Google Analytics datenschutzkonform einsetzen

Google AnalyticsAusgangssituation

Die Aufsichtsbehörden diskutierten bereits seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics.

Auf Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. angepasster Datenschutzhinweis
  5. Löschung von Altdaten (bestehende Google Analytics Profile)

1. Vertrag zur Auftragsdatenverarbeitung

Da nach Ansicht der Aufsichtsbehörden Webseitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.

2. IP-Adressen anonymisieren

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Codezeile „_anonymizeIp()“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Aktuell werden zwei Varianten des Tracking Codes genutzt:

  • Asynchron: _gaq.push(['_trackPageview'])
  • Klassisch: pageTracker._trackPageview()

Der jeweilige Tracking-Code wird zur Anonymisierung der IP‐Adressen in den Google Analytics Tracking Code vor den Aufruf „trackPageview()“; die Zeile „_anonymizeIp();“ eingetragen.

Ein vollständiger asynchroner Tracking-Code könnte somit wie folgt aussehen:

<script type=”text/javascript”>

var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);

(function() {var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true; ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’; var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);})();

</script>

Ein vollständiger klassischer Tracking-Code könnte wie folgt aussehen:

Klassischen Tracking Code anzeigen »

<script type=”text/javascript”>

var gaJsHost = ((“https:” == document.location.protocol) ? “https://ssl.” : “http://www.”); document.write(unescape(“%3Cscript src=’” + gaJsHost + “google-analytics.com/ga.js’ type=’text/javascript’%3E%3C/script%3E”));

</script>

<script type=”text/javascript”>

try
{var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
_gat._anonymizeIp();
pageTracker._trackPageview();
} catch(err) {}

</script>

Durch die Funktion anonymizeIP im Tracking-Code wird Google Analytics vorgegeben, dass IP-Adressen nicht vollständig verarbeitet werden sollen.

Quelle: www.econtrolling.de

3. Widerspruchsrecht

Daneben ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.

Normalerweise erfolgt dies durch das Setzen eines entsprechenden Cookies. Google hat sich jedoch für einen anderen Weg entschieden und bietet ein Deaktivierungs-Add-on für Browser an, auf das auch im Datenschutzhinweis (siehe 4.) hinzuweisen ist. Durch dieses Add-on wird verhindert, dass Google Analytics auf den besuchten Webseiten ausgeführt wird. Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar, was von den Aufsichtsbehörden beanstandet wurde. Google hat nun eingelenkt und die Browser Safari sowie Opera hinzugefügt, so dass nunmehr sämtliche gängigen Browser berücksichtigt sind.

4. Angepasster Datenschutzhinweis

Die Nutzung von Google Analytics ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.

Hierzu ist in den Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“). Dieser Text ist aus Transparenzgründen in Teilen zu ergänzen (vorzunehmende Ergänzungen sind rot markiert):

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Nähere Informationen hierzu finden Sie unter http://tools.google.com/dlpage/gaoptout?hl=de bzw. unter http://www.google.com/intl/de/analytics/privacyoverview.html (allgemeine Informationen zu Google Analytics und Datenschutz). Wir weisen Sie darauf hin, dass auf dieser Webseite Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Gerne kann unsere Formulierung unter Angabe der Quelle
www.datenschutzbeauftragter-info.de übernommen werden.

5. Löschung von Altdaten (bestehende Google Analytics Profile)

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Fazit

Die aktuelle Einigung der Aufsichtsbehörden und Google zeigt, dass auch Google daran interessiert ist, Rechtsunsicherheiten beim Einsatz von Google Analytics zu beseitigen und nun einen datenschutzkonformen Einsatz zu ermöglichen. Aktuell kann jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen. Hierzu halten wir Sie auf dem Laufenden.

Stand: 15.09.2011

Datenschutzbeauftragter

Über die Autoren:

Unsere Autoren sind spezialisierte Juristen mit Kompetenzen auf den Gebieten Datenschutz, Recht und IT. Jeder Einzelne verfügt über ein umfassendes Erfahrungsspektrum als Externer Datenschutzbeauftragter.

