Google Analytics kann nun rechtssicher verwendet werden. Google ist auf die Forderungen der Datenschutzbeauftragten eingegangen und bietet nun insbesondere einen gesetzlich geforderten Vertrag über Auftragsdatenverarbeitung an.
In diesem Beitrag finden Sie eine Auflistung der Voraussetzungen der rechtssicheren Nutzung von Google Analytics, Muster der ebenfalls erforderlichen Ergänzung Ihrer Datenschutzerklärung in deutsch und englisch sowie eine Erläuterung dieser Anforderungen.
Voraussetzungen rechtssicherer Nutzung von Google-Analytics
- Schritt: Mit Hilfe der bei Google beschriebenen IP-Masken-Methode “_anonymizeIp()” im Analytics-Code die letzten 8bit der IP-Adresse kappen.
- Schritt: Diesen Vertrag über Auftragsdatenverarbeitung ausfüllen und mit einem frankiertem Rückumschlag an Google schicken. Details und Adresse finden Sie hinter dem Link.
- Schritt: Aufklärung der Besucher in der Datenschutzerklärung entsprechend den unten stehenden Mustern nach Vorgabe von Google.
- Schritt: Sie löschen alle bisher durch Google Analytics erhobenen Daten. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen.
Muster für Ihre Datenschutzerklärung
Sie dürfen die Muster gerne für Ihre Seite übernehmen. Über eine Verlinkung als Dankeschön würden wir uns freuen. Die Muster sind nach Googles Vorgabe mit bestem Wissen und Gewissen erstellt, wir können jedoch keine Haftung für sie übernehmen. Wenn es Updates gibt, werden wir darauf hinweisen. Abonnieren Sie unser Blog oder werden Fans unserer Facebook-Seite, um die Updates nicht zu verpassen.
- Linkadresse: http://rechtsanwalt-schwenke.de/google-analytics-rechtssicher-nutzen-anleitung-fuer-webmaster/
- Link in HTML: <a href=”http://rechtsanwalt-schwenke.de/google-analytics-rechtssicher-nutzen-anleitung-fuer-webmaster/“>Muster von Rechtsanwalt Thomas Schwenke – I LAW it</a>
Deutsch:
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.
Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.
Englisch:
This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website will be transmitted to and stored by Google on servers in the United States .
In case IP-anonymisation is activated on this website, your IP address will be truncated within the area of Member States of the European Union or other parties to the Agreement on the European Economic Area. Only in exceptional cases the whole IP address will be first transfered to a Google server in the USA and truncated there. The IP-anonymisation is active on this website.
Google will use this information on behalf of the operator of this website for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing them other services relating to website activity and internet usage.
The IP-address, that your Browser conveys within the scope of Google Analytics, will not be associated with any other data held by Google. You may refuse the use of cookies by selecting the appropriate settings on your browser, however please note that if you do this you may not be able to use the full functionality of this website. You can also opt-out from being tracked by Google Analytics with effect for the future by downloading and installing Google Analytics Opt-out Browser Addon for your current web browser: http://tools.google.com/dlpage/gaoptout?hl=en.
Erklärung zu den einzelnen Schritten
- Schritt – Kappung der IP-Adresse
Datenschützer halten die IP-Adresse für ein personenbezogenes Datum, welches nur mit Einwilligung der Websitebesucher erhoben werden darf. Indem die IP-Adresse gekappt wird, ist sie nach Meinung der Datenschützer hinreichend anonymisiert. - Schritt – Vertrag über Auftragsdatenverarbeitung
Immer wenn Sie Dritten personenbezogene Daten Ihrer Nutzer überlassen, müssen Ihre Nutzer dem zugestimmt haben. Es sei denn, Sie haben mit dem Empfänger der Daten einen Vertrag über Auftragsdatenverarbeitung abgeschlossen. In diesem Fall brauchen Sie keine Einwilligung der Nutzer. In dem Vertrag erklärt Google u.a., wie die Daten Ihrer Nutzer gesichert werden und dass Sie gegenüber Google Weisungsbefugnis bezüglich dieser Daten haben. Über Einzelheiten zur Auftragsdatenverarbeitung, können Sie sich in unserem Beitrag “15 Irrtümer bei der Auftragsdatenverarbeitung” informieren. - Schritt – Datenschutzerklärung und Widerrufshinweis
Zum einem müssen Nutzer über Zweck, Art und Umfang der Datenerhebung informiert werden. Darüber hinaus dürfen statistische Nutzerdaten nur dann erhoben werden, wenn sie pseudonymisiert werden und die Nutzer eine Möglichkeit haben der statistischen Erfassung zu widersprechen. Diese Möglichkeit bietet ihnen das Browser-Addon, welches Google nun für alle Browsertypen anbietet. - Schritt – Löschung bisheriger Daten
Da Google Analytics nach Ansicht der Datenschützer bisher rechtswidrig war, so sind es auch die durch das Tool bisher erhobenen Daten und müssen gelöscht werden. Dieser Punkt birgt die geringste Gefahr rechtlicher Folgen in sich. Denn für Dritte ist es nicht erkennbar, ob Sie die Daten gelöscht haben oder nicht. Möchten Sie auf Nummer sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.
Fazit und Zukunftsaussichten
Nach langer Zeit scheint zur Freude der Webmaster nun Ruhe in den Streit um Google Analytics einzukehren. Die Datenschützer weisen jedoch darauf hin, dass sich die Rechtslage mit Einführung der Cookie-Richtlinie ändern kann und dies Einfluss auf die Zulässigkeit von Google Analytics haben kann. Wir halten Sie hier im Blog informiert.
Für weitere Informationen zu der Cookie Richtlinie können Sie in unserem Beitrag nachlesen: “Kommt das Cookie-Verbot? – FAQ zur deutschen Umsetzung der EU-Cookie-Richtlinie“.
Diese Beiträge könnten Sie ebenfalls interessieren
- Haftung für Google Analytics vermeiden – Anleitung für Webmaster
- Piwik als Alternative zu Google Analytics? (Mit Datenschutzmuster)
- WordPress.com-Stats (Plugin/Jetpack/Blogs) datenschutzkonform nutzen (mit Muster der Datenschutzerklärung)
- Das rechtliche Risiko bei Googles +1 Button inkl. Muster für die Datenschutzerklärung
- Die Datenschutzerklärung – Rechtsbelehrung Folge 4 (Jura-Podcast)
Hallo und vielen Dank für diesen aufschlussreichen Beitrag. Zwei Punkte würden mich dazu interessieren:
1. Bei einigen Datenschutzbeauftragten habe ich gesehen, dass diese den o.g. Mustertext noch um folgende Passage erweitern:
“Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.”
Ist diese Erweiterung zu empfehlen bzw. ist diese erfoderlich?
2. Seite 12 der Google TOS endet mit einem Komma vor dem Unterschriftenblock. Fehlt hier noch etwas? Betreiber unterschreiben demnach auf Seite 2 und auf Seite 12?
Viele Grüße und danke für den tollen Service!
1. Der Passus muss rein und steht im 2ten Absatz des obigen Musters drin, allerdings kürzer: “Die IP-Anonymisierung ist auf dieser Website aktiv.”
2. Ich gehe davon aus, dass es ein Punkt sein sollte. Ja, Google hat den Vertrag mit zwei Unterschriftenfeldern gestaltet.
Vielen Dank für die schnelle Rückmeldung.
Eine Frage bleibt für mich noch offen – gibt es Übergangszeiten, um auf die neue Technik bzw. den entsprechenden Hinweistext umstellen und den Vertrag zur Auftragsdatenverarbeitung mit Google schließen zu können oder ist ab Festsetzung dieser neuen Regelung jede bisherige Verwendung sofort abmahnfähig? Bisher lag dieses Thema in einer Grauzone, weshalb es in der Praxis kaum zu Abmahnungen kam.
Das gilt ab sofort und ist derzeit nur für potentielle Bußgelder relevant. Abmahnfähig ist es ausgehend von der bisherigen Rechtsprechung nicht. Hier gilt das selbe wie für den Like-Button: http://spreerecht.de/facebook/.....t-abmahnen
Haben Sie die verlinkte PDF als Rechtsanwälte denn mal genauer angeschaut? Ich habe immer etwas Bauchweh derart große Vertragsungetümer als Laie zu “verstehen” und zu unterschreiben.
