Google Analytics datenschutzkonform einsetzen

Google AnalyticsAusgangssituation

Die Aufsichtsbehörden diskutierten bereits seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics.

Auf Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasster Datenschutzhinweis
  5. Löschung von Altdaten

1. Vertrag zur Auftragsdatenverarbeitung

Da nach Ansicht der Aufsichtsbehörden Websitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.

2. IP-Adressen anonymisieren

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung „anonymizeIp“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Aktuell werden zwei Varianten des Tracking-Codes genutzt:

  • Universal Analytics
  • Klassisches Analytics

Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden.

Datenschutz mit “Universal Analytics”:

Der datenschutzkonforme Tracking-Code für Universal Analytics könnte wie folgt aussehen:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

Datenschutz mit “Klassisches Analytics”:

Der datenschutzkonforme Tracking-Code für Klassisches Analytics könnte wie folgt aussehen:

<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

3. Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird. 

Es müssen beide Arten des Widerspruchs implementiert werden:

  1. Link zum Deaktivierungs-Add-on
  2. Setzen eines Opt-Out-Cookies

Das Deaktivierungs-Add-on verhindert, dass Google Analytics auf jeder besuchten Webseite ausgeführt wird. Webseitenbetreiber haben lediglich die Pflicht, auf diese Software zu verlinken (siehe 4.). Das Add-on ist nur für Desktop-Browser verfügbar, was von den Aufsichtsbehörden beanstandet wurde.

Google hat nun eingelenkt und eine weitere Möglichkeit mit dem Opt-Out-Cookie geschaffen. Der Nutzer hat die Möglichkeit, durch Klicken eines Links in der Datenschutzerklärung (siehe 4.) ein Opt-Out-Cookie zu setzen. Für das Opt-Out-Cookie muss folgendes Script immer vor dem eigentlichen Google Analytics-Script (siehe 2.) im Quelltext eingefügt werden. Dadurch wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.

<script>

var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

4. Angepasster Datenschutzhinweis

Die Nutzung von Google Analytics ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.

Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.

Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt) kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit den von uns vorgeschlagenen Ergänzungen versehen. Diese Ergänzungen sind rot markiert:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Gerne kann unsere Formulierung unter Angabe der Quelle
www.datenschutzbeauftragter-info.de übernommen werden.

Englische Version des Datenschutzhinweises anzeigen »

This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). 
Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website (including your IP address) will be transmitted to and stored by Google on servers in the United States. 
In case of activation of the IP anonymization, Google will truncate/anonymize the last octet of the IP address for Member States of the European Union as well as for other parties to the Agreement on the European Economic Area. 
Only in exceptional cases, the full IP address is sent to and shortened by Google servers in the USA. 
On behalf of the website provider Google will use this information for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing other services relating to website activity and internet usage to the website provider. 
Google will not associate your IP address with any other data held by Google. 
You may refuse the use of cookies by selecting the appropriate settings on your browser. However, please note that if you do this, you may not be able to use the full functionality of this website. 
Furthermore you can prevent Google’s collection and use of data (cookies and IP address) by downloading and installing the browser plug-in available under https://tools.google.com/dlpage/gaoptout?hl=en-GB.

You can refuse the use of Google Analytics by clicking on the following link. An opt-out cookie will be set on the computer, which prevents the future collection of your data when visiting this website:
<a href=”javascript:gaOptout()”>Disable Google Analytics</a>

Further information concerning the terms and conditions of use and data privacy can be found at http://www.google.com/analytics/terms/gb.html or at https://www.google.de/intl/en_uk/policies/. 
Please note that on this website, Google Analytics code is supplemented by “gat._anonymizeIp();” to ensure an anonymized collection of IP addresses (so called IP-masking).

Sollten Sie Erweiterungen von Google Analytics verwenden, um zusätzliche Daten auszuwerten, müssen Sie auch hierauf hinweisen. Für die Auswertung von Daten aus Adwords oder dem DoubleClick-Cookie können Sie z.B. folgenden Hinweistext verwenden:

Wir nutzen Google Analytics zudem dazu, Daten aus AdWords und dem Double-Click-Cookie zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

5. Löschung von Altdaten

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Properties (ehemals Profile) sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Fazit

Die Einigung der Aufsichtsbehörden und Google zeigt, dass auch Google daran interessiert ist, Rechtsunsicherheiten beim Einsatz von Google Analytics zu beseitigen und nun einen datenschutzkonformen Einsatz zu ermöglichen. Aktuell kann jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen. Hierzu halten wir Sie auch weiterhin auf dem Laufenden.

Stand: 08.04.2014

Mit unserem Newsletter verpassen Sie keinen Beitrag.

So bleiben Sie immer über aktuelle News, Fachbeiträge und Gerichtsurteile im Datenschutz informiert.

Datenschutz-Newsletter jetzt bestellen
 

116 Kommentare zum Beitrag “Google Analytics datenschutzkonform einsetzen”

  1. Herbert Stelzenmüller schreibt:

    11. Januar 2011 um 18:43

    Ich (nahezu 85 J.) nutze Analytics Google auschließlich, um eine Einschätzung der Häufigkeit des “Besuchs” meiner 7 Websites, ausschließlich die Psychobiologie von Hans Lungwitz behandelnd, zu erlangen – zu nichts anderem. Mir ist, bislang jedenfalls, eine mögliche Rechtswidrigkeit meines (auschließlich wissenschaftlich-humanitären Zwecken dienenden) Handelns so gut wie völlig unbekannt gewesen. An wen kann man sich wenden, um etwa mit meinen in Rede stehenden ‘Arbeiten’ unliebsame Schritte insbes. juristischer Art mir gegenüber zu vermeiden? Für Aufklärung hierüber wäre ich sehr dankbar. (H.Stelzenmüller)

  2. Dr. Datenschutz schreibt:

    12. Januar 2011 um 10:43

    Sehr geehrter Herr Stelzenmüller,

    vielen Dank für Ihren Kommentar. Der Düsseldorfer Kreis hat den Einsatz von Webanalysetools im November 2009 eingehend diskutiert und schließlich Eckpunkte zum datenschutzkonformen Einsatz solcher Programme verabschiedet.

    Bereits jetzt ist der Einsatz von Google Analytics in seiner ursprünglichen Fassung (wie z.B. bei Ihnen) als nicht datenschutzkonform einzustufen. Die von Ihnen verfolgten Zwecke lassen sich ohne weiteres auch bei Einsatz der im obigen Artikel beschriebenen Maßnahmen weiterhin erreichen. Insoweit können wir Ihnen nur raten:

    • den Google Analytics-Code entsprechend anzupassen,
    • auf das bestehende Widerspruchsrecht hinzuweisen und
    • den Datenschutzhinweis anzupassen bzw. einen solchen zu erstellen!

    Denn der Einsatz von Google Analytics ist laut Nutzungsbedingungen von Google Analytics zwingend im Impressum bzw. in der Datenschutzerklärung anzugeben!

    Aktuelle Diskussion:
    Um Google Analytics wird aktuell erneut viel diskutiert und es ist zu erwarten, dass der Düsseldorfer Kreis das Thema Google Analytics demnächst auf die Tagesordnung setzen wird. Dann ist auch mit einer eindeutigen Positionierung zum „angepassten“ Einsatz von Google Analytics zu rechnen…

  3. Sebastian schreibt:

    14. Januar 2011 um 13:37

    Was ist dann eigentlich mit anderen Dienstleistungen von Google? z.B. lässt sich Google Maps als IFrame auf der eigenen Website einsetzen, und hier werden sicherlich ebenfalls Statistiken erfasst, die die vollständige IP-Adresse erfassen. Oder Google AdSense, auch hier werden bestimmt Statistiken erfasst.

    Ich verstehe auch die Problematik nicht ganz: gilt das deutsche Datenschutzgesetz nur für in Deutschland gehostete Webseiten/Services? Was ist wenn ich meine deutsche Website/Service auf einem Server in den USA hoste ? Brauche ich dann unser Datenschutzgesetz nicht einhalten? Was für ein Spaß wird das bei einer in der Cloud gehosteten Website, wenn man als Betreiber noch nicht mal mehr weiß wo der Server eigentlich steht. Oder ist nur wichtig, welchen Firmensitz der Betreiber hat?

  4. Felix schreibt:

    15. Januar 2011 um 10:11

    Hallo,

    danke für den hilfreichen Artikel.

    Allerdings wäre es gut – auch wenn dies eher eine Frage der technischen Umsetzung ist – darauf hinzuweisen, dass die oben beschriebene Anonymisierungsmethode nur im aktuellen Asynchron-Snippet von Google Analytics funktioniert. Leute, die das alte Snippet ga.js auf ihrer Website einsetzen, müssen ihren Code hingegen wie folgt anpassen:


    var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
    pageTracker._gat._anonymizeIP();
    pageTracker._trackPageview();

    (Quelle: http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html )

    Ich teile dies hier nur mit, weil es nach meiner Erfahrung immer mal vorkommt, dass unbedarftere Webseitbetreiber das alte Snippet mit:

    _gaq.push(['_gat._anonymizeIp']);

    ergänzen. Und das funktioniert nicht! Sie wiegen sich dann im falschen Glauben, dass sie sich damit um den Datenschutz genügend gekümmert hätten, und Google Analytics speichert weiterhin die vollständige IP.

    Viele Grüße
    Felix

  5. Dr. Datenschutz schreibt:

    18. Januar 2011 um 10:38

    @Felix:

    Danke für die Ergänzung!

    @Sebastian:

    Die internationale Anwendbarkeit des Bundesdatenschutzgesetz (BDSG) ist in § 1 Abs. 5 BDSG geregelt.

    Beim Cloud Computing ist die zentrale Frage stets, welches nationale Datenschutzrecht überhaupt Anwendung findet.

    · Werden Daten durch eine verantwortliche Stelle mit Sitz in einem anderen Mitgliedstaat der EU oder des EWR in Deutschland erhoben, verarbeitet oder genutzt, ist das BDSG nicht anwendbar. Ausnahme: Hat das jeweilige Unternehmen jedoch eine Niederlassung in Deutschland, gilt das BDSG weiterhin. Interessant ist in diesem Zusammenhang auch die Frage, ob ein in Deutschland betriebenes Rechenzentrum bereits als Niederlassung zu werten ist, was wohl zu bejahen ist.

    · Für Unternehmen außerhalb der EU bzw. des EWR gilt das Territorialprinzip, so dass bei einer Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium das BDSG anwendbar bleibt.

    Der Einsatz von Clouds bringt eine Vielzahl von juristischen Herausforderungen mit sich, so dass es stets der Einzelfallprüfung durch einen Experten bedarf.

  6. Markus schreibt:

    18. Januar 2011 um 12:56

    An dem Browserplugin stören sich die DSBs derzeit, man kann mit ein wenig JavaScript ein ansprechender Lösung bauen, s. http://www.econtrolling.de/datenschutz-google-analytics/

  7. Klaus Blömeke schreibt:

    20. Januar 2011 um 17:30

    Sehr geehrte Damen und Herren,

    die Diskussion verfolge ich nun schon seit einiger Zeit sporadisch. Das Problem erschließt sich mir aber an keiner Stelle.

    Zunächst einmal ist die IP nicht personenbezogen, sondern zugangsbezogen. Selbst wenn die Daten zur IP zur Verfügung stünden, könnte man aus der IP nicht zurückschließen, ob Kollege Michael vom Schreibtisch nebenan oder ich gerade über diesen Zugang eine Webseite besucht habe.

    Zweitens zeigt Google Analytics die IP-Adressen in keiner Auswertung an. D. h. über Analytics kann kein Webmaster dieser Welt IP-Adressen einsehen.

    Allerdings kann jeder Webmaster auf viel einfacherem Weg die IP-Adressen aus den Server-Logfiles seines Providers extrahieren. Alle uns bekannten Provider stellen derartige Logfiles zur Verfügung. Sollten solche Logfiles nicht mehr zur Verfügung stehen, kann sich jeder halbwegs begabter Webmaster die IP-Adressen über php in eine Datenbank schreiben, dies würde man dem Quellcode der Seite nicht einmal entnehmen können. Anders ausgedrückt: Wer die IP-Adressen haben will, kann sie sich besorgen, nur nicht über Analytics.

    Wenn die IPs nun bekannt sind, ist man noch keinen Schritt weiter. Die IP-Adressen gehören üblicherweise einem Serviceprovider, der diese automatisch und dynamisch, d. h. wechselnden Besitzern zuteilt. Wem eine bestimmte IP zu einem bestimmten Zeitpunkt zugeordnet war, bekommt man vom Provider ohne Staatsanwalt nicht mitgeteilt.

    Fazit:
    1. Die IP-Adressen sind auf verschiedenen Wegen mit extrem geringen Aufwand zu erhalten, über Google Analytics jedoch nicht.
    2. Über die IP-Adresse personenbezogene Daten zu erhalten ist extrem aufwändig und nur in Ausnahmefällen möglich.

    Also wo liegt eigentlich das Problem?

    Mit besten Grüßen,

    Klaus Blömeke

  8. Dr. Datenschutz schreibt:

    24. Januar 2011 um 16:34

    Sehr geehrter Herr Blömeke,

    ob IP-Adressen als personenbezogene Daten anzusehen sind, ist in Deutschland bislang nicht obergerichtlich entschieden. Inzwischen sind IP-Adressen jedoch in diversen europäischen Ländern als personenbezogene Daten anerkannt.

    Unserer Ansicht nach sind IP-Adressen als personenbezogene Daten anzusehen, da sie zumindest personenbeziehbar sind. Diese Auffassung teilen auch die Landesdatenschutzbehörden…

  9. Sender schreibt:

    31. Januar 2011 um 11:37

    Natürlich sind IP-Adressen personenbezogen. Aber nur unter Verwendung der temporären Zuordnung. Diese liegt wie Herr Blömeke schön darlegte beim Provider. Da man an diese Daten nur mit rechtlichen Schritten kommt, denke ich, hier sei ausreichende Datensicherheit gegeben. Im Prinzip sind dann doch auch alle KFZ-Kennzeichen nicht dem Datenschutz entsprechend und müssten anonymisiert werden. Wobei diese sich nicht täglich ändern und schon anhand des Fahrzeugtyps und der Kennung eine Zuordnung erleichtert würde. Schließlich korelliert das Kennzeichen häufig mit den ersten beiden Buchstaben des Namens sowie teilen des Geburtsdatums.

    Generell wird mir diese Abgrenzung noch nicht so ganz klar.

  10. Dr. Datenschutz schreibt:

    1. Februar 2011 um 09:38

  11. Anonymous schreibt:

    3. Februar 2011 um 07:55

    “[...] nur bei vorheriger und ausdrücklicher Einwilligung der Betroffenen zulässig sei. Da dies in der Praxis nicht gewährleistet werden kann [...]”

    Das ist nicht richtig.

    Man kann sehr wohl vor der Nutzung der eigentlichen Website die Einwilligung einholen. Sollte diese Einwilligung verweigert werden, kann man z.B. per PHP den Google Code gar nicht erst integrieren. Somit sind auch Quereinstiege in die Website ohne Einwilligung zu regulieren.

    MfG,
    Chb

  12. Klaus Blömeke schreibt:

    10. März 2011 um 11:45

    Wie Sender schreibt, sind die IP-Daten in den allermeisten Fällen temporär vergeben. Als personenebezogen kann ich das nicht sehen, denn die IP wird einem Rechner, einem Modem oder einem Router zugeteilt, nicht einer Person. Welche Person hinter diesem Rechner sitzt ist nicht technisch nicht ermittelbar, so wie aus einem Auto-Kennzeichen nur der Halter, nicht jedoch der Fahrer zu ermitteln ist.

    Abgesehen davon identifizieren verschiedene Dienste Nutzer tatsächlich persönlich. Wenn ich bei FaceBook angemeldet bin, kann FaceBook mein Surfverhalten auf dritten Seiten verfolgen, wenn diese Social Plugins (z. B. der Like-Button) verwenden. Fraglich, ob FaceBook hier als Dritter gilt, schließlich habe ich mit FaceBook freiwillig eine Beziehung eingegangen. Ähnliches gilt für Firmen, die Partner-Programme betreiben (Amazon als populärstes Beispiel).

    Der Witz an der Sache ist, dass sich für die IP als personenbezogenes Datum kein Webmaster interessiert. Über die IP erfolgt bestenfalls eine regionale Zuordnung (“aus welcher Region kamen meine Besucher”). Das Tracking sämtlicher mir bekannten Dienste erfolgt immer über Coockies, nie über die IP (das gilt z. B. für Google Analytics, FaceBook etc.) Cookies sind aus sicht derer, die zählen wollen, der mit Abstand bessere Weg, da sie den Wechsel der IP überleben. Anhand solcher Cookies können z. B. auch Nutzer differenziert werden, die über die gleiche IP surfen. Dieses Verfahren ist
    1. mit Abstand personenbezogener
    2. für den zählenden Dienst mit Abstand zuverlässiger.

    Vor diesem Hintergrund ist aus meiner Sicht die Diskussion, ob IPs personenbezogen sind oder nicht, weltfremd und ein Nebenkriegsschauplatz. Jeglicher datenschutzrechtlich bedenkliche Unfug, den jemand über das Tracken von Besucher betreiben könnte, wird über Cookies und nicht über die IP betrieben. Nun kann man zwar argumentieren, dass jeder Nutzer selber die Coockies ausschalten könnte, das kommt aber in der Praxis so gut wie nicht vor. Die meisten Webseiten mit Login-Funktion (Onine-Banking, Webmailer, Facebook, Twitter, Onlineshops…) funktionieren mit deaktivierten Cookies nicht. Anders ausgedrückt: Natürlich kann jemand selbst entscheiden, ob er aus datenschutzrechtlichen Bedenken Cookies deaktivert, dann funktioniert eben sein Internet weitestgehend nicht mehr. Diese Argumentation ist gleich sinnvoll wie die Argumentation: Wer seine IP nicht preisgeben will, soll halt offline bleiben.

    Und nebenbei: Auch Ihre Webseite hat mich anhand von einem Cookie wiedererkannt, nicht anhand meiner IP

    Mit besten Grüßen,

    Klaus Blömeke

  13. TriffiD schreibt:

    28. Mai 2011 um 13:41

    Ich bin zwar auch der Meinung, dass das alles fürchterlich überzogen ist, aber die Argumentation von Herrn Blömeke greift sicher zu kurz. Es mag zwar sein, dass die meisten IP-Adressen temporär vergeben werden, aber man darf ja auch den Schutz der wenigen Fest-IPler nicht außer Acht lassen. Diese sind in der Tat oft leicht und direkt zuzuordnen und nur weil deren Zahl gering ist, sind sie ja nicht weniger Schutzwürdig.
    Auch der Facebook-Vergleich greift hier nicht, denn als Facebook-Nutzer hat man den Datenschutzrichtlinien von Facebook vorab explizit zugestimmt. Das ist in der Regel nicht der Fall, wenn ich irgendeinen Internet-Shop oder eine private Homepage besuche.

    Ich hoffe, dass es hier bald eine Klärung gibt, denn als Instrument zur Kontrolle der Treffsicherheit der Unternehmensseiten, die ich betreue war Analytics in der Vergangenheit unschätzbar.

  14. t3n.de/socialnews schreibt:

    12. August 2011 um 17:33

    Google Analytics datenschutzkonform einsetzen…

    Eine Klagewelle rollt durch Deutschland – es geht um Google Analytics. Wie man sich schützt und das Analysetool Datenschutzkonform einsetzt, erfährt man in diesem Bericht….

  15. webalytics schreibt:

    21. September 2011 um 05:51

    Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  16. Medina schreibt:

    24. September 2011 um 20:27

    Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  17. digi schreibt:

    12. Oktober 2011 um 16:49

    [...] 5. Löschung von Altdaten (bestehende Google Analytics Profile)

    Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen [...]

    Heißt das jetzt wirklich, dass ALLE Google Analytics Profile gelöscht und wieder neu erstellt werden müssen???
    Wenn ja, bis zu welchem Datum sind diese als “alt” einzustufen?

  18. Dr. Datenschutz schreibt:

    12. Oktober 2011 um 17:14

    Hallo digi,

    unter Altdaten fallen sämtliche Daten, die vor dem datenschutzkonformen Einsatz erhoben wurden.

    Hierzu auch (vgl. Ziffer 4): http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf

  19. Markus825f schreibt:

    19. Oktober 2011 um 10:28

    Muß der Vertrag für Google Analytics auch von einem österreichischen Unternehmen unterschrieben werden, das in Österreich unter der top level domain “at.” eine website betreibt, welche aber von einem deutschen Unternehmen mit Sitz in München gehostet wird?

    danke im voraus

  20. Dr. Datenschutz schreibt:

    19. Oktober 2011 um 10:55

    Hallo Markus825f,

    die Anwendbarkeit des BDSG richtet sich in Ihrem Fall nach § 1 Abs. 5 Satz 1 BDSG:

    “Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.”

    Ob in Ihrem Fall das BDSG anwendbar ist, ist genau zu prüfen. Nach Ihren knappen Ausführungen erscheint mir dies jedoch nicht der Fall zu sein. Vielmehr sind das österreichische DSG sowie die in A geltenden Regelungen zum Einsatz von Webseitenanalysetools zu beachten.

  21. Annika Brinkmann schreibt:

    25. Oktober 2011 um 00:06

    Bitte bei der nächsten Runde mobile Browser berücksichtigen! Das Ziel sollte sein dass es hierfür keine Browserweiche geben muss und es auch rechtlich egal ist, auf welchem Gerät eine Seite aufgerufen wird. Hierzu am besten an die Fachgruppe Mobile des BVDW wenden.

