Viele Webseitenbesitzer nutzen Google Analytics zur Analyse Ihrer Besucher, binden dieses jedoch nicht rechtssicher ein und riskieren damit den Erhalt einer teuren Abmahnung. Mit diesem Beitrag startet daher unsere neue Tutorial-Reihe „Inside Google Analytics“, die sich in diesem Beitrag der rechtssicheren Einbindung von Google Analytics widmet.
Rechtliche Grundlage zur Einbindung von Webanalyse
Webanalyse an sich ist nicht strafbar und bietet Webseitenbesitzern nicht nur umfangreiche Statistiken zur Nutzung Ihrer Webseite, sondern richtig eingesetzt auch viele Ansätze zur Optimierung der Benutzererfahrung.
Jedoch ist man in Deutschland an den Datenschutz gebunden, dieser wird im sogenannten Telemediengesetz (TMG) geregelt. Die wichtigsten Punkte, um Google Analytics rechtssicher nach deutschem Recht einzubinden sind die folgenden:
- Notwendigkeit der IP-Anonymisierung
- Einbindung von Widerspruchsmöglichkeiten (Opt-out)
- Anpassung der Datenschutzerklärung
- Abschluss eines Vertrages mit Google zur Auftragsdatenverarbeitung
In den folgenden Absätzen gehe ich einzeln auf diese Punkte ein.
IP-Anonymisierung bei Google Analytics einstellen
Um Google Analytics zu nutzen, muss ein Javascript-Code auf jeder Seite Ihres Internetauftritts eingebunden werden. Dazu gibt das Programm unter Verwaltung > Property > Tracking-Informationen > Trackingcode das folgende Script vor:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('send', 'pageview');
</script>
In dieser Form wird es von sehr vielen Webseitenbesitzern eingebunden, jedoch entspricht dieses Script nicht den Anforderungen des Telemediengesetzes aufgrund der fehlenden IP-Anonymisierung. Ohne IP-Anonymisierung ist es möglich, den Standort des Benutzers sehr genau zu erfassen – dies ist in Deutschland jedoch nicht zulässig.
Um Google Analytics in diesem Punkt rechtssicher zu nutzen, braucht man zwischen der Erstellung des Google Analytics-Objekts und dem Versand des Pageviews nur folgenden zusätzlichen Befehl einfügen: ga(’set‘, ‚anonymizeIp‘, true);
Das Script für alle Seiten sieht dann aktuell so aus:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
Damit wäre dieser Punkt bereits erledigt und der erste Schritt ist getan.
Einbindung von Widerspruchsmöglichkeiten (Opt-out)
Als nächstes müssen Sie dem Besucher die Möglichkeit geben, sich von der Webanalyse auszuschließen. Dazu müssen Sie dem Benutzer 2 Möglichkeiten geben:
Tool zur Deaktivierung von Google Analytics
Durch Installation und Aktivierung dieses Tools ist Ihr Besucher für Google Analytics quasi unsichtbar und es werden keine Nutzungsdaten mehr erhoben. Aktiviert der Besucher das Tool, gilt das nicht nur für Ihre Seite, sondern für alle Webseiten die mit Google Analytics Nutzungsdaten erheben. Die Einbindung erfolgt über einen Link in der Datenschutzerklärung.
Anbieten eines Opt-Out-Cookies
Dieses kleine Script ist eine Möglichkeit für Ihren Besucher, sich der Erhebung von Nutzungsdaten auf der aktuellen Webseite zu entziehen. Dadurch wird ein Cookie gesetzt, welches Google Analytics signalisiert, dass der Nutzer auf dieser Webseite nicht erfasst werden möchte – der Link für das Script ist auch am besten in der Datenschutzerklärung aufgehoben.
Weiterhin ist es nötig, auf jeder Seite vor der Einbindung des Google Analytics-Objekts folgendes Script hinzuzufügen:
var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
Der finale Trackingcode, um Google Analytics rechtssicher einzubinden lautet also wie folgt:
<script> var gaProperty = 'UA-XXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script>
Dieser Code sollte auf jeder Seite Ihres Internetauftritts vorhanden sein. Natürlich müssen Sie die rot markierte Tracking-ID mit der ID Ihrer Property ersetzen.
Anpassung der Datenschutzerklärung
Auch im Bereich der Datenschutzerklärung müssen Anpassungen vorgenommen werden um Google Analytics rechtssicher einzusetzen. Zum Einen benötigen Sie einen allgemeinen Hinweis darauf, dass Sie Google Analytics überhaupt einsetzen und zum Anderen sollten dort sowohl der Link zum Deaktivierungs-Addon als auch der Link für das Opt-out vorhanden sein.
Der Link für das Deaktivierungs-Addon lautet: https://tools.google.com/dlpage/gaoptout?hl=de. Um den Opt-out-Cookie zu setzen ist ebenfalls ein Link nötig, der das eigentliche Script aktiviert:
<a href="javascript:gaOptout();">Google Analytics deaktivieren</a>
Beides sollte innerhalb der Datenschutzerklärung unter dem Punkt Nutzung von Google Analytics eingebunden werden. Einen guten Generator für die komplette Datenschutzerklärung finden Sie bei eRecht24: https://www.e-recht24.de/muster-datenschutzerklaerung.html.
Abschluss eines Vertrages mit Google zur Auftragsdatenverarbeitung
Ein weiterer wichtiger und dennoch oft nicht berücksichtigter Punkt ist der Abschluss eines Vertrages mit der Firma Google zur Auftragsdatenverarbeitung. Dieser ist nötig, da Sie einem Dritten (in diesem Falle Google) die Daten Ihrer Nutzer überlassen.
Ohne diesen Vertrag, der mit der deutschen Datenschutzbehörde abgestimmt ist, müssten Sie von jedem Besucher Ihrer Webseite eine Zustimmung zur Weitergabe seiner Daten an Dritte einholen. Dies ist nicht mehr nötig, wenn Sie mit dem Empfänger der Daten den Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben.
Den Vertrag können Sie sich hier herunterladen: Vertrag zur Auftragsdatenverarbeitung
Drucken Sie sich diesen 2x aus, unterschreiben Sie diesen gemäß den Informationen aus dem Deckblatt und senden Sie diesen in 2-facher Ausfertigung an die Adresse von Google Irland:
Contract Administration Department Google Ireland Ltd Gordon House Barrow Street Dublin 4 Irland
Ganz wichtig: einen bereits frankierten Briefumschlag für die Rücksendung des Vertrags nicht vergessen, ansonsten erhalten Sie diesen nicht zurück!
Google Analytics rechtssicher einbinden – Sie haben es geschafft
Nun haben Sie gelernt, wie man Google Analytics rechtssicher einbindet. Falls Sie noch Fragen dazu haben, stehen wir Ihnen natürlich gerne zur Verfügung.
Im nächsten Teil unserer Reihe „Inside Google Analytics“ geht es dann um die Verwendung von Filtern, um nur die Daten zu separieren, die für Ihre Ziele wichtig sind.