Google Analytics und DSGVO – Was Sie tun müssen?

Datenschutz Google Analytics

Google Analytics ist eins der beliebtesten kostenlosen Analysetools für Online-Marketing-Kanäle (Webseiten, Social Media, Blog usw.). Das Tool erlaubt Webseitenbetreibern zum Beispiel relevante Daten über die Besucher zu sammeln, die für die Optimierung und Erreichung der individuellen Ziele entscheidend sind. Nichtsdestotrotz kann und muss das Tool datenschutzkonform eingesetzt werden. In diesem Beitrag wird auf konkrete Handlungsempfehlungen zur Nutzung von Google Analytics eingegangen, um die Risiken eines Datenschutzverstoßes möglichst zu minimieren. Es wird darüber hinaus auf das Thema Google Analytics und DSGVO eingegangen

1. Auftragsdatenverarbeitung mit Google Analytics vereinbaren

Google Analytics ist ein externer Dienst, der die personenbezogenen Daten Ihrer Websitebesucher speichert und auswertet. Aus diesem Grund fordern  die Aufsichtsbehörden in Deutschland den Abschluss eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 Abs. 9 DSGVO. Diesen Vertrag muss man nicht mehr ausdrucken, unterschreiben und von Google unterschreiben lassen, sondern Sie können ihn digital zeichnen. Dazu melden Sie sich einfach in Ihr Google Konto ein und führen folgende Schritte aus:

Google Analytics > Verwaltung > Kontoeinstellungen > Zusatz zur Datenverarbeitung > Zusatz anzeigen > Auftragsverarbeitungsvertrag bestätigen.  

Unter dem Link “Details zum Zusatz zur Datenverarbeitung” muss man noch die Kontaktangaben ausfüllen und speichern. 

2. Aufbewahrungsdauer der Daten festlegen

In Google Analytics hat man die Möglichkeit, die Dauer der Datenaufbewahrung zu bestimmen. Nach Ablauf dieser Dauer werden die Daten automatisch gelöscht. Standardgemäß werden die Daten 26 Monate gespeichert. Auch der Button “Bei neuer Aktivität zurücksetzen” ist Standardgemäß aktiviert. Gem. Art. 25 DSGVO sollten die personenbezogenen Daten nur so lange gespeichert werden, wie es für den Erhebungszweck notwendig ist. Daher empfehlen die Experten die minimale Speicherdauer von 14 Monaten zu wählen und den Button “Bei neuer Aktivität zurücksetzen” zu deaktivieren. Das können Sie einfach so durchführen:

Google Analytics > Verwaltung > Property > Tracking Informationen > Datenaufbewahrung > Aufbewahrung von Nutzer- und Ereignisdaten (14 Monaten) > bei neuer Aktivität zurücksetzen (Aus). 

3. Einwilligung einholen/opt-out installieren

Bevor Google Analytics die Daten eines Nutzers sammelt, muss der Nutzer über die Verwendung von Google Analytics detailliert und ausreichend informiert werden und dem auch zustimmen. Darüber hinaus soll der Nutzer die Möglichkeit haben, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Dazu wird das sogenannte Opt-out-Cookie Plugin benutzt. 

4. IP-Adresse anonymisieren

IP-Adressen gehören auch zu den personenbezogenen Daten. Daher darf die IP-Adressen nicht gespeichert werden. Dazu hat Google Analytics eine eigene Funktion zur Kürzung von IP-Adressen eingeführt (AnonymizeIp). Allerdings ist die Funktion weder beim Tracking-Code einer neuen Property noch bei einem neuen Tag im Tag Manager standardmäßig eingefügt. Webseitenbetreiber müssen den Google Analytics Tracking-Code manuell anpassen und die Funktion einfügen oder das selber über den Google Tag Manager machen. Wie das geht, erfahren Sie über diese Links;

Tracking-Code manuell anpassen –>https://support.google.com/analytics/answer/2763052?hl=de

Google Tag Manager –>https://www.metrika.de/blog/web-analytics/google-analytics-anonymizeip/

5. Datenschutzerklärung anpassen

Nachdem Sie die oben genannten Punkten umgesetzt haben, müssen Sie in der Datenschutzerklärung genau beschreiben, wie, welche, warum und wozu die Daten der Besucher über Google Analytics gesammelt und verarbeitet werden. Anderes ausgedrückt müssen (für Google Analytics) mindestens folgende Punkte in der Datenschutzerklärung abgedeckt sein:

  • Umfang der Datenerhebung
  • Anonymisierung der IP-Adresse
  • Speicherdauer
  • Widerrufsrecht
  • Hinweis auf eine Widerspruchsmöglichkeit
  • Rechtsgrundlage

Wenn Sie auch die Werbefunktionen von Google Analytics verwenden, müssen Sie ebenfalls darauf hinweisen:

  • Interessenbezogene Werbung
  • Remarketing
  • Impressionen aus dem Google Displaynetzwerk
  • Demografische Merkmale und Interessen
  • Google Signals 

Fazit

Die Verwendung von Google Analytics ist gerade in Deutschland und in der EU kritisch anzusehen. Die Vorgaben und Anforderungen ändern sich im Laufe der Zeit immer wieder. Bei Nicht-Einhaltung drohen hohe Abmahnungen.

Die Informationen auf unserer Seite erheben keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir werden uns bemühen, die Informationen auf dem aktuellen Stand zu halten. Dennoch empfehlen wir Ihnen, sich entweder intensiv mit dem Thema zu beschäftigen oder die ganze Einrichtung von einem Experten durchführen zu lassen.