Ja, das “Ungetüm” ist so vom Gesetz vorgegeben, da die Auftragsvereinbarung soviele Angaben fordert.
wenn ich ehrlich bin, hab ich auch noch nicht wirklich verstanden, was mir das Vertragsgedöns sagen will…
Ich soll einen Vertrag mit Google schließen, warum?
Was passiert wenn ich es nicht tu?
Dann verstoßen Sie gegen das Bundesdatenschutzgesetz, weil Sie personenbezogene Daten der Nutzer an Google ohne einen Auftragsdatenverarbeitungsvertrag weiter geben. Zumindest nach Ansicht der Datenschützer.
D.h. wenn ich es nicht mache, bin ich stets der Gefahr ausgesetzt, irgendwann Abmahnugnen zu erhalten.
Reicht den ein Formular je Account, auch wenn da 50 Domains/Webseiten enthalten sind oder darf ich je Domain ein Brief an Tante Google schicken?
Danke und mit freundlichen Grüßen
Es reicht eine Vereinbarung.
Hallo. Widerspricht sich das nicht?
Als Agentur haben wir z.B. 3 GA-Accounts und geben auf Wunsch unseren Kunden Leserechte auf die Daten.
Muss jetzt also mein Kunde den Vertrag mit Google schließen oder muss ich als Website-Programmierer und Inhaber des GA-Accounts es? Ich bin allerdings ja nicht “inhaltlich verantwortlich”, sondern optimiere nur anhand der Daten die Website.
Muss ich also zukünftig für jeden Kunden ein eigenes Google-Analytics-Konto anlegen und ihn auffordern, den Vertrag mit Google zu schließen?
Bitte um eine Antwort.
Vielen Dank.
Guten Tag,
ist die Vereinbarung nach der Pressemeldung, dass ANALYTICS inzwischen dem deutschen Datenschutz entsprechen würde, nach wie vor notwendig?
Besten Dank für Ihre Hilfe.
Gruß
P. Magura
Die Vereinbarung lag der Pressemeldung zu Grunde, also ja: http://www.datenschutz-hamburg.....86b4ca78f5
Hi Thomas,
erstmal vielen Dank für den Disclaimer. Ich werde den die Tage auf meinen Webseiten dann mal einbauen :)
Bzgl. des Vertrages frage ich mich allerdings gerade: Wer muss den denn genau unterschreiben? Jeder der Zugriff via Analytics auf die Daten hat, oder nur der Webseiteninhaber, der auch im Impressum genannt ist?
Ich denke mal, der Webseiteninhaber, aber ich bin gerade etwas verwirrt, weil ich ja angeben muss, welche E-Mail Adresse ich für Google Analytics nutze. Unter meiner Adresse sind dort aber viele GA Konten verknüpft. Würde es denn reichen, wenn ich als Person das Ding einmal unterschreibe sofern ich der Webseitenbetreiber bin, oder muss ich das für jede meiner Seiten machen? Letzteres wäre natürlich ein gigantischer Aufwand für Leute, die viele Webseiten und viele GA Konten haben. Weißt du da etwas genaueres drüber?
besten dank,
Chris
Maßgeblich ist die datenschutzrechtlich verantwortliche Stelle und das wird der Websitebetreiber insgesamt sein, egal wie viele und welche Seiten er betreibt.
Okay, wenn ich das richtig verstehe, muss ich einfach diesen Code var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);
zu dem Code von Googel dazufügen? Den Vertrag mit Googel unterschreiben und die Musterbelehrung von Googel in meinen Datenschutz dazufügen??
Bin heute wohl etwas auf dem Kopfgefallen und verstehe irgendwie nur Bahnhof
so sollte es sein. Bei mir sieht das ganze dann komplett so in etwa aus (ich hoffe die Formatierung haut hier gleich halbwegs hin)
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXXX']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
})();
Was ist, wenn in meinem Analytics-Account 50 Konten mit je 2 Websiteprofilen sind – muss ich dann wirklich für jedes Konto einen Vertrag abschließen?
