Der Einsatz von Google-Analytics ist nur unter Beachtung bestimmter Datenschutzvorgaben zulässig. Auf diese hatten sich 2011 der Hamburger Datenschutzbeauftragte und Google geeinigt. Diese Vorgaben sind jedoch ohne großes öffentliches Echo aktualisiert worden, wie Datenschutzbeauftragter.info berichtet.
In diesem Beitrag erkläre ich Ihnen mit Hilfe von Beispielen, wie Sie die neuen Vorgaben umsetzen können.
Hinweis: Dieser Beitrag behandelt nur das Update des Opt-Outs. Wie Sie Google-Analytics im Ganzen rechtssicher einsetzen können, erfahren Sie in dem Beitrag, Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster. Ferner habe ich auch unseren Datenschutz-Generator um die neue Opt-Out-Möglichkeit ergänzt.
Neue Vorgaben wegen mobiler Nutzung
Der Einsatz von Google Analytics ist nur dann zulässig, wenn die Nutzer eine Opt-Out-Möglichkeit haben (d.h. der künftigen Erfassung widersprechen können). Um dieser Anforderung nachzukommen, bietet Google seit 2011 ein Browser-Add-On an.
Seit dem Jahr 2011 hat jedoch die mobile Nutzung von Websites immens zugenommen. Das Browser-Add-On funktioniert jedoch nicht innerhalb von mobilen Browsern. Hierzu bietet Google leider nur die unten aufgeführte und umständliche Lösung an, die Arbeiten „unter der Haube“ einer Website oder einer App erfordern.
Der Hamburger Datenschutzbeauftragte hält diese Lösung für notwendig,
z.B. bei einem Webangebot, das speziell für die mobile Nutzung ausgelegt ist
Das heißt innerhalb mobiler Apps oder mobiler Web-Apps, bzw. innerhalb spezieller Websites für Mobilgeräte, muss die Ergänzung eingefügt werden. Ob das auch der Fall ist, wenn eine Website ein responsives Thema nutzt oder eine Vielzahl mobiler Zugriffe aufweist, kann ich nicht abschließend beantworten. Dazu habe ich eine Anfrage beim Datenschutzbeauftragten gestellt und warte derzeit auf die Antwort.
Im Hinblick auf die Zunahme der Relevanz mobiler Geräte, empfehle ich Ihnen jedoch bereits heute und vor allem bei Neuentwicklungen die folgende Opt-Out-Lösung zu verwenden.
Opt-Out-Code für alle Browser einbinden
Laut Google müssen Sie die Opt-Out-Lösung wie folgt umsetzen:
- Diesen Javascript-Code vor dem eigentlichen Google-Analytics-Code im Quellcode Ihrer Website einbinden (Quelle: Google). Dabei müssen Sie den Wert „UA-XXXX-Y“ mit Ihrem eigenen Google Analytics Code ersetzen. *Update* Daniel zeigt wie man diesen Code und den regulären Google Analytics Code verbinden kann.[code language=“javascript“ gutter=“false“]<script>
// Set to the same value as the web property used on the site
var gaProperty = ‚UA-XXXXXXXX-Y‘;
var disableStr = ‚ga-disable-‚ + gaProperty;// Disable tracking if the opt-out cookie exists.
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
}
</script>
[/code] - Damit dieser Code ausgeführt werden kann, müssen Sie den Google-Analytics-Abschnitt in Ihrer Datenschutzerklärung um diesen HTML-Code ergänzen:[code language=“html“ gutter=“false“]
Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, <a href="javascript:gaOptout()" title="Google Analytics Opt-Out-Cookie setzen"> klicken Sie bitte diesen Link</a>, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern (das Opt Out funktioniert nur in dem Browser und nur für diese Domain). Dabei wird ein Opt-Out-Cookie auf Ihrem Gerät abgelegt. Löschen Sie Ihre Cookies in diesem Browser, müssen Sie diesen Link erneut klicken.
[/code]
Optimierung mit jQuery
Das Opt-Out kann mit Hilfe von jQuery schöner und ohne Javascript im HTML-Code gelöst werden. Der Vorteil ist, dass der Nutzer so ein Feedback erhält, ob der Cookie gesetzt ist (jQuery ist z.B. bei WordPress enthalten) und belehrt wird in welchem Browser & Domain das Opt-Out funktioniert (danke dazu an Frank).
- Der obige Opt-Out-Code (oben Punkt 1) muss eingebunden werden.
- Danach muss die Ergänzung der Datenschutzerklärung angepasst werden:
[code language=“html“ gutter=“false“]
Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, <a id="GAOptOut" href="javascript:void(0);">klicken Sie bitte diesen Link</a>, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern (das Opt Out funktioniert nur in diesem <span id="GAOptOutBr">Browser</span> und nur für diese <span id="GAOptOutDom">Domain</span>). Dabei wird ein Opt-Out-Cookie auf Ihrem Gerät abgelegt. Löschen Sie Ihre Cookies in diesem Browser, müssen Sie diesen Link erneut klicken.
[/code] - Anschließend müssen Sie diesen Code in Ihre Website einfügen:
[code language=“javascript“ gutter=“false“]
<script>
jQuery(document).ready(function(){jQuery(‚#GAOptOut‘).click(function() {
gaOptout();
GAOptOutFeedback ();
})if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
GAOptOutFeedback ();
}function GAOptOutFeedback () {
jQuery(‚#GAOptOutBr‘).before(navigator.appName+‘-‚);
jQuery(‚#GAOptOutDom‘).after(‚: <a href="’+window.location.origin+’">’+window.location.origin+'</a>‘);
jQuery(‚#GAOptOutFeedback‘).remove();
jQuery(‚#GAOptOut‘).after(‚<span id="GAOptOutFeedback" style="color:#FF0000"> (Stand: Opt-Out-Cookie ist gesetzt)</span>‘);
};});
</script>
[/code]
Fazit & Risikoeinschätzung
Google erfüllt die Vorgaben der Datenschützer, in dem es eine Opt-Out-Möglichkeit bietet. Dabei ist die Umsetzung angesichts der Bedeutung von Analytics sehr benutzerunfreundlich. Andere Trackingdienste bieten bereits einen einfachen Code oder Links zu zentralen Opt-Out-Seiten. Ich hoffe, hier wird sich etwas in der Zukunft ändern.
Sofern sie ein spezielles Angebot für mobile Geräte anbieten, sollten Sie die Änderungen auf jeden Fall durchführen. Bei regulären Websites empfehle ich es ebenfalls, auch wenn ich hier zumindest (noch) nicht mit Maßnahmen von Datenschutzbehörden rechne.
Jedoch sind auch Abmahnungen seitens von Mitbewerbern (und Nutzern) möglich, weswegen ich empfehle, auf Nummer sicher zu gehen und die Änderungen vorzunehmen.
Update 15.12.2013
- Danke sehr für den Kommentar von Frank und dessen wertvollen Hinweise ich umgesetzt habe (bis auf das Opt-Out-Pop-Up, hier muss jeder für sich entscheiden, ob das mit der Benutzerfreundlichkeit einhergeht). Insbesodere ist die Opt-Out-Belehrung um die Beschränkung auf Domain & Browser ergänzt (bei jQuery mit Ausgabe der Domain).
- Ebenfalls danke an Daniel, der den vollständigen Google Analytics Code gepostet hat. D.h. regulärer GA-Code und der Opt-Out-Code verbunden.
[callto:buch_datenschutz]
Guten Tag Herr Schwenke,
herzlichen Dank für diesen wertvollen Hinweis. Ist es möglich den jetzt neuen html-Code für Google-Analytics in kompletter Version zu bekommen? Das wäre super!
Herzliche Grüße aus der Region Stuttgart
Klaus Steinseifer
S. den Kommentar von: https://drschwenke.de/google-analytics-mobile-nutzung-update-anleitung/comment-page-1/#comment-12732
Erstmal danke für den Hinweis und den Code!
