Google Analytics & DSGVO – Anleitung für möglichst rechtssichere Nutzung, Mustertext und FAQ

Das kostenlose Webanalyse-Tool Google Analytics ist sehr beliebt, wurde aber seit jeher von den Datenschutzbehörden skeptisch betrachtet. Daran ändert sich auch mit der Datenschutzgrundverordnung (DSGVO) nichts.

In diesem Beitrag geht es aber nicht um die grundsätzlichen Fragen der Zulässigkeit des Einsatzes von Google Analytics. Zu diesem nicht einfachen Thema verweise ich auf meine u.g. Beiträge.

Ich persönlich halte den Einsatz von Google Analytics für zulässig, wobei man diskutieren kann, ob einzelne Optionen zulässig sind (Analytics Audiences oder die User ID).

In diesem Beitrag gehe ich jedoch davon aus, dass Sie sich für den Einsatz von Google Analytics entschieden haben und wissen möchten, wie Sie die Risiken möglichst gering halten. Das erkläre ich Ihnen in der folgenden Anleitung.

Sind Tracking, Cookies und Google Analytics zulässig? Laut Datenschutzbehörden ist dies nur mit einem Opt-In zulässig, nach anderen Ansichten ohne. Die unübersichtliche Rechtslage und warum ein Cookie-Banner nicht automatisch ein Opt-In darstellt, beantworte ich in dem Beitrag: „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies„. Die Grundlagen zum Thema Onlinemarketing erhalten Sie im Beitrag „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies„.

Schritt 1 – Datenschutz-Vertrag mit Google abschließen

Bitte schließen Sie in jedem Fall den „Zusatz zur Datenverarbeitung“ in den Kontoeinstellungen im Verwaltungsbereich ab und geben weitere Daten zu den zuständigen Personen und den Kontaktmöglichkeiten ab.

Der Zusatz stellt einen Auftragsverarbeitungsvertrag dar, der das Risiko der Analytics-Nutzung erheblich senkt (Art. 28 DSGVO). Google verpflichtet sich damit zum Schutz der verarbeiteten Nutzerdaten und weiteren Mitwirkungen.

Allerdings nimmt der Vertrag auf einen bereits bestehenden Hauptvertrag Bezug und modifiziert diesen. Ich gehe davon aus, dass damit die generellen Vertragsbedingungen von Google Analytics gemeint sind (also die AGB), die Sie mit der Nutzung von Analytics abschließen. Wenn Sie vorsichtig sein möchten, dann schließen Sie den alten Analytics-Vertrag ebenfalls ab (wobei er nur den deutschen Kunden zur Verfügung steht, weswegen er m.E. nicht notwendig ist, da sonst alle anderen Nutzer „vertragslos“ wären).

Zustimmung zum Auftragsverarbeitungsvertrag per Klick? Nach der DSGVO ist eine „Schriftform“ für den Vertragsschluss vorgesehen, da Google sich das Recht vorbehält, Subunternehmer zu beauftragen (Art. 28 Abs. 2 DSGVO). Allerdings ist es nicht dieselbe Schriftform, wie im deutschen § 126 BGB, wo eine handschriftliche Unterschrift verlangt wird. Es ist noch nicht geklärt, was die Schriftform bedeutet, aber wohl mehr als einen Klick. Jedoch geht zumindest Google davon aus, dass es für eine Qualifizierung des Klicks als Schriftform ausreicht, dass der Vertrag nur durch verifizierte und angemeldete Nutze von Analytics abgeschlossen werden kann.

Schritt 2 – IP-Anonymisierung

Sie müssen den Analytics Code so einstellen, dass Google die IP-Adresse der Nutzer kürzt und so deren Daten pseudonym verarbeitet. Damit werden die letzten 8bit, bzw. zwei Stellen der IP-Adresse Ihrer Nutzer gekappt.

Dies können Sie entweder in der Software, mit der Sie Google in Ihre Website implementieren, einstellen. Alternativ können Sie den Analytics-Code um die IP-Masken-Methode „_anonymizeIp()“ ergänzen.

Schritt 3 – Universal Analytics mit User ID abstellen

Die einheitliche User ID erlaubt es Google Nutzer viel effektiver zu tracken, insbesondere auf unterschiedlichen Geräten. Dieses so genannte „Cross-Device-Tracking“ wird von vielen Juristen als Grenze zur einer Opt-In-Pflicht betrachtet. Wenn Sie deren Überschreitung nicht riskieren möchten, dann sollten Sie Google Analytics nicht als Universal Analytics mit einer User ID nutzen.

Eine Frage der Risikoeinschätzung: In diesem Beitrag geht es um die Minderung der Risiken, daher empfehle ich Ihnen z.B. die User-ID oder die Zielgruppenfunktionen abzuschalten. Das heißt aber nicht, dass ich sie generell für unzulässig halte oder gar empfehlen würde, sie  in jedem Fall nicht zu nutzen. Derzeit ist auch die Nutzung einer User ID juristisch vertetbar (d.h. nicht abwegig). Zumindest bis es in dieser Hinsicht höchstgerichtliche Entscheidungen gibt.

Schritt 4 – Remarketing-Zielgruppen (Audiences) abstellen

Sie können mit Hilfe von Google Analytics die so genannte „Audiences“- bzw. „Zielgruppen“-Funktion nutzen. Dabei werden Zielgruppen für Werbeanzeigen gebildet. D.h. Sie können z.B. bestimmte Websitebesucher als Zielgruppe für Ihre Google-Anzeigen auswählen.

Das Risiko dieser Maßnahme ist zwar höher als beim Analytics in der Grundversion, aber geringer als bei der User ID.

Schritt 5 – Die Speicherdauer der Nutzerdaten verkürzen

Neu ist die Möglichkeit die Speicherdauer der Nutzerdaten zu begrenzen. Sie sollten dabei die kürzeste Dauer von 14 Monaten wählen.

Feste Vorgaben gibt es nicht, dem Gesetz nach dürfen Sie die Daten solange speichern, wie dies erforderlich für Ihre Zwecke ist. Zudem müssen Ihre Zwecke die Interessen der Nutzer an der zeitnahen Löschung ihrer Daten überwiegen (Art. 6 Abs. 1 lit. f. DSGVO). Solange Sie diese beiden Voraussetzungen nicht begründen können, bleiben Sie bei 14 Monaten Speicheerdauer.

Schritt 6 – Datenschutzerklärung ergänzen

In jedem Fall müssen Sie eine Datenschutzerklärung anbieten, in der Sie die Nutzer auf die Art der Nutzung von Analytics (z.B. ob mit oder ohne User ID) sowie die Widerspruchsmöglichkeiten hinweisen müssen (Art. 12, 13 DSGVO).

Das nachfolgende Muster berücksichtigt die Nutzung von Google Analytics in der Grundversion. Falls Sie die User ID oder Analytics Audiences einsetzen möchten, verwenden Sie bitte unserem Datenschutz-Generator.

Google Analytics

Wir setzen auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Google Analytics, einen Webanalysedienst der Google LLC („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere, mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen, uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter folgendem Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Weitere Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten, erfahren Sie in der Datenschutzerklärung von Google (https://policies.google.com/technologies/ads) sowie in den Einstellungen für die Darstellung von Werbeeinblendungen durch Google (https://adssettings.google.com/authenticated).

Die personenbezogenen Daten der Nutzer werden nach 14 Monaten gelöscht oder anonymisiert.

Erstellt mit Datenschutz-Generator.de von RA Dr. Thomas Schwenke

Beachten Sie bitte zudem, dass das Muster darauf ausgelegt ist, dass kein Opt-In der Nutzer eingeholt wird. Falls ein Opt-In eingeholt wird, müssen Sie den ersten Satz wie folgt formulieren:

Wir setzen auf Grundlage Ihrer Einwilligung gem Art. 6 Abs. 1 lit. a., Art. 7 DSGVO) Google Analytics, einen Webanalysedienst […]

Hinweise zur Nutzungsberechtigung: Sie dürfen den obigen Abschnitt zu Google Analytics gerne für Ihre Webseite übernehmen. Wir bitten Sie nur um die Verlinkung mit: Erstellt mit Datenschutz-Generator.de von RA Dr. Thomas Schwenke. Hinweis zur Haftung: Die Muster sind mit bestem Wissen erstellt, es kann jedoch keine Haftung für sie übernommen werden, da diese einer Prüfung im Einzelfall bedarf. Wenn es Updates gibt, werde ich darauf hinweisen. Abonnieren Sie mein Blog oder werden Fan meiner Facebook-Seite, um die Updates nicht zu verpassen.

Schritt 7 – Eigenes Analytics-Opt-Out

Ferner sollten Sie beachten, dass die Opt-Out-Möglichkeit von Google (d.h. die Widerspruchsmöglichkeit gem. Art. 21 DSGVO), in Form eines Plugins angeboten wird. Das Plugin funktioniert dagegen nicht in Mobilgeräten.

Aus diesem Grunde sollten Sie ein eigenes Opt-Out anbieten, wobei Sie dieses selbst z.B. mit Hilfe von JavaScript programmieren könnten.

Zunächst müssen Sie die folgende Passage in Ihrer Datenschutzerklärung ergänzen:

Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, klicken Sie bitte diesen Link, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern:

Analytics-Opt-Out.

Dabei wird ein Opt-Out-Cookie auf Ihrem Gerät abgelegt. Löschen Sie Ihre Cookies, müssen Sie diesen Link erneut klicken.

Wie Sie diese Opt-Out-Möglichkeit mit Hilfe von Javascript-Befehlen beim Klick auf den obigen Link umsetzen können, erklärt Google in der Anleitung zur „disable Tracking„-Eigenschaft.

Es bleibt zu hoffen, dass Google demnächst eine eigene Opt-Out-Lösung für alle Geräte anbietet.

Mit diesem Schritt ist die rechtliche Einrichtung abgeschlossen und für weitere Fragen verweise ich auf die folgende FAQ zu Google Analytics:
Hörtipp: Unsere Podcastfolgen zur Datenschutzgrundverordnung mit Grundlagen (DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54) und Umsetzungstipps für die Praxis (DSGVO: Datenschutzerklärung FAQ – Rechtsbelehrung Folge 55).

Häufige Fragen zu Google Analytics (FAQ) (zurück)

Bitte lesen Sie ebenfalls die folgenden Antworten auf die häufigsten Fragen, die ich zu Google Analytics erhalte.

• Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte?
• Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen?
• Muss ich ein Cookie-Banner auf meiner Website implementieren?
• Muss ich den Vertrag mit Google für jede Website abschließen?
• Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun?
• Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen?
• Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?
• Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten?
• Gelten diese Vorgaben auch in Österreich und in der Schweiz?
• Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist?
• Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte?

Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte? (zurück)

Das ist derzeit leider nicht einfach zu sagen. Die Auslegung der Gesetze im Datenschutzrecht ist nicht einheitlich und auch die Ansichten der Datenschutzbehörden sind kein Gesetz, sondern eben Ansichten. Das führt dazu, dass die Frage, ob eine hinreichende rechtliche Sicherheit gewahrt ist, sehr häufig eine Risikoeinschätzung ist. Ganz sicher wären Sie nur, wenn sie kein Google Analytics nutzen würden (eine sicherere Alternative ist z.B. die Open-Source-Software Matomo).

Weitere Erläuterungen finden Sie in dem Beitrag „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies„.

Ferner bietet Google Analytics unzählige Möglichkeiten des Einsatzes abhängig von miteingesetzten Tools, Arten und Zwecke der Auswertung oder Einsatzorten. Eine abschließende Einschätzung lässt sich da nur im Einzelfall treffen.

Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen? (zurück)

Sofern Sie Google Analytics bisher genutzt haben, ohne die obigen Schritte zu beachten, müssen Sie laut Datenschutzbeauftragten alle bisher durch Google Analytics erhobenen Daten löschen. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen. Beachten Sie dazu Hinweise in der FAQ.

Ich habe bisher noch von keinem Fall gehört, in dem dieser Punkt problematisiert wurde. Denn für Dritte ist es praktisch nicht erkennbar, ab wann Sie Google Analytics rechtmäßig nutzen. Möchten Sie jedoch auf Nummer Sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.

Muss ich ein Cookie-Banner auf meiner Website implementieren? (zurück)

Nicht nur die Datenschutzbehörden, auch Google selbst verlangt eine Einwilligung in die Nutzung seiner Dienste (zumindest wenn dies zu Werbezwecken geschieht), wobei dies m.W. praktisch bisher nie durchgesetzt wurde.

Wenn Sie jedoch von einem Opt-In im Sinne der DSGVO ausgehen, dann dürfte der Google Analytics-Code erst dann in die Website eingebunden können, wenn Nutzer ausdrücklich auf „OK“ oder „Einverstanden“ im Cookie-Banner geklickt haben. Daher bringen die meisten der heutzutage vorzufindenden Cookie-Banner rechtlich keine Vorteile, da Google Analytics bereits aktiv ist. Die heute vorzufindenden Cookie-Hinweise sind daher bloß deutlichere Hinweise auf die Datenschutzerklärung.

Wie ein Opt-In-Cookie aussehen sollte, finden Sie in meinem Beitrag zum Tracking erklärt.

