Google Analytics datenschutzkonform implementieren entsprechend der DSGVO

Updates im April 2018:

a) Im Artikel findest du unter Punkt 2.) auch die Anonymisierungsfunktion für den neuen Global Site Tag (gtag.js).

b) Im Rahmen der im Mai 2018 in Kraft tretenden Datenschutzgrundverordnung(DSGVO) muss die Datenschutzerklärung aktualisiert werden. Mehr Informationen dazu gibt es bei e-recht 24: https://www.e-recht24.de/datenschutzgrundverordnung.html 

Google Analytics hat, was den Datenschutz angeht, nicht gerade den besten Ruf. Die Skepsis ist groß, denn wer weiß schon welche Daten eigentlich aufgezeichnet werden? Dabei hat sich Google in den letzten Jahren mit den Datenschützern in Deutschland zusammengesetzt, und gemeinsam wurde eine Lösung erarbeitet, damit Website-Betreiber Google Analytics datenschutzkonform einsetzen können und Nutzer sichergehen können, dass ihre Daten auf der Website nicht erfasst werden.

Nun stellt dieser Artikel natürlich keine Rechtsberatung dar. Ich fasse hier die entsprechenden Vorgaben bezüglich des datenschutzkonformen Einsatzes von Google Analytics zusammen. Im Rahmen der DSGVO muss auch der Text für die Datenschutzerklärung angepasst werden. Du kannst dafür einen Generator wie den von eRecht24 nutzen  oder den Text der Website Datenschutzbeauftragter-info.de verwenden.

Achte generell darauf, dass der Generator, den du zur Erstellung der Datenschutzerklärung verwendest, schon an die DSGVO angepasst ist und bedenke, dass ein Generator keine Rechtsberatung ersetzen kann.

In diesem Artikel soll es hauptsächlich darum gehen, wie kleinere Unternehmen oder Selbstständige, die ihre WordPress-Websites in Eigenregie betreiben, die Vorgaben der DSGVO auch ohne Programmierkenntnisse mit Hilfe von Plugins umsetzen können.

Wer sich mit WordPress auskennt, hat selbstverständlich immer die Möglichkeit, den Google Analytics Tracking Code, der bei dem Anlegen des Kontos erstellt wird, manuell einzutragen. Typischerweise kommt er in der header.php vor den schließenden Head-Tag </head>. Beachte dann aber trotzdem die Code-Erweiterung (siehe Punkt 2). Solltest du deinen Tracking-Code noch einmal brauchen, findest du ihn im Konto unter Verwaltung/Property/Tracking Informationen/Tracking Code.

Folgende Lösung wurde mit den Datenschützern erarbeitet:

1.) Einen Vertrag zur Auftragsdatenverarbeitung mit Google schließen (bis zum Inkrafttreten der DSGVO)

Den Vertrag findest du hier: http://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf. Drucke ihn zweifach aus und schicke beide Exemplare zu Google. Die Adresse findest du in dem PDF. Google schickt eines der beiden von dir unterschriebenen Exemplare wieder zurück. Das kann allerdings etwas dauern, manchmal nur eine Woche, manchmal aber auch bis zu vier Monate.

Google Analytics ist jetzt gemäß dem EU-US-Datenschutzschild (Privacy Shield-Abkommen zwischen der EU und den USA) zertifiziert. Dieses Abkommen löst das Safe-Harbour Abkommen ab, das vom Europäischen Gerichtshof für unzureichend erklärt hatte. Es geht hier um die Festlegung, wie persönliche Daten in die USA übertragen werden und wie der Datenschutz gewährleistet werden kann.
Du musst zwar durch die Zertifizierung von Google nichts in deinem Google Analytics Account ändern, allerdings muss die Anonymisierungsfunktion immer noch hinzugefügt werden (siehe Punkt 2).

Der Zusatz zur Datenverarbeitung

Seit einiger Zeit gibt es auch im Google Analytics-Konto die Möglichkeit dem Vertrag über die Auftragsverarbeitung als „Zusatz zur Datenverarbeitung“ zuzustimmen, was für Österreicher und Schweizer interessant sein dürfte. Allerdings benötigt man in Deutschland momentan weiterhin eine handschriftliche Unterschrift, zumindest bis zum Inkrafttreten der DSGVO. Mehr Infos dazu unter https://drschwenke.de/google-analytics-datenschutz-zusatz-zur-datenverarbeitung.

 

 

 

Zusatz zur Datenverarbeitung Google Analytics

2.) Die IP-Adressen anonymisieren mit der Anonymisierungsfunktion für analytics.js und gtag.js

Damit keine vollständigen IP-Adressen an die Google Server übertragen werden, bist du verpflichtet dem Google Analytics Tracking Code eine Anonymisierungsfunktion hinzuzufügen.

