FAQ Google Analytics & Datenschutz: das müssen Sie wissen!

Wir arbeiten in allen unseren Projekten mit Google Analytics, weil es uns die schnellsten und umfassendsten Auswertungen liefert. Um Google Analytics in Deutschland rechtssicher nutzen zu können, gilt es eine Reihe von Regeln zu beachten. Diesen Post aktualisieren wir regelmäßig, und stellen unsere Erfahrungen mit dem Thema Analytics & Datschutz zusammen.

Stand: 27.09.2016, letzter Bearbeiter: Stephan Sperling

Update vom 26.09.2016:
Google Analytics ist seit heute für das „EU-US Privacy Shield“ zertifiziert. Dieses Abkommen zwischen den USA und der EU stellt sicher, dass die Regelungen zum Datenschutz bei der Verarbeitung von Daten durch Google in den USA dem Datenschutzniveau der Europäischen Union entsprechen. Die EU Kommission hatte zuvor am 12. Juli 2016 beschlossen, dass das „EU-US Privacy Shield“ als Nachfolger des vom EUGH gekippten „Safe Habour Abkommens“ angewendet werden kann.
(Quellen: Google, Zertifikat von Google, Heise, Wikipedia)

Folgende Bedingungen müssen nach aktuellem Stand beim Einsatz von Google Analytics erfüllt sein:

  • Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  • Anonymisierung der IP-Adressen
  • Widerspruchsrecht der Betroffenen
  • Angepasster Datenschutzhinweis
  • Löschung von Altdaten

(Quelle: datenschutzbeauftragter-info.de)

Frage: Brauche ich einen schriftlichen Vertrag mit Google zur „Auftragsdatenverareitung“?
Antwort: Ja, der Vertrag ist in Deutschland nach § 11 BDSG Vorschrift und kann hier heruntergeladen werden.
Wie der Vertrag auszufüllen ist, hier nachzulesen.

Frage: Ich habe keinen Vertrag, kann ich diesen Vertrag nachträglich schließen?
Antwort: Nein. Der Vertrag kann nur geschlossen werden, wenn gleichzeitig alle Altdaten gelöscht werden. In der Praxis kann also nur der alte Analytics-Account gelöscht und einer neues Konto mit Vertrag eröffnet werden.

Frage: Was ist das „Widerspruchssrecht der Betroffenen“ und wie wird es umgesetzt?
Antwort: Nutzer können auf zweierlei Art und Weise dem Tracking widersprechen:
1. Durch Installation einer Browser-Erweiterung (Deaktivierungs-Adon). Diese verhindert das Tracking durch Analytics auf allen besuchten Seiten.
2. Durch das so genannte „Opt-Out Cookie“. Diese Form des Widerspruchs wurde insbesondere für Nutzer von Smartphones entwickelt, da auf diesen Geräten keine Browser-Adons installiert werden können (siehe Punkt 1). Durch Klick auf einen Link in der Datenschutz-Erklärung wird ein Cookie erzeugt, das das Tracking beschränkt auf das genutzte Gerät und die besuchte Website verhindert. Löscht der Nutzer seine Cookies, wechselt er das Gerät oder besucht er andere Website, wird das Tracking wieder aktiv.

Frage: Was muss ich als Website-Betreiber tun, damit Nutzer ihr Widerspruchsrecht wahrnehmen können?
Antwort: Website-Betreiber müssen ihre Besucher auf einer Datenschutz-Seite über beide Möglichkeiten aufklären. Auf das Deaktivierungs-Adon muss dabei nur hingewiesen und verlinkt werden (Musterformulierung), während für das Opt-out Cookie auch der Code der Website angepasst werden muss (Ausführliche Anleitung).

Frage: Anonymisierung der IP-Adresse, wie geht das?
Antwort: Auch hier muss der Tracking-Code angepasst bzw. erweitert werden. Eine Zeile Code mehr hat schon den gewünschten Effekt.

Frage: Ich nutze WordPress, wie kann ich hier den Bestimmungen nachkommen?
Antwort: Für WordPress gibt es Plugins, über die sich alle geforderten Einstellungen machen lassen. Bei Interesse nehmen Sie gerne Kontakt mit uns auf.

Frage: Woher bekomme ich eine Muster-Formulierung für meine Datenschutz-Seite?
Antwort: Früher hat Google Analytics selbst eine Vorlage bereitgestellt, heute gibt es diverse Generatoren für die Datenschutz-Angaben. Einen einfachen Muster-Text finden Sie hier.

Frage: Der Link auf die Datenschutz-Seite von Google Analytics funktioniert nicht mehr. Was soll ich tun?
Antwort: In einigen Muster-Formulierungen für die Datenschutz-Seite war/ist folgende Seite verlinkt:
http://www.google.com/intl/de/analytics/privacyoverview.html
Diese Seite ist Seit Anfang April 2014 nicht mehr erreichbar und wird leider Seitens Google auch nicht weitergeleitet. Wir empfehlen stattdessen folgenden Link zu verwenden:
https://www.google.com/intl/de_DE/analytics/learn/privacy.html

Frage: Ich habe eine Mail der Firma „onlinefacts UG“ aus München erhalten, die behauptet meine Datenschutz-Seite enthalte Fehler, sei schwer verständlich usw. Mir wurde empfohlen, einen Link auf diese Firma zu setzen. Was soll ich tun?
Antwort: Diese Firma hat kein Interesse an der Korrektheit Ihrer Datenschutz-Seite, sondern möchte lediglich einen (wertvollen) Link von Ihnen erhalten, um sich selbst besser in den Suchergebnissen bei Google zu positionieren. Ignorieren Sie diese Mails bitte einfach.

Frage: Was wird gerne abgemahnt?
Antwort: Wenn Sie zum Beispiel keine oder unvollständigen Datenschutz-Seiten haben, kann dies jeder schnell und einfach nachvollziehen. Im Zweifelsfall genügt eine kurze Google-Suche. Wir empfehlen daher, die Indizierung der Datenschutz-Seite bei Google per Meta-Robots-Anweisung „noindex“ zu verhindern. Damit machen Sie es Abmahnern zumindest ein bisschen schwerer. Im Quellcode Ihrer Seite (den jeder einfach aufrufen kann) ist sofort erkennbar, ob Sie die IP-Adresse der Nutzer anonymisieren. Sollten Sie diese Anforderung also nicht umgesetzt haben, ist dies für jeden ersichtlich und damit auch leicht abmahnbar.

Wir weisen darauf hin, dass wir an dieser Stelle weder Rechtsberatung leisten können noch wollen. Im Zweifelsfall empfehlen wir, einen Anwalt zu konsultieren.

Alle Beiträge von Stephan

Unsere meistgelesenen Beiträge

Zwei Jahre Chromebook: Ein Erfahrungsbericht

Google Chromebook
|
Gute 25 Jahre PC-Nutzung - von Anfang an mit Windows. Dann raucht im wahrsten Sinne des Wortes mein teures und gar nicht so altes Lenovo-Notebook ab. Und ich bestelle mir einfach ein Chromebook und bin schneller weg aus der Windows-Welt, als ich es für möglich gehalten hätte. Zwei Jahre ist das nun her - und ich habe zwischendurch immer wieder über meine Erfahrungen mit dem Chromebook berichtet.