Google Analytics rechtskonform verwenden

Google Analytics bietet Website-Betreibern die Möglichkeit, sehr ausführliche Statistiken über die Besuche Ihrer Website zu erhalten. Das ist praktisch - denn so weiß man zum Beispiel, welche Inhalte besonders interessant sind und welche man sich eher sparen kann oder schlecht gefunden werden. Daher wird Google Analytics von vielen Website-Betreibern verwendet. Oft wissen diese aber nicht, dass es ein paar Dinge zu beachten gibt, wenn man dieses Statistik-Tool rechtssicher verwenden möchte.

In den letzten Jahren hat Google Analytics immer wieder für Furore gesorgt, da Google evtl. zu viele Daten der Besucher sammelt, speichert und diese zusammenführt - insbesondere die Speicherung vollständiger IP-Adressen stieß Datenschützern auf.

Seit einiger Zeit gilt für Websitebetreiber daher Folgendes zu beachten, um Google Analytics datenschutzkonform einzuwenden:

  1. Vertrag

    Zwischen Google und dem Websitebetreiber muss ein schriftlicher Vertrag zur Sicherstellung des ordnungsgemäßen Umgangs mit den Daten abgeschlossen werden, welcher mit den Datenschutzaufsichtsbehörden abgestimmt wurde. 
    Diesen finden Sie hier: www.google.com/analytics/terms/de.pdf

  2. IP-Adressen müssen anonymisiert werden

    Um Google Analytics auf Ihrer Seite einzubinden, erhalten Sie von Google nachfolgenden Code. Ergänzen Sie ihn, genau wie Sie es auch hier sehen können, durch den rot markierten Text:

    <script>
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

    ga('create', 'UA-69184710-1', 'auto');
    ga('set', "anonymizeIp", true);
    ga('send', 'pageview');

    </script>

  3. Nutzen Sie stattdessen Google Analytics auf Ihrer Musterwebsite Philippus, müssen Sie den Code nicht einbinden. Stellen Sie lediglich sicher, dass unter "Privatsphäre" das Häkchen bei "IP-Adressen von Besuchern anonymisieren" gesetzt ist. (In der Regel ist dies schon voreingestellt.)
  4. Datenschutzerklärung auf Ihrer Website anpassen und Widerspruch ermöglichen

    Sie müssen Ihre Besucher darüber informieren, dass Sie Google Analytics verwenden.
    Außerdem bietet Google die Möglichkeit, ein Add-On zu installieren, falls ein Internetnutzer mit der Datenerhebung nicht einverstanden ist. Installiert man es in seinem Browser, wird Google Analytics nicht mehr ausgeführt und die eigenen Daten nicht gespeichert. Auch auf dieses Add-On müssen Sie  in Ihren Datenschutzhinweisen hinweisen. WICHTIG: Diese müssen lt. BayLDA direkt auf Ihrer Startseite oder auf einer Unterseite, welche von der Startseite aus über einen Link wie "Datenschutzerklärung" oder "Datenschutzhinweis" erreichbar ist, stehen.
    Nehmen Sie folgende Ergänzung vor: 


    Diese Webseite benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Computer der Nutzer gespeichert werden und die eine Analyse der Benutzung der Website durch sie ermöglichen. Die durch den Cookie erzeugten Informationen über Benutzung dieser Website durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Auf dieser Webseite wurde die IP-Anonymisierung aktiviert, so dass die IP-Adresse der Nutzer von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt wird. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um die Nutzung der Website durch die Nutzer auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; Dieses Angebot weist die Nutzer jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren. Der aktuelle Link ist:

    "http://tools.google.com/dlpage/gaoptout?hl=de.“
    (Quelle: BayLDA

  5. Altdaten löschen

    Hatten Sie bereits Google Analytics auf Ihrer Seite eingebunden bevor Sie die oben genannten Maßnahmen ergiffen haben, müssen Sie alle bisher erhobenen Daten löschen. Hierfür müssen Sie lt. BayLDA Ihr bisheriges Google-Analytics-Profil löschen und ein neues eröffnen. Näheres hier.

 

Ich möchte ausdrücklich darauf hinweisen, dass wir zwar gewissenhaft recherchiert haben, allerdings jedoch keine Juristen sind - daher sind alle Angaben ohne Gewähr. Sollten Sie hierzu weitere Fragen haben, wenden Sie sich bitte an einen Anwalt Ihres Vertrauens oder an das Bayerische Landesamt für Datenschutzaufsicht (onlinepruefung@lda.bayern.de)
Desweiteren ist dieser Blogeintrag für Websitebetreiber in Bayern geschrieben worden. Kommen Sie aus einem anderen Bundesland, informieren Sie sich bitte bei der jeweiligen Datenschutzbehörde.

Weitere Infos:

Nachtrag Nicola Rössert 09.10.2019:

Ab dem 25. Mai 2018 sind für dem staatlichen Bereich zuzurechnende Dienstanbieter daneben die Vorschriften des Art. 13 der Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die DSGVO gilt allerdings nicht für den kirchlichen Bereich. Hier gilt weiterhin ausschließlich das EKD-Datenschutzgesetz (DSG), das aber parallel zum Inkrafttreten der DSGVO zum 24. Mai 2018 novelliert wurde. Dessen § 17 ist dem Art. 13 DSGVO erkennbar nachgebildet, so kann man sich an den Standards orientieren, die auch für den dem staatlichen Recht unterworfenen Bereich gelten.  In diesem Zusammenhang haben wir für unsere Musterwebsites eine anpassbare Datenschutzerklärung entsprechend dem zum 24. Mai 2018 novellierten Datenschutzgesetzes der EKD erstellt. Die Datenschutzerklärung kann über Checkboxes mit einzelnen Textbausteinen entsprechend dem Status Ihrer Musterwebsite zusammengestellt werden.

Um Google Analytics rechtskonform zu nutzen bedarf es inzwischen einer „Zustimmung zum Zusatz der Datenverarbeitung“. Hier erfahren Sie, was zu tun ist.