Google Analytics, DSGVO und Datenschutz

Google Analytics und der Datenschutz: Google Analytics DSGVO-konform nutzen

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(203 Bewertungen, 4.11 von 5)

Das Wichtigste in Kürze

  • Wenn Sie Google Analytics 4 DSGVO/rechtssicher nutzen möchten, holen Sie die Einwilligung Ihrer Nutzer ein.
  • Schließen Sie einen Vertrag mit Google zur Auftragsverarbeitung ab.
  • Wählen Sie möglichst datenschutzfreundliche Einstellungen in Google Analytics – deaktivieren Sie alle Funktionen, die Sie nicht benötigen.

Worum geht's?

Google gerät regelmäßig mit den Datenschutzbehörden aneinander. Neben AdSense und Google Street View ist es vor allem das Tracking-Tool „Google Analytics“, das seit Jahren Anlass für Rechtsstreitigkeiten und Auseinandersetzungen mit Datenschützern bietet.
Die Datenschutzbehörden Österreichs, Frankreichs und Italiens erklärten den Einsatz des Analysetools in der Vergangenheit für unzulässig. Mit dem neuen Data Privacy Framework gibt es nun allerdings eine neue Rechtsgrundlage für die Datenübertragung in die USA. Was bedeutet das für Webseitenbetreiber? Darf ich Google Analytics nutzen und wenn ja, unter welchen Voraussetzungen? Und wenn nicht – welche Alternativen gibt es? Das und mehr erfahren Sie jetzt.

 

1. Google Analytics und Datenschutz: Was ist das Problem?

Der US-Dienst Google Analytics und der Datenschutz waren nie die besten Freunde. Spätestens seit der Datenschutzgrundverordnung (DSGVO), den Urteilen des EuGH zu Tracking und Cookies auf Webseiten und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), ist die Nutzung von Google Analytics praktisch nicht mehr so einfach.

Im "Schrems II“-Urteil schlug der EuGH dann 2020 das Privacy Shield mit der Begründung nieder, das US-Recht schütze die Rechte der EU-Bürger nicht ausreichend. Ein rechtskonformer Datentransfer in die USA war ab diesem Zeitpunkt nur schwer möglich. Hierfür konnten unter anderem die von der EU-Kommission 2021 verabschiedeten neuen Standardvertragsklauseln verwendet werden. Diese wurden teilweise jedoch als nicht ausreichend angesehen. Mit Inkrafttreten des neuen Data Privacy Frameworks am 10.07.2023 wurde eine neue Grundlage für die Übertragung von personenbezogenen Daten in die USA geschaffen und für enorm hohe Bußelder durch Google Analystics 4 sorgen. 

Was ist Google Analytics überhaupt?

Google Analytics ist das meistgenutzte Tool zur Nutzeranalyse auf Webseiten (Webanalyse). Je nach Statistik kommt Google Analytics auf ca. 50 Prozent größerer Webseiten zum Einsatz. Auf den eingesetzten Websites sammelt das Link Tracking Tool Google Analytics Daten über die Nutzer. Webseitenbetreiber haben die Google Statistik umfangreiche Möglichkeiten, im Konfigurationsmenü diese Daten nach den gewünschten Einstellungen zu erheben.

Die Daten können nach bestimmten Parametern aufbereitet und von den Seitenbetreibern ausgewertet werden, um so die Aufrufe einer Seite, das Nutzerverhalten oder die Verweildauer nachzuvollziehen. Auch bestimmte Aktionen (Anmeldung zu einem Newsletter, Download eines E-Books, Kauf von Produkten) können über das Conversion-Tracking analysiert werden. So können Sie beispielsweise eine In-Page-Analyse durchführen und durch die angezeigten Klicks und Links das Benutzerverhalten besser verstehen.

Interessant: Google Analytics können Sie auch mobil als App nutzen. So können Sie unter anderem die Auswirkungen Ihrer Marketing-Kampagnen jederzeit und von jedem Endgerät aus tracken.

Google Analytics hat sich in den letzten 18 Jahren weiterentwickelt. Die Neuerungen gegenüber der Vorversionen: 

Google Universal Analytics (seit 2013)

Google Analytics 4 (seit 2020)

  • Tracking-Skript: analytics.js
  • Tracking-Skript: gtag.js
  • Analytics Tracking ID (UA-XXXXXXXX-X)
  • G-ID (G-XXXXXXXXXX)
  • Messung auf Basis von Sitzungen
  • Messung auf Basis von Ereignissen
  • Tracking auf Basis einzelner Datenquellen (Seitenaufrufen, Events etc.)
  • Tracking auf Basis einer einzelnen Customer Journey des Nutzers (aus allen Daten)
  • Spammer können Statistik beeinflussen
  • Spam-Filter
  • Google Signals für geräteübergreifendes Tracking mit Cookies
  • Google Signals für geräteübergreifendes Tracking.
  • Mit dem Consent-Mode auch anonym mit Hilfe von “Machine-Learning” möglich
  • Keine Standard-Events
  • Standard-Events (wenn aktiviert: PageView, Scrolltracking, File Downloads etc.)
  • Auswahl passender Event-Parameter (Aktion, Label, Kategorie) notwendig
  • Einheitlicher Parameter (event_name), der beliebig erweitert werden kann
  • Hohe Serverbelastung durch das Senden einzelner Datensätze
  • Serverentlastung durch das Senden gebündelter Datensätze
  • Tracking “analytics.js” dient ausschließlich Universal Analytics (Google Analytics)
  • Tracking “gtag.js” dient als Quelle für viele weitere Google-Tools wie z. B. Google Ads
  • Ziele werden unter Zielvorhaben angelegt
  • Ziele werden unter Conversions angelegt
  • Ausschließlich eine Datenquelle
  • Data Streams als Datenquelle (Website + Apps)
  • BigQuery-Verknüpfung nur mit Google Analytics 360 (GA360)
  • BigQuery-Verknüpfung für jeden Nutzer
  • Berichte nach A-B-C
    (Akquisition, Behaviour, Conversion)
  • Berichte nach Lebenszyklus
    (Akquise, Engagement, Monetarisierung, Kundenbindung)
 
  • Benutzerfreundlicheres UI
    (User Interface für Berichte, Auswertungen etc.)
 
  • Datenfilter (Interner- und Entwickler-Traffic)

Viele weitere technische Neuerungen innerhalb von Google Analytics 4 können Sie direkt bei Google nachlesen.

Viele Websitebetreiber nutzten in der Vergangenheit die ältere Version Google Universal Analytics (GA3).

Zum 01.07.2023 wurde Universal Analytics eingestellt und verarbeitet ab diesem Zeitpunkt keine Daten mehr. Bis zum 1. Juli 2024 ist ein Zugriff auf alte Daten noch möglich, danach werden die Daten gelöscht. Eine Umstellung auf GA4 ist daher, falls noch nicht geschehen, für Sie und Ihr Business erforderlich, wenn Sie weiterhin bei Google Analytics bleiben möchten. 

Aber was genau kritisieren die Datenschützer an GA3?

Das Problem: Das alte Universal Analytics (GA3) erfüllte nicht die Auflagen der Datenschutzbehörden hinsichtlich DSGVO und Datenschutz.

Was kritisierten die Datenschützer?

Datenschützer bemängeln beim Thema Google Analytics und Datenschutz verschiedene Aspekte. Zum einen würde Google in seinen Datenschutzbestimmungen nur ungenügend darüber aufklären, welche Daten beim Einsatz von Google Analytics konkret gespeichert und übertragen werden. Die Datenschutzbehörden haben deshalb Seitenbetreibern, die Google Analytics nutzen, Bußgelder angedroht.

Dabei geht es vor allem um die Speicherung und Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA. Zwar gibt es bereits seit 2010 die Möglichkeit, auf einfache Weise IP-Adressen zu anonymisieren – doch Google kann aufgrund der Unmenge an Daten dennoch den Nutzer problemlos rekonstruieren. Neben der IP-Adresse erhebt und übermittelt Google Analytics etwa Sprachen, Browserversion, Plug-Ins, Bildschirmgröße, Zeitzone und Endgerät an Google. Aus diesem Grund ist es fraglich, ob in Zukunft Google Analytics dsgvo konform sein wird.

Entscheidungen in Österreich, Italien und Frankreich 

Ausgehend vom EuGH-Urteil Schrems II im Jahr 2020 reichte das Europäische Zentrum für digitale Rechte (NOYB) 101 Beschwerden bei den Datenschutzbehörden gegen große Unternehmen ein. Der Vorwurf: Sie würden Google Analytics und Facebook Connect unrechtmäßig verwenden. Im Januar 2022 gab es dann die ersten Entscheidungen der Datenschutzbehörden. Die österreichische, die französische und die italienische Datenschutzbehörde erklärten den Einsatz von Google Analytics für unzulässig.

Die Begründung: Bei der Übertragung der Nutzerdaten in die USA würden die Daten nicht ausreichend geschützt, etwa durch Anonymisierung. So würde etwa die Kürzung der IP-Adresse keine hinreichende Schutzmaßnahme darstellen, da sie erst auf den Servern von Google in den USA gekürzt würde – und so von US-Geheimdiensten wie der NSA ausgelesen werden könne. Das verstoße eindeutig gegen das Recht auf informationelle Selbstbestimmung, das durch die Datenschutzgrundverordnung 2018 gestärkt wurde.

Auf Antrag US-amerikanischer Behörden sei Google laut Abschnitt 702 des FISA (US-Gesetzes zur Überwachung in der Auslandsaufklärung) verpflichtet, personenbezogene Daten von EU-Bürgern offenzulegen. Dadurch sei ein angemessener Schutz von personenbezogenen EU-Nutzerdaten nicht möglich und Google Analytics nicht datenschutzkonform.

Was sagen die deutschen Datenschutzbehörden dazu?  

Schon in den letzten Jahren positionierten sich die deutschen Aufsichtsbehörden immer eindeutiger gegen den Einsatz von Google Analytics.

2019 gaben die deutschen Datenschutzbehörden in einem „Rundumschlag“ 14 Pressemitteilungen zum Thema „Cookies, Tracking Tools und Einwilligungen“ heraus. Jedes der 16 Bundesländer (bis auf Mecklenburg-Vorpommern und Baden-Württemberg) in einer eigenen Mitteilung und mit anderen und teilweise abweichenden Argumenten. Diese können Sie hier nachlesen:

Die Grundaussage war aber bei allen gleich: Dienste, die wie Google Analytics die Daten von Webseitenbesuchern auswerten und nutzen, sind nur noch mit Einwilligung erlaubt. Egal ob mit oder ohne Cookies.

2. Google Analytics vor und nach der DSGVO 

Vor der DSGVO war die rechtssichere Einbindung von Google Analytics auch ohne Einwilligung möglich, wenn bestimmte Vorgaben (AV-Vertrag, IP-Anonymisierung, funktionierende Opt-Out-Lösung) eingehalten wurden. Nach der Datenschutzgrundverordnung ist das nicht mehr erlaubt. In Expertenkreisen wurde sogar diskutiert, ob die Nutzung von Google Analytics unzulässig sei, auch wenn eine Einwilligung der Nutzer vorliege. Was ist der aktuelle Stand?

Google Analytics nach der DSGVO

Mit Einführung der DSGVO bestand die Hoffnung, dass diese Frage erst durch die ePrivacy-Verordnung geregelt wird und sich Webseitenbetreiber bis dahin auf das berechtigte Interesse in Art. 6 Abs. 1 lit. f DSGVO stützen können. Diese Hoffnung hat sich nicht bewahrheitet. Somit ist nach mittlerweile vorherrschender Meinung Google Analytics nur noch mit Einwilligung zulässig.

Tracking-Cookies nach EuGH-Cookie Urteil

Was Cookies angeht, gab es in Deutschland (aus sehr komplizierten juristischen Gründen, die wir hier nicht erläutern) die Auffassung, dass bei Third Party- und Tracking-Cookies ein Opt Out genüge. Man informierte den Nutzer per Cookie-Banner, setzte die Cookies aber trotzdem. Der Nutzer musste dann irgendwie widersprechen.

Laut mehreren Urteilen des EuGHs dürfen Sie Cookies, die zum Tracking ohne Einwilligung gesetzt werden, nicht setzen. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden. Es sind aber nicht alle Cookies betroffen. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind z.B.:

  • Warenkorb-Cookies
  • Cookies für LogIns
  • Cookies die eine Länder- oder Sprachauswahl betreffen
  • Cookies, die Consent Tools für die Cookie Einwilligung setzen

Im Wesentlichen geht es bei der aktuellen Diskussion also um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.

Zum Artikel 

Lesetipp

Wie Sie gänzlich ohne Cookies Ihre Nutzer tracken können, lesen Sie in unserem Artikel zu Cookieless Tracking

Zum Artikel 

Der aktuelle Stand  

Das Internet- und Datenschutzrecht unterliegt einem ständigen Wandel. Folgende Punkte haben sich mittlerweile geändert:

Mit den 2021 veröffentlichten neuen Standardvertragsklauseln können sich US-Unternehmen verpflichten, die Rechte und die personenbezogenen Daten von EU-Bürgern zu schützen. Auch Google hat darauf reagiert und die neuen Standardvertragsklauseln in die eigenen AGB aufgenommen.

Laut Google werden zudem ab der aktuellen Google Analytics Version (GA4) die IP-Adressen nicht mehr auf US-Servern, sondern auf EU-Servern gekürzt. Das war ein wesentlicher Punkt, den die Datenschützer bei der Verwendung von Google Analytics kritisierten. 

Mit Inkrafttreten des EU-US Data Privacy Framework gibt es nun eine neue Grundlage für die Datenübertragung in die USA. Allerdings nehmen nur solche Unternehmen an dem Übereinkommen teil, die ein Selbstzertifizierungsverfahren durchlaufen haben und nach dem DPF gelistet sind. Mehr Informationen zum DPF finden Sie in unserem Artikel “Privacy Shield 2.0: Datentransfer in die USA”.

3. Soll ich Google Analytics jetzt überhaupt noch verwenden? 

Der Einsatz von Google Analytics wurde in der Vergangenheit viel diskutiert und von Datenschutzbehörden kritisiert. Lehnt man den Einsatz von Google Analytics aus Datenschutzgründen ab, bedeutet dies, dass Sie im Umkehrschluss im Internet überhaupt keine US-Dienste mehr verwenden dürften – einschließlich Microsoft, Google Maps etc. Mit dem neuen EU-US Datenschutzrahmen bleiben neue Einschätzungen der Aufsichtsbehörden zur Datenverarbeitung abzuwarten.

Was Sie aber als Websitebetreiber tun müssen: Bestimmte technische Maßnahmen ergreifen, um den Google Analytics-Datenschutz auf Ihren Websites zu erhöhen.

Möchten Sie Google Analytics weiterverwenden, müssen Sie mit der Abschaltung von GA3 jetzt auf die aktuelle Version GA4 umstellen.

Weiterhin sollten Sie folgende Punkte beachten:

  • Einwilligung / Consent-Tool auf der Seite einbinden
  • Vertrag zur Auftragsverarbeitung abschließen
  • IP-Anonymisierung
  • Opt-Out-Cookies + Link zu Browser-Plugin setzen (bei Nutzung eines Consent Tools in der Regel automatisch)
  • Datenschutzerklärung aktualisieren
  • Server Side Tracking nutzen, wenn möglich
  • Transfer-Impact Assessments (TIA)

Nur noch mit Einwilligung / Cookie Consent Tool

Nutzen Sie Google Analytics nur noch mit echter Einwilligung – also mit einem sogenannten Consent-Tool, bei dem der Nutzer aktiv bestätigen muss, dass er der Datenübertragung und/oder Speicherung von Cookies zustimmt. In diesem Fall können Sie auch das Opt-Out über Ihr Consent Tool einholen. Das Consent-Tool ist kein "Cookie Banner", sondern muss die Datenflüsse vor der Zustimmung des Nutzers tatsächlich unterbinden.

Wir empfehlen die folgenden Consent Tools:

Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

Wir können eRecht24 Premium Nutzern eine Lösung von Usercentrics anbieten, die ohne Zusatzkosten exklusiv in eRecht24 Premium enthalten ist und aktuell die 50 wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt.

Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know-How.

Praxis-Tipp 

eRecht24 Premium Nutzer können das Profi-Consent-Tool von Usercentrics ohne Zusatzkosten nutzen. Als Agentur-Mitglied bei Recht24 Premium haben Sie die Möglichkeit, das Consent Tool auch für die Webseiten Ihrer Kunden zu verwenden. Eine Übersicht über die Funktionen von Usercentrics finden Sie hier.

Borlabs Cookie: PlugIn für Wordpress

Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie. Wir haben mit Benjamin Bornschein, dem CEO und Entwickler von Borlabs Cookies, einen Rabatt von bis zu 45% für eRecht24 Premium Nutzer vereinbart.

Als Agentur-Mitglied können Sie das Rabatt-Angebot auch für die Webseiten Ihrer Kunden nutzen.

Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf Wordpress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/Monat. Auf die kostenpflichtige Variante erhalten eRecht24 Premium Nutzer 25% Rabatt.

Wenn Sie Consent Tools nutzen, dann müssen Sie auch Ihre Datenschutzerklärung anpassen. Wir haben zu allen drei der vorgestellten Consent Tools bereits einen Passus in unseren Premium-Datenschutz-Generator für Unternehmen aufgenommen.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden
Was mache ich, wenn mir keine dieser Lösungen zusagt?

Es gibt natürlich noch zahlreiche andere Anbieter, die alle bestimmte Vor- und Nachteile haben. Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen:

Wenn Sie keine Lösung auf dem Markt finden, die Ihren Ansprüchen gerecht wird, bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.

Egal für welches Consent Tool Sie sich entscheiden: Prüfen Sie bitte, ob diese Voraussetzungen erfüllt sind:

  • Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein.
  • Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken.
  • Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden.
  • Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein.
  • Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden.
  • Stellen Sie Ihr Consent Tool in Ihrer Datenschutzerklärung dar.

Vertrag zur Auftragsverarbeitung mit Google abschließen

Webseitenbetreiber, die Google Analytics nach den Vorgaben der Datenschützer nutzen wollen, müssen mit Google einen sogenannten AV-Vertrag (Auftragsverarbeitungs-Vertrag) abschließen. Das ist mit Geltung der DSGVO auf elektronischem Weg möglich, direkt in Ihrem Google-Analytics-Account:

  • Loggen Sie sich bei https://analytics.google.com/
  • Klicken Sie links unten auf den Punkt „Verwaltung“ (Zahnradsymbol).
  • Im rechten Bereich ändert sich die Darstellung und Sie finden dort links oben den Punkt „Kontoeinstellungen“, den Sie ebenfalls anklicken.
  • In der geänderten Ansicht scrollen Sie nach unten bis zum Punkt „Datenverarbeitungsbedingungen“, wo Sie Googles Bedingungen einsehen können.
  • Zur Zustimmung bestätigen Sie die entsprechende Checkbox.

IP-Anonymisierung 

IP-Adressen werden bei Google Analytics 4 bereits automatisch anonymisiert. Mit Universal Analytics musste dies in der Vergangenheit zusätzlich konfiguriert werden. 

Mess-ID einbinden

Jede neue Version von Google Analytics erfordert, dass Sie einen neuen Tracking-Code auf Ihrer Website einbinden. Für Google Analytics 4 müssen Sie derzeit den Tracking-Code nicht zusätzlich anpassen. Statt der bisherigen Tracking-ID der früheren Google-Analytics-Versionen erhalten Sie nun eine Mess-ID (Measurement ID) im Format G-XXXXXXXXXX.

So finden Sie Ihre Mess-ID in Google Analytics 4 

  • Melden Sie sich in Ihrem Analytics-Konto an. 
  • Klicken Sie unten Links auf das Zahnradsymbol (Verwaltung). 
  • Wählen Sie in der Spalte PROPERTY die Option “Datenstreams” aus. 
  • Klicken Sie auf den Datenstream zu Ihrer Website / URL. 
  • Sie finden Ihre Mess-ID (G-XXXXXXXXXX) oben rechts auf der Seite. 

Für die Einbindung von Google Analytics 4 benötigen Sie das Script bzw. den Tracking-Code, in welchem mit GA4 die sogenannte Mess-ID (Measurement ID) im Format G-XXXXXXXXXX enthalten ist:

Haben Sie bisher Google Analytics Universal genutzt, können Sie die alte Tracking-ID einfach gegen die Mess-ID austauschen. Die IP-Anonymisierung benötigen Sie mit GA4 ab sofort nicht mehr - falls Sie diese bisher verwendet haben.

Einbindung auf der Website

Der JavaScript-Code muss auf Ihrer Website im sogenannten Kopfbereich (<head>) eingebunden werden. Sollten Sie z. B. WordPress nutzen, geht dies am einfachsten mit einem Plugin wie “Header and Footers”.

<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX" async="async" type="text/javascript"></script>
<script type="text/javascript">
window.dataLayer = window.dataLayer || [];
function gtag() { dataLayer.push(arguments); }
gtag('js', new Date());
gtag('config', 'G-XXXXXXXXXXX');
</script>

 

Widerruf über Consent-Tool, Opt-Out-Cookie und Browser-Plugin

Das bloße Opt-Out, also das Austragen eines Nutzers, ist bei Google Analytics auf einer Webseite nicht mehr ausreichend. Wie oben beschrieben, muss der Nutzer vorher zunächst einmal eingewilligt haben. Trotzdem muss ihm weiterhin die Möglichkeit gegeben werden, seine Einwilligung zu widerrufen, um dem Tracking seiner Daten nach der Einwilligung zu widersprechen. Dafür gibt es 3 Wege:

  • Über das eingesetzte Consent-Tool
  • Browser-PlugIn für Desktop
  • Opt-Out-Cookie für mobile Nutzung
Über das eingesetzte Consent-Tool

Consent-Tools bieten im Gegensatz zu bloßen Cookie Bannern nicht nur die Möglichkeit, bestimmte Datenübertragungen zu erlauben (Einwilligung), sondern müssen auch die Möglichkeit bieten, diese Einwilligung zu widerrufen.

Browser-Plugin für Desktop

Nutzer, die die Seite über Desktop oder Notebooks aufrufen, können ein Browser Plug-In (addon) installieren, dass die Speicherung ihrer Daten unterbindet und einen Opt Out Cookie setzt. Dazu müssen Sie in Ihre Datenschutzerklärung einen Hinweis auf das Plug-In und den passenden Link auf https://tools.google.com/dlpage/gaoptout?hl=de einfügen.

Opt-Out-Cookie für mobile Nutzung

Da Browser-PlugIns auf mobilen Geräten wie Tablet oder Smartphone nicht funktionieren, ist für die mobilen Nutzer eine weitere Lösung notwendig. Hier wird über Java-Script einen Opt-Out-Cookie gesetzt, der auch mobil funktioniert.

Der eigentliche Hinweis + Javascript-Code sehen wie folgt aus:

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, dass das Erfassen Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>

WICHTIG

Code richtig einbinden. Damit ist es aber nicht getan. Damit dieser Link funktioniert, müssen Sie zunächst folgenden HTML-Quellcode mit Javascript VOR Ihrem Google Analytics Tracking Code platzieren.

<script>
var gaProperty = 'G-XXXXXXXXXX';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1){
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
alert('Das Tracking durch Google Analytics wurde in Ihrem Browser für diese Website deaktiviert.');
}
</script>

Nutzen Sie für die rechtssichere Information über Tracking Tools wie Google Analytics einfach unseren kostenlosen Datenschutz-Generator. Wir liefern Ihnen den passenden HTML- und JavaScript-Code gleich mit.

Es ist möglich, dass Sie beim Einbinden des Codes auf folgende Probleme stoßen:

  • Ihr HTML-Eingabe-Editor verbietet die Eingabe von Javascript-Funktionen in Links.
  • Sie haben in Ihrem System keinen Berechtigung, die Inhalte im Head-Bereich Ihrer Webseite zu ändern

Kontaktieren Sie in diesem Fall Ihren Hoster oder einen Webprogrammierer, der sich mit Ihrem System auskennt.

Für die Betreiber von Webseiten, die auf WordPress basieren, steht das Plugin Google Analytics Opt-Out zur Verfügung.

Datenschutzerklärung auf Ihrer Webseite anpassen

Wenn Sie diese Punkte umgesetzt haben, müssen Sie Ihre Datenschutzerklärung auf Ihrer Webseite anpassen und korrekt über die Speicherung und Verarbeitung der Nutzer-Daten im Rahmen von Google Analytics hinweisen.

Die Datenschutzerklärung sollte einen Hinweis auf die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) enthalten. Weiter muss der Hinweis auf die Widerspruchsmöglichkeit der Nutzer (Opt-Out-Cookie und Browser-Plug-In) mit vollständigem und korrektem Code enthalten sein.

Nutzen Sie für die korrekten Datenschutzbestimmungen einfach unseren kostenlosen Datenschutz-Generator. Wir liefern Ihnen den passenden html- und JavaScript-Code gleich mit.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Server-Side-Tracking

Durch den Einsatz eines Proxy-Servers können Sie das Risiko, durch die Verwendung von Google Analytics gegen die DSGVO zu verstoßen, weiter senken. Die erhobenen Datensätze werden dabei auf einem EU-Server pseudonymisiert. Da dieser Server nicht von Google betrieben wird, erhält das US-Unternehmen erst gar nicht die IP-Adressen Ihrer Nutzer.

Sofern es Ihnen möglich ist, sollten Sie diese Schutzmöglichkeit einsetzen. Sie ist jedoch kostspielig und für Kleinunternehmen oft nicht tragbar.

Transfer-Impact Assessments (TIA)

Nehmen Sie eine Risikofolgenabschätzung vor und prüfen Sie, inwieweit der Schutz personenbezogener Daten beim Einsatz von Google Analytics gewahrt werden kann.
Wenden Sie sich dazu gern an die Kanzlei Siebert Lexow Lang.

4. Welche Alternativen kann ich statt Google Analytics nutzen?

Der Aufwand, den Sie betreiben müssen, um Google Analytics DSGVO-konform einzusetzen, ist nicht gering. Das kann ein ausschlaggebender Grund sein, sich langfristig nach einer Alternative umzusehen. Wir stellen Ihnen einige EU-Anbieter von Analysetools vor, mit denen Sie datenschutzrechtlich auf der sicheren Seite sind.

Matomo

Matomo ist der bekannteste Google Analytics-Gegenspieler: Mit einem Marktanteil von 16,6 Prozent in Deutschland ist das Tool dem US-Dienst sehr ähnlich. Es gibt eine kostenlose Version mit eingeschränkten Funktionen. Diese müssen Sie selbst hosten. Die kostenpflichtige Cloudversion enthält sämtliche wichtige Analysetools. Matomo ist ein Open-Source-Freemium-Produkt mit Server-Standorten in Deutschland.

eTracker

eTracker ist ein Analysetool aus Deutschland mit Sitz in Hamburg. Die Datenspeicherung findet in Deutschland statt, die Daten werden nicht an Dritte weitergegeben und auch nicht vom Unternehmen selbst weiterverwendet. Das Tool arbeitet – im Gegensatz zu Matomo – ohne Cookies. Das Tool ist in drei Versionen erhältlich. Je nach Version stehen Webseitenbetreibern unterschiedliche Funktionen zum Website-Controlling zur Verfügung.

Simple Analytics

Simple Analytics ist ein kleines Analytics Tool aus den Niederlanden. Es hat sich zur Aufgabe gemacht, so wenig Daten wie nötig zu sammeln und diese auch schneller wieder zu löschen. Wiederkehrende Nutzer können weniger gut erfasst werden. Weil die IP-Adresse nicht erhoben wird, sind Standortdaten weniger präzise. Das Tracking erfolgt ohne Cookies. Simple Analytics ist kostenpflichtig – dafür bezahlen die Nutzer aber nicht mit ihren Daten. Die Server stehen in Europa.

Plausible Analytics

Auch Plausible hat sich zum Ziel gesetzt, sinnvolle Daten und Informationen zu tracken, ohne in die Privatsphäre der Nutzer einzugreifen. Es werden keine persönlichen Daten und so wenig Informationen wie notwendig gesammelt. Auch Plausible ist eine Open-Source-Lösung und kann auf dem eigenen Server gehostet werden. Da auch kein Cookie-Banner für die Verwendung nötig ist, erfüllt Plausible die Anforderungen der DSGVO. Kampagnen und Conversions sind möglich.

5. Was sollte ich als Webseitenbetreiber jetzt tun?

Ob Sie GA4 weiterhin nutzen sollten oder nicht, hängt von Ihren individuellen Wünschen und Zielen ab. Als Seitenbetreiber haben Sie grundsätzlich die Wahl: Sie können Google Analytics mit besonderen Schutzvorkehrungen weiternutzen – oder sich nach einer Alternative umsehen. Die Entscheidung liegt bei Ihnen.

Möchten Sie sich beim Tracking weiterhin auf Google Analytics verlassen, sollten Sie die oben genannten Maßnahmen umsetzen, um die Gefahr eines DSGVO-Verstoßes, soweit es möglich ist, zu minimieren. Das Risiko lässt sich dadurch zwar nicht gänzlich ausschließen, aber auf ein vertretbares Maß senken. Wenn Sie Google Analytics weiter nutzen wollen, dann nur mit Cookie-Einwilligung und DSGVO-konformer Datenschutzerklärung.

Falls Sie eine Untersagungsverfügung der Datenschutzbehörden erhalten, sollten Sie diese nicht ignorieren und sich nach Alternativen umsehen – es gibt schließlich andere Analysetools, mit denen sich die DSGVO einfacher umsetzen lässt. Überlegen Sie, ob Sie Google Analytics wirklich brauchen oder ob Sie sich die Daten sowieso nur einmal im Jahr anschauen. Benötigen Sie überhaupt ein Analysetool? Oder ist Google Analytics ein für Sie wichtiges Verkaufsinstrument, von dem Ihr unternehmerischer Erfolg abhängt?

Wenn Sie wirtschaftlich nicht auf Google Analytics angewiesen sind, ist es am sinnvollsten, ganz auf die Verwendung zu verzichten. Dies ist der rechtlich sicherste und unkomplizierteste Weg – und mit den oben genannten Alternativen müssen Sie ja auch nicht gänzlich auf die Analyse der Nutzerdaten verzichten.

6. Was macht eRecht24?

  • Wir haben die DSGVO konsequent dazu genutzt, Dienste zu entfernen, die ungefragt auf Nutzerdaten zugreifen.
  • Was Social Media, Likes und Shares auf Facebook, Twitter, LinkedIn, Xing & Co. angeht, nutzen wir unser Safe Sharing Tool. Hier werden beim „Betreten“ der Webseite keine Daten an die Social Media Plattformen übertragen.
  • Was das Tracking angeht, haben wir uns dazu entschlossen, Google Analytics aktuell nicht zu nutzen.

7. Checkliste für den korrekten Einsatz von Google Analytics

  • Google Analytics nur mit Einwilligung / Cookie-Consent-Tool nutzen
  • Vertrag zur Auftragsverarbeitung mit Google
  • Datenschutzerklärung anpassen hinsichtlich:
  • Einsatz von Google Analytics
  • Auftragsverarbeitung (früher: Auftragsdatenverarbeitung)
  • IP-Anonymisierung
  • Widerspruchsmöglichkeiten (Browser-Plugin und Opt-Out-Cookie)
  • Einsatz eines Proxy-Servers prüfen
  • Risikofolgenabschätzung vornehmen (lassen)

 Nutzen Sie für Ihre Datenschutzerklärung die Profi-Version unseres Generators inklusive der korrekten Texte für das neue Google Remarketing und den Code Generator für den korrekten Analytics Code auf Ihrer Seite.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

 

8. FAQ

Ist Google Analytics illegal?

Nein, grundsätzlich ist die Verwendung von Google Analytics nicht illegal. Damit es aber auch den Anforderungen der DSGVO entspricht, sollten Sie technische Maßnahmen ergreifen, um die Schutzmöglichkeiten auszuschöpfen. Möchten Sie Google Analytics weiterverwenden, sollten Sie auf die aktuelle Version (GA4) umstellen, da Universal Analytics (GA3) eingestellt wurde. 

Was kritisieren Datenschützer bei der Verwendung von Google Analytics?

Bei der Verwendung von Google Analytics werden die erhobenen Daten an Google übermittelt. Zwar ist der Konzern Google LLC nach dem DPF zertifiziert und sichert damit ein angemessenes Datenschutzniveau zu, allerdings gehen Datenschützer wie Max Schrems bereits gegen den neuen Datenschutzrahmen vor. Es wird bemängelt, dass amerikanische Behörden Zugriff auf die Daten von Google und damit Zugang zu den Daten der EU-Bürger erhalten könnten. 

Reichen Cookie-Banner weiterhin aus oder muss ich ein Consent Banner/Consent Tool nutzen?

Ein bloßes Cookie-Hinweis Banner reicht nicht aus. Seitenbetreiber, die Cookies zu Werbe- und Trackingzwecken einsetzen, müssen eine Einwilligungslösung über ein Consent Tool einbinden.

 

 

Mehr lesen zu:
Thema Tracking und Cookies

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details