2.1.) Der neue Google Analytics Tracking Code (Global Site Tag – gtag.js)

Seit Ende letzten Jahres gibt es einen neuen Code in den Google Analytics Konten, den sog. Global Site Tag. Du kannst weiterhin den bisher verwendeten Universal Tracking Code verwenden (analytics.js) und musst momentan noch nichts umstellen, denn es ist ja auch erst mal nur eine Beta-Version. Mit diesem neuen Code soll übrigens eine Vereinfachung des Trackings in Verbindung mit anderen Google Produkten wie AdWords erreicht werden. Wenn Du den Google Tag Manager oder ein Plugin verwendest, um den Code auf deiner Website zu implementieren, sollte die Umstellung wahrscheinlich dann automatisch vonstatten gehen.

2.2.) Die Anonymisierungsfunktion für gtag.js

Der neue Tracking Code sieht wie folgt aus:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-XXXXXX-X“></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());

gtag(‚config‘, ‚UA-XXXXXX-X‘);
</script>

Die folgende Anonymisierungsfunktion (in rot) muss manuell hinzugefügt werden:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-XXXXXX-X“></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());

gtag(‚config‘, ‚UA-XXXXXX-X‘, { ‚anonymize_ip‘: true });
</script>

2.3.) Die Anonymisierungsfunktion für analytics.js

Wenn du Universal Analytics verwendest, sieht der Tracking Code wie folgt aus.

<script>

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚website.de‘);
ga(’send‘, ‚pageview‘);

</script>

Füge nun die Anonymisierungsfunktion hinzu (in rot):

<script>

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚website.de‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);

</script>

3.) Die Anonymisierungsfunktion (analytics.js oder gtag.js) mit Hilfe eines Plugins aktivieren

Und wie macht man das konkret auf seiner WordPress-Seite? Wer diese Code-Erweiterung nicht manuell in die header.php eintragen möchte, kann alternativ auch ein Plugin verwenden. Und obwohl ich sonst sehr zurückhaltend mit Plugins bei WordPress bin, kann ich das folgende Plugin empfehlen.

Google Analytics Plugin Monster-Insights

https://wordpress.org/plugins/google-analytics-for-wordpress/

Warum? Wenn du das Plugin verwendest, brauchst du nur noch den Haken für die Anonymisierungsfunktion setzen  und schwupps ist die Sache erledigt. Natürlich musst du vorab die sogenannte UA-Nummer deines Google Analytics Accounts eingegeben haben.

Monster-Insights Tracking

Das Plugin ist auch deshalb besonders empfehlenswert, weil es in Google Analytics auch Outbound-Links trackt (wie oft wurde auf Links geklickt, die zu anderen Website verweisen) und das Aufrufen von PDFs ausgewiesen werden, was sonst nur durch Änderung des Tracking Codes möglich ist.

Bitte denke vor der Installation eines Plugins immer daran ein Backup Deiner Datenbank und WordPress-Dateien zu machen.

4.) Ein Widerspruchsrecht einräumen

Dass man als Website-Betreiber ein Impressum haben muss, dürfte sich hinreichend herumgesprochen haben. Aber es ist auch nötig, dass du eine extra Seite für die Datenschutzerklärung in WordPress anlegst. Auf dieser Seite erklärst du deinen Besuchern, welche Daten gesammelt werden, welche sozialen Plugins du verwendest etc.

Speziell für Google Analytics musst du einen Link anbieten, der es Nutzern ermöglicht ein Add-on zu installieren, mit dem verhindert wird, dass die Daten des Nutzers erfasst werden. Dies ist das Deaktivierungs-Add-On: https://tools.google.com/dlpage/gaoptout?hl=de.

Es steht für alle möglichen Browser zur Verfügung. Du kannst es auch selbst verwenden, damit du dich nicht selbst trackst, wenn du dich auf deiner eigenen Website befindest. Wenn du mehrere Browser und Geräte verwendest, musst du das Add-On überall installieren. Wenn du irgendwann einmal alle Cookies löschst, werden auch die Cookies des Deaktivierungs-Add-On gelöscht.

Übrigens, solltest du mit dem Google Analytics Plugin von Yoast auch die demografischen Merkmale und Interessen in deinem Google Analytics Account aktivieren wollen, musst du dies auch in der Datenschutzerklärung erwähnen. Das gilt auch, wenn du z.B. Google AdSense verwendest.