    Außerdem wäre es interessant zu wissen, ob und in welchem Umfang der Text auch in englischen Versionen von deutschen Seiten in das Impressum mit rein muss.

    Vielen Dank,
    Annika Brinkmann

  22. Dr. Datenschutz schreibt:

    25. Oktober 2011 um 15:35

    Hallo Frau Brinkmann,

    ich stimme Ihnen zu! Bei den inzwischen verfügbaren Deaktivierungs-Add-on muss auch eine Lösung für mobile Endgeräte erarbeitet werden.

    Sofern Webseiten auch auf Englisch angeboten werden, empfiehlt es sich Datenschutzerklärung sowie Impressum mit zu übersetzen.

  23. toskka schreibt:

    24. November 2011 um 17:25

    Hallo,
    in diesem Zusammenhang stellt sich mir die Frage, ob auch eine datenschutzkonforme Möglichkeit zur Nutzung von Google Maps besteht, das wie in obigem Beispiel IP-Adressen anonymisiert. Beispiel: Firma A bietet seinen Kunden in einer Webanwendung den Maps Kartendienst zur Nutzung von Routenberechnung zu Kunden der Firma an. Google könnte doch hier aufgrund der IP Adressen ein Bewegungsprofil erstellen.

  24. Dr. Datenschutz schreibt:

    25. November 2011 um 10:14

    Technisch denkbar wäre das, allerdings bietet Google derartige Nutzerdaten für Seitenbetreiber (hier Firma A) nicht an.

  25. Andreas schreibt:

    27. November 2011 um 16:25

    Hallo,

    wie funktioniert das mit dem Newsletterpogramm Mailchimp. Mailchimp nutzt ja Google Analytics und ich kann auch sehen wer was anklickt.

    Wie könnte ich das anonymisieren? Muss ich da einen Hinweis in mein Impressum schreiben?

    Vielen Dank

    Andreas

  26. Dr. Datenschutz schreibt:

    28. November 2011 um 12:00

    So pauschal lässt sich das nicht beantworten. Entscheidend ist zunächst, was von Mailchimp an Informationen erfasst wird. Entscheidend ist hier die Frage des Personenbezugs bzw. der Personenbeziehbarkeit.

    Hier lohnt sich sicherlich eine Anfrage bei Mailchimp.

  27. Estefania schreibt:

    28. November 2011 um 18:29

    Vielen lieben Dank für die ausfürhliche Erklärung. Genau
    nach dieser Funktion hatte ich gesucht:
    _gaq.push (['_gat._anonymizeIp']); LG Estefania

  28. leser schreibt:

    5. Dezember 2011 um 09:38

    Sehr gute Darstellung, was man zu tun hat.

    Unter 4. muss der Text allerdings korrigiert werden.

    Derzeit:

    “Hierzu ist in den eine Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“) vor. “

  29. Dr. Datenschutz schreibt:

    5. Dezember 2011 um 19:07

    @leser: Danke. Ist geändert.

  30. Raik Vogtländer schreibt:

    23. Januar 2012 um 11:06

    Vielen Dank!!! Genau diese Informationen habe wir gesucht! Wir werden jetzt prüfen in wie weit uns dieses Vorgehen genügt und ob wir damit Google Analytics verwenden können.

  31. Jutta Florence Pompe schreibt:

    1. April 2012 um 16:12

    Danke für den hilfreichen Artikel, das ist im Internet noch gar nicht so richtig durchgesickert, dass man GA jetzt auf datenschutzkonform umstellen kann, ist aber ganz einfach. Grüße, J.Pompe

  32. Andreas schreibt:

    4. April 2012 um 14:29

    was mich viel mehr interessiert ist, warum google nicht von vorne herein den tracking code so umstellt, damit es passt. sind doch eigentlich zusätzliche steine, die man hier in den weg gelegt bekommt.

  33. RW schreibt:

    12. April 2012 um 16:02

    Hallo,

    sind meine Daten beim Besuch der Webseite nicht bereits bei Google Analytics vorhanden? Wenn ich das richtig verstanden habe, hat ein user die Möglichkeit (zumindest im Falle, dass er einen der unterstützten Browser nutzt) die Möglichkeit, seine Daten KÜNFTIG nicht mehr weiterzugeben. Aber was ist mit den alten Daten? Insbesondere die Daten, die durch den Aufruf des Datenschutzhinweises aufgezeichnet werden?

    Grüße R.W.

  34. Dr. Datenschutz schreibt:

    13. April 2012 um 17:09

    Hallo R.W.,
    leider ist uns nicht möglich auf diese Frage zu antworten, da die Datenschutzerklärung von Google uns darüber keine Informationen gibt. Grundsätzlich müssen die Altdaten gelöscht werden, ob dies aber auch gemacht wird, kann uns nur die Google sagen.

  35. lb schreibt:

    16. April 2012 um 15:20

    Hallo, folgendes Problem; wir haben uns dafür entschieden kein GA mehr auf unserer Seite zu nutzen und sind auf einen anderen Tracker mit Opt Out umgestiegen. Alles schön in die DS-Erklärung formuliert. Rechtsanwalt sagt alles ist i.O.
    Nun nutzen wir ein Plugin von Vimeo und schon haben wir GA wieder auf der Seite, bzw. wird von Ghostery wieder angezeigt. Wie kann man das Tracking über GA unterbinden? Wir sind ja nicht derjenige, der die Daten trackt.