Tags:
, , , , , , ,
 

45 Kommentare zum Beitrag “Google Analytics datenschutzkonform einsetzen”

  1. Herbert Stelzenmüller schreibt:

    11. Januar 2011 um 18:43

    Ich (nahezu 85 J.) nutze Analytics Google auschließlich, um eine Einschätzung der Häufigkeit des “Besuchs” meiner 7 Websites, ausschließlich die Psychobiologie von Hans Lungwitz behandelnd, zu erlangen – zu nichts anderem. Mir ist, bislang jedenfalls, eine mögliche Rechtswidrigkeit meines (auschließlich wissenschaftlich-humanitären Zwecken dienenden) Handelns so gut wie völlig unbekannt gewesen. An wen kann man sich wenden, um etwa mit meinen in Rede stehenden ‘Arbeiten’ unliebsame Schritte insbes. juristischer Art mir gegenüber zu vermeiden? Für Aufklärung hierüber wäre ich sehr dankbar. (H.Stelzenmüller)

  2. Dr. Datenschutz schreibt:

    12. Januar 2011 um 10:43

    Sehr geehrter Herr Stelzenmüller,

    vielen Dank für Ihren Kommentar. Der Düsseldorfer Kreis hat den Einsatz von Webanalysetools im November 2009 eingehend diskutiert und schließlich Eckpunkte zum datenschutzkonformen Einsatz solcher Programme verabschiedet.

    Bereits jetzt ist der Einsatz von Google Analytics in seiner ursprünglichen Fassung (wie z.B. bei Ihnen) als nicht datenschutzkonform einzustufen. Die von Ihnen verfolgten Zwecke lassen sich ohne weiteres auch bei Einsatz der im obigen Artikel beschriebenen Maßnahmen weiterhin erreichen. Insoweit können wir Ihnen nur raten:

    • den Google Analytics-Code entsprechend anzupassen,
    • auf das bestehende Widerspruchsrecht hinzuweisen und
    • den Datenschutzhinweis anzupassen bzw. einen solchen zu erstellen!

    Denn der Einsatz von Google Analytics ist laut Nutzungsbedingungen von Google Analytics zwingend im Impressum bzw. in der Datenschutzerklärung anzugeben!

    Aktuelle Diskussion:
    Um Google Analytics wird aktuell erneut viel diskutiert und es ist zu erwarten, dass der Düsseldorfer Kreis das Thema Google Analytics demnächst auf die Tagesordnung setzen wird. Dann ist auch mit einer eindeutigen Positionierung zum „angepassten“ Einsatz von Google Analytics zu rechnen…

  3.   IP anonymisieren mit WordPress Google Analyticator Plugin by + mzungu's weblog + schreibt:

    13. Januar 2011 um 17:02

    [...] Datenschutz-Blog wird schön beschrieben, wie der Analytics Code dazu um _gaq.push(['_gat._anonymizeIp']); [...]

  4. Sebastian schreibt:

    14. Januar 2011 um 13:37

    Was ist dann eigentlich mit anderen Dienstleistungen von Google? z.B. lässt sich Google Maps als IFrame auf der eigenen Website einsetzen, und hier werden sicherlich ebenfalls Statistiken erfasst, die die vollständige IP-Adresse erfassen. Oder Google AdSense, auch hier werden bestimmt Statistiken erfasst.

    Ich verstehe auch die Problematik nicht ganz: gilt das deutsche Datenschutzgesetz nur für in Deutschland gehostete Webseiten/Services? Was ist wenn ich meine deutsche Website/Service auf einem Server in den USA hoste ? Brauche ich dann unser Datenschutzgesetz nicht einhalten? Was für ein Spaß wird das bei einer in der Cloud gehosteten Website, wenn man als Betreiber noch nicht mal mehr weiß wo der Server eigentlich steht. Oder ist nur wichtig, welchen Firmensitz der Betreiber hat?

  5. Felix schreibt:

    15. Januar 2011 um 10:11

    Hallo,

    danke für den hilfreichen Artikel.

    Allerdings wäre es gut – auch wenn dies eher eine Frage der technischen Umsetzung ist – darauf hinzuweisen, dass die oben beschriebene Anonymisierungsmethode nur im aktuellen Asynchron-Snippet von Google Analytics funktioniert. Leute, die das alte Snippet ga.js auf ihrer Website einsetzen, müssen ihren Code hingegen wie folgt anpassen:


    var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
    pageTracker._gat._anonymizeIP();
    pageTracker._trackPageview();

    (Quelle: http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html )

    Ich teile dies hier nur mit, weil es nach meiner Erfahrung immer mal vorkommt, dass unbedarftere Webseitbetreiber das alte Snippet mit:

    _gaq.push(['_gat._anonymizeIp']);

    ergänzen. Und das funktioniert nicht! Sie wiegen sich dann im falschen Glauben, dass sie sich damit um den Datenschutz genügend gekümmert hätten, und Google Analytics speichert weiterhin die vollständige IP.