5.) Nutzern von mobilen Geräten ein Widerspruchsrecht einräumen

Das Deaktivierungs-Add-On ist schön und gut für Desktop-Computer, aber es funktioniert nicht für mobile Geräte. Aber immer mehr Leute sind mit Smartphone oder Tablet unterwegs oder nutzen diese zu Hause. Hier hat Google nun ein weiteres Script entwickelt, das im Quelltext VOR dem Google Analytics Script eingefügt werden muss:

<script>

var gaProperty = ‚UA-XXXXXXX-X‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
}

</script>

Ist es richtig installiert, hat der Nutzer die Möglichkeit einen Link anzuklicken, damit seine Daten auf der Website nicht mehr erfasst werden. Dazu muss im Text folgender Code-Schnipsel verwendet werden.

<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Das Problem ist nun folgendes: verwendet man bereits das Google Analytics Plugin von Monster Insights und hat das Script nicht von Hand in die entsprechende Datei in WordPress eingefügt, ist es gar nicht so einfach, herauszufinden, wo man dieses zusätzliche Script nun tatsächlich im Quelltext einbauen soll.

Da schafft ein weiteres Plugin elegante Abhilfe, das wunderbar mit dem Google Analytics Plugin zusammenarbeitet, das Google Analytics Opt Out. Einfach das Plugin installieren und die UA-Nummer eingeben.


Google Analytics Opt-Out Plugin

 

Nun muss nur noch der Text in die Datenschutzerklärung eingegeben werden, der Nutzer von mobilen Geräten auf diese Möglichkeit hinweist und anklickbar gemacht werden. Das Plugin bietet dazu einen Shortcode. Das Icon (eine Schere) findet man in der oberste Leiste im Editor. Damit diese Schere erscheint muss in den Einstellungen des Plugin der Haken bei „Editor“ gesetzt werden. Wie mir berichtet wurde (siehe in den Kommentaren), kann das zu einer Fehlermeldung führen, nämlich „Failed to load plugin-url“. Dann bitte den Haken wieder entfernen. Den entsprechenden Shortcode kann man nämlich auch manuell eingeben.

Klickt man auf die Schere in der Menüzeile, erscheint der Text „Click here to opt-out.“ mit dem Shortcode, was folgendermaßen im HTML-Text aussieht:

[google_analytics_optout]Click here to opt-out.[/google_analytics_optout]

Sinngemäß sollte hier auf deutsch natürlich etwas stehen wie Textvorschlag der Website Datenschutzbeauftragter-info.de.

Wenn Nutzer nun auf den Link in der Datenschutzerklärung klicken, erhalten sie folgende Meldung:

 

Google Opt Out mit Plugin

 

Laut der Website Datenschutzbeauftragter-info.de kann „aktuell jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen.“

Übrigens kann das Google Analytics Opt-out Skript sehr einfach auch über den Google Tag Manager implementiert werden. Es ist sicher empfehlenswert, sich zu überlegen, ob man nicht grundlegend mit dem GTM arbeitet, um Tags zu implementieren, wie den Google Analytics Tracking Code, das Opt-Out, das Facebook-Pixel und weitere Tracking-Möglichkeiten, die der Standard-Code nicht bietet.

Fazit

Wie eingangs erwähnt, stellt dieser Artikel keinerlei Rechtsberatung dar, sondern bietet nur eine Anleitung, wie die Vorgaben auf einer WordPress-Website auch für Laien umgesetzt werden können. Wende dich am besten an einen spezialisierten Rechtsanwalt. Es ist für alle Website-Betreiber immer gut, wenn sie sich regelmäßig auf dem Laufenden halten, was die aktuellen rechtlichen Bestimmungen sind.

Dies gilt  vor allem, wenn im Mai 2018 die sogenannte Datenschutzgrundverordnung in Kraft tritt. Mehr Infos dazu findest du beispielsweise unter https://www.e-recht24.de/datenschutzgrundverordnung.html.

Webmaster, die die oben erwähnten Punkte beachten, können nun sicher die Argumente, die gegen den Einsatz von Google Analytics sprechen, widerlegen. Wer immer noch unsicher ist oder wem Google Analytics zu umfangreich ist, der kann immer noch auf andere Lösungen wie z.B. Piwik/Matomo zurückgreifen. Die Daten, die dort erfasst werden, reichen vielen Blogbetreibern völlig aus. Google Analytics hingegen spielt seine volle Wirkung vor allem auch im Zusammenspiel mit Google AdWords und der Google Search Console aus. Auch für Online-Shops ist Google Analytics mit seinen E-Commerce-Funktionen in jedem Fall interessant.

 

Ich stimme der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden. Weitere Informationen zu Cookies und dem Ihnen zustehenden Widerspruchsrecht erhalten Sie in der Datenschutzerklärung

Schließen