Google Analytics und Google Universal Analytics rechtssicher nutzen: Was Webseitenbetreiber jetzt tun müssen

(48 Bewertungen, 4.02 von 5)

Google Analytics war für deutsche Datenschützer lange Zeit ein rotes Tuch. Dann hat sich der Suchmaschinenkonzern überraschend mit den Datenschützern auf eine rechtskonforme Nutzung von Google Analytics geeinigt. Seitenbetreiber müssen trotzdem noch eine ganze Menge tun, um Google Analytics und Google Universal Analytics rechtssicher und ohne Angst vor Abmahnungen nutzen zu können. Wir zeigen Ihnen Schritt für Schritt wie es geht.

Inhaltsverzeichnis:

  1. Google Analytics auch in Deutschland rechtssicher
  2. Das neue Google Universal Analytics
  3. Auftragsdatenvereinbarung mit Google
  4. IP-Anonymisierung
  5. Widerspruch: Opt Out Cookie und Browser PlugIn
  6. Datenschutzerklärung für Ihre Webseite
  7. Checkliste für abmahnsicheres Google Analytics

1. Google Analytics und Datenschutz

Google gerät regelmäßig mit den Datenschutzbehörden aneinander. Neben AdSense und Google Street View ist es vor allem das Tracking-Tool „Google Analytics“, dass seit Jahren Anlass für Rechtsstreitigkeiten bietet.

Die Datenschützer bemängelten insbesondere die Speicherung sowie die Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA sowie die Tatsache, dass Google nur ungenügend darüber aufklärte, welche Daten konkret gespeichert und übertragen wurden.

Konsequenz ist, dass Seitenbetreibern, die Google Analytics nutzen, Bußgelder angedroht wurden bzw. diese mit Abmahnungen rechnen müssen.

Anzeige

Was wurde zwischen Google und den Datenschützern beschlossen?

Der Hamburgische Datenschutzbeauftragte Johannes Caspar und Google haben sich allerdings nach fast zweijährigen Verhandlungen darauf geeinigt, wie eine rechtssichere und datenschutzkonforme Nutzung von Google Analytics in Deutschland aussehen kann. Hierzu hat Google zum einen viele Funktionen von Analytics bearbeitet und umgestellt.

Um Google Analytics rechtssicher zu nutzen sind folgende Schritte nötig:

  1. Vertrag zur Auftragsdatenverarbeitung abschließen
  2. IP Anonymisierung nutzen
  3. Datenschutzerklärung aktualisieren
  4. Opt Out Cookies + Link zu Browser PlugIn setzen

Die Datenschützer bemängelten insbesondere die Speicherung sowie die Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA sowie die Tatsache, dass Google nur ungenügend darüber aufklärte, welche Daten konkret gespeichert und übertragen wurden. Sogar Bußgelder wurden Seitenbetreibern, die Google Analytics nutzen, angedroht.

datenschutz3

2. Google Universal Analytics

Seit 2013 bietet Google eine neue Möglichkeit, Nutzerdaten auszuwerten. Der Unterschied zu Google Analytics liegt darin, dass bei Google Universal Analytics nicht nur Daten von Webseiten, sondern auf von anderen Geräten ausgewertet werden können. Dabei geht es zum einen natürlich um mobile Daten von Smartphone, Tablets und Spielekonsolen. Google will aber auch offline Kampagnen, Telefonate mit Kunden oder Besuche im Ladengeschäft für die Nutzer erfassen.

Um Google Universal Analytics zu nutzen muss ein neuer Tracking Code eingebunden werden. Grundlage ist das Measurement Protocol. Für Webseiten ist das ein Java-Script, für mobile Apps wird ebenfalls eine javabasierte Anwendung per SDK angeboten.

Datenschutz bei Google Universal Analytics

Die Frage, ob Webseitenbetreiber Google Universal Analytics ohne Einwilligung der Nutzer (also nur mit Information und Widerspruchsmöglichkeit in der Datenschutzerklärung) nutzen können oder ob hier der Nutzer eine ausdrücklich einwilligen muss, kann man aktuell nicht mit Sicherheit beantworten.

Da das TMG die Widerspruchsmöglichkeit nur für „Telemedien“ vorsieht, bei Google Universal Analytics aber auch „offline-Daten“ anfallen sind einige Juristen der Auffassung, dass es hier nicht ohne Einwilligung der Nutzer geht. Verbindliche Urteile oder eine klare Positionierung der Datenschutzbehörden sind bisher aber noch nicht bekannt.

Google weist darauf hin dass sich im Bezug auf den Datenschutz erst einmal nichts ändert. IP-Maskierung (anonymizeIp ) und opt out per Bowser-Add-on lieben weiterhin wie beim normalen Analytics möglich. Google stellt auf der entsprechenden Seite dar, dass bei Universal Analytics sogar deutlich weniger Daten wie etwa Cookies gespeichert werden.

Zudem bietet Universal Analytics die Möglichkeit, auch völlig ohne Cookies zu tracken. Da immer mehr Nutzer Cookies von Drittanbietern nicht zulassen oder ihre Cookies regelmäßig löschen, gilt das cookiebasierte Messen des Nutzerverhaltens als nicht mehr sehr genau.

Da über Google Universal Analytics ein Nutzer aufgrund des trackings über mehrere Geräte hinweg eindeutig zu identifizieren ist kommt es darauf an, welche Daten genau gespeichert und analysiert werden können. Google weist ausdrücklich darauf hin, dass das die Nutzer von Universal Analytics die Nutzer deutlichdarauf hinwiesen müssen und wie ein opt out möglich ist. Zudem ist es untersagt, persönliche Nutzerdaten einzuspielen und zu verknüpfen, die Google eine Identifizierung der Nutzer ermöglichen wie zum Beispiel Name oder E-Mail-Adresse der Nutzer sowie die Gerätenummer von Mobilgeräten. Damit nimmt Google deutlich Bezug auf die Vorschrift des deutschen Datenschutzrechts in § 13 Abs.3 TMG.

datenschutz6

3. Auftragsdatenverarbeitung

Ohne etwas juristischen Wahnsinn geht es hier leider nicht. Webseitenbetreiber, die Google Analytics nach den Vorgaben der Datenschützer nutzen wollen, müssen mit Google einen schriftlichen Vertrag von 15 Seiten Umfang über die so genannte „Auftragsdatenverarbeitung“ nach § 13 BDSG abschließen.

Den von Google und den Datenschützern entwickelten Mustervertrag zur Auftragsdatenverabeitung können Sie hier herunter laden und nutzen:
www.google.com/analytics/terms/de.pdf

Der Vertrag umfasst inklusive einer „Anlage 1 – Regelungen zur Auftragsdatenverarbeitung“ und einer „Anlage 2 – Technische und organisatorische Maßnahmen“ insgesamt 18 Seiten. Der Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlag per Post an Google gesendet werden. Die Adresse ist:

Contract Administration Department
Google Ireland Ltd
Gordon House Barrow Street Dublin 4
Irland

Nach einigen Wochen (oder Monaten) erhalten Sie ein gegengezeichnetes Exemplar zurück. Auch für Google Universal Analytics sollten Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser wurde bisher allerdings noch nicht auf Universal Analytics angepasst.

Wenn dies geschehen ist, müssen Sie die Tatsache, dass Sie mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben, auch in der Datenschutzerklärung darstellen.

Sören Siebert
Sören SiebertRechtsanwalt

Praxis Tipps:

1. Seitenbetreiber können dazu unseren kostenlosen Datenschutzgenerator nutzen:
https://www.e-recht24.de/muster-datenschutzerklaerung.html

2.  Agenturen, Webdesigner und Unternehmen können auf die Profi-Version von eRecht24 Premium mit Zusatzfunktionen zugreifen:
https://www.e-recht24.de/mitglieder/

4. IP-Anonymisierung

Eine weitere Voraussetzung für die rechtskonforme Nutzung von Google Analytics und Universal Analytics ist die Anonymisierung der IP-Adressen der Nutzer über die Funktion „anonymize IP“.

Google Analytics mit verkürzten IP-Adressen verwenden

Aufgrund der angesprochenen Datenschutzdiskussion sollen fortan nicht mehr die kompletten IP-Adressen der Webseitenbesucher gespeichert werden. In diesem Zusammenhang hat Google die Funktion anonymizeIP() eingeführt. Diese Funktion verwirft das jeweils letzte Oktett (geordnete Zusammenstellung von 8 Bit) der IP-Adresse. Dadurch werden nicht mehr die vollständigen IP Adressen der Besucher einer Webseite gespeichert.

Mittlerweile bietet Google mit Universal Analytics einen neueren Tracking-Code an, der in Google Analytics für jeden Webmaster frei zugänglich ist.

WICHTIG: Den Code für die anonymizeIP() - Funktion muss jeder Webmaster eigenständig in seinem Google Analytics Code verankern. Da die Implementierung des Codes in der Anleitung von Google sehr undurchsichtig beschrieben ist, haben wir eine eigene kurze Anleitung dazu verfasst:

Der Standard-Code von Google Universal Analytics sieht so aus:

Google Analytics Code ohne anonymizeIP

Mit der anonymizeIP() - Funktion sieht er dann so aus:

 Google Analytics Code mit anonymizeIP

Sie müssen also nur die folgende Codezeile in Ihren Standard-Analytics Code einfügen:

ga('set', 'anonymizeIp', true);

 Wenn Sie vorher bereits Google Analytics genutzt haben müssen Sie zudem die bisher gespeicherten Analytics-Daten löschen. Da die Datenschützer bisher der Auffassung waren, dass ein Teil der mittels Google Analytics erhobenen Daten rechtswidrig erhoben wurden, müssen diese nun gelöscht werden. Dies ist nach Aussagen des Hamburgischen Datenschutzbeauftragten nur möglich, indem das alte Analytics-Konto geschlossen und ein neues Konto eröffnet wird.

Technische Hintergrundinformationen zur IP-Anonymisierung in Analytics gibt es bei Google:
https://support.google.com/analytics/answer/2763052?hl=de

5. Achtung Abmahnung: Widerspruch, Opt Out Cookie und Browser PlugIn

Aktuell werden Webseitenbetreiber von der Wettbewerbszentrale abgemahnt, die keine Widerspruchsmöglichkeiten für Google Analytics in ihrer Datenschutzerklärung eingebunden haben.

Hintergrund: Besucher einer Webseite muss das Recht eingeräumt werden, dem Tracking ihrer Daten zu widersprechen. Dafür gibt es 2 Wege:

a) Browser PlugIn für Desktop

Nutzer, die die Seite über Desktop oder Notebooks aufrufen, können ein Browser Plugin (addon) installieren, dass die Speicherung ihrer Daten unterbindet und einen Opt Out Cookie setzt. Dazu müssen Sie in Ihre Datenschutzerklärung einen Hinweis auf das PlugIn und den passenden Link auf https://tools.google.com/dlpage/gaoptout?hl=de einfügen.

b) Opt out Cookie für mobile Nutzung

Da Browser-PlugIns auf mobilen Geräten wie Tablet oder Smartphone nicht funktionieren, ist für die mobile Nutzer eine weitere Lösung notwendig. Hier wird über Java-Script ein opt out Cookie gesetzt, der auch mobile funktioniert.

Der eigentliche Hinweise + javascript Code sieht wie folgt aus:

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, dass das Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>

WICHTIG:

Damit ist es aber nicht getan. Damit dieser Link funktioniert müssen Sie zunächst folgenden HTML-Quellcode mit Javascript VOR Ihrem Google Analytics Tracking Code platzieren.

Ersetzen Sie zudem die Zeichenfolge UA-XXXXXXX-X durch Ihre Google Analytics Tracking ID.

beispielcode ua

Praxis-Tipp:
Nutzen Sie einfach unseren kostenlosen Datenschutz-Generator. Wir liefern Ihnen den passenden html und JavaScript-Code gleich mit.

sonstiges10

6. Datenschutzerklärung auf Ihrer Webseite anpassen

Wenn Sie diese Punkte umgesetzt haben müssen Sie

  • Ihre Datenschutzerklärung auf Ihrer Webseite anpassen und korrekt über die Speicherung und Verarbeitung der Nutzer-Daten im Rahmen von Google Analytics hinweisen.
  • Die Datenschutzerklärung muss sollte einen Hinweis auf die Auftragsdatenverarbeitung enthalten und darauf, dass die Funktion anonymizeIP genutzt wird.
  • Weiter muss der Hinweis auf die Widerspruchsmöglichkeit der Nutzer (Opt Out Cookie und Browser PlugIn ) mit vollständigem und korrektem Code enthalten sein.

Praxis-Tipp: Nutzen Sie einfach unseren kostenlosen Datenschutz-Generator. Wir liefern Ihnen den passenden html und JavaScript-Code gleich mit: https://www.e-recht24.de/muster-datenschutzerklaerung.html

Sören Siebert
Sören SiebertRechtsanwalt

Achtung: Webseitenbetreiber, die Google Analytics nicht oder nur unvollständig in der Datenschutzerklärung darstellen, werden aktuell massenhaft abgemahnt. Hierzu gibt es einen aktuellen Fall vom LG Hamburg:

In dem Fall ging es um einen Webseitenbetreiber, der auf seiner Webseite Google Analytics nutzte. Er hatte auf seiner Seite auch eine Datenschutzerklärung. Allerdings enthielt diese nur einen allgemeinen Standard-Hinweis darauf, dass er auf seiner Webseite Cookies einsetzte. Darüber, dass er die Daten auch per Google Analytics auswertete, belehrte er die Webseitenbesucher nicht. Dies fiel auch einem Konkurrenten auf. Er mahnte den Wettbewerber deswegen ab und argumentierte, dass eine Belehrung über den Einsatz von Google Analytics hätte gegeben werden müssen.

Das Landgericht Hamburg entschied (Az. 406 HKO 120/16), dass der Webseitenbetreiber Google Analytics nur noch mit richtiger und vollständiger Belehrung einsetzen darf. Das Gericht untersagt dem Webseitenbetreiber nämlich, Daten zu erheben oder erheben zu lassen, ohne die gesetzlich notwendigen Informationen vollständig zur Verfügung zu stellen.

--> Damit hat das Gericht deutlich gemacht, dass Webseitenbetreiber die Nutzer darüber informieren müssen, ob udn wie Google Analytics eingesetzt wird.

7. Checkliste für den korrekten Einsatz von Google Analytics

1. Auftragsdatenverarbeitung

Schließen Sie mit Google einen Vertrag über die Auftragsdatenvereinbarung. Hier können Sie den von Google und Datenschützern erstellten Mustervertrag einsehen und nutzen:
https://www.google.de/analytics/terms/de.html

Die unterschriebene Vereinbarung in doppelter Ausführung und ein adressierter Rückumschlag muss per Post an Google in Irland gesendet werden.

2. IP Anonymisierung

Google Analytics darf nur eingesetzt werden, wenn die IP-Adresse des Nutzers gekürzt wird, bevor sie zu Google übertragen wird. Hierfür hat Google den Code „anonymizeIP“ eingeführt. Diesen Code müssen Sie in Ihren Google-Analytics Code einbinden.);

3. Browser PlugIn und Opt Out Cookie setzen

Die Belehrung über Google Analytics muss den Nutzer auch darauf hinweisen, dass er dem Tracking widersprechen kann. Die Widerspruchsmöglichkeiten müssen auch technisch korrekt auf Ihrer Seite implementiert sein.

  1. Browser PlugIn für Desktop
  2. Opt out Cookie für mobile

4. Datenschutzerklärung anpassen

Informieren Sie vollständig und korrekt in Ihrer Datenschutzbelehrung darüber, ob und wie Sie Google Analytics einsetzen. Stellen Sie auch die Punkte Auftragsdatenverarbeitung (ADV), IP Anonymisierung und Widerspruchsmöglichkeiten (Browser PlugIn und Opt out Cookie) dar.

Praxis-Tipp: Nutzen Sie dafür einfach unseren kostenlosen Datenschutz-Generator. Wir liefern Ihnen den passenden html und JavaScript-Code gleich mit: https://www.e-recht24.de/muster-datenschutzerklaerung.html

Sören Siebert
Sören SiebertRechtsanwalt

 

Passend zu diesem Beitrag:

Impressum und Disclaimer

eRecht24 bietet Webseitenbetreibern seit mehreren Jahren mit dem Impressums-Generator und dem Muster-Disclaimer kostenfreie Tools an, um die eigene Website auf einen rechtlich sicheren Stand zu bringen.

Hier können Sie neben einem rechtssicheren Impressum auch Datenschutzerklärungen für die Nutzung von Google Analytics, Google AdSende, Twitter, Facebook & Co kostenlos erstellen.

Anzeige

Was ist Ihre Meinung zum Thema Google Analytics und Datenschutz?

Bisher sah die Nutzung von Goole Analytics für einen Webseitenbetreibr so aus: 1. Bei Google Analytics anmelden, 2. Den Google Analytics Code auf der Seite einbinden.

Nach mehrjährigen Verhandlungen zwischen Google udn den Datenschutzbehörden sieht eine datenschutzkonforme Lösung nun so aus, dass Millionen Webseitenbetreiber ein 15seitiges Dokumente, das sie inhaltlich gar nicht verstehen werden, per Post an Google senden sollen, damit Google diese Dokumente millionenfach gegenzeichnet und dann millionenfach per Post zurück sendet. Praxisnah ist anders, vom Umweltaspekt einmal gar nicht zu reden.

Zudem müssen alle mittels Google Analytics erhobenen Daten gelöscht werden, es müssen das alte Analytics-Konto geschlossen werden und ein neues Konto eröffnet werden.

Finden sie es gut, dass es nun eine von den Datenschützern akzeptierte Nutzung von Google Analytics möglich ist? Werden Sie den etwas umständlicheren Weg gehen, um eine rechtskonforme Nutzung auf Ihren Seiten zu ermöglichen?

Diskutieren Sie mit!

Die beliebtesten Beiträge zu aktuellen Themen:

  1. eCommerce - AGB Online Shop, eBay AGB, Amazon AGB, AGB für Dawanda & andere Verkaufsplattformen
  2. Online Unternehmer - Widerrufsrecht, Impressumspflicht, Datenschutzerklärung, Markenanmeldung und Markenrecherche im Netz
  3. Privatleute - Abmahnung Filesharing, Abmahnung Waldorf Frommer, Vorfälligkeitsentschädigung (Kündigung eines Kreditvertrages)
Sie dürfen diesen Beitrag gern verlinken.

Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.

Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zum Mitgliederbereich

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.        

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

video tutorials teaser

eRecht24-Videos: IT-Recht verständlich

IT-Recht, endlich verständlich: Jetzt können auch Sie Ihre Website einfach und schnell abmahnsicher gestalten, wenn Sie richtig vorgehen!

Mehr Informationen

webinar teaser

Live-Webinare mit Rechtsanwalt Siebert

Sie fragen, Rechtsanwalt Siebert antwortet. Aktuelle Themen, umfassend und Schritt für Schritt erklärt: So haben Abmahner bei Ihnen keine Chance!

Mehr Informationen
Support
×
Hier sichern Sie sich Ihren Wissensvorsprung

Abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie

  • Einfache Lösungen zu den Abmahnfallen im Internet
  • Aktuelle Rechtstipps von Rechtsexperte Sören Siebert
  • 3 exklusive Checklisten zum Internetrecht

Wir halten uns an den .

Wir halten uns an den Datenschutz.