    Viele Grüße
    Felix

  6. Dr. Datenschutz schreibt:

    18. Januar 2011 um 10:38

    @Felix:

    Danke für die Ergänzung!

    @Sebastian:

    Die internationale Anwendbarkeit des Bundesdatenschutzgesetz (BDSG) ist in § 1 Abs. 5 BDSG geregelt.

    Beim Cloud Computing ist die zentrale Frage stets, welches nationale Datenschutzrecht überhaupt Anwendung findet.

    · Werden Daten durch eine verantwortliche Stelle mit Sitz in einem anderen Mitgliedstaat der EU oder des EWR in Deutschland erhoben, verarbeitet oder genutzt, ist das BDSG nicht anwendbar. Ausnahme: Hat das jeweilige Unternehmen jedoch eine Niederlassung in Deutschland, gilt das BDSG weiterhin. Interessant ist in diesem Zusammenhang auch die Frage, ob ein in Deutschland betriebenes Rechenzentrum bereits als Niederlassung zu werten ist, was wohl zu bejahen ist.

    · Für Unternehmen außerhalb der EU bzw. des EWR gilt das Territorialprinzip, so dass bei einer Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium das BDSG anwendbar bleibt.

    Der Einsatz von Clouds bringt eine Vielzahl von juristischen Herausforderungen mit sich, so dass es stets der Einzelfallprüfung durch einen Experten bedarf.

  7. Markus schreibt:

    18. Januar 2011 um 12:56

    An dem Browserplugin stören sich die DSBs derzeit, man kann mit ein wenig JavaScript ein ansprechender Lösung bauen, s. http://www.econtrolling.de/datenschutz-google-analytics/

  8. Klaus Blömeke schreibt:

    20. Januar 2011 um 17:30

    Sehr geehrte Damen und Herren,

    die Diskussion verfolge ich nun schon seit einiger Zeit sporadisch. Das Problem erschließt sich mir aber an keiner Stelle.

    Zunächst einmal ist die IP nicht personenbezogen, sondern zugangsbezogen. Selbst wenn die Daten zur IP zur Verfügung stünden, könnte man aus der IP nicht zurückschließen, ob Kollege Michael vom Schreibtisch nebenan oder ich gerade über diesen Zugang eine Webseite besucht habe.

    Zweitens zeigt Google Analytics die IP-Adressen in keiner Auswertung an. D. h. über Analytics kann kein Webmaster dieser Welt IP-Adressen einsehen.

    Allerdings kann jeder Webmaster auf viel einfacherem Weg die IP-Adressen aus den Server-Logfiles seines Providers extrahieren. Alle uns bekannten Provider stellen derartige Logfiles zur Verfügung. Sollten solche Logfiles nicht mehr zur Verfügung stehen, kann sich jeder halbwegs begabter Webmaster die IP-Adressen über php in eine Datenbank schreiben, dies würde man dem Quellcode der Seite nicht einmal entnehmen können. Anders ausgedrückt: Wer die IP-Adressen haben will, kann sie sich besorgen, nur nicht über Analytics.

    Wenn die IPs nun bekannt sind, ist man noch keinen Schritt weiter. Die IP-Adressen gehören üblicherweise einem Serviceprovider, der diese automatisch und dynamisch, d. h. wechselnden Besitzern zuteilt. Wem eine bestimmte IP zu einem bestimmten Zeitpunkt zugeordnet war, bekommt man vom Provider ohne Staatsanwalt nicht mitgeteilt.

    Fazit:
    1. Die IP-Adressen sind auf verschiedenen Wegen mit extrem geringen Aufwand zu erhalten, über Google Analytics jedoch nicht.
    2. Über die IP-Adresse personenbezogene Daten zu erhalten ist extrem aufwändig und nur in Ausnahmefällen möglich.

    Also wo liegt eigentlich das Problem?

    Mit besten Grüßen,

    Klaus Blömeke

  9. Dr. Datenschutz schreibt:

    24. Januar 2011 um 16:34

    Sehr geehrter Herr Blömeke,

    ob IP-Adressen als personenbezogene Daten anzusehen sind, ist in Deutschland bislang nicht obergerichtlich entschieden. Inzwischen sind IP-Adressen jedoch in diversen europäischen Ländern als personenbezogene Daten anerkannt.

    Unserer Ansicht nach sind IP-Adressen als personenbezogene Daten anzusehen, da sie zumindest personenbeziehbar sind. Diese Auffassung teilen auch die Landesdatenschutzbehörden…

  10. Sender schreibt:

    31. Januar 2011 um 11:37

    Natürlich sind IP-Adressen personenbezogen. Aber nur unter Verwendung der temporären Zuordnung. Diese liegt wie Herr Blömeke schön darlegte beim Provider. Da man an diese Daten nur mit rechtlichen Schritten kommt, denke ich, hier sei ausreichende Datensicherheit gegeben. Im Prinzip sind dann doch auch alle KFZ-Kennzeichen nicht dem Datenschutz entsprechend und müssten anonymisiert werden. Wobei diese sich nicht täglich ändern und schon anhand des Fahrzeugtyps und der Kennung eine Zuordnung erleichtert würde. Schließlich korelliert das Kennzeichen häufig mit den ersten beiden Buchstaben des Namens sowie teilen des Geburtsdatums.

    Generell wird mir diese Abgrenzung noch nicht so ganz klar.

  11. Dr. Datenschutz schreibt:

    1. Februar 2011 um 09:38

    Infos zum Thema finden Sie unter:

    http://www.datenschutzbeauftragter-info.de/ip-adressen-personenbezogene-daten/

  12. Anonymous schreibt:

    3. Februar 2011 um 07:55

    “[...] nur bei vorheriger und ausdrücklicher Einwilligung der Betroffenen zulässig sei. Da dies in der Praxis nicht gewährleistet werden kann [...]”

    Das ist nicht richtig.

    Man kann sehr wohl vor der Nutzung der eigentlichen Website die Einwilligung einholen. Sollte diese Einwilligung verweigert werden, kann man z.B. per PHP den Google Code gar nicht erst integrieren. Somit sind auch Quereinstiege in die Website ohne Einwilligung zu regulieren.

    MfG,
    Chb

  13. Klaus Blömeke schreibt:

    10. März 2011 um 11:45

    Wie Sender schreibt, sind die IP-Daten in den allermeisten Fällen temporär vergeben. Als personenebezogen kann ich das nicht sehen, denn die IP wird einem Rechner, einem Modem oder einem Router zugeteilt, nicht einer Person. Welche Person hinter diesem Rechner sitzt ist nicht technisch nicht ermittelbar, so wie aus einem Auto-Kennzeichen nur der Halter, nicht jedoch der Fahrer zu ermitteln ist.

    Abgesehen davon identifizieren verschiedene Dienste Nutzer tatsächlich persönlich. Wenn ich bei FaceBook angemeldet bin, kann FaceBook mein Surfverhalten auf dritten Seiten verfolgen, wenn diese Social Plugins (z. B. der Like-Button) verwenden. Fraglich, ob FaceBook hier als Dritter gilt, schließlich habe ich mit FaceBook freiwillig eine Beziehung eingegangen. Ähnliches gilt für Firmen, die Partner-Programme betreiben (Amazon als populärstes Beispiel).

    Der Witz an der Sache ist, dass sich für die IP als personenbezogenes Datum kein Webmaster interessiert. Über die IP erfolgt bestenfalls eine regionale Zuordnung (“aus welcher Region kamen meine Besucher”). Das Tracking sämtlicher mir bekannten Dienste erfolgt immer über Coockies, nie über die IP (das gilt z. B. für Google Analytics, FaceBook etc.) Cookies sind aus sicht derer, die zählen wollen, der mit Abstand bessere Weg, da sie den Wechsel der IP überleben. Anhand solcher Cookies können z. B. auch Nutzer differenziert werden, die über die gleiche IP surfen. Dieses Verfahren ist
    1. mit Abstand personenbezogener
    2. für den zählenden Dienst mit Abstand zuverlässiger.

    Vor diesem Hintergrund ist aus meiner Sicht die Diskussion, ob IPs personenbezogen sind oder nicht, weltfremd und ein Nebenkriegsschauplatz. Jeglicher datenschutzrechtlich bedenkliche Unfug, den jemand über das Tracken von Besucher betreiben könnte, wird über Cookies und nicht über die IP betrieben. Nun kann man zwar argumentieren, dass jeder Nutzer selber die Coockies ausschalten könnte, das kommt aber in der Praxis so gut wie nicht vor. Die meisten Webseiten mit Login-Funktion (Onine-Banking, Webmailer, Facebook, Twitter, Onlineshops…) funktionieren mit deaktivierten Cookies nicht. Anders ausgedrückt: Natürlich kann jemand selbst entscheiden, ob er aus datenschutzrechtlichen Bedenken Cookies deaktivert, dann funktioniert eben sein Internet weitestgehend nicht mehr. Diese Argumentation ist gleich sinnvoll wie die Argumentation: Wer seine IP nicht preisgeben will, soll halt offline bleiben.

    Und nebenbei: Auch Ihre Webseite hat mich anhand von einem Cookie wiedererkannt, nicht anhand meiner IP

    Mit besten Grüßen,

    Klaus Blömeke

  14. TriffiD schreibt:

    28. Mai 2011 um 13:41

    Ich bin zwar auch der Meinung, dass das alles fürchterlich überzogen ist, aber die Argumentation von Herrn Blömeke greift sicher zu kurz. Es mag zwar sein, dass die meisten IP-Adressen temporär vergeben werden, aber man darf ja auch den Schutz der wenigen Fest-IPler nicht außer Acht lassen. Diese sind in der Tat oft leicht und direkt zuzuordnen und nur weil deren Zahl gering ist, sind sie ja nicht weniger Schutzwürdig.
    Auch der Facebook-Vergleich greift hier nicht, denn als Facebook-Nutzer hat man den Datenschutzrichtlinien von Facebook vorab explizit zugestimmt. Das ist in der Regel nicht der Fall, wenn ich irgendeinen Internet-Shop oder eine private Homepage besuche.

    Ich hoffe, dass es hier bald eine Klärung gibt, denn als Instrument zur Kontrolle der Treffsicherheit der Unternehmensseiten, die ich betreue war Analytics in der Vergangenheit unschätzbar.

  15. t3n.de/socialnews schreibt:

    12. August 2011 um 17:33

    Google Analytics datenschutzkonform einsetzen…

    Eine Klagewelle rollt durch Deutschland – es geht um Google Analytics. Wie man sich schützt und das Analysetool Datenschutzkonform einsetzt, erfährt man in diesem Bericht….

  16. Google Analytics datenschutz-konform machen: Was jetzt zu tun ist | SEO Book schreibt:

    19. September 2011 um 15:11

    [...] noch den klassichen Tracking-Code einsetzt, kann diesen hier [...]

  17. webalytics schreibt:

    21. September 2011 um 05:51

    Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  18. Medina schreibt:

    24. September 2011 um 20:27

    Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  19. Dr. Datenschutz schreibt:

    26. September 2011 um 10:41

    Alternativen zu Google Analytics findet man hier:
    http://t3n.de/magazin/17-tools-website-analyse-alternativen-google-analytics-222450/
    http://www.gutestun.org/google/17-google-analytics-alternativen/

  20. Google Analytics künftig datenschutzkonform | ESTUGO.net Webhosting schreibt:

    29. September 2011 um 09:32

    [...] zu den notwendigen Schritten und Anpassungen gibt es übrigens auch hier und hier. Es gibt natürlich auch Alternativen zu Google Analytics, wie zum Beispiel die kostenlose Software [...]

  21. Google und der Datenschutz - JuraForum.de schreibt:

    2. Oktober 2011 um 09:49

    [...] Google und der Datenschutz http://www.datenschutzbeauftragter-i…orm-einsetzen/ Codex [...]

  22. digi schreibt:

    12. Oktober 2011 um 16:49

    [...] 5. Löschung von Altdaten (bestehende Google Analytics Profile)

    Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen [...]

    Heißt das jetzt wirklich, dass ALLE Google Analytics Profile gelöscht und wieder neu erstellt werden müssen???
    Wenn ja, bis zu welchem Datum sind diese als “alt” einzustufen?

  23. Dr. Datenschutz schreibt:

    12. Oktober 2011 um 17:14

    Hallo digi,

    unter Altdaten fallen sämtliche Daten, die vor dem datenschutzkonformen Einsatz erhoben wurden.

    Hierzu auch (vgl. Ziffer 4): http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf

  24. Wie setze ich Google-Analytics datenschutzkonform ein? » Allgemein, Datenschutz, Internet, Statistiken, Trends, Web Controlling » MyBOOM Internet GmbH schreibt:

    18. Oktober 2011 um 11:14

    [...] Weiterführende Informationen zu diesem Thema finden Sie im Blog meines Kollegen Herrn Brambring oder unter http://www.datenschutzbeauftragter-info.de [...]

  25. Markus825f schreibt:

    19. Oktober 2011 um 10:28

    Muß der Vertrag für Google Analytics auch von einem österreichischen Unternehmen unterschrieben werden, das in Österreich unter der top level domain “at.” eine website betreibt, welche aber von einem deutschen Unternehmen mit Sitz in München gehostet wird?

    danke im voraus

  26. Dr. Datenschutz schreibt:

    19. Oktober 2011 um 10:55

    Hallo Markus825f,

    die Anwendbarkeit des BDSG richtet sich in Ihrem Fall nach § 1 Abs. 5 Satz 1 BDSG:

    “Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.”

    Ob in Ihrem Fall das BDSG anwendbar ist, ist genau zu prüfen. Nach Ihren knappen Ausführungen erscheint mir dies jedoch nicht der Fall zu sein. Vielmehr sind das österreichische DSG sowie die in A geltenden Regelungen zum Einsatz von Webseitenanalysetools zu beachten.

  27. Best-of-the-Web 10 | davblog: webdev and stuff schreibt:

    24. Oktober 2011 um 11:22

    [...] Google Analytics datenschutzkonform einsetzen – Netter Step-by-Step Guide, wie man mit Analytics garantiert auf der sicheren Seite ist. [...]

  28. Annika Brinkmann schreibt:

    25. Oktober 2011 um 00:06

    Bitte bei der nächsten Runde mobile Browser berücksichtigen! Das Ziel sollte sein dass es hierfür keine Browserweiche geben muss und es auch rechtlich egal ist, auf welchem Gerät eine Seite aufgerufen wird. Hierzu am besten an die Fachgruppe Mobile des BVDW wenden.

    Außerdem wäre es interessant zu wissen, ob und in welchem Umfang der Text auch in englischen Versionen von deutschen Seiten in das Impressum mit rein muss.

    Vielen Dank,
    Annika Brinkmann

  29. Dr. Datenschutz schreibt:

    25. Oktober 2011 um 15:35

    Hallo Frau Brinkmann,

    ich stimme Ihnen zu! Bei den inzwischen verfügbaren Deaktivierungs-Add-on muss auch eine Lösung für mobile Endgeräte erarbeitet werden.

    Sofern Webseiten auch auf Englisch angeboten werden, empfiehlt es sich Datenschutzerklärung sowie Impressum mit zu übersetzen.

  30. Blog Statistik – Wie wertet ihr eure Seiten aus? » Nikonierer schreibt:

    28. Oktober 2011 um 19:07

    [...] meisten haben es mitbekommen und viele dürften auch schon reagiert haben um Google Analytics in Deutschland datenschutzkonform nutzen zu [...]

  31. Google Analytics datenschutzkonform einsetzen | Gernot Gawlik schreibt:

    3. November 2011 um 19:33

    [...] genaue Vorgehensweise um seine Webseite datenschutzkonform zu bekommen kann im Blog datenschutzbeauftragter-info.de nachgelesen werden. Auch der angepasste Datenschutzhinweis kann unter Quellenangabe des Blogs [...]

  32. ePages-Blog (deutsch) » Blog Archive » Schauen Sie Ihren Kunden über die Schulter – Google Analytics & ePages schreibt:

    9. November 2011 um 11:08

    [...] Analytics hinzuweisen. Sie finden eine Mustervorlage für die Datenschutzerklärung auf dieser Website von datenschutzbeauftragter-info.de unter Punkt [...]

  33. Datenschutzhinweis – Verwendung von Google Analytics | Haag Unterlagsböden GmbH schreibt:

    18. November 2011 um 10:19

    [...] Formulierung wurde von http://www.datenschutzbeauftragter-info.de [...]

  34. Lässt sich Google Analytics datenschutzkonform einsetzen? | Das Web für Frauen - vanvox.de schreibt:

    19. November 2011 um 01:03

    [...] und zwar unter Ziffer 8.1 der Google Analytics Bedingungen. Meinen Datenschutzhinweis habe ich von datenschutzbeauftragter-info.de, die den von Google vorgegebenen Text um die Bemerkung ergänzt haben, dass hier anonymisierte IPs [...]

  35. toskka schreibt:

    24. November 2011 um 17:25

    Hallo,
    in diesem Zusammenhang stellt sich mir die Frage, ob auch eine datenschutzkonforme Möglichkeit zur Nutzung von Google Maps besteht, das wie in obigem Beispiel IP-Adressen anonymisiert. Beispiel: Firma A bietet seinen Kunden in einer Webanwendung den Maps Kartendienst zur Nutzung von Routenberechnung zu Kunden der Firma an. Google könnte doch hier aufgrund der IP Adressen ein Bewegungsprofil erstellen.

  36. Dr. Datenschutz schreibt:

    25. November 2011 um 10:14

    Technisch denkbar wäre das, allerdings bietet Google derartige Nutzerdaten für Seitenbetreiber (hier Firma A) nicht an.

  37. Andreas schreibt:

    27. November 2011 um 16:25

    Hallo,

    wie funktioniert das mit dem Newsletterpogramm Mailchimp. Mailchimp nutzt ja Google Analytics und ich kann auch sehen wer was anklickt.

    Wie könnte ich das anonymisieren? Muss ich da einen Hinweis in mein Impressum schreiben?

    Vielen Dank

    Andreas

  38. Dr. Datenschutz schreibt:

    28. November 2011 um 12:00

    So pauschal lässt sich das nicht beantworten. Entscheidend ist zunächst, was von Mailchimp an Informationen erfasst wird. Entscheidend ist hier die Frage des Personenbezugs bzw. der Personenbeziehbarkeit.

    Hier lohnt sich sicherlich eine Anfrage bei Mailchimp.

  39. Estefania schreibt:

    28. November 2011 um 18:29

    Vielen lieben Dank für die ausfürhliche Erklärung. Genau
    nach dieser Funktion hatte ich gesucht:
    _gaq.push (['_gat._anonymizeIp']); LG Estefania

  40. leser schreibt:

    5. Dezember 2011 um 09:38

    Sehr gute Darstellung, was man zu tun hat.

    Unter 4. muss der Text allerdings korrigiert werden.

    Derzeit:

    “Hierzu ist in den eine Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“) vor. “

  41. Dr. Datenschutz schreibt:

    5. Dezember 2011 um 19:07

    @leser: Danke. Ist geändert.

  42. Piwik, team00 und der Datenschutz | Team00 schreibt:

    30. Dezember 2011 um 14:59

    [...] zu erklären würde nun zu weit führen, finden kann man eine sehr gute Erklärung auf der Seite http://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetz… Ein kurzer Blick auf bspw. nur die Überschriften zeigt allerdings, unter welchen Bedingungen dies [...]

  43. Google Analytics jetzt mit Echtzeit-Tracking :: Shopzeilen schreibt:

    16. Januar 2012 um 21:43

    [...] Seit Ende letzten Jahres kann man das Tool jedoch sorgenfrei einsetzen, wenn man einige Punkte bei der Einbindung beachtet (Siehe datenschutzbeauftragter-info.de). [...]

  44. Aktualisierte Datenschutzerklärung - flinc | flinc-Team schreibt:

    18. Januar 2012 um 13:38

    [...] Piwik ersetzt. Da Analytics mittlerweile die Möglichkeit bietet, IP-Adressen zu anonymisieren und sich damit an das deutsche Datenschutzrecht hält, haben wir uns entschieden, wieder auf Google [...]

  45. Raik Vogtländer schreibt:

    23. Januar 2012 um 11:06

    Vielen Dank!!! Genau diese Informationen habe wir gesucht! Wir werden jetzt prüfen in wie weit uns dieses Vorgehen genügt und ob wir damit Google Analytics verwenden können.

Jetzt kommentieren


Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.