Google Analytics datenschutzkonform einsetzen

Folgende Schritte sind für die Einrichtung der datenschutzkonformen Nutzung von Google Analytics nötig

  1. Anonymisierung der IP-Adressen, d. h. Anpassung des Google Analytics Codes, auch “Code-Snippet” genannt
  2. Aufklärung der Besucher in der Datenschutzerklärung über den Einsatz von Google Analytics
  3. Abschließen des Vertrags zur Auftragsverarbeitung
  4. Festlegen der Aufbewahrungsdauer der Nutzer- und Ereignisdaten
  5. Löschen der bisher in Google Analytics erfassten Daten

Anonymisierung der IP-Adresse im Code-Snippet

Das Google Analytics Code-Snippet muss derart angepasst werden, so dass die letzten 8bit der IP-Adresse maskiert werden. Hierfür bietet Google die IP-Masken-Methode “anonymizeIp()” an. Dadurch ist keine genaue geografische Lokalisierung des Besuchers mehr möglich, der Standort kann nur grob anhand des nächstgelegenen Einwahlknotens eingegrenzt werden. Diese Methode ist von den deutschen Datenschutzbehörden anerkannt.

Aufklärung der Besucher in der Datenschutzerklärung über den Einsatz von Google Analytics

Der folgende Passus muss auf einer separaten Datenschutz-Seite eingebunden werden. (Diese Datenschutz-Seite muss wie das Impressum von jeder Seite der Website erreichbar sein.)

Text für die Datenschutz-Seite:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc, (1600 Amphitheatre Parkway Mountain View, CA 94043, USA; "Google"). Die Nutzung umfasst die Betriebsart "Universal Analytics". Hierdurch ist es möglich, Daten, Sitzungen und Interaktionen über mehrere Geräte hinweg einer pseudonymen User-ID zuzuordnen und so die Aktivitäten eines Nutzers geräteübergreifend zu analysieren.

Google Analytics verwendet sog. "Cookies", Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung. Die Rechtsgrundlage für den Einsatz von Google Analytics ist § 15 Abs. 3 TMG bzw. Art. 6 Abs. 1 lit. f DSGVO. Die von uns gesendeten und mit Cookies, Nutzerkennungen (z. B. User-ID) oder Werbe-IDs verknüpften Daten werden nach 26 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat. Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter https://www.google.com/analytics/terms/de.html bzw. unter https://policies.google.com/?hl=de. Wir weisen Sie darauf hin, dass auf dieser Webseite Google Analytics um den Code „anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.“

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das Browser-Add-on herunterladen und installieren. Opt-Out-Cookies verhindern die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website. Um die Erfassung durch Universal Analytics über verschiedene Geräte hinweg zu verhindern, müssen Sie das Opt-Out auf allen genutzten Systemen durchführen. Wenn Sie hier klicken, wird das Opt-Out-Cookie gesetzt: Google Analytics deaktivieren.

Formulierung in Teilen übernommen von: http://www.datenschutzbeauftragter-info.de

Google Tag Manager

Falls der Google Tag Manager für die Integration von Google Analytics oder anderen Skripten verwendet wird, empfielt es sich dieses ebenfalls in der Datenschutzerklärung zu erwähnen:

Wir verwenden auf unserem Internetauftritt "Google Tag Manager", einen Dienst der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (nachfolgend bezeichnet als: "Google"). Google Tag Manager ermöglicht uns Webseiten-Tags über eine Oberfläche verwalten zu können. Das Tool Google Tag Manager, welches die Tags implementiert, ist eine cookielose Domain und erfasst selbst keine personenbezogenen Daten. Google Tag Manager sorgt für die Auslösung anderer Tags, die ihrerseits unter Umständen Daten erfassen. Google Tag Manager greift nicht auf diese Daten zu. Wenn auf Domain- oder Cookie-Ebene eine Deaktivierung vorgenommen wurde, bleibt diese für alle Tracking-Tags bestehen, die mit Google Tag Manager implementiert werden.

Google hat sich dem zwischen der Europäischen Union und den USA geschlossenen Privacy-Shield-Abkommen unterworfen und sich zertifiziert. Dadurch verpflichtet sich Google, die Standards und Vorschriften des europäischen Datenschutzrechts einzuhalten. Nähere Informationen können Sie dem nachfolgend verlinkten Eintrag entnehmen: https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Informationen des Drittanbieters: Google Dublin, Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland, Fax: +353 (1) 436 1001. Weitere Informationen zum Datenschutz können Sie den nachfolgenden Webseiten von Google entnehmen:

  • Datenschutzerklärung: http://www.google.de/intl/de/policies/privacy
  • FAQ Google Tag Manager: https://www.google.com/intl/de/tagmanager/faq.html
  • Nutzungsbedingungen Google Tag Manager: https://www.google.com/intl/de/tagmanager/use-policy.html

Vertrag zur Auftragsverarbeitung abschließen

Der Vertrag zur Auftragsdatenverarbeitung mit Google musste in der Vergangenheit noch schriftlich und vom Webseitenbetreiber unterschrieben an Google per Post geschickt werden. Mittlerweile bietet Google eine Möglichkeit der elektronischen Zustimmung zu dem Zusatz zur Datenverarbeitung im Sinne der EU-Datenschutz-Grundverordnung. Diese kann im Google Analytics-Konto getätigt werden. Dazu im Bereich „Verwaltung“ -> „Kontoeinstellungen“ nach unten zum „Zusatz zur Datenverarbeitung“ navigieren.

Wichtig: Unter dem Link „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“ muss eine Kontaktperson hinterlegt werden.

Aufbewahrungsdauer der Nutzer- und Ereignisdaten festlegen

Die Aufbewahrungsdauer der Daten wird im Google Analytics-Konto, dort im Bereich der „Aufbewahrung von Nutzer- und Ereignisdaten“ („Verwaltung“ -> „Property“ -> „Tracking-Informationen“ -> „Datenaufbewahrung“), festgelegt. Diese Einstellung gilt nur für „Nutzer- und Ereignisdaten“, welche nicht standartmäßig erfasst werden sondern bei denen eine Erfassung separat im Skript angegeben werden muss.

Löschen der bisher in Google Analytics erfassten Daten

Zuletzt muss die Löschung der bisher in Google Analytics erfassten – nicht datenschutzkonformen – Daten erfolgen. Die datenschutzkonforme Erfassung der Benutzerdaten erfolgt erst nach dem Anonymisieren der IP-Adresse. Sämtliche zuvor gesammelten Daten sind somit nicht datenschutzkonform.