header banner
Default

Anleitung zum Datenschutz beim Einsatz von Google Analytics Modell


Dieser Beitrag erläutert die aus Sicht des Datenschutzes empfohlenen Einstellungen beim Einsatz von Google Analytics 4 im Sinne einer Risikominimierung.

Der Inhalt im Überblick

    Die kurze Antwort vorweg: Ja, man kann Google Analytics datenschutzkonform einsetzen. Es ist jedoch unbedingt zu beachten, dass viele EU-/EWR-Datenschutzbehörden die Betreiber von europäischen Websites dazu zwingen wollen, Google Analytics nicht mehr zu verwenden, egal wie es implementiert wird, und auf europäische Lösungen umzusteigen.

    Aus diesem Grund sind die nachfolgenden Hinweise im Sinne einer Risikominimierung zu beachten.

    Es ist zunächst wichtig, sich vor einer Entscheidung einen Überblick über die aktuellen rechtlichen Entwicklungen in Bezug auf Google Analytics zu verschaffen:

    • Meinung der Datenschutzbehörden
      Die österreichische und die französische Datenschutzbehörde hatte im vergangenen Jahr Google Analytics wegen des US-Datentransfers für unzulässig erklärt. Ähnliche Stellungnahmen zum Thema kamen auch von anderen Behörden.
    • Neuer Angemessenheitsbeschluss
      Die Europäische Kommission erließ mit Datum vom 10. Juli 2023 einen neuen Angemessenheitsbeschluss in Bezug auf die Vereinigten Staaten (EU-US Data Privacy Framework). Die Kommission erklärt mit diesem Beschluss, dass die Änderungen der USA an ihren nationalen Gesetzen nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen in den USA übermittelt werden. Voraussetzung ist allerdings, dass sich die US-Unternehmen verpflichten, den neuen „Datenschutzrahmen“ einzuhalten.
    • Google ist nach dem Data Privacy Framework zertifiziert
      Google LLC ist bereits für das EU-US Privacy Framework zertifiziert, von daher gilt die Erleichterung auch beim Einsatz von Google Analytics 4. Es sei jedoch bereits jetzt darauf hingewiesen, dass der neue Angemessenheitsbeschluss keinen „Freifahrtschein“ bezüglich der Nutzung von Google Analytics 4 darstellt. Das mangelnde Datenschutzniveau war nur einer der Kritikpunkte der Datenschutzaufsichtsbehörden.
    • Kritik am Data Privacy Framework
      Der Europäische Datenschutzausschuss (EDSA) hatte am 28. Februar 2023 seine im Verfahren notwendige Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework abgegeben und die Änderungen begrüßt, gleichzeitig aber auch Kritik angebracht. Entsprechend ist damit zu rechnen, dass das neue Privacy Framework wie schon das (alte) Privacy Shield rechtlich angegriffen werden wird. Bis dahin sorgt der Angemessenheitsbeschluss aber für Rechtssicherheit beim Datenaustausch mit den USA, der damit deutlich einfacherer wird.

    Was ist Google Analytics 4?

    VIDEO: ABMAHNUNG vermeiden: Google Analytics einrichten Tutorial (inkl. Datenschutz + auf Deutsch)
    Unternehmerkanal

    Google Analytics 4 (GA4) heißt die aktuelle Version von Googles Trackingtool. Es handelt sich um eine Weiterentwicklung von Google Analytics „App+Web“. GA4 löst Universal Analytics ab, welches auf Googles Website als „vorherige Generation von Google Analytics“ geführt wird. Google Analytics ändert damit seine Trackingtechnologie weg von sitzungsbasierten hin zu Nutzer- und Event-basierten Auswertungen. Eine Google Analytics 4-Property kann zudem für eine Website, eine App oder beides gleichzeitig verwendet werden.

    Wer noch nicht gewechselt hat, sollte dies in daher in naher Zukunft tun und die Daten aus Universal Analytics zu GA4 migrieren. Hier gibt es eine Anleitung zur Migration der Daten.

    Was ist zu tun?

    VIDEO: (Achtung) DSGVO Abmahnung: Google Analytics Richtig Einsetzen | 2023 Deutsch | WPerfolg.de
    WPerfolg - Erfolgreiche WordPress Websites erstellen

    Im Sinne einer Risikominimierung beim Einsatz von Google Analytics 4 ergeben sich folgende Handlungsempfehlungen, auf die wir in dieser Anleitung inkl. Muster eingehen:

    1. Vertrag zur Auftragsverarbeitung abschließen

    Es sollte ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen sein. Aktuell unterfällt Google Analytics unter die „Datenverarbeitungsbedingungen für Google Ads“. Wenn Sie bereits einen Google Analytics-Konto besitzen, scrollen Sie unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Datenverarbeitungsbedingungen“. Dort finden Sie einen Link zu Änderungsvereinbarungen, soweit Sie dem Zusatz zur Datenverarbeitung bereits früher zugestimmt haben.

    Google Analytics-Kunden, die einen direkten Kundenvertrag mit Google abgeschlossen haben, können den Datenverarbeitungsbedingungen für Google Ads im Bereich „Verwaltung“ ihrer Kontoeinstellungen auch direkt zustimmen. Für Google Analytics Standard- und GA 360-Kunden mit Unternehmen, die ihren Sitz im EWR, im Vereinigten Königreich oder in der Schweiz haben, und GA 360-Kunden, die die Google Analytics 360-Nutzungsbedingungen akzeptiert haben, ist das nicht erforderlich, weil die Datenverarbeitungsbedingungen für Google Ads bereits Teil ihrer Vereinbarungen sind.

    Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen. Ihre Angaben können dort auch im Nachhinein angepasst werden.

    Quelle: https://support.google.com/analytics/answer/3379636

    2. Aufbewahrungsdauer der Daten festlegen

    Google Analytics 4 bietet Steuerelemente zur Datenaufbewahrung. Für GA4-Properties können Sie die Aufbewahrungsdauer für Daten auf Nutzerebene festlegen. Die Voreinstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 2 Monate gespeichert werden. Die maximale Aufbewahrungsdauer beträgt 14 Monate. Diese Aufbewahrungsdauer gilt auch für Conversion-Daten. Für alle anderen Ereignisdaten stehen folgende Zeiträume für die Aufbewahrungsdauer zur Auswahl:

    • 2 Monate
    • 14 Monate
    • 26 Monate (nur 360)
    • 38 Monate (nur 360)
    • 50 Monate (nur 360)

    Es sollte vorzugsweise eine möglichst kurze Speicherdauer gewählt werden.

    Des Weiteren kann ausgewählt werden, ob die User-Daten bei neuer Aktivität zurückgesetzt werden sollen: Wenn Sie diese Option aktiv lassen, wird die Aufbewahrungsdauer der User-ID bei jedem neuen Ereignis zurückgesetzt. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren.

    Die Änderungen der Aufbewahrungsdauer nehmen Sie wie folgt vor:

    1. Wählen Sie „Verwaltung“ aus und klicken Sie auf die Property, die Sie bearbeiten möchten
    2. Klicken Sie in der Spalte „Property“ auf „Dateneinstellungen > Datenaufbewahrung“

    Sollten Sie eine andere Einstellung wählen, müssen Sie die hier zur Verfügung gestellte Datenschutzerklärung entsprechend anpassen.

    3. Empfohlene Standardeinstellungen anpassen

    Im Rahmen der Datenfreigabeeinstellungen sollten entsprechend dem Grundsatz der Datenminimierung so wenig Freigaben wie möglich erteilt werden. Je weniger Freigaben erteilt werden, desto weniger besteht Anlass, Google und den Websitebetreiber als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO anzusehen.

    So ändern Sie die Standardeinstellungen:

    1. Melden Sie sich in Google Analytics an.
    2. Klicken Sie im Menü links auf „Verwaltung“ und wechseln Sie zu dem Konto, das Sie bearbeiten möchten.
    3. Klicken Sie in der Spalte „Konto“ auf „Kontoeinstellungen“.
    4. Entfernen Sie den Haken in der Checkbox „Google-Produkte & -Dienste“ und klicken Sie auf „Speichern“.
    5. Auch der Zugriff für die „Account Specialists“ sollte deaktiviert werden. Wer auf der sicheren Seite sein will, entfernt auch die Haken bei „Benchmarking“ und „Technischer Support“.

    Hier finden Sie eine genaue Beschreibung der einzelnen Datenfreigabeeinstellungen.

    Bitte beachten: Nach Einschätzung der Aufsichtsbehörden liegt zwischen Ihnen und Google eine Gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor, wenn Sie die Datenfreigabeeinstellungen für „Google-Produkte und -Dienste aktivieren“. Google hingegen nimmt hier eine getrennte Verantwortlichkeit zwischen sich und dem Nutzer an, wie den „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“ zu entnehmen ist. Ein Vertrag zur Gemeinsamen Verantwortlichkeit bietet Google nicht an.

    4. Einwilligung einholen

    Wenn Sie Google Analytics 4 verwenden wollen, sollten Sie sich an die von den Aufsichtsbehörden beschriebenen Anforderungen an eine rechtswirksame Einwilligung halten. Eine Übersicht finden Sie in dieser Orientierungshilfe der Aufsichtsbehörden ab Seite 9.

    Eine Einwilligung in die Nutzung von Google Analytics muss demnach folgende Angaben enthalten:

    • Eine eindeutige Überschrift, z. B. „Datenverarbeitung Ihrer Nutzerdaten durch Google“
    • Information, dass personenbezogene Daten zum Nutzungsverhalten an Google übermittelt werden
    • Information, um was für Daten es sich dabei genau handelt
    • Information, dass die Verarbeitung im Wesentlichen durch Google erfolgt, und – bei Nutzung mit den von Google empfohlenen Standardeinstellungen – zu eigenen Zwecken wie Profilbildung (und ohne Einflussmöglichkeiten des Websitebetreibers)
    • Information, ob die Daten mit Informationen aus anderen Quellen verknüpft werden können
    • Information, ob die Daten in den USA gespeichert werden und ob staatliche Behörden Zugriff auf diese Daten haben können

    Die Einwilligung muss zudem folgende Anforderungen erfüllen:

    • keine allumfassende Einwilligung in die Nutzung von Cookies
    • aktive Handlung, keine vorangekreuzten Checkboxen
    • freiwillig, mit der Möglichkeit die Einwilligung zu verweigern
    • dem Nutzer dürfen keine Nachteile bei Nicht-Einwilligung entstehen
    • einfache, nutzerfreundliche technische Lösung für den Widerruf (bspw. per Consent-Tool)
    • Tracking darf erst aktiviert werden, nachdem der Nutzer eingewilligt hat und nicht vorher

    5. IP-Anonymisierung und ggf. Löschung von Altdaten

    Die Anonymisierung von IP-Adressen ist in Google Analytics 4 standardmäßig aktiviert. Bei IPv4-Adressen wird das letzte Oktett und bei IPv6-Adressen die letzten 80 Bits im Speicher auf null gesetzt und somit „anonymisiert“. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden akzeptiert.

    Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

    6. Datenschutzerklärung anpassen

    Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Unter Beachtung der Anforderungen der DSK muss der Datenschutzhinweis zu Google Analytics gemäß Art. 12 und 13 DSGVO folgende Informationen enthalten:

    • Umfang der Datenerhebung
    • Rechtsgrundlage
    • Speicherdauer bzw. Kriterien für Festlegung der Dauer
    • Hinweis auf das Widerrufsrecht und dessen Umsetzung

    Finale Datenschutzerklärung inkl. DSGVO-Hinweise

    Sie dürfen dieses Muster gerne für Ihre Datenschutzerklärung verwenden.

    Google Analytics 4
    Soweit Sie Ihre Einwilligung erklärt haben, wird auf dieser Website Google Analytics 4 eingesetzt, ein Webanalysedienst der Google LLC. Verantwortliche Stelle für Nutzer in der EU/ dem EWR und der Schweiz ist Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google“).

    Art und Zweck der Verarbeitung
    Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseiten durch Sie ermöglichen. Die mittels der Cookies erhobenen Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

    [OPTIONAL: Wir nutzen die Funktion User-ID. Mithilfe der User ID können wir einer oder mehreren Sitzungen (und den Aktivitäten innerhalb dieser Sitzungen) eine eindeutige, dauerhafte ID zuweisen und Nutzerverhalten geräteübergreifend analysieren.]

    [OPTIONAL: Wir nutzen Google Signale. Damit werden in Google Analytics zusätzliche Informationen zu Nutzern erfasst, die personalisierte Anzeigen aktiviert haben (Interessen und demographische Daten) und Anzeigen können in geräteübergreifenden Remarketing-Kampagnen an diese Nutzer ausgeliefert werden.]

    Bei Google Analytics 4 ist die Anonymisierung von IP-Adressen standardmäßig aktiviert. Aufgrund der IP-Anonymisierung wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird laut Google nicht mit anderen Daten von Google zusammengeführt.
    Während Ihres Website-Besuchs wird Ihr Nutzerverhalten in Form von „Ereignissen“ erfasst. Ereignisse können sein:

    • Seitenaufrufe
    • Erstmaliger Besuch der Website
    • Start der Sitzung
    • Besuchte Webseiten
    • Ihr „Klickpfad“, Interaktion mit der Website
    • Scrolls (immer wenn ein Nutzer bis zum Seitenende (90%) scrollt)
    • Klicks auf externe Links
    • interne Suchanfragen
    • Interaktion mit Videos
    • Dateidownloads
    • gesehene / angeklickte Anzeigen
    • Spracheinstellung

    Außerdem wird erfasst:

    • Ihr ungefährer Standort (Region)
    • Datum und Uhrzeit des Besuchs
    • Ihre IP-Adresse (in gekürzter Form)
    • technische Informationen zu Ihrem Browser und den von Ihnen genutzten Endgeräten (z.B. Spracheinstellung, Bildschirmauflösung)
    • Ihr Internetanbieter
    • die Referrer-URL (über welche Website/ über welches Werbemittel Sie auf diese Website gekommen sind)

    Zwecke der Verarbeitung
    Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre [pseudonyme [NICHT BEI NUTZUNG VON USER-ID]] Nutzung der Website auszuwerten und um Reports über die Website-Aktivitäten zusammenzustellen. Die durch Google Analytics bereitgestellten Reports dienen der Analyse der Leistung unserer Website [OPTIONAL: und des Erfolgs unserer Marketing-Kampagnen].

    Empfänger
    Empfänger der Daten sind/können sein

    • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (als Auftragsverarbeiter nach Art. 28 DSGVO)
    • Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA
    • Alphabet Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA

    Drittlandtransfer
    Für die USA hat die Europäische Kommission am 10.Juli 2023 ihren Angemessenheitsbeschluss angenommen. Google LLC ist nach dem EU-US Privacy Framework zertifiziert. Da Google-Server weltweit verteilt sind und eine Übertragung in Drittländer (beispielsweise nach Singapur) nicht völlig ausgeschlossen werden kann, haben wir mit dem Anbieter zudem die EU-Standardvertragsklauseln abgeschlossen.

    Speicherdauer
    Die von uns gesendeten und mit Cookies verknüpften Daten werden nach 2 [ODER: 14 Monaten] automatisch gelöscht. Die maximale Lebensdauer der Google Analytics Cookies beträgt 2 Jahre. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.

    Rechtsgrundlage
    Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gem. Art.6 Abs.1 S.1 lit.a DSGVO und § 25 Abs. 1 S.1 TTDSG.

    Widerruf
    Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen [HIER DEN LINK ZU DEN EINSTELLUNGSMÖGLICHKEITEN DES CONSENT-TOOLS SETZEN] aufrufen und dort Ihre Auswahl ändern. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

    Sie können die Speicherung von Cookies auch von vornherein durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wenn Sie Ihren Browser so konfigurieren, dass alle Cookies abgelehnt werden, kann es jedoch zu Einschränkung von Funktionalitäten auf dieser und anderen Websites kommen. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie

    a. Ihre Einwilligung in das Setzen des Cookies nicht erteilen oder
    b. das Browser-Add-on zur Deaktivierung von Google Analytics HIER herunterladen und installieren.

    Nähere Informationen zu Nutzungsbedingungen von Google Analytics und zum Datenschutz bei Google finden Sie unter https://marketingplatform.google.com/about/analytics/terms/de/ und unter https://policies.google.com/?hl=de.

    Hinweis: Bitte übernehmen Sie den Text inkl. aller Verlinkungen und passen Sie ihn entsprechend Ihrer Nutzung der Software an.

    Google Analytics und Datenschutz: Legal, illegal, nicht egal

    VIDEO: Google Analytics einrichten mit dem Google Tag Manager - Inkl. Cookies (100% DSGVO konform)
    Andreas Bind - NEXAS

    Gerade die Sache, den die österreichische Datenschutzbehörde zu betrachten hatte, zeigt, dass die rechtliche Analyse sehr stark von den spezifischen Fakten des Einzelfalles abhängen, sowie davon, inwiefern die Google Analytics nutzende Partei den Einsatz begründen kann. Ebenso ist weiterhin abzuwarten, wie Gerichte den aktuellen rechtlichen Fragen zu Google Analytics umgehen und ob sie der rigorosen Linie einiger Aufsichtsbehörden folgen werden.

    Durch den neuen Angemessenheitsbeschluss ist jedenfalls ein Risiko bei der Nutzung von Google-Produkten vorerst weggefallen. Die juristische Debatte hinsichtlich Webanalyse und Tracking setzt sich aber weiter fort. Deshalb ist man auch bei vollständiger Umsetzung dieser Empfehlungen nicht zwangsläufig auf der sicheren Seite. Urteile oder Gesetzesänderungen können in Zukunft weitere Anpassungen erforderlich machen. Zu den aktuellen Entwicklungen halten wir Sie auf dem Laufenden.

    Stand: August 2023

    Sources


    Article information

    Author: Bethany Hill

    Last Updated: 1703737562

    Views: 701

    Rating: 3.8 / 5 (51 voted)

    Reviews: 99% of readers found this page helpful

    Author information

    Name: Bethany Hill

    Birthday: 1915-11-18

    Address: 1983 James Fall Suite 687, Martinezville, WI 65410

    Phone: +4661680290315035

    Job: Web Designer

    Hobby: Crochet, Motorcycling, Woodworking, Table Tennis, Camping, Arduino, Role-Playing Games

    Introduction: My name is Bethany Hill, I am a persistent, forthright, resolved, valuable, Precious, candid, expert person who loves writing and wants to share my knowledge and understanding with you.