Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ

Das kostenlose Webanalyse-Tool Google Analytics wurde von Datenschutzbehörden schon immer kritisch betrachtet. Viele Datenschützer sehen die „Verfolgung“ der Nutzer über Webseiten hinweg und den Transfer ihrer Daten in die USA als datenschutzwidrig an.

Nachdem sich Google mit den deutschen Datenschutzbehörden 2011 geeinigt hatte, wird dessen zulässiger Einsatz seit dem Urteil des Europäischen Gerichtshofs zum „Safe Harbor„-Datentransfer-Abkommen erneut bezweifelt (s. Beitrag von RA Dr. Carlo Piltz). Das Gericht erklärte das Abkommen für ungültig (s. zu dem Thema meinen Blogbeitrag und den Rechtsbelehrung-Podcast Folge 30).

Seit Juli 2016 wurde jedoch als Nachfolger das neue „Privacy Shield“-Abkommen beschlossen, dem Google beigetreten ist.. Um Google Analytics hinreichend sicher nutzen zu können, reicht das jedoch noch nicht aus, weswegen ich Sie bitte die nachfolgende Anleitung nebst Datenschutzmuster, als auch die FAQ zu beachten.

Drei Schritte zur Rechtssicherheit

1. Schritt 1 – IP-Anonymisierung: Sie müssen den Analytics-Code um die IP-Masken-Methode „_anonymizeIp()“ ergänzen, damit die letzten 8bit der IP-Adresse Ihrer Nutzer gekappt werden (Weitere Hinweise bei Google).
2. Schritt 2 – Vertrag mit Google: Bitte schließen Sie als deutscher Nutzer diesen Vertrag über die Nutzung von Analytics mit Google ab. Der Vertrag wurde im September 2016 aktualisiert und enthält die notwendige Vereinbarung über die Verarbeitung der Daten Ihrer Websitebesucher durch Google in Ihrem Auftrag (Nutzer in Österreich, Schweiz und sonst in der EU können stattdessen den „Zusatz für Datenverarbeitung“ verwenden).
3. Schritt 3 – Datenschutzerklärung: Ergänzen Sie die Datenschutzerklärung um einen Hinweis auf die Nutzung von Google Analytics sowie die Widerspruchsmöglichkeit für Websitebesucher (sog. „Opt-Out“). Ein Muster finden Sie weiter unten.

Muster für Ihre Datenschutzerklärung

Bitte ergänzen Sie Ihre Datenschutzerklärung mit Hilfe des folgenden Musters. Es enthält die von Google und dem Gesetz vorgeschriebenen Informationen und ein Opt-Out für die Nutzer.

Bitte platzieren Sie das Muster nicht „versteckt“ im Impressum, sondern in einer eigenen Webseite „Datenschutz“ oder „Datenschutzerklärung“. Den Link zu dieser Webseite sollten Sie neben dem Impressumslink platzieren. Falls Sie den Hinweis im Impressum platzieren, dann sollte der Linktext nicht bloß „Impressum“, sondern „Impressum/Datenschutz“ lauten.

Google Analytics
Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden.

Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Weitere Informationen zur Datennutzung zu Werbezwecken durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfahren Sie auf den Webseiten von Google: https://www.google.com/intl/de/policies/privacy/partners/ („Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“), http://www.google.com/policies/technologies/ads („Datennutzung zu Werbezwecken“), http://www.google.de/settings/ads („Informationen verwalten, die Google verwendet, um Ihnen Werbung einzublenden“) und http://www.google.com/ads/preferences/ („Bestimmen Sie, welche Werbung Google Ihnen zeigt“).

Zusätzlich empfehle ich Ihnen ebenfalls eine Opt-Out-Option für mobile Nutzer zu ergänzen.

Hinweise zur Nutzungsberechtigung: Sie dürfen die Muster gerne für Ihre Seite übernehmen. Über eine Verlinkung als Dankeschön würden ich mich gerne freuen: Hinweis zu Google Analytics nach Muster von Rechtsanwalt Dr. Thomas Schwenke 

Hinweis zur Haftung: Die Muster sind mit bestem Wissen erstellt, es kann jedoch keine Haftung für sie übernommen werden, da diese einer Prüfung im Einzelfall bedarf. Wenn es Updates gibt, werde ich darauf hinweisen. Abonnieren Sie mein Blog oder werden Fan meiner Facebook-Seite, um die Updates nicht zu verpassen.