Eine Vereinbarung reicht aus.
Hallo. Ich habe da ein Frage bezüglich des Vertrages den man mit Google eingehen soll. Ich bin Webmaster aus HH und habe in ganz Deutschland Kunden. Für die habe ich in meinem Google Analytics Account Konten für Google Analytics angelegt. Muss nun jeder Kunde einen Vertrag zu Google schicken oder reicht es wenn ich als Webmaster einen zu Google schicke?
Danke für Informationen und weiter so. Sehr interessanter Blog.
Genau das interessiert mich auch, ich habe die Webseitenprofile für ein paar Kunden in meinem GA Account und nun stellt sich die Frage muss der Kunde mit Google so einen Vertrag schließen oder muss ich mit google diesen Vertrag schließen und selber mit den Kunden einen Auftragsdatenverarbeitungsvertrag schließen in dem wiederum geregelt ist das ich Google als “subunternehmer” beauftragen darf?
Ich hoffe da kann jemand etwas licht ins dunkel bringen.
Danke im Voraus ;)
Hi Thomas,
vielen Dank für deine Anleitung. Ich hoffe ja, dass Google die deutsche Gesetzgebung bald etwas ernst nimmt und selber pro aktiv auf seine Nutzer zugeht. Momentan ist der Weg ja noch sehr umständlich und wird sicherlich von den wenigstens Nutzern eingehalten.
Vielen Dank für ihre detaillierte Aufschlüsselung. Haben Sie schon von Abmahnungen erfahren oder können sie was zur Notwendigkeit der Anpassungen sagen?
Irgendwann fragen die User vor lauter Datenschutzhinweisen: Wo ist denn eigentlich der Content? Spaß beiseite, wie verhält es sich bspw. mit PIWIK? Gibt es hier auch vorgefertigte Erklärungen und Codes zum Einbinden?
Wenn der Analytics-Account auf eine Agentur läuft. Muss eine Agentur den Vertrag mit Google schließen, oder Kunde der Agentur? Seitenbetreiber ist ja immer der Seiteninhaber, sprich der Kunde, richtig?
Irgendwie verbinde ich das unterschreiben eines Vertrages auch immer mit anfallenden Kosten. Der Vertrag ist sehr lange und für mich als Laien nicht einfach zu verstehen. Bleibt Google Analytics denn auch mit abgeschlossenem Vertrag kostenlos? Nicht das ich am Ende die dicke Rechnung von Google erhalte. ;-)
Guten Tag,
haben sich alle den Vertrag auch gut durchgelesen?
Ich möchte mal folgendes anmerken:
Zitat
2.2 Google ist berechtigt, die Entgelte und Zahlungsbedingungen für den Service von Zeit zu Zeit zu ändern, [...]. Google wird Sie über Änderungen der Entgelte oder Zahlungsbedingungen über die Webseite [...] in Kenntnis setzen. Ihr fortgesetzter Gebrauch des Services nach einer solchen in Kenntnissetzung gilt als Annahme dieser Änderungen.
/Zitat Ende.
Das ist meines Erachtens eine Zeitbombe, die den Webmaster zwingt, täglich auf der Website von GA nachzuschauen, ob die nicht plötzlich Geld haben wollen.
Weiter…
Zitat
6.1 Die Software enthält für Sie kostenlos bestimmte sog. Open Source Softwareprogramme, deren Nutzung Gegenstand gesonderter weiterer Nutzungsrechtsvereinbarungen sind. [...]
6.2 Mit der Benutzung der Open Source Softwareprogramme oder der Software verpflichten Sie sich zur Einhaltung dieser zusätzlichen Nutzungsrechtvereinbarungen.
/Zitat
…kennen alle die OpenSource Bestimmungen vollständig? Ansonsten unterschreibt man hier echt blind einen Vertrag, in dem man sich zur Einhaltung unbekannter erweiterter Nutzungsrechtsvereinbarungen verpflichtet.
