DSGVO und Google Analytics

Autor: Martin Baier

Ich habe mich bereits dem Facebook Pixel gewidmet, doch wir sollten auf keinen Fall Google Analytics vergessen. Für die meisten wird sich wahrscheinlich nicht viel ändern, aber es gibt trotzdem ein paar Dinge zu beachten. Vor allem sollte man mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen.

Hinweis: Ich bin kein Anwalt, sondern Online-Marketing-Manager. Damit stellt dieser Artikel also keine rechtliche Beratung dar. Er entspricht allerdings dem Wissen, welches wir uns im Rahmen der DSGVO angeeignet haben. Wir bieten auch Unterstützung bei Anpassungen an.

Alles anonym!

Nach wie vor ist es wichtig, dass alle Daten für Analytics anonym erhoben werden. Dies bedeutet man sollte keine personenbezogenen Daten zu Analytics hochladen. Die Verwendung von User IDs, welche das Tracking über verschiedene Gerät hinweg erlauben, sollte ebenfalls vermieden werden. Auch IPs von Nutzern gelten als personenbezogene Daten. Deswegen sollte man bei der Nutzung des Analytics Codes darauf achten, dass die Anonymisierung der IPs aktiviert ist. Dies geht sowohl mit dem alten Analytics Code, als auch mit der neueren gtag.js Lösung. Bei letzterem würde der Code z.B. wie folgt aussehen:

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXX-1"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  gtag('config', 'UA-xxx-1', { 'anonymize_ip': true });
</script>

Damit sind wir allerdings noch nicht komplett allen Anforderungen der DSGVO nachgekommen.

Datenschutzerklärung und Opt-Out

Selbstverständlich braucht ihre Datenschutzerklärung ebenfalls einen Hinweis auf die Nutzung von Analytics. Darin muss darauf hingewiesen werden, wie Nutzer dieser Art von Tracking widersprechen können. Im Falle von Analytics sollte der Hinweis auf das Opt-Out Plug in hinzugefügt werden. Ebenfalls ist ein Opt-Out Link nötig, den z.B. auch mobile Nutzer problemlos nutzen können. Hierfür gehen wir ähnlich vor wie beim Facebook Pixel. Wir fügen einfach folgendes Javascript hinzu:

<script>
// Umändern zu der UA-Nummer welche das Property hat
var gaProperty = 'UA-XXXX-Y';

// Tracking deaktivieren wenn der Opt-Out Cookie existiert
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}

// Opt-Out Funktion
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}
</script>

Damit haben wir eine Javascript Funktion, welche das Tracking deaktiviert, wenn der Opt-Out Cookie existiert. Fehlt also nur noch ein Link im Datenschutz, welcher den Cookie setzt. Dieser könnte so aussehen:

<a>Google Analytics dektivieren</a>

Wenn nun jemand auf diesen Link klickt, wird das Javascript ausgeführt welches den Cookie setzt. Daraufhin wird der Nutzer nicht mehr getrackt.

Recht auf Löschung

Das Recht auf Löschung ist ebenfalls wichtig in der DSGVO. Sie sollten Ihre Nutzer also darauf hinweisen wie lange diese Daten gespeichert werden. Der Standard liegt bei 26 Monaten, dieser kann allerdings auch in Analytics geändert werden. Den Eintrag dafür finden Sie in Verwaltung -> Tracking-Informationen -> Datenspeicherung.

Auch wird Google noch weitere Funktionen vor dem 25.5.2018 hinzufügen, welche es einem erlauben werden Daten einzelner Nutzer zu löschen.

Briefpost ist auch nötig!

Leider sind damit immer noch nicht allen Anforderungen der DSGVO nachgekommen. Da wird Daten an dritte Weitergeben, ist auch noch ein Vertrag zur Auftragsdatenverarbeitung (ADV) nötig. Den ADV-Vertrag kann man bei Google finden. Diesen muss man unterschrieben in zweifacher Ausführung zu Google in Irland schicken. Die Adresse ist im Dokument zu finden und der Vorgang ist auch noch mal auf der ersten Seite erklärt.

Damit wären Sie für den Google Analytics Einsatz unter der DSGVO gewappnet. Wenn noch Fragen bestehen sollten, oder Sie unsere Hilfe benötigen, treten sie mit uns in Kontakt. Wir bieten auch einen Service für DSGVO Anpassungen an.

Contunda-Wertung