DSGVO & Google Analytics - Datenschutzerklärung überprüfen!

DSGVO & Google Analytics - Datenschutzerklärung

Ich höre seit mehr als einem Jahr immer die gleiche Frage: wie implementieren wir Google Analytics nun datenschutzkonform?

Zunächst aber erstmal eine Frage an Sie: wissen Sie, was Sie gerade benutzen? Universal Analytics oder das klassische Analytics? Die Antwort ist viel einfacher als manche denken. Universal Analytics ist der neueste Betriebsstandard von Google Analytics:

  • gtag.js oder analytics.js für Universal Analytics - neuer Betriebsstandard
  • ga.js für das klassische Analytics - alter Betriebsstandard

Auf einer Website können jedoch auch beide JavaScript-Bibliotheken gleichzeitig verwendet werden. Beide Versionen, sowohl Universal Analytics als auch das klassische Analytics bezeichnet Google selbst als Google Analytics. Somit werde auch ich zum einfacheren Verständnis folgend den Begriff Google Analytics verwenden.

Der datenschutzkonforme Einsatz von Google Analytics besteht aus drei Teilen: 1. Vertrag mit Google LLC und Konto-Einstellungen, 2. Implementierung von JS, 3. Anpassung der Datenschutzerklärung. Es ist also nicht schwer, alles korrekt anzupassen! Prüfen wir es noch einmal zusammen: 

1. Vertrag zur Auftragsverarbeitung

Vertrag zur Auftragsverarbeitung mit Google LLC abschließen (mehr darüber). Vergessen Sie bitte nicht, den Vertrag ,,Zusatz zur Datenverarbeitung von Google Analytics‘‘ auch abzuschließen. Dabei müssen Kontaktdaten (Juristische Person, Primärer Kontakt, wenn Sie einen haben auch Datenschutzbeauftragter) angegeben werden.

Aufbewahrungsdauer
Aufbewahrungsdauer der Daten festlegen (mehr darüber). Die Voreinstellung liegt bei 26 Monaten und der Button „Bei neuer Aktivität zurücksetzen“ ist standardmäßig aktiviert. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren und die Aufbewahrungsdauer auf 14 Monate begrenzen. Wenn Altdaten vorhanden sind, bitte auch jene löschen.

User-ID
Aktivieren Sie nicht die User-ID! Ist dieser Punkt für Sie aber unabdingbar, müssen Sie die Einwilligung Ihrer Nutzer zuerst einholen. Dieser Aspekt ist hier (Link zum Artikel "Der rechtskonforme Einsatz von Google Analytics") ganz verständlich erklärt.

2. Tracking-Code

Tracking-Code überprüfen: Zwei Punkte sind hier wichtig und finden sich in dieser Reihenfolge im JS:

  • Implementierung der Funktion Disabling Tracking, um die Möglichkeit eines Opt-Out-Cookies zu gewährleisten, mit welchem der User durch einen einfachen Klick das AnalyticsTracking unterbinden kann. Dies ist notwendig, weil ein Browser-Add-on mobil nicht funktioniert.
  • Implementierung der Funktion anonymizeIP, damit keine Identifizierung des Nutzers mehr möglich ist.

Das kann nicht jeder Redakteur selbstständig überprüfen. Fragen Sie am Besten Ihren Support. Finaler Code inkl. IP-Anonymisierung und Opt-Out-Cookie (bitte nicht vergessen, die Tracking-ID zu ändern):

<script> 
    var gaProperty = 'UA-XXXXXXXX-X'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Das Tracking durch Google Analytics ist jetzt deaktiviert.'); 
    } 
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ 
            (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), 
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) 
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); 

    ga('create', 'UA-XXXXXXXX-X', 'auto'); 
    ga('set', 'anonymizeIp', true); 
    ga('send', 'pageview'); 
</script>

Hinweis für unsere Kunden: Alle die Typo3 9.5.x oder einen beliebigen Service-Vertrag schon haben, sind mit Garantie im Besitz vom "richtigen" JS für das Google Tracking. Im Zweifel können Sie uns kontaktieren.

3. Datenschutzerklärung anpassen

Es gibt zwar keine festgelegte Form, aber bestimmte Punkte im Bereich "Datenschutzerklärung für Google Analytics" müssen Sie unbedingt einbringen:

  • Umfang der Datenerhebung, Art. 12 und 13 DSGVO mit Hinweis zur IP-Maskierung („anonymizeIP“)
  • Rechtsgrundlage, Art. 13 DSGVO
  • Speicherdauer, Art. 13 Abs.2 lit.a DSGVO
  • Widerrufsrecht, Art. 7 Abs.3 DSGVO mit Hinweis zum Browser-Add-on und Opt-Out-Cookie

Ein paar Punkte dazu möchte ich verdeutlichen:

1. Oft fehlt die Information zum Punkt 1 "Umfang der Datenerhebung" ganz oder wird nur über durch Cookies erhobene Daten erwähnt. Detaillierte Informationen zu den verarbeiteten Daten finden Sie unter  “Durch Google Analytics erhobene Daten“.

2. Veraltete Informationen:
a. Die richtige Adresse von Google lautet: der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, betrieben innerhalb der EU durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Google Inc. - veraltet)
b. „Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.“ trifft nicht mehr zu und ist lange veraltet. In der aktuellen Dokumentation gibt es keinen Hinweis mehr auf ein solches Vorgehen, soweit die anonymizeIP-Funktion genutzt wird. 

3. Bitte prüfen sie Ihre Links, besonders der Link Opt-Out-Cookie funktioniert oft nicht, obwohl alle Voraussetzungen dafür erfüllt sind (JS Abschnitt ist vorhanden und am richtigen Platz). Dies liegt oft daran, dass Ihr Text-Editor die Eingabe von Javascript-Funktionen in Links verbietet. Dazu ein Praxistipp für TYPO3 Redakteure: teilen Sie Ihren Text in zwei Teile (vor dem Link und nach dem Link) und fügen Sie dazwischen den gewollten Link als HTML-Element ein:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>

Das nimmt nicht mehr als 2 Minuten in Anspruch und Sie brauchen keine Hilfe von Administratoren oder Dienstleistern. Im CKEditor (Rich Text Editor) einen Javascript-Link einzufügen ist technisch auch möglich (zum Beispiel mit einem Plugin, der solch eine Funktion erst ermöglicht), aber das Verfahren hier anzuwenden ist einfach absurd und diese einfache Lösung aus unsere Sicht die Beste.

Hinweis: Die Informationen in diesem Artikel dienen der allgemeinen Darstellung. Sie stellen weder Rechtsberatung dar noch können sie diese ersetzen. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt.