Google Analytics datenschutzkonform einsetzen

Die Verwendung von Google Analytics bleibt auch nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zulässig. 

Update: Die österreichische Datenschutzbehörde hat im Jänner 2022 in einem Fall entschieden, dass der Einsatz von Google Analytics rechtswidrig war. Lesen Sie hier unsere detaillierte Einschätzung: Google Analytics in Österreich verboten?

Es sind jedoch folgende Maßnahmen notwendig, damit der Einsatz von Google Analytics rechtskonform ist:

• Zustimmung der Nutzer·innen einholen
• IP-Anonymisierung aktivieren
• Qualifizierte Datenschutzerklärung bereitstellen
• Keine persönlichen Identifikationsmerkmale erfassen
• Vertrag mit Google zur Auftragsdatenverarbeitung abschließen
• Speicherdauer von nutzerbezogenen Daten befristen (neue Option seit April 2018)
• Individuelle Löschung von erhobenen Daten ermöglichen (neue Option ab Mai 2018)
• Getrennte Zustimmung bei Aktivierung der Google Analytics Werbefunktionen
• Löschung von unrechtmäßig erhobenen vergangenen Daten

Hinweis: Sie finden in dieser Checkliste unsere Empfehlungen für den datenschutzkonformen Einsatz von Google Analytics. Unsere Empfehlungen können keine Rechtsberatung durch einen Fachanwalt ersetzen. Wir übernehmen keine Haftung für die Korrektheit und Vollständigkeit der Informationen.

Zustimmung des Nutzers vorab einholen

Im Laufe der Jahre hat sich die Rechtslage weiterentwickelt. Während früher eine Optout-Möglichkeit ausreichend war, sollte nun vorab die Zustimmung der Nutzer·innen vorab eingeholt werden.

• Verwenden Sie dazu einen vorgeschaltenen "Cookie Consent Dialog".
  Hier gibt es zahlreiche fertige Lösungen - u.a. von Usercentrics, OneTrust und CookieBot. Gerne beraten wir Sie bei der Auswahl und Implementierung des bestmöglichen Tools für Ihre Website. 
• Für höchstmögliche Rechtssicherheit empfehlen wir, zwei gleichwertige Buttons "Alle akzeptieren" und "Alles ablehnen" anzubieten. Das Ablehnen von Cookies sollte nicht aufwändiger sein als das Akzeptieren von Cookies bzw. nicht hinter "Einstellungen" versteckt werden. 
• Weisen Sie explizit auf die Datenübertragung in die USA hin. 
• Erläutern Sie außerdem den Zweck des Trackings möglichst sachgerecht. Formulierungen wie "Wir verwenden Cookies, um ihnen das bestmögliche Nutzererlebnis zu bieten ..." alleine geben den Zweck von Google Analytics nicht vollständig wieder bzw. könnten als irreführend interpretiert werden - womit keine qualifizierte Zustimmung vorläge.
• Es gilt ein Kopplungsverbot - die Weiternutzung der Website muss trotz Widerspruch möglich sein.

Auf unserer Website nutzen wir beispielsweise folgende Gestaltung und Formulierung (Übernahme nur auf eigene Verantwortung!):

IP-Anonymisierung aktivieren

Google Analytics erhebt standardmäßig* die IP-Adressen von Usern - und somit ein Merkmal, das zur Identifikation von Usern geeignet ist. Google Analytics bietet jedoch eine Option zur IP-Anonymisierung, um dieses Verhalten zu unterbinden.

• So überprüfen Sie, ob die IP-Anonymisierung bereits aktiviert ist
• So aktivieren Sie die IP-Anonymisierung

Achtung: Stellen Sie sicher, dass die IP-Anonymisierung für alle erfassten Daten aktiviert ist - d.h. alle Seitenaufrufe, Ereignisse und Transaktionen. Bei unseren Prüfungen stellen wir regelmäßig fest, dass die IP-Anonymisierung nicht lückenlos aktiviert wurde. Insbesondere bei Verwendung des Google Tag Managers kann dieser Fehler leicht passieren.

*) In Google Analytics 4 ("GA4") ist die Anonymisierung der IP-Adressen automatisch aktiviert. Die Aussage gilt nur für alle älteren Versionen von Google Analytics. 

Qualifizierte Datenschutzerklärung bereitstellen

Die Datenschutzgesetze definieren Informationspflichten:

• Stellen Sie eine aussagekräftige Datenschutzerklärung bereit, in der Sie u.a. auf die Verwendung von Google Analytics hinweisen.
• Die Datenschutzerklärung sollte, sowohl von der Startseite als auch von jeder Unterseite, mit einem einzigen Klick erreichbar sein.
• Verwenden Sie eine aussagekräftige Bezeichnung für den Link zur Datenschutzerklärung - beispielsweise "Datenschutz" oder "Datenschutzerklärung".

Die Datenschutzerklärung sollte u.a. folgende Punkte enthalten:

• Umfang der Datenerhebung bzw. Auflistung der erhobenen Daten (ggf. inklusive Hinweis auf IP-Anonymisierung)
• Zweck bzw. Rechtsgrundlage der Datenerhebung
• Speicherdauer der erhobenen Daten
• Hinweis zur Speicherung bei einem externen Dienstleister (Google) im Ausland (USA) und Hinweis zur Vertragsbeziehung zwischen Ihnen und dem Dienstleister (Auftragsdatenverarbeiter)
• Hinweis zu Widerspruchsmöglichkeit

Sie können gerne unsere Muster-Datenschutzerklärung übernehmen.

Keine persönlichen Identifikationsmerkmale erfassen

Erfassen Sie keinesfalls persönliche Identifikationsmerkmale in Google Analytics. Dazu gehören u.a.:

• Name
• E-Mail-Adresse
• Telefonnummer
• Postadresse
• Geburtsdatum
• Zahlungsdaten (z.B. Kreditkartendaten)

Die genannten Daten werden von Google Analytics standardmäßig nicht erfasst, können aber optional übergeben werden (Ausnahme: falls diese in der URL enthalten sind - dies kann bei abgesendeten Formularen vorkommen).

Achtung: Sie dürfen die genannten Daten auch dann nicht an Google Analytics übergeben, wenn sie die gesetzlich erforderliche Zustimmung des Nutzers haben. Die Erfassung von persönlichen Identifikationsmerkmalen widerspricht generell den Nutzungsbedingungen von Google Analytics.

Durchaus erlaubt wäre die Erhebung von indirekten Identifikationsmerkmalen, die eine Zusammenführung von Google Analytics Daten mit personenbezogenen Daten aus Ihrer eigenen Kundendatenbank ermöglichen. Dazu gehören u.a.:

• User-IDs (wird beim optionalen User-ID-Tracking verwendet)
• Session-IDs

Dies ist zwar laut den Nutzungsbedingungen von Google Analytics möglich, erfordert aber gesetzlich die explizite vorherige Zustimmung des Nutzers.

Für alle direkten und indirekten Identifikationsmerkmale gilt: Fragen Sie ggf. bei Ihren Webentwicklern oder Ihrem Google Analytics Dienstleister nach, ob derartige Daten erfasst werden. Alternativ müssen Sie alle Google Analytics Daten hinsichtlich kritischer Angaben manuell prüfen. Zur Überprüfung müssen Sie insbesondere folgende Daten untersuchen:

• Seiten-URLs
• Ereignisse (Ereigniskategorie, Ereignisaktion, Ereignislabel)
• Benutzerdefinierte Dimensionen
• Kampagnen-Parameter
• E-Commerce-Transaktions-IDs

Google Analytics verarbeitet Daten in Ihrem Auftrag weiter. Das müssen Sie rechtlich absichern, indem Sie einen Auftragsdatenverarbeitungsvertrag mit Google abschließen. Mit diesem Vertrag verpflichtet sich Google u.a. zu Maßnahmen, um die Sicherheit der Daten sicherzustellen.

Der Abschluss des Auftragsdatenverarbeitungsvertrags ist mittlerweile unkompliziert im Google Analytics Interface möglich: Gehen Sie dazu unter "Verwaltung" auf der Kontoebene unter "Kontoeinstellungen".

Scrollen Sie nach unten bis zum Abschnitt "Zusatz zur Datenverarbeitung" und klicken Sie dort auf "Zusatz anzeigen".

Prüfen Sie den Vertrag und klicken Sie abschließend auf "Zustimmen".

Achtung: Falls Sie den Vertrag bereits vor 2021 abgeschlossen haben, gibt es mittlerweile eine neue Fassung. Sie sollten durch erneute Zustimmung diese aktualisierte Fassung akzeptierten.

Ob und wann Sie den Vertrag bereits abgeschlossen haben, sehen Sie an folgendem Hinweis:

Bisher wurden die Daten in Google Analytics immer unbefristet gespeichert (bis die gesamte Google Analytics Property gelöscht wurde).

Seit April 2018 gibt es eine neue Einstellungsmöglichkeit "Datenaufbewahrung", um nutzerbezogene Daten nach einer bestimmten Zeitdauer zu löschen. Dabei werden nicht alle Daten gelöscht. Aggregierte Daten ohne Nutzerbezug, wie beispielsweise die Anzahl der Seitenaufrufe, bleiben erhalten. Allerdings gibt es derzeit punktuell noch Unklarheiten, welche Daten bzw. Funktionen betroffen sind (siehe weiter unten).

Die Einstellung können Sie auf Property-Ebene unter "Tracking-Informationen" im Unterpunkt "Datenaufbewahrung" vornehmen. 

Als Aufbewahrungsdauer stehen folgende Zeitspannen zur Auswahl:

a.) In Google Analytics 4:

• 2 Monate
• 14 Monate

b.) In älteren Versionen (Universal Analytics):

• 14 Monate
• 26 Monate
• 38 Monate
• 50 Monate
• Unbefristete Aufbewahrungsdauer

Ein Grundsatz der DSGVO ist die sogenannte Speicherbegrenzung. Das bedeutet: Personenbezogene Daten sollten nur so lange gespeichert werden, wie es für den Erhebungszweck notwendig ist. Datenschutzexperten empfehlen daher die minimale Speicherdauer von 14 Monaten zu wählen. Für eine längere Speicherdauer sollten zumindest wichtige Argumente vorliegen. 

Wie bereits erwähnt, ist noch nicht restlos geklärt, welche Daten von der Löschung betroffen sind. Sie können daher vorerst eine unbefristete Datenaufbewahrung einstellen und abwarten bis Klarheit darüber besteht. Spätestens ab Juni 2018 können wir anhand von befristeten Analytics-Properties genau überprüfen, welche Daten betroffen sind. Achtung: Die Voreinstellung beträgt 26 Monate. Sie müssen daher aktiv Maßnahmen ergreifen, wenn die Daten (vorerst) unbefristet gespeichert bleiben sollen.

Die EU-Datenschutzgrundverordnung sieht das von personenbezogenen Daten vor. Bis 2018 konnten bereits erhobene Daten nicht einzeln aus Google Analytics gelöscht werden.

Mittlerweile können die Daten eines einzelnen Nutzers selektiv gelöscht werden. Dazu gibt es sowohl eine manuelle Möglichkeit im Interface (gut für Einzelfälle) als auch eine Programmierschnittstelle - die User Deletion API (bei großer Anzahl an Anfragen nützlich). 

Standardmäßig werden Google Analytics Daten von Google nicht mit personenbezogenen Daten aus anderen Quellen zusammengeführt. D.h. Google kann nicht erkennen, welches Google-Profil zu Ihrem Nutzer gehört.

Bei der Aktivierung bestimmter Zusatzfunktionen ("Google Analytics Werbefunktionen") werden die Nutzerprofile zusammengeführt. Dies betrifft folgende Zusatzfunktionen:

• Remarketing mit Google Analytics
• Funktionen für Werbeberichte

Ob diese Funktionen aktiviert sind, können Sie in den Property-Einstellungen unter "Tracking-Informationen" im Unterpunkt "Datensammlung" prüfen:

Bei Nutzung dieser Funktionen muss der Nutzer nicht nur einem Tracking zu Analysezwecken zustimmen, sondern auch einem Tracking fürs Werbetargeting.

Daher kommen folgende Varianten in Frage:

• Die einfachste Variante: Die komplette Deaktivierung dieser Funktionen in den Einstellungen. Damit können Sie jedoch möglicherweise lohnenswerte Remarketing-Kampagnen nicht mehr schalten.
• Die zweite Variante: Google Analytics wird nur ausgespielt, wenn beiden Tracking-Zwecken zugestimmt wurde. Dadurch kann ein unnötiger Messverlust in Google Analytics entstehen. 
• Die empfohlene Lösung: Der Google Analytics Code wird immer ausgespielt, sofern die Zustimmung zu Analysezwecken vorliegt. Die Remarketing-Zusatzoption wird jedoch nur selektiv verwendet, wenn auch Werbezwecken zugestimmt wurde. Die genannte Zusatzfunktion bleibt dazu in Google Analytics aktiviert und durch eine Modifikation des Google Analytics Codes wird die Remarketing-Zusatzfunktion je nach Zustimmungsstatus des Nutzers individuell an- oder abgeschalten. Diese Lösung ist allerdings mit einem höheren Implementierungsaufwand verbunden.

Gerne unterstützen wir Sie mit unseren Leistungen bei der Umsetzung.

Falls Sie in der Vergangenheit die Daten unrechtmäßig (z.B. ohne Anonymisierung der IP-Adresse) erhoben haben, sollten Sie diese löschen. Dies ist allerdings nur möglich, indem sie die Google Analytics Property vollständig löschen und eine neue Property eröffnen.

Die Datenschutzgesetze betreffen nicht nur Google Analytics - sondern generell alle Tracking- und Remarketing-Funktionen auf Ihrer Website. Beispielsweise AdWords Remarketing, Facebook Pixel und viele weitere. Prüfen Sie auch für diese insbesondere:

• Wird in der Datenschutzerklärung qualifiziert informiert?
• Gibt es eine effektive Widerspruchsmöglichkeit?
• Falls persönliche Identifikationsmerkmale übertragen oder verknüpft werden (beispielsweise Facebook Custom Match): liegt eine informierte, explizite Zustimmung vor?

In unserem Artikel Datenschutz im Online Marketing – Auswirkungen der DSGVO finden Sie weitere Informationen sowie Best Practices zu den verschiedenen Anbietern (Google AdWords, Facebook und weitere).

Sie sind sich in einigen Punkten unsicher oder möchten die Überprüfung durch Experten durchführen lassen? Fragen Sie direkt bei uns an - bitte geben Sie dabei für ein Angebot unbedingt alle zu überprüfenden Domains an!

Sie können die DSGVO in voller Länge hier nachlesen. 

Darf ich Google Analytics auch nach Inkrafttreten der DSGVO einsetzen?

Ja, Google Analytics darf auch nach Inkrafttreten der DSGVO eingesetzt werden. Dazu müssen allerdings einige Voraussetzungen erfüllt werden – beispielsweise die Anonymisierung der IPs, das Bereitstellen einer aussagekräftigen Datenschutzerklärung und die vorherige Einholung einer Zustimmung durch den Nutzer. Eine detaillierte Checkliste finden Sie hier.

Welche Informationen muss meine Datenschutzerklärung enthalten?

Ihre Datenschutzerklärung muss u.a. die erhobenen Daten genau aufschlüsseln sowie Angaben zu Zweck der Datenerhebung, Rechtsgrundlage, Speicherdauer und Widerspruchsmöglichkeiten enthalten. Eine Musterdatenschutzerklärung stellen wir hier bereit.

Wie überprüfe und aktiviere ich die IP-Anonymisierung?

Leider kann die IP-Anonymisierung nicht einfach in der Verwaltung von Google Analytics aktiviert werden – sondern es sind Änderungen am eingebauten Tracking-Code notwendig. Wir stellen hier eine detaillierte Anleitung zur Verfügung.