Ich finde diese Möglichkeit auch bei normalen Webseiten einen guten Service an die Seiten-Besucher, die nicht von Google-Analytics getrackt werden wollen. Es funktioniert über Javascript und das ist auch gut so, denn auch Google-Analytics läuft mit Javascript und wenn man dieses abgeschaltet hat, betrifft es einen sowieso nicht. Folglich gibt es hier keine Lücke.
Aber aus dem Text geht meiner Meinung nach zu wenig deutlich hervor, dass auf jeden Fall das Script von Google eingebunden werden muss, weil anschließend jQuery auf die Funktion gaOptout() darin zurückgreift. Also es muss beides rein.
Den jQuery-Code kann man getrost unter den Footer unterbingen, also am Ende der Webseite vor dem schließenden /body-Tag. Nur sollte dabei noch das anführende script- und das schließende /script-Tag nicht vergessen werden, sonst wird es als HTML-Text auf der Seite angezeigt 🙂
In der Erklärung könnte noch darauf hingewiesen werden, dass es nur diese eine Domain betrifft, unter der man die Seite gefunden hat (manche haben mehrere Domains zu ihrer Seite geschaltet) und dass es auch nur den jeweiligen Browser betrifft, mit dem man das Opt-Out ausgeführt hat. Surfe ich z.B. das erste mal mit Firefox die Seite an und dann mit dem IE, muss ich mit dem IE noch einmal das Opt-Out Cookie setzen.
Praktisch wäre es, wenn gleich beim Aufbau der Startseite ein Javascript-Alert erscheint, in dem eben dieses Opt-Out angeboten wird, falls nicht schon bereits das Cookie gesetzt wurde. Dann könnten sich Besucher gleich vor dem ersten Tracking davon aus nehmen.
Nur könnte die Usability darunter schwer leiden, wenn bei jedem Seitenbesuch 10 oder mehr Abfragen kommen, ob man vom Tracking ausgenommen werden will. Und zu jedem müsste man dann auch noch den Text dazu durchlesen …
Herzlichen Dank, ich habe die Tipps mit Autorenhinweis umgesetzt. Bis auf den pop-up Hinweis, wobei dieser bei einer datenschutzrechtlich besonders perfekten Website angebracht wäre.
Bei mir hat folgender (vollständiger Analytics) Code funktioniert. Da ist dann auch anonymizeIp() mit drin:
// Set to the same value as the web property used on the site
var gaProperty = 'UA-xxxxxxxx-1';
var _gaq = _gaq || [];
_gaq.push(['_setAccount', gaProperty]);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
// Disable tracking if the opt-out cookie exists.
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
Ebenfalls herzlichen Dank, der Code ist oben im Text mit Autorenhinweis verlinkt. Freut mich sehr.
Wenn man den Cookie auch für alle Subdomains einer Domain setzen möchte, kann man „path=/“ ersetzen durch „path=/;domain=example.com“ (hierbei example.com durch die eigene domain ersetzen). Ob man das möchte hängt aber von der jeweiligen Situation ab, generell empfehlen würde ich es nicht.
Hallo und guten Tag, Herr Schwenke,
wenn man alle Code-Schnipsel ordnungsgemäß (hoffe ich!) eingebaut hat und innerhalb der Datenschutzerklärung auf „Klicken Sie auf diesen Link“ klickt, passiert leider gar nichts, außer dass da steht „javascript:void (0);“.
Ich habe extra nochmal in IHRER Datenschutzerklärung nachgeschaut (denn Sie schienen ja zu wissen, wie es geht!), weil ich dachte, mein Programmierer und ich hätten was falsch gemacht, aber bei Ihnen passiert das Gleiche „javascript:void(0);“. Müsste da nicht ein richtiger Link aufgehen?
Mit freundlichen Grüßen
Michaela Albrecht
Eine Seite geht nicht auf, es muss lediglich das Cookie gesetzt werden. Ich habe es nochmal getestet und es lief.
Auch mit jquery erschien „(Stand: Opt-Out-Cookie ist gesetzt)“. D.h. es kann an Browsereinstellungen, Addons o.ä. liegen. Lassen Sie bitte jmd. drüberschauen, der sich mit Javascript auskennt. Ich bin in dem Feld kein Experte, so dass ich leider nicht weiß, welcher Fehler es möglicherweise sein könnte.
Auch bei mir hat die jQuery Variante keine Funktion.
@ Michael und Heiko
Meistens läuft dann jQuery nicht oder die Version passt nicht zusammen.
Man kann z.B. hier seinen Code testen: http://jsfiddle.net/
Man kann auch sowas einbauen: if (jQuery) { alert(„jQuery loaded“); }
Oder dieses: $(document).ready(function() { alert(‚hi‘); });
Ich habe die Kombination jQuery 1.10.2 und folgenden Code, oben im Head:
// Disable tracking if the opt-out cookie exists.
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
}
Und unter dem Footer vor /body:
jQuery(document).ready(function(){
jQuery(‚#GAOptOut‘).click(function() {
gaOptout();
GAOptOutFeedback ();
})
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
GAOptOutFeedback ();
}
function GAOptOutFeedback () {
jQuery(‚#GAOptOutFeedback‘).remove();
jQuery(‚#GAOptOut‘).after(‚ (Stand: Opt-Out-Cookie ist gesetzt)‘);
};
});
Natürlich noch die Script-Tags am Anfang und Ende des Codes.
Bei mir Läuft es aber viele haben ihrem Code auch mit ajax.googlezeugs eingebunden, so dass manche Scriptblocker externe Scripts oder Requestblocker externe Anfragen blocken. Dann geht auch kein jQuery.
Ich habe mal eine Variante mit Feedbackfunktion erstellt die ohne jQuery funktioniert (mit anonymisierter IP und der universellen Tracking-Methode). Hier der komplette Code:
// diesen Code direkt vorm schliessenden head-Tag einfügen
var gaProperty = 'UA-XXXX-Y';
var gaDomain = 'mysite.com';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
gaOutputFeedback();
}
function gaOutputFeedback() {
var feedback = document.getElementById('ga-optoutput-feedback');
if (feedback !== null) feedback.style.display = 'inline';
}
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', gaProperty, gaDomain);
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
Der folgende Code muss ans Ende des HTML-Dokumentes:
// diesen Code direkt vorm schliessenden body-Tag einfügen
(function() {
if (document.cookie.indexOf(disableStr + '=true') > -1) {
gaOutputFeedback();
}
})();
In der Datenschutzerklärung selbst muss dann an gewünschter Stelle der Feedback-Text wie folgt gesetzt werden:
{span id="ga-optoutput-feedback" style="display:none;color:red;"}(Stand: Opt-Out-Cookie ist gesetzt){/span}
Guten Morgen Herr Schwenke,
ich hätte mal eine andere Frage, ist es möglich bzw. rechtens eine APP anzubieten, die keine opt-out Lösung beinhaltet und stattdessen den Nutzer in Kenntnis zu setzen, dass eine Nutzung der APP nur mit der Aktivierung von Google Analytics möglich ist? Sozusagen eine entweder oder Lösung, „entweder sie stimmen der Nutzung von Google Analytics zu, dann können sie die APP nutzen, oder sie stimmen dem nicht zu, dann können sie die APP nicht nutzen.
Gibt es hierzu rechtliche Grundlagen, Entscheidungen oder Beiträge von Fachkreisen?
Vielen Dank im Voraus.
Hallo,
jetzt ist meine Datenschutzerklärung bzgl. Google Analytics wohl fast perfekt. Wie sieht es denn aus wenn ich die „Berichte zur Leistung nach demografischen Merkmalen und Interessen“ und „Erweiterte Linkzuordnung verwenden (In-Page-Analyse)“ bei Google Analytics aktiviere? Kommen dann evtl. noch extra Passagen in der Datenschutzerklärung dazu?
Hallo,
ich nutze firefox mit dem add-on ghostery. Warum wird mir immer noch ein Analytics Cookie angezeigt, wenn ich den Link bei Ihnen in der Datenschutzerklärung anklicke?
Viele Grüße
Marc
p.s. mir gefällt Ihre Webseite. Danke für die tollen Informationen.