Häufige Fragen zu Google Analytics (FAQ) (zurück)

Bitte lesen Sie ebenfalls die folgenden Antworten auf die häufigsten Fragen, die ich zu Google Analytics erhalte.

• Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte?
• Kann ich die Rechtssicherheit noch weiter erhöhen?
• Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen?
• Muss ich ein Cookie-Banner auf meiner Website implementieren?
• Muss ich den Vertrag mit Google für jede Website abschließen?
• Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun?
• Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen?
• Warum muss ich einen Vertrag über die Verarbeitung von Nutzerdaten abschließen, wenn die IP-Adresse anonymisiert wird?
• Reicht alleine der Hinweis auf Google Analytics in der Datenschutzerklärung?
• Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?
• Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten?
• Gelten diese Vorgaben auch in Österreich und in der Schweiz?
• Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist?
• Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte?

Bin ich rechtlich absolut sicher, wenn ich diese Hinweise beachte? (zurück)

Sie sind, ausgehend von der derzeitiger Rechtslage, hinreichend rechtlich sicher. Die Auslegung der Gesetze im Datenschutzrecht ist nicht einheitlich und auch die Ansichten der Datenschutzbehörden sind kein Gesetz, sondern eben Ansichten. Das führt dazu, dass die Frage, ob eine hinreichende rechtliche Sicherheit gewahrt ist, sehr häufig eine Risikoeinschätzung ist. Ganz sicher wären Sie nur, wenn sie kein Google Analytics nutzen würden (eine sicherere Alternative ist z.B. die Open-Source-Software Piwik).

Bitte beachten Sie die nächste Frage, wenn sie die Rechtssicherheit noch weiter steigern möchten.

Kann ich die Rechtssicherheit noch weiter erhöhen? (zurück)

Ja, Sie können das Risiko beim Einsatz von Google Analytics noch weiter senken, wenn Sie eine erweiterte Widerspruchslösung anbieten, die sich insbesondere an Nutzer von mobilen Geräten richtet.

Bitte beachten Sie dazu die Umsetzungshinweise von Google: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable sowie meinen Beitrag mit einem Beispiel der Umsetzung: Google Analytics -Mobile Nutzung zwingt zum Update der Datenschutzerklärung (Anleitung).

Ich empfehle Ihnen, sofern im Rahmen der Möglichkeiten, auch diese Widerspruchslösung umzusetzen, da sie von den Datenschutzbehörden gefordert wird. Das obwohl mir bisher keine Fälle bekannt sind, in denen deren Fehlen problematisch wurde. Ferner werden technische Kenntnisse voraussetzt und die Umsetzungshinweise von Google können je nach Anwendungsfall nicht ausreichend sein.

Ich nutze Google Analytics schon seit langem, habe aber die obigen Vorgaben nicht beachtet. Muss ich irgendetwas berücksichtigen? (zurück)

Sofern Sie Google Analytics bisher genutzt haben, ohne die obigen Schritte zu beachten, müssen Sie laut Datenschutzbeauftragten alle bisher durch Google Analytics erhobenen Daten löschen. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen. Beachten Sie dazu Hinweise in der FAQ.

Ich habe bisher noch von keinem Fall gehört, in dem dieser Punkt problematisiert wurde. Denn für Dritte ist es praktisch nicht erkennbar, ab wann Sie Google Analytics rechtmäßig nutzen. Möchten Sie jedoch auf Nummer Sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.

Muss ich ein Cookie-Banner auf meiner Website implementieren? (zurück)

Ob ein Cookie-Banner notwendig ist, ist umstritten. Auch Google verlangt ein Cookie-Banner nur in manchen Fällen und, zumindest derzeit, nicht wenn Sie lediglich Google Analytics nutzen. Bitte lesen Sie dazu meinen Beitrag: Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter. Wenn Sie jedoch auf Nummer Sicher gehen und mögliche Unwägbarkeiten berücksichtigen wollen, dann implementieren Sie ein Cookie-Banner in Ihre Website.

Muss ich den Vertrag mit Google für jede Website abschließen? (zurück)

Den Vertrag müssen Sie pro Account (bzw. „Konto“ auf deutsch) abschließen, mit dem Sie Google Analytics nutzen. Wenn Sie unterschiedliche Accounts für unterschiedliche Websites verwenden, dann müssen Sie auch mehrere Verträge abschließen.

Ich habe bereits einen Vertrag mit Google abgeschlossen. Muss ich es erneut tun? (zurück)

Wenn Ihr Vertragsschluss vor dem 23. September 2016 erfolgte, dann empfehle ich Ihnen einen erneuten Vertrag abzuschließen. Der alte Vertrag nahm noch auf das „Safe Harbor“-Abkommen Bezug, das vom Europäischen Gerichtshof für ungültig erklärt wurde.

Ich bin eine Agentur, muss ich den Vertrag mit Google für meine Kunden abschließen? (zurück)

Wenn Sie Google-Analytics-Accounts im Namen Ihrer Kunden anlegen, dann sollten Sie den Vertrag ebenfalls im Namen Ihres Kunden abschließen, bzw. den Kunden auf den Abschluss des Vertrages hinweisen.

Warum muss ich einen Vertrag über die Verarbeitung von Nutzerdaten abschließen, wenn die IP-Adresse anonymisiert wird? (zurück)

Zum einem weil die Datenschutzbehörden es so wollen (das ist eine pragmatische Sichtweise). Zum anderen ist die IP-Adresse nur ein Datum, über den der Bezug zu einer bestimmten Person hergestellt werden kann. Daneben werden noch viele weitere Daten durch Google erhoben. Ferner wird zwar der Begriff „Anonymisierung“ verwendet, aber es ist durchaus vertretbar, dass es keine Anonymisierung im Sinne des Datenschutzrechts, sondern lediglich eine technische Schutzmaßnahme zu Gunsten der Nutzer ist. Denn auch ohne die beiden letzten Stellen kann die IP-Adresse im Verbund mit anderen Daten (z.B. der URL und dem Zeitpunkt der Nutzung) zu einem Personenbezug führen.

Reicht alleine der Hinweis auf Google Analytics in der Datenschutzerklärung? (zurück)

Die Datenschutzerklärung sollte allgemeine Angaben zur Datennutzung enthalten, sowie spezielle Nutzungen, wie z.B. im Kontaktformular, im Rahmen eines Shopeinkaufs, beim Einsatz von Newslettern, Youtube-Videos oder sonstigen Dritt-Tools beinhalten. Ferner sollten die Nutzer über deren Auskunfts-, Änderungs- und Löschungsrechte aufgeklärt werden. D.h. der Hinweis auf Google Analytics ist notwendig, bei modernen Websites jedoch im Regelfall nicht alleine ausreichend.

Eine Datenschutzerklärung für typische, private Websites können Sie mit Hilfe meines Datenschutzgenerators erstellen. Diese können auch bei geschäftlichen Websites genügen, jedoch empfehle ich hier die individuelle Erstellung einer Datenschutzerklärung. Falls Sie ein Angebot wünschen, schicken Sie mir eine Anfrage unter Angabe Ihrer Website-URL.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in mobilen Apps beachten?

Ja, die Vorgaben gelten auch für die mobile Nutzung von Google Analytics. Allerdings sollten Sie eine Widerspruchslösung in Ihrer App mit Hilfe eines Schalters „Google Analytics ein/aus“ o.ä. umsetzen.

Muss ich die obigen Schritte auch beim Einsatz von Google Analytics in Web-/Facebook-Apps beachten? (zurück)

Ja, die Vorgaben gelten auch für die Web-Apps oder Facebook-Apps (z.B. bei Gewinnspielen). D.h. auch die Apps müssen die IP-Adressen anonymisieren lassen und eine Datenschutzerklärung enthalten.

