Im Dschungel der DSGVO, Teil 3: Google Analytics
Meine DSGVO Erfahrungen, Teil 3 oder: Google Analytics
Es gibt bestimmte Maßnahmen, die zu ergreifen sind, damit Google Analytics datenschutzrechtlich richtig genutzt wird. Das das Thema im Rahmen der DSGVO noch mal ganz aktuell ist, habe ich es in diese Blog Serie mit aufgenommen. Für Ihre Webseite sollten sie das aber schon längst umgesetzt haben.
Folgende Maßnahmen sind notwendig für die richtige Einbindung von Google Analytics in die eigene Webseite:
- Anonymisierung der IP-Adressen
- Opt Out Cookie für Desktop und mobile Nutzer
- Vertrag zur Auftragsdatenverarbeitung mit Google abschließen
- Hinweis in die Datenschutzerklärung der Webseite einbinden
Google Analytics: Anonymisierung der IP-Adressen
Wird diese Funktion genutzt, werden die IP-Adressen gekürzt und sind somit nicht mehr eindeutig. Google bietet dafür die Funktion „anonymize IP“ an.
Wichtig: Jeder Webseitenbetreiber ist selbst dafür verantwortlich den Code für die Funktion in die eigene Webseite einzubinden. Das geht manuell oder eventuell über ein Plugin.
Ich nutze für die Einbindung von Google Analytics das WordPress Plugin „Google Analytics Germanized“. Hier kann ich ganz einfach die IP-Anonymisierung aktivieren. Außerdem nutze ich das Plugin „Google Analytics Dashboard for WP (GADWP)“, auch hier kann Funktion in den Einstellungen aktiviert werden.
Achtung. Wer Google Analytics schon länger nutzt und dann irgendwann die IP-Anonymisierung aktiviert hat, ist verpflichtet, alle alten Daten mit vollständigen IP-Adressen aus dem Google Analytics Account zu löschen.
Google Analytics Opt Out Cookie auf der Webseite
Der Besucher der Webseite muss die Möglichkeit erhalten, einen Opt Out zu setzen. Das heißt, dass seine Daten nicht von Google Analytics erfasst werden dürfen.
Dazu wird wieder Code eingesetzt. Es gibt zwei Varianten, die zu berücksichtigen sind.
- Besucher, die über einen Desktop oder Notebook auf die Webseite zugreifen, können ein Browser Addon installieren. Den Link dazu müssen Webseitenbetreiber in die Datenschutzerklärung der Webseite einbinden.
- Besucher, die über ein mobiles Gerät wie ein Tablet oder ein Smartphone auf die Webseite zugreifen, können das Browser Addon nicht installieren. Für sie müssen Webseitenbetreiber über Java Script das Opt Out Cookie so einbinden, dass es auch mobil funktioniert.
Für die Desktop Variante habe ich den entsprechenden Link zur Installation des Browser Plugins in die Datenschutzerklärung eingefügt:
Klickt der Besucher auf den Link, gelangt er zu einer Seite mit Informationen und der Download Möglichkeit.
Für die mobile Variante ist ein Code (Java Script) in die Webseite zu integrieren. Das Plugin „Google Analytics Germanized“ setzt das um und bietet einen Shortcode an, der einfach in die Datenschutzerklärung kopiert werden kann. Klickt der Besucher auf diesen Link wird ein Opt-Out Cookie gesetzt, das die Erfassung der Daten beim nächsten Besuch der Webseite verhindert.
Vertrag zur Auftragsdatenverarbeitung mit Google
Nun muss mit Google, die hier als Datenverarbeiter fungieren, ein Vertrag für die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) geschlossen werden. Schriftlich! Dazu kann der Vertrag hier heruntergeladen werden, wird zweifach ausgedruckt und unterschrieben und dann an Google in Irland gesendet. Nach etwa zwei Wochen (kann auch mal etwas länger dauern) kommt ein unterschriebenes Exemplar zurück.
Wer erst vor kurzem einen Google Analytics Account angelegt hat, hat diesem Vertrag wahrscheinlich auch schon digital zugestimmt. Am besten einmal im Google Analytics Account nachsehen und ggf. die Zustimmung dort noch nachholen. Aktuell gibt es einen Zusatz, der sich auf die DSGVO bezieht. Dieser muss separat bestätigt werden.
Im Account im linken Menü „Verwaltung“ wählen und dann die „Kontoeinstellungen“ aufrufen. Dort auf der Seite nach unten scrollen.
Informationen in der Datenschutzerklärung der Webseite
So, wenn da alles umgesetzt ist, gehören die Informationen dazu und die Links zum Browser Add-on bzw. zum Setzen des Opt Out Cookies in die Datenschutzerklärung. Ich habe meine Datenschutzerklärung bereits mit eRecht24 an die DSGVO angepasst. Dazu hatte ich im letzten Beitrag schon berichtet.
Zwei hilfreiche, informative Blogartikel zum Thema: