Google Analytics nicht DSGVO-konform: Wie nutze ich Google Analytics rechtlich sicher?

Google Analytics nicht DSGVO-konform: Wie nutze ich Google Analytics rechtlich sicher?

  • Im Februar 2022 hat die französische Datenschutzbehörde CNIL jetzt Google Analytics wegen US-Datentransfers für unzulässig erklärt;
  • Bereits im Januar 2022 wurde Google Analytics von der Datenschutzbehörde in Österreich für illegal erklärt; Google Analytics sei nicht mit der DSGVO kompatibel
  • Geklagt hatte Datenschutzanwalt Max Schrems, der auch schon Safe Harbor und Privacy Shield gekippt hat

Nicht erst seit der Datenschutz-Grundverordnung (DSGVO) ist Monitoring eine heikle Sache im Web-Business. Deutsche Gerichte haben häufiger geurteilt und den Datenschutz dabei mehr und mehr zu einem Teil des Wettbewerbsrechts gemacht.

Meine Meinung zum Verbot in Frankreich und Österreich

Bislang ist die ganze Sache noch gar nicht so heiß, wie man denken könnte. Klar hat in Frankreich und Österreich die Datenschutzbehörde Google Analytics effektiv für illegal erklärt. Aber es gibt einige Punkte, die den Fall abmildern:

  1. Google Analytics war eigentlich schon immer illegal: Seit Inkrafttreten der DSGVO (und in Deutschland eigentlich schon vorher) waren US-amerikanische Dienste illegal, wenn sie nicht vorher akzeptiert wurden
  2. Der Beschluss wurde in einem konkreten Fall getroffen: Die Datenschutzbehörde hat nicht allgemein geurteilt, sondern in einem Fall beschlossen.
  3. Es wurde von einer Behörde beschlossen: Es war kein rechtskräftiges Gerichtsurteil oder Ähnliches. Natürlich haben auch Behörden Befugnisgewalt, aber die kann man anfechten, bspw. vor Gericht.
  4. Es ist im Ausland passiert: Das heißt auch, dass diese Gesetze nur dort gelten. Frankreich und Österreich sind zwar Teil der Europäischen Union, aber der Beschluss wurde von der nationalen Datenschutzbehörde gefällt und gilt damit auch nur in dem jeweiligen Land. Das hat mit Machtgrenzen zu tun.
  5. Allerdings kann sich das verbote ausweiten: Das wird auch deutlich. Nach Österreich im Januar 2022 hat Frankreich bereits im Februar 2022 nachgezogen. Weitere Länder können folgen; die Luft wird hier langsam dünn für Google

Dass Datenschutz zum Wettbewerbsrecht gezählt wird heißt vor allem: Abmahnungen und Prozesse werden teurer. Im Wettbewerbsrecht werden in der Regel höhere Summen abgemahnt als beim Menschenrecht, worunter das Datenschutzrecht bis etwas Mitte der 2010er vor allem gezählt wurde.

Vor allem Google-Dienste werden hierzulande besonders stark von staatlichen Stellen wie Datenschutzbehörden kontrolliert. Das bedeutet auch, dass Angebote wie Google Analytics rechtlich sicher sein sollten.

Guide: Google Analytics DSGVO-fest machen

Was kann ich jetzt tun? Es gibt einen einfachen Weg, um Google Analytics doch noch weiter benutzen zu können. Wir müssen Google begrenzen, den Code bearbeiten und alles in rechtlich sichere Bahnen packen. Hier die Schritte:

Schritt 1: Analytics-Code in eine Sandbox packen

Das klingt komplizierter als es ist. Mit Sandbox ist hier eine Software, bspw. ein WordPress-Plugin gemeint. Und die Sandbox wird erst dann auch aktiv, sobald die Nutzer zustimmen. Ein Beispiel findet sich auf meiner eigenen Website. Empfehlen kann ich das WordPress-Plugin GDPR Cookie Compliance.

Zu achten ist hierauf:

  1. Das Sandbox-Plugin selbst muss DSGVO-konform sein (bei WordPress wird die Plugin-Software lokal in WordPress selbst ausgeführt; es ist aber darauf zu achten, dass keine Nutzungsberichts o.Ä. gesendet werden)
  2. Der Analytics-Code muss richtig eingefügt werden. Hier gibt es in der Regel Anleitungen und Tutorials durch den Hersteller.
  3. Standardmäßig muss Google Analytics deaktiviert sein. Damit ist der auf der Website eingebundene Quellcode bzw. Snippet gemeint.
  4. Google Analytics darf erst aktiviert werden, wenn Nutzer dem zustimmen. Auf der Website gibt es in der Regel einen Akzeptieren- und Ablehnen-Button. Alle Websites, die dem nicht folgen, handeln also illegal.

Schritt 2: Daten im Google-Snippet anonymisieren

Seit einiger Zeit bereits bietet Alphabet für Google Analytics (immerhin der größte Anbieter im Monitoring-Segment) die Möglichkeit, die Nutzerdaten bei Google Analytics zu verschlüsseln.

Jeder Google-Analytics-Nutzer erhält nach der Anmeldung die Möglichkeit seine Website zur Analyse einzutragen. Dafür bekommt der Nutzer im Registierungsprozess einen Code, den er im Head-Bereich seiner Website im dortigen HMTL-Code einbinden muss.