Muss ich den Vertrag mit Google für jede Website abschließen? (zurück)

Den Vertrag müssen Sie pro Account (bzw. „Konto“ auf Deutsch) abschließen, mit dem Sie Google Analytics nutzen. Wenn Sie unterschiedliche Accounts für unterschiedliche Websites verwenden, dann müssen Sie auch mehrere Verträge abschließen.

Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun? (zurück)

Wenn Sie den Zusatz zur Datenverarbeitung bereits akzeptiert haben, müssen Sie vorerst nichts unternehmen. Ich gehe davon aus, dass Google Sie informieren wird, wenn ein neuer Vertrag abgeschlossen werden muss.

Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen? (zurück)

Wenn Sie Google-Analytics-Accounts im Namen Ihrer Kunden anlegen, dann sollten Sie den Vertrag ebenfalls im Namen Ihres Kunden abschließen, bzw. den Kunden auf den Abschluss des Vertrages hinweisen. Sie müssen dann die Daten des Kunden als Verantwortlichen bei Analytics eintragen.

Schließen Sie dagegen den Vertrag mit Google ab und sind Verantwortlicher, dann sollten Sie mit dem Kunden einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO über die Verarbeitung der analyticsbezogenen Daten mit dem Kunden abschließen.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?

Ja, die Vorgaben gelten auch für die mobile Nutzung von Google Analytics. Allerdings sollten Sie eine Widerspruchslösung in Ihrer App mit Hilfe eines Schalters „Google Analytics ein/aus“ o.ä. umsetzen.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten? (zurück)

Ja, die Vorgaben gelten auch für die Web-Apps oder Facebook-Apps (z.B. bei Gewinnspielen). D.h. auch die Apps müssen die IP-Adressen anonymisieren lassen und eine Datenschutzerklärung enthalten.

Gelten diese Vorgaben auch in Österreich und in der Schweiz? (zurück)

Die DSGVO ist ein europäisches Recht, daher gilt das oben gesagte genauso für Österreich. Mit dem Unterschied, dass die Risiken beim Einsatz von Google Analytics in Österreich weitaus geringer sind als in Deutschland (Milderungen bei Datenschutzverstößen und keine Abmahnungen).

Was die Schweizer angeht gilt dasselbe, allerdings mit einem noch geringeren Risiko, da die Schweizer generell datenschutzrechtlich etwas liberaler denken (Hinweis, das gilt meines Wissens und kann im Einzelfall abweichen).

Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist? (zurück)

Diese Frage mag Ihnen vielleicht etwas befremdlich vorkommen, hat aber eine hohe Relevanz. Es gibt viele Plugins, Widgets oder sonstige Dritt-Anbieter-Tools, die Google Analytics „mitbringen“, ohne dass Sie es merken. Bitte nutzen Sie das Add-on/Plugin „Ghostery“ in Ihrem Browser und rufen damit Ihre Website auf.

Dann können Sie erkennen, ob Google Analytics oder sogar andere Tracker auf Ihrer Website aktiv sind. Alle durch das Plugin angezeigten Tracker, müssen ebenso wie Google Analytics, ebenfalls in Ihrer Datenschutzerklärung erwähnt werden.

Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte? (zurück)

Datenschutzbehörden verschicken regelmäßig Fragebögen zum Einsatz von Google Analytics. Bußgelder werden zwar bisher im Regelfall nicht verhängt. Trotzdem können die Folgen unangenehm werden. Wenn Sie die obigen Schritte nicht beachten, dann müssen Sie mit einer Untersagungsverfügung und Pflicht Ihren Google Account zu löschen, rechnen. Ferner vermitteln Sie so den Eindruck, den Datenschutzvorgaben nicht genug Aufmerksamkeit zu widmen, was ein Anlass für eine vertiefte Datenschutzprüfung Ihrer Website oder gar Ihres Unternehmens sein kann.

Des Weiteren drohen auch Abmahnungen durch Privatpersonen oder klagebefugte Organisationen, wie z.B. die Verbraucherschutzzentralen. Dies gilt vor allem, wenn Sie die Datenschutzhinweise und die Opt-Out-Möglichkeiten nicht angeben. In bisherigen Gerichtsverfahren sahen die Gerichte in solchen Fällen insbesondere auch Wettbewerbsverstöße (z.B. Abmahnung wegen fehlerhafter Datenschutzerklärung, Abmahnbarkeit fehlerhafter Datenschutzerklärung erneut bestätigt).

Hinweis: Dieser Beitrag wurde am 22.05.2018 neu überarbeitet und an die DSGVO angepasst.

Werbung in eigener Sache: