Muster-Datenschutzerklärung für Google Analytics

Für den rechtskonformen Einsatz von Google Analytics müssen Sie eine qualifizierte Datenschutzerklärung bereitstellen. Gerne können Sie unsere Muster-Datenschutzerklärung verwenden.

Sie dürfen die folgende Muster-Datenschutzerklärung übernehmen, wenn Sie uns als Quelle nennen.

Die Übernahme erfolgt ausschließlich auf Ihr eigenes Risiko. Wir empfehlen die vorherige Überprüfung durch Ihren Fachanwalt.

Basis-Muster

Gelb markierte Abschnitte sollten Sie anpassen oder löschen, sofern diese nicht zutreffen.

Zum Übernehmen

Nutzung von Google Analytics

Wir verwenden Google Analytics 4 (GA4), um die Website-Nutzung zu analysieren. Die daraus gewonnenen Daten werden genutzt, um unsere Website sowie Werbemaßnahmen zu optimieren.

Google Analytics wird uns von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Google verarbeitet die Daten zur Website-Nutzung in unserem Auftrag und verpflichtet sich vertraglich zu Maßnahmen, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten zu gewährleisten.

Während Ihres Website-Besuchs werden u.a. folgende Daten an Google übermittelt:

  • Aufgerufene Seiten
  • Bestellungen inkl. des Umsatzes und der bestellten Produkte
  • Die Erreichung von "Website-Zielen" (z.B. Kontaktanfragen und Newsletter-Anmeldungen)
  • Ihr Verhalten auf den Seiten (beispielsweise Verweildauer, Klicks, Scrolltiefe)
  • Ihr ungefährer Standort (Land und Stadt)
  • Ihre Internetadresse (IP-Adresse) — diese wird an Google übertragen, vor der Speicherung jedoch gekürzt
  • Technische Informationen wie Browser, Internetanbieter, Endgerät und Bildschirmauflösung
  • Herkunftsquelle Ihres Besuchs (d.h. über welche Website bzw. über welches Werbemittel Sie zu uns gekommen sind)
  • Eine zufallsgenerierte User-ID

Es werden keine persönlichen Daten wie Name, Anschrift oder Kontaktdaten an Google Analytics übertragen.

Diese Daten werden an Server von Google in den USA übertragen. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Für Datenübertragungen in die USA bestehen damit angemessene Garantien im Sinne von Art. 45 DSGVO.

Google Analytics speichert Cookies in Ihrem Webbrowser für die Dauer von zwei Jahren seit Ihrem letzten Besuch. Diese Cookies enthalten eine zufallsgenerierte User-ID, mit der Sie bei zukünftigen Website-Besuchen wiedererkannt werden können.

Die aufgezeichneten Daten werden zusammen mit der zufallsgenerierten User-ID gespeichert, was die Auswertung pseudonymer Nutzerprofile ermöglicht. Diese nutzerbezogenen Daten werden automatisch nach 14 Monaten gelöscht. Sonstige Daten bleiben in aggregierter Form unbefristet gespeichert.

Sollten Sie mit der Erfassung nicht einverstanden sein, können Sie diese mit der einmaligen Installation des Browser-Add-ons zur Deaktivierung von Google Analytics unterbinden oder durch das Ablehnen der Cookies über unseren Cookie-Einstellungs-Dialog.

Quelle: traffic3.net

Dieses Muster basiert auf folgenden Annahmen:

  • Datenaufbewahrung auf 14 Monate befristet (in GA4 unter Einstellungen anpassbar)
  • Kein User-ID Tracking aktiviert
  • Kein Google Signals aktiviert
  • Abgeschlossener Auftragsverarbeitungsvertrag mit Google (in GA4 unter Einstellungen bestätigbar)
  • Europäischer Website-Betreiber (andernfalls muss "Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, United States)" als Vertragspartner genannt werden)

Ergänzung: Remarketing

Falls Sie die Remarketing-Funktionen von Google Analytics verwenden, nehmen Sie ergänzend folgenden Absatz auf:

Zum Übernehmen

Nutzung von Google Remarketing

Wir verwenden außerdem die Remarketing-Funktion von Google. Das bedeutet: Wenn Sie unsere Website besucht haben, können wir Ihnen auf anderen Websites über das Google-Werbenetzwerk gezielte Werbung einblenden, die auf Ihrem Verhalten auf unserer Website basiert. Ob Sie zum Beispiel bestimmte Produkte angesehen oder eine Seite mehrfach besucht haben, beeinflusst, welche Anzeigen Ihnen angezeigt werden. Google speichert die dafür notwendigen Informationen für maximal 13 Monate.

Weitere Informationen dazu finden Sie in der Datenschutzerklärung von Google. Sie können interessenbasierte Werbung durch die Installation dieses Browser-Plugins unterbinden.

Ergänzung: Google Signals

Google Signals ist eine optionale GA4-Funktion, die standardmäßig deaktiviert ist. Was sie in der Praxis bedeutet: Besucht jemand Ihre Website auf dem Smartphone und später nochmals auf dem Laptop, und ist diese Person dabei in beiden Fällen in ihrem Google-Konto angemeldet, kann Google diese zwei Sitzungen als einen Nutzer zusammenführen. Zusätzlich stellt Google aggregierte Demografiedaten (Alter, Geschlecht) und Interessenkategorien aus dem Google-Profil dieser Nutzer bereit.

Konkret ermöglicht das in GA4: genauere Nutzer-Zahlen durch geräteübergreifende Deduplizierung, Demografieberichte sowie die Nutzung dieser Zielgruppen für Remarketing über Google Ads. Der Website-Betreiber sieht dabei keine Einzelpersonen, sondern nur aggregierte Auswertungen.

Falls Sie Google Signals aktiviert haben, nehmen Sie ergänzend folgenden Absatz auf:

Zum Übernehmen

Google Signals

Wir nutzen die Funktion Google Signals in Google Analytics 4. Dabei werden Daten von Nutzern, die in ihrem Google-Konto angemeldet sind und die Personalisierung von Anzeigen aktiviert haben, geräteübergreifend ausgewertet. Google verknüpft dazu Website-Besuche von verschiedenen Geräten mit dem jeweiligen Google-Konto und stellt uns aggregierte Berichte zu Zielgruppen, Demografien und Interessen bereit. Wir haben keinen Zugriff auf personenbezogene Einzeldaten. Die Verarbeitung erfolgt durch Google auf Basis der in Ihrem Google-Konto hinterlegten Einstellungen. Sie können die Personalisierung von Anzeigen in den Einstellungen Ihres Google-Kontos unter "Meine Aktivitäten" deaktivieren.

Ergänzung: User-ID Tracking

Falls Sie das User-ID Feature in GA4 aktiviert haben (typischerweise für eingeloggte Nutzer in Apps oder Mitgliederbereichen), ergänzen Sie folgenden Absatz:

Zum Übernehmen

User-ID Tracking

Wir verwenden die User-ID Funktion von Google Analytics. Dabei wird angemeldeten Nutzern unserer Website eine pseudonyme User-ID zugewiesen, die eine geräteübergreifende Analyse des Nutzerverhaltens ermöglicht. Die User-ID wird nicht mit Ihren persönlichen Daten verknüpft und erlaubt keine direkte Identifizierung Ihrer Person. Die Daten werden ausschließlich zur Analyse und Verbesserung unseres Angebots verwendet.

Variante: Server-Side Tracking

Beim serverseitigen Tracking (z.B. über JENTIS oder GTM Server-Side) werden Nutzungsdaten zunächst an Ihren eigenen Server übertragen und erst von dort an Google weitergeleitet. Das ändert den Datenfluss gegenüber dem Standard-Setup grundlegend.

Ein wesentlicher Datenschutzvorteil: Im Standard-GA4-Setup wird die IP-Adresse des Nutzers zwar an Google übertragen, aber vor der Speicherung gekürzt. Die clientseitige IP-Anonymisierung von Google kann eine Übertragung an sich nicht verhindern. Serverseitiges Tracking hingegen kann so konfiguriert werden, dass die IP-Adresse gar nicht erst an Google weitergeleitet wird: Der Browser überträgt die IP an Ihren eigenen Server, von wo aus eine anonymisierte Anfrage an Google abgesetzt wird. Ob das in Ihrer konkreten Implementierung so umgesetzt ist, sollten Sie mit Ihrem Dienstleister verifizieren.

Gegenüber dem Basis-Muster sind folgende Passagen anzupassen:

Ergänzung nach dem Google-Ireland-Absatz:

Zum Übernehmen

Wir setzen serverseitiges Tracking ein. Nutzungsdaten werden zunächst an unseren eigenen Server übertragen und von dort an Google weitergeleitet. Ihre IP-Adresse wird dabei nicht an Google übermittelt.

Änderung in der Datenliste: Den Punkt "Ihre Internetadresse (IP-Adresse)" streichen oder wie folgt ersetzen:

Ersatztext

Ihre Internetadresse (IP-Adresse) — diese wird an unseren Server übertragen, jedoch nicht an Google weitergeleitet

Änderung beim Opt-out: Das Browser-Add-on zur Deaktivierung greift bei serverseitigem Tracking nicht. Ersetzen Sie den Opt-out-Absatz durch:

Zum Übernehmen

Sollten Sie mit der Erfassung nicht einverstanden sein, können Sie diese durch das Ablehnen der Cookies über unseren Cookie-Einstellungs-Dialog unterbinden.

Häufige Fragen

Wo platziere ich die Datenschutzerklärung?
Die Datenschutzerklärung muss von jeder Seite Ihrer Website leicht erreichbar sein. Der Standard ist ein Link im Footer, üblicherweise neben dem Impressum. Der Link muss klar beschriftet sein, z.B. als "Datenschutz" oder "Datenschutzerklärung". Zusätzlich sollte Ihr Cookie-Consent-Banner einen direkten Link zur Datenschutzerklärung enthalten, damit Nutzer vor der Einwilligung informiert werden können.
Was ist der EU-US Data Privacy Framework (DPF)?
Der EU-US Data Privacy Framework ist ein Abkommen zwischen der EU und den USA, das seit Juli 2023 als Rechtsgrundlage für Datentransfers in die USA gilt. Es ersetzt das zuvor vom EuGH für ungültig erklärte Privacy Shield. Google LLC ist unter dem DPF zertifiziert. Datenübertragungen an Google gelten damit als datenschutzrechtlich zulässig im Sinne eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Sie benötigen dafür keine zusätzlichen Schutzmaßnahmen wie Standardvertragsklauseln. Hinweis: Der DPF ist politisch umstritten und könnte wie seine Vorgänger gerichtlich aufgehoben werden. Halten Sie sich daher am laufenden Stand der datenschutzrechtlichen Entwicklungen.
Brauche ich für GA4 einen Cookie-Consent-Banner?
Ja. Google Analytics 4 setzt Cookies und überträgt personenbezogene Daten an Google. Nach DSGVO und ePrivacy-Richtlinie ist dafür eine vorherige Einwilligung der Nutzer erforderlich. Ein Cookie-Consent-Banner ist für den GA4-Einsatz auf europäischen Websites Pflicht.
Gilt die Einwilligungspflicht auch beim Einsatz von Consent Mode v2?
Ja. Der Grundsatz gilt unverändert: In der EU dürfen personenbezogene Daten nur mit Einwilligung verarbeitet werden. Beim Consent Mode v2 ist daher zu unterscheiden: Der "Basic" Consent Mode (keine Datensendung ohne Zustimmung) ist in der EU zulässig. Der "Advanced" Consent Mode hingegen sendet auch ohne Zustimmung Daten an Google zur Modellierung. Das ist in der EU ohne serverseitiges Tracking nicht zulässig.
Muss ich beim Einsatz von Consent Mode v2 etwas an der Datenschutzerklärung anpassen?
Nein. Der Mustertext gilt unverändert, sofern Sie den "Basic" Consent Mode einsetzen. Der "Advanced" Consent Mode ist in der EU ohne serverseitiges Tracking nicht zulässig und sollte daher gar nicht zum Einsatz kommen.
Muss ich einen Auftragsverarbeitungsvertrag (AVV) mit Google abschließen?
Ja, das ist nach Art. 28 DSGVO Pflicht. Da Google Analytics Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag erforderlich. Google stellt diesen AVV direkt in GA4 bereit: Sie können ihn in den Einstellungen unter Datenschutz bestätigen und herunterladen. Unser Muster setzt voraus, dass der AVV abgeschlossen ist.
Welchen Datenspeicherzeitraum soll ich in GA4 einstellen, und muss er in der Datenschutzerklärung stehen?
GA4 bietet für nutzerbezogene Daten zwei Optionen: 2 Monate oder 14 Monate (GA360 ermöglicht darüber hinaus längere Zeiträume). Grundsätzlich gilt im Datenschutz das Prinzip der Datensparsamkeit: Daten sollten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. 14 Monate sind jedoch gut argumentierbar, da erst dieser Zeitraum vollständige Jahresvergleiche ermöglicht. Aggregierte Daten bleiben in jedem Fall unbefristet gespeichert. Der gewählte Zeitraum sollte in der Datenschutzerklärung genannt werden. Unser Muster geht von 14 Monaten aus, passen Sie den markierten Abschnitt entsprechend an.
Wie kann ich IP-Adressen vollständig anonymisieren?
Im Standard-GA4-Setup ist das nicht möglich: Die IP-Adresse wird immer zunächst an Google übertragen und erst dort vor der Speicherung gekürzt. Eine vollständige Anonymisierung (also keine Weitergabe der IP an Google) ist nur über serverseitiges Tracking erreichbar. Dabei läuft die Anfrage über einen eigenen Server, von dem aus eine anonymisierte Anfrage ohne IP an Google weitergeleitet wird.
Lohnt sich serverseitiges Tracking aus datenschutzrechtlicher Sicht?
Serverseitiges Tracking bietet gegenüber dem clientseitigen Standard-Setup einen wesentlichen Vorteil: Die IP-Adresse des Nutzers kann so konfiguriert werden, dass sie gar nicht an Google übermittelt wird. Das geht über die bloße IP-Kürzung durch Google hinaus. Serverseitiges Tracking verbessert damit das Datenschutzniveau, ist aber mit Zusatzkosten verbunden. Ob sich der Aufwand lohnt, ist eine interne Interessensabwägung. Grundsätzlich empfehlenswert ist es dennoch: Serverseitiges Tracking verbessert nicht nur den Datenschutz, sondern auch die Datenqualität. Einen Überblick bietet unser Artikel zum serverseitigen Tracking.

Weitere Ressourcen

Außerdem bieten wir eine Liste der Cookies, die von verschiedenen Google Tools gesetzt werden. Damit können Sie in Ihrer Datenschutzerklärung ergänzen, welche Cookies mit welcher Speicherdauer und mit welchem Zweck gespeichert werden.

Falls Sie auf der Suche nach weiteren Mustertexten sind: Wir stellen auch eine Muster-Datenschutzerklärung für das Meta-Pixel bereit.

Wenn Sie GA4 noch nicht eingerichtet haben oder sicherstellen wollen, dass Ihr bestehendes Setup DSGVO-konform konfiguriert ist: Wir bieten ein vollständiges GA4 Setup & Einrichtung sowie einen GA4 Audit & Tracking Check an.

Bereit für besseres Online Marketing?

Erzählen Sie uns von Ihren Zielen – wir melden uns für ein unverbindliches Erstgespräch.

Jetzt Kontakt aufnehmen