Der alte Analytics-Code ist nicht DSGVO-konform. Er sieht üblicherweise so aus:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-123456789-0″></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-123456789-0‘),
</script>

Anm.: Der Code „UA-123456789-0“ ist nur ein Platzhalter und muss mit dem eigenen Google-Analytics-Mitgliedscode ausgetauscht werden.

Doch dieser Code ist noch nicht DSGVO-konform. Er muss an einigen Stellen angepasst werden (siehe aber auch den vorherigen Schritt; das Anpassen des Codes selbst reicht momentan nicht mehr aus.)

Der sichere Analytics-Code sieht dann so aus:

<script>
var gaProperty = ‚UA-000000000-0‚;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
alert(‚Das Tracking ist jetzt deaktiviert‘);
}
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-000000000-0‚, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);
</script>

Das „UA-000000000-0“ ersetzen Sie bitte mit Ihrem eigenen Snippet-Code. Den Code finden Sie in den „Einstellungen“ Ihres Google-Analytics-Kontos. Ihr UA-Code sieht bspw. so aus: „UA-546312978-5“.

Eine ausführliche Anleitung zur Anonymisierung von IPs in Analytics bietet auch Google selbst. Was in dem obigen Code vor allem angepasst wurde, ist zum einen die Anonymisierung der IP-Adresse (das ist der Befehl „ga(’set‘, ‚anonymizeIp‘, true);“) und das Setzen eine Verfallsdatums, wann der gesetzte Cookie-Code nicht mehr gültig ist. Natürlich kann das Datum auch weit vor Donnerstag, den 31. Dezember 2099 gesetzt werden. Das ist in diesem Fall nur ein Beispiel.

Schritt 3: AV-Vertrag mit Google schließen

In Deutschland gibt es seit 1983 das Recht auf informationelle Selbstbestimmung – das höchste Datenschutzgrundrecht in Deutschland. Es erlaubt jedem Bundesbürger grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden

Bis zur Datenschutzgrundverordnung in der Europäischen Union musste ein wahres Wortmonster an Vertrag mit Google geschlossen werden, ein Standardauftragsdatenverarbeitungsvertrag. Das hat sich seit der DSGVO leicht geändert, denn inzwischen muss nur noch ein Auftragsverarbeitungsvertrag bzw. AV-Vertrag oder AVV aufgesetzt werden.

Nach deutschem Datenschutzrecht – genauer § 11 BDSG – muss ein formeller Vertrag mit der Drittpartei eingegangen werden. Dieser Vertrag beauftragt den Dritten förmlich mit der standardmäßigen Verarbeitung der Daten.

Eigentlich müssten nach BDSG und DSGVO alle Drittunternehmen, mit denen Sie Daten wechseln (also auch viele Plugin-Anbieter) solche Verträge mit Ihnen unterzeichnen. Doch Google ist als Branchenriese meist der einzige, bei dem die Datenschutzbehörden nachhaken.

Ich empfehle dennoch die Ausfertigung eines AV-Vertrags für alle Drittpartner, die für Sie Daten verarbeiten.

Warum Google Analytics anonymisieren?

Die Anonymisierung soll vor allem Ihren Seitenbesuchern dienen. Die Nutzung und allein schon der Besuch einer Website kann in Informationen über den Zugriff durch den Anbieter oder dessen Webspace-Provider resultieren, genauer:

  • Datum und Uhrzeit des Besuchs,
  • Website-Name und weitere Metadaten (Geolokalisierung usw.),
  • Meldung über erfolgreichen Abruf, Browsertyp und Version,
  • Betriebssystem des Endgeräts,
  • Dateien,
  • übertragene Datenmenge,
  • Referrer-URL (die zuvor besuchte Seite),
  • IP-Adresse (und damit verbundene Angaben wie Bildschirmauflösung),
  • der anfragende Provider
  • und so weiter

Das dabei angefertigte Protokoll wird nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes verwendet.

Der Anbieter darf die Protokolldaten nachträglich prüfen, wenn er eine rechtswidrige Nutzung aufgrund eines berechtigten Verdachts vermutet.

Anmerkung: Die Datenübertragung online, d.h. im Internet ist prinzipiell unsicher und nicht vor dem Zugriff durch Dritte geschützt.

Eine zusammenfassende Erklärung, welche Daten beim Zugriff auf eine Website anfallen, finden Sie in diesem Bildungsvideo.

Technik erklärt: Wie funktioniert das Internet? (Die Sendung mit der Maus 1999)

In meinen Seminaren und Weiterbildungen benutze ich gern dieses Video, um die Funktionsweise des Internets zu erklären. Denn obwohl wir heute mit DSL, LTE un…

Die Anonymisierung dient vor allem dem Schutz der Besucher Ihrer Seite. Für Sie ist am Ende wichtig: Es ist rechtlich verbindend.

Datenschutzbehörden könnten Sie sonst rechtsgültig abmahnen. Außerdem empfiehlt es sich, einen Standardauftragsdatenverarbeitungsvertrag mit Google zu schließen. Ich erkläre in diesem verlinkten Beitrag in allen Details, was ein solcher Vertrag ist. Seit der DSGVO heißt er meist auch nur noch Auftragsverarbeitungsvertrag, AV-Vertrag oder ganz kurz AVV. Der AVV ist vor allem rechtlich wichtig, damit Google Analytics rechtlich konform wird. Im obigen Guide