Weiter…
Zitat
7. WERBUNG
Sofern Sie Google schriftlich nichts Abweichendes mitteilen, räumen Sie Google und seinen verbundenen Unternehmen das beschränkte Nutzungsrecht zur Nutzung Ihrer Firmen- und Unternehmensbezeichnungen, Marken, Servicemarken, Logos, Domain-Namen und sonstigen unterscheidungskräftigen Kennzeichen (gleichgültig ob registriert oder nicht) (im Folgenden zusammenfassend „Kennzeichen“) in Präsentationen, Marketingmaterialien, Kundenlisten und Finanzberichten ein.
/Zitat
Das ist de facto die Abtretungserklärung aller eigenen Rechte nicht nur an Google Inc, sondern auch an hier nicht näher bezeichnete “verbundene Unternehmen”.
Weiter…
Zitat
9. HAFTUNGSFREISTELLUNG
Sie verpflichten sich, Google, [...] für jeden Verlust, für jede Haftung und/oder für sämtliche Kosten zu entschädigen, die dadurch entstehen, dass (i) Sie anwendbare Gesetze, Normen oder sonstige Regelungen im Zusammenhang mit der Nutzung des Service verletzen[...].
/Zitat
Das meint, dass der Webmaster Google entschädigt, wenn die verklagt werden, weil “Gesetze, Normen oder sonstige Regelungen” durch den Dienst verletzt wurden. Das heißt für den Webmaster, dass er nicht nur alle derartigen “Gesetze, Normen oder sonstige Regelungen” kennen und einhalten muss (…welche das auch immer sein mögen), sondern dass er sich auch ständig über aktuelle Änderungen dieser “Gesetze, Normen oder sonstige Regelungen” auf dem Laufenden halten musst – viel Spaß dabei.
Weiter…
Zitat
11.1 Google ist berechtigt, jederzeit und ohne Ankündigung den Service und/oder die Software zu verbessern und/oder zu verändern, vorausgesetzt, dass Ihnen diese Verbesserungen und/oder Veränderungen zumutbar sind.
/Zitat
Hier wird´s dann ganz abstrus. Änderungen werden von Google Inc. life durchgeführt, verstoßen dann evtl. plötzlich gegen “Gesetze, Normen oder sonstige Regelungen” – macht aber nix, denn man hat sich ja unter 11.1 zum Schadenersatz verpflichtet.
Ich selbst habe Google Analytics bisher für sechs meiner Websites inkl. der Stöberbox genutzt, habe GA aber gerade auf allen sechs abgeschaltet und die erhobenen Daten gelöscht.
Vielen Dank für diese aufschlussreiche und informative Seite!
Herzlichen Gruß,
Jürgen Eick
@Eick: Danke für das Augen öffnen. Man will sich ja nicht wirklich mit ellenlangen Vertragstexten beschäftigen, sondern lieber seiner Arbeit nachgehen. Fakt ist: Wer nicht unterschreibt, muss sich von GA verabscheiden. Schade um die viele Arbeit mit der Einrichtung der Profile inkl. Zielen usw. Wenn renommierte Anwälte im Vertragstext Mängel entdecken, ist dann mit einer Nachbesserung zu rechnen? Oder sollten wir davon ausgehen, dass es eher noch schlimmer kommt ;)
Denke es wird eher noch schlimmer werden. ;-) Mit dem Vertrag habe ich das Gefühl meine Seele zu verkaufen und Google einen Freibrief zu geben. Daher auch meine Frage nach möglichen Folgekosten. Das ist mit zu riskant und ich für meinen Teil werden dann lieber Piwik nutzen. Das ist nicht viel schlechter als GA.
Ich finde das ziemlich kompliziert. Wenn ich selbst mehrere Webseiten/Domains habe, brauche ich einen Vertrag. Das habe ich verstanden.
Muß der schriftliche Vertrag mit Google aber von jedem meiner Kunden einzeln geschlossen werden oder kann ich als Webseitenentwickler den Vertag mit google schließen, so dass er für die von mir erstellten Seiten (meiner Kunden) mit Analytics gilt?
sehr guter artikel vielen dank. ich denke, wenn man alle angeführten punkte berücksichtigt, kann man google analytics bedenkenlos verwenden.
Danke für die englische textvorlage!
gruß aus München