Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ

Update 2016 – Anleitung zum rechtssicheren Einsatz von Google Analytics und Vermeidung von Problemen mit Datenschutzbehörden und Abmahnungen

Google Analytics ist das wohl beliebteste Webanalyse-Tool. Sie sollten es jedoch nicht out-of-the-box einsetzen, sondern die besonderen Datenschutzvorgaben beachten.

Das kostenlose Webanalyse-Tool Google Analytics wurde von Datenschutzbehörden schon immer kritisch betrachtet. Viele Datenschützer sehen die „Verfolgung“ der Nutzer über Webseiten hinweg und den Transfer ihrer Daten in die USA als datenschutzwidrig an.

Nachdem sich Google mit den deutschen Datenschutzbehörden 2011 geeinigt hatte, wird dessen zulässiger Einsatz seit dem Urteil des Europäischen Gerichtshofs zum „Safe Harbor„-Datentransfer-Abkommen erneut bezweifelt (s. Beitrag von RA Dr. Carlo Piltz). Das Gericht erklärte das Abkommen für ungültig (s. zu dem Thema meinen Blogbeitrag und den Rechtsbelehrung-Podcast Folge 30).

Seit Juli 2016 wurde jedoch als Nachfolger das neue „Privacy Shield“-Abkommen beschlossen, dem Google beigetreten ist.. Um Google Analytics hinreichend sicher nutzen zu können, reicht das jedoch noch nicht aus, weswegen ich Sie bitte die nachfolgende Anleitung nebst Datenschutzmuster, als auch die FAQ zu beachten.

Drei Schritte zur Rechtssicherheit

  1. Schritt 1 – IP-Anonymisierung: Sie müssen den Analytics-Code um die IP-Masken-Methode „_anonymizeIp()“ ergänzen, damit die letzten 8bit der IP-Adresse Ihrer Nutzer gekappt werden (Weitere Hinweise bei Google).
  2. Schritt 2 – Vertrag mit Google: Bitte schließen Sie diesen Vertrag über die Nutzung von Analytics mit Google ab. Der Vertrag wurde im September 2016 aktualisiert und enthält die notwendige Vereinbarung über die Verarbeitung der Daten Ihrer Websitebesucher durch Google in Ihrem Auftrag.
  3. Schritt 3 – Datenschutzerklärung: Ergänzen Sie die Datenschutzerklärung um einen Hinweis auf die Nutzung von Google Analytics sowie die Widerspruchsmöglichkeit für Websitebesucher (sog. „Opt-Out“). Ein Muster finden Sie weiter unten.
google_analytics-anonymize_ip-screenshot-dr-schwenke

Bitte überprüfen Sie, ob der Google-Analytics-Code auf Ihrer Website die IP-Anonymisierung enthält.

Muster für Ihre Datenschutzerklärung

Bitte ergänzen Sie Ihre Datenschutzerklärung mit Hilfe des folgenden Musters. Es enthält die von Google und dem Gesetz vorgeschriebenen Informationen und ein Opt-Out für die Nutzer.

Bitte platzieren Sie das Muster nicht „versteckt“ im Impressum, sondern in einer eigenen Webseite „Datenschutz“ oder „Datenschutzerklärung“. Den Link zu dieser Webseite sollten Sie neben dem Impressumslink platzieren. Falls Sie den Hinweis im Impressum platzieren, dann sollte der Linktext nicht bloß „Impressum“, sondern „Impressum/Datenschutz“ lauten.

 

Google Analytics
Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Weitere Informationen zur Datennutzung zu Werbezwecken durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfahren Sie auf den Webseiten von Google: https://www.google.com/intl/de/policies/privacy/partners/ („Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“), http://www.google.com/policies/technologies/ads („Datennutzung zu Werbezwecken“), http://www.google.de/settings/ads („Informationen verwalten, die Google verwendet, um Ihnen Werbung einzublenden“) und http://www.google.com/ads/preferences/ („Bestimmen Sie, welche Werbung Google Ihnen zeigt“).

Zusätzlich empfehle ich Ihnen ebenfalls eine Opt-Out-Option für mobile Nutzer zu ergänzen.

Hinweise zur Nutzungsberechtigung: Sie dürfen die Muster gerne für Ihre Seite übernehmen. Über eine Verlinkung als Dankeschön würden ich mich gerne freuen: Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke 

Hinweis zur Haftung: Die Muster sind mit bestem Wissen erstellt, es kann jedoch keine Haftung für sie übernommen werden, da diese einer Prüfung im Einzelfall bedarf. Wenn es Updates gibt, werde ich darauf hinweisen. Abonnieren Sie mein Blog oder werden Fan meiner Facebook-Seite, um die Updates nicht zu verpassen.

Häufige Fragen zu Google Analytics (FAQ) (zurück)

Bitte lesen Sie ebenfalls die folgenden Antworten auf die häufigsten Fragen, die ich zu Google Analytics erhalte.

Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte? (zurück)

Sie sind, ausgehend von der derzeitiger Rechtslage, hinreichend rechtlich sicher. Die Auslegung der Gesetze im Datenschutzrecht ist nicht einheitlich und auch die Ansichten der Datenschutzbehörden sind kein Gesetz, sondern eben Ansichten. Das führt dazu, dass die Frage, ob eine hinreichende rechtliche Sicherheit gewahrt ist, sehr häufig eine Risikoeinschätzung ist. Ganz sicher wären Sie nur, wenn sie kein Google Analytics nutzen würden (eine sicherere Alternative ist z.B. die Open-Source-Software Piwik).

Bitte beachten Sie die nächste Frage, wenn sie die Rechtssicherheit noch weiter steigern möchten.

Kann ich die Rechtssicherheit noch weiter erhöhen? (zurück)

Ja, Sie können das Risiko beim Einsatz von Google Analytics noch weiter senken, wenn Sie eine erweiterte Widerspruchslösung anbieten, die sich insbesondere an Nutzer von mobilen Geräten richtet. Bitte lesen Sie dazu meinen Beitrag: Google Analytics -Mobile Nutzung zwingt zum Update der Datenschutzerklärung (Anleitung)

Ich habe oben auf die Darstellung dieser Lösung verzichtet, da sie nach meiner bisherigen Erfahrung zu vielen Umsetzungsproblemen geführt hat. Dennoch empfehle ich Ihnen, sofern im Rahmen der Möglichkeiten, auch diese Widerspruchslösung umzusetzen. Auch wenn mir bisher keine Fälle bekannt sind, in denen deren Fehlen problematisch wurde.

Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen? (zurück)

Sofern Sie Google Analytics bisher genutzt haben, ohne die obigen Schritte zu beachten, müssen Sie laut Datenschutzbeauftragten alle bisher durch Google Analytics erhobenen Daten löschen. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen. Beachten Sie dazu Hinweise in der FAQ.

Ich habe bisher noch von keinem Fall gehört, in dem dieser Punkt problematisiert wurde. Denn für Dritte ist es praktisch nicht erkennbar, ab wann Sie Google Analytics rechtmäßig nutzen. Möchten Sie jedoch auf Nummer Sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.

Muss ich ein Cookie-Banner auf meiner Website implementieren? (zurück)

Ob ein Cookie-Banner notwendig ist, ist umstritten. Auch Google verlangt ein Cookie-Banner nur in manchen Fällen und, zumindest derzeit, nicht wenn Sie lediglich Google Analytics nutzen. Bitte lesen Sie dazu meinen Beitrag: Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter. Wenn Sie jedoch auf Nummer Sicher gehen und mögliche Unwägbarkeiten berücksichtigen wollen, dann implementieren Sie ein Cookie-Banner in Ihre Website.

Muss ich den Vertrag mit Google für jede Website abschließen? (zurück)

Den Vertrag müssen Sie pro Account (bzw. „Konto“ auf deutsch) abschließen, mit dem Sie Google Analytics nutzen. Wenn Sie unterschiedliche Accounts für unterschiedliche Websites verwenden, dann müssen Sie auch mehrere Verträge abschließen.

In diesem Beispiel müsste ich zwei Verträge mit Google abschließen. 1x für das berufliche Konto als Rechtsanwalt und 1x für das private Konto.

Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun? (zurück)

Wenn Ihr Vertragsschluss vor dem 23. September 2016 erfolgte, dann empfehle ich Ihnen einen erneuten Vertrag abzuschließen. Der alte Vertrag nahm noch auf das „Safe Harbor“-Abkommen Bezug, das vom Europäischen Gerichtshof für ungültig erklärt wurde.

Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen? (zurück)

Wenn Sie Google-Analytics-Accounts im Namen Ihrer Kunden anlegen, dann sollten Sie den Vertrag ebenfalls im Namen Ihres Kunden abschließen, bzw. den Kunden auf den Abschluss des Vertrages hinweisen.

Warum muss ich einen Vertrag über die Verarbeitung von Nutzerdaten abschließen, wenn die IP-Adresse anonymisiert wird? (zurück)

Zum einem weil die Datenschutzbehörden es so wollen (das ist eine pragmatische Sichtweise). Zum anderen ist die IP-Adresse nur ein Datum, über den der Bezug zu einer bestimmten Person hergestellt werden kann. Daneben werden noch viele weitere Daten durch Google erhoben. Ferner wird zwar der Begriff „Anonymisierung“ verwendet, aber es ist durchaus vertretbar, dass es keine Anonymisierung im Sinne des Datenschutzrechts, sondern lediglich eine technische Schutzmaßnahme zu Gunsten der Nutzer ist. Denn auch ohne die beiden letzten Stellen kann die IP-Adresse im Verbund mit anderen Daten (z.B. der URL und dem Zeitpunkt der Nutzung) zu einem Personenbezug führen.

Reicht alleine der Hinweis auf Google Analytics in der Datenschutzerklärung? (zurück)

Die Datenschutzerklärung sollte allgemeine Angaben zur Datennutzung enthalten, sowie spezielle Nutzungen, wie z.B. im Kontaktformular, im Rahmen eines Shopeinkaufs, beim Einsatz von Newslettern, Youtube-Videos oder sonstigen Dritt-Tools beinhalten. Ferner sollten die Nutzer über deren Auskunfts-, Änderungs- und Löschungsrechte aufgeklärt werden. D.h. der Hinweis auf Google Analytics ist notwendig, bei modernen Websites jedoch im Regelfall nicht alleine ausreichend.

Eine Datenschutzerklärung für typische, private Websites können Sie mit Hilfe meines Datenschutzgenerators erstellen. Diese können auch bei geschäftlichen Websites genügen, jedoch empfehle ich hier die individuelle Erstellung einer Datenschutzerklärung. Falls Sie ein Angebot wünschen, schicken Sie mir eine Anfrage unter Angabe Ihrer Website-URL.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?c
Ja, die Vorgaben gelten auch für die mobile Nutzung von Google Analytics. Allerdings sollten Sie eine Widerspruchslösung in Ihrer App mit Hilfe eines Schalters „Google Analytics ein/aus“ o.ä. umsetzen.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten? (zurück)

Ja, die Vorgaben gelten auch für die Web-Apps oder Facebook-Apps (z.B. bei Gewinnspielen). D.h. auch die Apps müssen die IP-Adressen anonymisieren lassen und eine Datenschutzerklärung enthalten.

Gelten diese Vorgaben auch in Österreich und in der Schweiz? (zurück)

Generell gilt das maßgebliche Datenschutzrecht genauso in Österreich und in der Schweiz. Allerdings ist die Auslegung und Durchsetzung (noch) national uneinheitlich. Der „Deal“ mit Google wurde von eine deutschen Behörde erzwungen.

D.h. im Ergebnis, es schadet nicht, wenn der Vertrag auch durch Österreicher oder Schweizer abgeschlossen wird. Allerdings gehe ich derzeit nicht davon aus, dass Nachteile entstehen werden, wenn dies nicht passiert. Nichtsdestotrotz empfehle ich sowohl die Hinweise in der Datenschutzerklärung und die IP-Anonymisierung umzusetzen.

Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist? (zurück)

Diese Frage mag Ihnen vielleicht etwas befremdlich vorkommen, hat aber eine hohe Relevanz. Es gibt viele Plugins, Widgets oder sonstige Dritt-Anbieter-Tools, die Google Analytics „mitbringen“, ohne dass Sie es merken. Bitte nutzen Sie das Add-on/Plugin „Ghostery“ in Ihrem Browser und rufen damit Ihre Website auf. Dann können Sie erkennen, ob Google Analytics oder sogar andere Tracker auf Ihrer Website aktiv sind. Alle durch das Plugin angezeigten Tracker, müssen ebenso wie Google Analytics, ebenfalls in Ihrer Datenschutzerklärung erwähnt werden.

Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte? (zurück)

Datenschutzbehörden verschicken regelmäßig Fragebögen zum Einsatz von Google Analytics. Bußgelder werden zwar bisher im Regelfall nicht verhängt. Trotzdem können die Folgen unangenehm werden. Wenn Sie die obigen Schritte 1 bis 3 nicht beachten, dann müssen Sie mit einer Untersagungsverfügung und Pflicht ihren Google Account zu löschen, rechnen. Ferner vermitteln Sie so den Eindruck, den Datenschutzvorgaben nicht genug Aufmerksamkeit zu widmen, was ein Anlass für eine vertiefte Datenschutzprüfung Ihrer Website oder gar ihres Unternehmens sein kann.

Des Weiteren drohen auch Abmahnungen durch Privatpersonen oder klagebefugte Organisationen, wie z.B. die Verbraucherschutzzentralen. Dies gilt vor allem, wenn Sie die Datenschutzhinweise und die Opt-Out-Möglichkeiten nicht angeben. In bisherigen Gerichtsverfahren sahen die Gerichte in solchen Fällen insbesondere auch Wettbewerbsverstöße (z.B. Abmahnung wegen fehlerhafter DatenschutzerklärungAbmahnbarkeit fehlerhafter Datenschutzerklärung erneut bestätigt).

Updates

Update 03.10.2016 – Ich habe in den FAQ die Antwort auf die Frage „Gelten diese Vorgaben auch in Österreich und in der Schweiz?“ ergänzt.

Update 07.10.2016Kanzlei Sieling berichtet von einem aktuellen Fall, in dem das LG Hamburg eine einstweilige Verfügung erlassen hat, nachdem eine Webseite nicht über den Einsatz von Google Analytics informiert hat (LG Hamburg, Beschl. vom 9.8.2016, 406 HKO 120/16).

Falls Sie Beratung zum Datenschutzrecht, Prüfung Ihrer Datenschutzverfahren oder ein Update Ihrer Datenschutzerklärung wünschen, stehe ich gerne zu Ihrer Verfügung. Gerne können Sie auch den Datenschutzgenerator verwenden.

Kommentare

  1. Moin Doc,

    Beitrag, FAQ und Links sind super, aber der gaq-Code ist doch nun sehr veraltet, oder?
    Ich weiß, dass viele ihn noch nutzen, vor allem die, die auch den Google Tag Manager noch nicht einsetzen.

  2. Nur zur Info,
    Google Irland hat mir den neuen Vertrag innerhalb von 4 Tagen unterschrieben zurückgesendet.
    Wirklich flott!
    Inter-nette Grüße
    Volker

  3. Markus

    Hallo,
    vielen Dank für die Bereitstellung und Informationen. Deckt das Muster zum Datenschutz auch den Einsatz von Analytics Funktionen wie „Berichte zur Leistung nach demografischen Merkmalen und Interesse“ ab? Google selbst weist darauf hin, dass dies evtl eine Anpassung erfordert.
    Beste Grüße
    Markus

Trackbacks für diesen Beitrag

  1. Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster | I LAW it
  2. Auf zum Mars, Wiesn-Einnahmen, Project Shield und mehr > News > Selbstständig im Netz
  3. Wissens-Schatz Social Media: 30.09.2016 - B2N Social Media Bremen
  4. Google Analytics datenschutzkonform einsetzen – Lucas Scheel
  5. Fehlerhafte Datenschutzerklärung. Warum viele Webseiten abgemahnt werden könnten
  6. MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste | I LAW it
  7. Whitepaper: Custom Audiences und Datenschutz bei Facebook, Twitter und Google - allfacebook.de
  8. Google Analytics: Messen Sie den Erfolg Ihrer Website · Elbnetz-Blog
  9. oreillyblogGoogle Analytics: Was ist neu? - oreillyblog
  10. Rechtsänderungen im E-Commerce: Was du jetzt beachten musst – Interview mit Thomas Schwenke | WooCommerce Blog

Hinterlassen Sie bitte einen Kommentar

Ich freue mich über Ihren Kommentar. Bitte beachten Sie jedoch, dass ich an dieser Stelle nur allgemeine Fragen zum Beitrag beantworten, aber keine individuellen Fälle lösen oder beantworten kann. Falls Sie eine individuelle Beratung wünschen, stehen wir gerne hier für Sie bereit. Ferner erfolgen alle Informationen und Antworten nach bestem Wissen & Gewissen, jedoch kann für sie keine Haftung übernommen werden.

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Comments links could be nofollow free.