Gelten diese Vorgaben auch in Österreich und in der Schweiz? (zurück)

Generell gilt das maßgebliche Datenschutzrecht genauso in Österreich und in der Schweiz. Allerdings ist die Auslegung und Durchsetzung (noch) national uneinheitlich. Der „Deal“ mit Google wurde von eine deutschen Behörde erzwungen.

Allerdings wird nach der ab 25. Mai 2018 geltenden Datenschutzverordnung (DSGVO), der Abschluss des Vertrages der Rechtssicherheit der Nutzung von Google Analytics in ganz EU dienen (das gilt auch für Schweiz, auch wenn die DSGVO nicht auf die Schweiz anwendbar ist.)

D.h. ich empfehle Ihnen die IP auch in Österreich und der Schweiz zu anonymisieren und den Vertrag abzuschließen. Wobei nur deutsche Nutzer den schriftlichen Weg wählen müssen. Außerhalb Deutschlands kann hierzu ganz einfach der „Zusatz für Datenverarbeitung“ akzeptiert werden.

Weiß ich immer, wenn Google Analytics auf meiner Website aktiv ist? (zurück)

Diese Frage mag Ihnen vielleicht etwas befremdlich vorkommen, hat aber eine hohe Relevanz. Es gibt viele Plugins, Widgets oder sonstige Dritt-Anbieter-Tools, die Google Analytics „mitbringen“, ohne dass Sie es merken. Bitte nutzen Sie das Add-on/Plugin „Ghostery“ in Ihrem Browser und rufen damit Ihre Website auf. Dann können Sie erkennen, ob Google Analytics oder sogar andere Tracker auf Ihrer Website aktiv sind. Alle durch das Plugin angezeigten Tracker, müssen ebenso wie Google Analytics, ebenfalls in Ihrer Datenschutzerklärung erwähnt werden.

Was droht mir, wenn ich die Vorgaben für den Einsatz von Google Analytics nicht beachte? (zurück)

Datenschutzbehörden verschicken regelmäßig Fragebögen zum Einsatz von Google Analytics. Bußgelder werden zwar bisher im Regelfall nicht verhängt. Trotzdem können die Folgen unangenehm werden. Wenn Sie die obigen Schritte 1 bis 3 nicht beachten, dann müssen Sie mit einer Untersagungsverfügung und Pflicht ihren Google Account zu löschen, rechnen. Ferner vermitteln Sie so den Eindruck, den Datenschutzvorgaben nicht genug Aufmerksamkeit zu widmen, was ein Anlass für eine vertiefte Datenschutzprüfung Ihrer Website oder gar ihres Unternehmens sein kann.

Des Weiteren drohen auch Abmahnungen durch Privatpersonen oder klagebefugte Organisationen, wie z.B. die Verbraucherschutzzentralen. Dies gilt vor allem, wenn Sie die Datenschutzhinweise und die Opt-Out-Möglichkeiten nicht angeben. In bisherigen Gerichtsverfahren sahen die Gerichte in solchen Fällen insbesondere auch Wettbewerbsverstöße (z.B. Abmahnung wegen fehlerhafter Datenschutzerklärung, Abmahnbarkeit fehlerhafter Datenschutzerklärung erneut bestätigt).

Updates

• Update 03.10.2016 – Ich habe in den FAQ die Antwort auf die Frage „Gelten diese Vorgaben auch in Österreich und in der Schweiz?“ ergänzt.
• Update 07.10.2016 – Kanzlei Sieling berichtet von einem aktuellen Fall, in dem das LG Hamburg eine einstweilige Verfügung erlassen hat, nachdem eine Webseite nicht über den Einsatz von Google Analytics informiert hat (LG Hamburg, Beschl. vom 9.8.2016, 406 HKO 120/16).
• Update 21.02.2017 – Die Hamburger Datenschutzbehörde hat heute ihre Hinweise zum Einsatz von Google Analytics aktualisiert. Sie entsprechend diesem Beitrag. D.h. wenn Sie meine Hinwweise bisher beachtet haben, müssen nichts weiter unternehmen.
• Update 11.10.2017 – Hinweis auf den neuen „Zusatz für Datenverarbeitung“ und Erleichterungen für Nutzer aus Österreich und der Schweiz (und bald  auch Deutschland).

[callto:datenschutz_generell]