script>
var gaProperty = 'UA-12345678-1';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { 
    window[disableStr] = true;
}
function gaOptout() {
    document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
    window[disableStr] = true; 
}
</script>

Ein vollständiger Analytics-Code sieht also wie folgt aus (Farben dienen nur der Veranschaulichung):

<script>
var gaProperty = 'UA-12345678-1'; 
var disableStr = 'ga-disable-' + gaProperty; 
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; 
} 
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
window[disableStr] = true; }
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-12345678-1', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Schlussbemerkung

Dieser Blogbeitrag wurde geschrieben unter Berücksichtigung datenschutzrechtlicher Regelungen für Deutschland mit Stand Mai 2016.

Er kann jedoch nur die Grundzüge dessen skizzieren, was in Zusammenhang mit Datenschutz und Datenverarbeitung in Deutschland zu beachten ist. Es handelt sich bei diesem Beitrag nicht um eine rechtliche Beratung, sondern lediglich um die Betrachtung möglicher Konflikte zwischen der Anwendung von Google-Analytics und Datenschutzanforderungen aus der Sicht eines Webmasters.

Ob die deutschen Datenschützer im Angesicht von NSA und Vorratsdatenspeicherung  nicht auch andere wichtige Betätigungsfelder haben könnten, bleibt jedem selbst zu beurteilen.

Das Forum ist wie immer für Eure Fragen und für Diskussionen offen.

Über den Autor

Thomas Lilienthal ist Webmaster des Sportförderverein Feuerblume e. V. und erreichbar unter webmaster@hanabi-pirna.de.