  36. Michael schreibt:

    5. Mai 2012 um 22:58

    Hallo, vielen Dank für den tollen Bericht. Wir haben einen Brief von der Aufsichtsbehörde erhalten und sollen nun das Google Profil löschen, was doch einfach nicht sein kann. Es muss doch eine Möglichkeit geben die Daten bei Google nachträglich anonymisieren zu lassen. Datenschutz ist wichtig, doch anstatt alle Webseitenbetreiber zu “bestrafen” sollten sich die zuständigen Herren und Damen lieber mit Google in Verbindung setzen, dass dort an einer serverseitigen Lösung gearbeitet wird. Wenn das erfassen von IP Adressen (in voller Länge) nicht rechtmäßig ist, muss das Anbieterseitig gelöst werden und nicht dem Webseitenbetreiber auferlegt werden. Wie schwer wird es für Google schon sein, die letzten 3 Ziffern aus der IP zu löschen?! Von dem ganzen Papierkram und Briefen die unsere Behörden da wieder verschicken ganz zu schweigen. Absolute Verschwendung, zwar mit dem richtigen Ziel und trotzdem in die verkehrte Richtung!
    Ich für meinen Teil werde in keinem Fall das Profil löschen, auch wenn Daten “zu unrecht” erfasst wurden. Ich wüsste noch nichtmal ob man überhaupt IP Adressen bei Google sehen kann oder ob die nur intern Verarbeitet werden um die geografische Zuordnung zu erledigen.

  37. derPseudo schreibt:

    11. Mai 2012 um 21:43

    Hallo,
    wo liegt denn jetzt der Nutzen von Google Analytics, wenn eh alles diese AddOn installieren?
    Und lustig ist ja auch, das bis zur Installation trotzdem irgendwelche Daten gespeichert werden.

    Und was ist mit meiner Datenbank? In dieser speicher ich natürlich die IP, den Hoster und einen Zeitstempel, allein schon zu meiner Absicherung.

    Beste Grüße.
    Pseudo

  38. Rainer schreibt:

    24. Mai 2012 um 16:52

    @derPseudo:
    Zunächst einmal werden nicht ALLE gleich das Add-On installieren, wahrscheinlich aus Bequemlichkeitsgründen <10% der Nutzer.
    Ja, bis zur Einführung von "IP-Anonymize" wird natürlich die vollständige IP-Adresse weiterhin an Google übertragen, nur wird man allein damit in den wenigsten Fällen Rückschlüsse auf eine bestimmte Person ziehen können – hinter einer IP-Adresse verbirgt sich i.d.R. ein Unternehmen wie ISPs oder aber Firmen, die sich eine eigene IP reserviert haben (dann braucht es schon deren Log-Files, um auf eine bestimmte Person zu kommen). Anonymizer wie TOR einmal komplett ausgenommen.
    So lange es noch keine rechtverbindlichen Aussagen zur IP-Speicherung und Verwendung für Marketingzwecke gibt, hast Du kein Problem. Willst Du aber erst gar nicht in Probleme laufen, machst Du es wie hier beschrieben. Gruß

  39. Lars schreibt:

    4. Juni 2012 um 12:07

    Hallo zusammen,

    was hat es mit dem Vertrag aus Punkt 1 auf sich, muss dieser zwingend ausgefüllt und an Google gemailt werden?

    Vielen Dank für Eure Info.

    Gruß

  40. Dr. Datenschutz schreibt:

    4. Juni 2012 um 17:14

    @Lars:
    Ein solcher Vertrag zur Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist nach Ansicht der deutschen Aufsichtsbehörden zwingend notwendig, wenn der Betreiber einer Webseite Google Analytics verwendet. Andernfalls kann ein Bußgeld nach § 43 Absatz 1 Nr. 2b BDSG drohen.

    Die Bundesländer Bayern und Nordrhein-Westfalen überprüfen gerade verstärkt das Vorliegen solcher Verträge bei Webseiten-Betreibern, die in ihre Zuständigkeit fallen. Dies ging in letzter Zeit viel durch die Medien

    Wie jeder Vertrag, der der Schriftform bedarf, ist auch dieser von beiden Vertragspartnern – hier Google als Auftragnehmer und dem Webseiten-Betreiber als Auftraggeber – zu unterschreiben. Wenn Sie den Link zum Mustervertrag in unserem Artikel öffnen, steht auf der ersten Seite auch nochmal detailliert, wie das Dokument auszufüllen und abzusenden ist.

  41. Tobias schreibt:

    22. Juni 2012 um 12:04

    Vielen Dank für die übersichtliche Auflistung der Informationen.

    Wie verhält es sich denn, wenn man einen mehrsprachigen Auftritt für eine Webseite hat? Ich meine damit z.B. eine Seite, die eine deutsche und eine spanische Version anbietet und für beide zwei unterschiedliche Analytics-Codes verwendet. Muss man dann auch für die spanische Version die Anpassungen vornehmen, weil Sitz des Inhabers in Deutschland ist?

    Gruß

  42. Dr. Datenschutz schreibt:

    22. Juni 2012 um 16:13

    @Tobias:
    Im Datenschutz gilt das Sitzprinzip, so dass das Recht des Landes anwendbar ist, in dem die datenschutzrechtlich verantwortliche Stelle ihren Sitz hat. In Ihrem Beispiel unterfallen Sie demnach der deutschen Datenschutzaufsicht und sollten sich daher an die Vorgaben der jeweiligen Landesaufsichtsbehörden halten.

  43. Robert schreibt:

    29. Juli 2012 um 08:33

    Tolle Seite, wird alles schön erklärt, vielen Dank!

    Ich finde aber das was der Datenschutz von uns Webmastern verlangt als eine Erbsenzählerei… Ich habe noch nie irgendeinen Nutzen aus den IPs der Leute gehabt und soll nun die Trackingcodes verändern damit kein Schreiben eines Anwalts bei mir im Kasten landet…

    Nein, Danke. Ich habe vorgesorgt. Offshore Server im Ausland, anonyme IPs, kein Impressum und volles Programm bei Analytics. :)

  44. Nicolas schreibt:

    13. August 2012 um 23:04

    Danke für diese guten und wichtigen Hinweise.
    Wir werden es beherzigen!

  45. Bloggii schreibt:

    24. Oktober 2012 um 12:12

    Da zeigt mal die deutsche / EU Gesetzgebung seine beste Seite. Relevanz in der Praxis und in der Gesamtheit im Internet zwecks Datenschutz = 0! Aufwand für eine kleine Website = 100! Da hat Jemand wieder ein super Verhältnis gefunden. Naja, bei den Waisen ist noch nicht ganz angekommen, was Internet ist und wie es funktioniert. Aber in 100 Jahren vielleicht.

  46. Wurde der Vertrag zur Auftragsdatenverarbeitung jüngst von Google verändert? Der bisherige Link wurde deaktiviert! schreibt:

    7. Dezember 2012 um 11:52

    Der im Bericht (oben) genannte Link für den Download (…Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen…) ist offenbar nicht mehr gültig! Via Google Suche findet man unter http://www.google.com/analytics/terms/de.html bzw. unter http://www.google.com/analytics/terms/de.pdf einen solchen Vertrag. Aber ist diese Fassung verändert bzw. in dieser Fassung mit den Aufsichtsbehörden abgestimmt?

  47. Dr. Datenschutz schreibt:

    7. Dezember 2012 um 12:10

    Vielen Dank für den Hinweis, wir haben den Link geändert.

    Uns ist nicht bekannt, dass an dem Vertragsentwurf etwas geändert worden wäre.

  48. Jan Marschner schreibt:

    11. Dezember 2012 um 14:35

    Unter Ziffer 4 wird wie folgt ausgeführt:

    “Hierzu ist in den Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“).”

    Diese Formulierung wird in denen über den Link abrufbaren Google Analytics Bedingungen nicht mehr angegeben.

  49. Dr. Datenschutz schreibt:

    12. Dezember 2012 um 16:46

    @Jan Marschner:
    Vielen Dank für den Hinweis, wir haben den Artikel entsprechend angepasst.

  50. kburkhard schreibt:

    13. Dezember 2012 um 11:29

    Sehr geehrte Datenschützer,

    warum machen wir die Sache in Deutschland eigentlich immer so kompliziert und legen die ganze Verantwortung für die Rechtmäßigkeit von Analytics in die Hände des Endverbrauchers.

    Es wäre doch so einfach, wenn man Goggle zwingen würde, Analytics in der Grundversion so zur Verfügung zu stellen, dass der unbedarfte Websitebetreiber nicht an jeder Ecke über Fallstricke stolpern kann.
    All das, was hier empfohlen wird, was ich in meine private Website einbauen soll, könnte doch in Analytics schon so konfiguriert sein. Mich interessiert weder der Name des Besuchers, noch seine IP-Adresse. Mich interessiert nur, welcher Blog wie oft aufgerufen wird, weil ich damit sehen will, welches Thema meine Leser interessiert.

    Wer also Analytics nutzen will um persönliche Daten abzufischen, der könnte dann ja die Möglichkeit bekommen, die entsprechenden Gadgets (oder wie die Dinger heißen) in die Seite einzubauen. Dann hat er damit auch bewießen, dass er die Fachkenntnis dazu hat und trägt auch die Verantwortung dafür.

    Auf diese Weise wäre auch gleich der Nährboden für dubiose Abmahnanwälte entzogen, denn der private Website-Betreiber könnte gar nichts falsch machen.
    Aber leider ist es auch hier wie im richtigen Leben, der unbedarfte Endverbraucher ist am Ende der Dumme. Wer also nicht die entsprechenden Fachkenntnisse hat (und wer hat die schon) dem bleibt nichts anderes übrig, als einen Spezialisten zu engagieren und viel Geld für nichts auszugeben, oder in Unwissenheit auf die nächste Abmahnung zu warten.

    Mit freundlichen Grüßen

    Klaus Burkhard

  51. Mr. imwebsein schreibt:

    13. Dezember 2012 um 22:14

    Nun jetzt bin ich verwwirt, Das alte PDF ist nicht mehr abrufbar, ohne das Google da ne Umleitung etc einrichtet oder sich äußert, Es schwirren neue aber abgeänderte Pdfs umher. Haben die nun noch Bestand  oder nicht?

  52. Dr. Datenschutz schreibt:

    17. Dezember 2012 um 14:33

    @ Mr. Imwebsein:

    Die derzeit aktuelle PDF haben wir unter Punkt 1 dieses Artikels verlinkt. Bestand dürfte allein das von Google unter unserem Link zu Verfügung gestellte Dokument haben.

  53. Thomas schreibt:

    18. Januar 2013 um 17:06

    Ich frage mich immer, ob die Leute die solche Gesetze entwerfen überhaupt eine Ahnung haben, wie das Internet funktioniert. Sobald ich ins Internet gehe, muss meine IP auch gespeichert werden. Einfach mal die Architektur von einem Server anschauen oder von einem kleinen Netzwerk und im Internet ist dies in einem großen Rahmen vorhanden. 

    Ich wäre für folgenden Vorschlag: Wenn man ein Auto kauft, muss man mit dem Bundesverkehrsministerium einen Vertrag aufsetzen, dass man sich über die tödlichen Folgen im klaren ist, welche mit dem Kauf existieren. Immerhin sind die schlechten Straßen ja nicht ungefährlich. Zusätzlich sollen Schilder aufgestellt werden, sobald ich in eine Straße fahre. Ideal wäre ein iPad, wo man schriftlich bestätigt, dass man vor dem befahren der öffentlichen Straße aufgeklärt wurde, dass die Straße eventuell gefährlich ist und NICHT erst, wenn ich auf der Straße bin. Eine Art Double-Opt-In

  54. Project Manager EU schreibt:

    4. Februar 2013 um 09:50

    Sehr geehrte Datenschutzbeauftragte,

    gibt es eine EU Richtlinie (/Gesetzesgrundlage?), die die Verpflichtung der Angabe bei Verwendung von Google Analytics abdeckt? Ich habe im Internet bereits über die sogenannte “Cookie-Richtlinie” gelesen, ich brauche jedoch die genaue Angabe hierzu.

    Wie muss generell das Impressum einer EU-Webiste (z.B. Website eines EU-Projekts) aussehen?

    Vielen Dank,
    ihr EU-Projektmanager

  55. Dr. Datenschutz schreibt:

    4. Februar 2013 um 18:12

    @Project Manager EU:

    Zwingende Verpflichtungen ergeben sich aus Richtlinien grundsätzlich nicht. Sie bedürfen erst der Umsetzung in nationales Recht. Es sind daher die jeweiligen nationalen Vorgaben zu beachten.

    Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische
    Kommunikation (Richtlinie 2002/58/EG) sieht die Information über eingesetzte Analysetools vor. Eine Stellungnahme der Artikel 29 Gruppe ist unter hier abrufbar.

    Angaben zum Inhalt eines Impressums enthät u.a. Artikel 5 der E-Commerce Richtlinie (Richtlinie 2000/31/EG).

  56. Stefan W schreibt:

    5. Februar 2013 um 16:29

    Wie setzt man in Analytics das Widerspruchsrecht des TMG 13 auf mobilen Endgeräten um? Das Google Plugin ist z.B. nicht für iOS Geräte verfügbar. Ist das nicht ein Verstoß gegen das TMG?

  57. Dr. Datenschutz schreibt:

    6. Februar 2013 um 17:43

    @ Stefan W:
    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar hat im Auftrag für den Düsseldorfer Kreis den Einsatz von Google Analytics unter den oben beschriebenen Voraussetzungen für beanstandungsfrei erklärt.

    Ihm war zu diesem Zeitpunkt bereits die fehlende Opt-Out Möglichkeit für Smartphone-Nutzer bekannt. Der Handlungsbedarf wurde somit im September 2011 gesehen. Passiert ist leider bis heute nichts. Der Nutzer eines Smartphones hat de facto keine Möglichkeit sein Widerspruchsrecht nach § 13 TMG geltend zu machen.

  58. Ms. H. schreibt:

    8. Februar 2013 um 13:58

    Sehr geehrter Dr. Datenschutz,
    ich habe bereits einen Google Analytics Account und möchte diesen jetzt auf einen datenschutzkonformen Account umstellen. Ihren Artikel und Ihre Zusatzinformationen finde ich klasse. Vielen Dank! 
    Was ist der beste Weg um den alten Account zu löschen? Einen komplett neuen Account mit neuer Emailadresse bei Google anlegen und den alten löschen? Oder gibt es eine Möglichkeit, die Altdaten innerhalb des bestehenden Accounts zu löschen?
    Danke und herzliche Grüße
    Ms. H.

  59. Dr. Datenschutz schreibt:

    8. Februar 2013 um 16:07

    @ Ms. H.:
    Es ist richtig, dass Sie die bereits erhobenen Daten löschen müssen, denn diese sind unrechtmäßig von Ihnen erhoben worden.
    Eine komplette Löschung des Accounts ist nicht notwenig. Google bietet die Möglichkeit, Profile zu löschen (http://support.google.com/analytics/bin/answer.py?hl=de&answer=1009621). Google erklärt, dass hierdurch alle Daten gelöscht werden. Sie können danach ein neues Profil mit neuer Tracking-ID anlegen, welche Sie dann im Tracking-Code Ihrer Webseite ändern müssen.

  60. Schilda schreibt:

    11. Februar 2013 um 17:49

    “Es ist richtig, dass Sie die bereits erhobenen Daten löschen müssen, denn diese sind unrechtmäßig von Ihnen erhoben worden.”
    Vollkommen Sinnfrei – oder was ist die Begründung hierfür?
    Deutsche Provider speichern die IP Adressen ihrer Kunden von 7 Tagen bis zu 6 Monaten. Danach werden sie gelöscht.
    Folglich ist danach keine Zuordnung von IP zu Anschlußnehmer mehr möglich.
    Ist jetzt der Schutz der Bevölkerung oder eine kopflose Schnellreaktion die Ursache für diesen Schildbürgerstreich?

  61. Dr. Datenschutz schreibt:

    12. Februar 2013 um 17:27

    @Schilda:
    Bei der ursprünglichen Version von Google Analytics wurde die komplette IP-Adressen erhoben, gespeichert und an Google übermittelt. Diese Daten werden bei Google frühestens nach neun Monaten gelöscht. Ob es sich bei IP-Adressen um personenbezogene Daten handelt, ist umstritten. Lesen Sie hierzu unseren Beitrag IP-Adressen – personenbezogene Daten.
    Die Landesdatenschutzbehörden vertreten die Ansicht, dass IP-Adressen personenbezogene Daten sind. Folglich ist für die Verwendung eine gesetzliche Erlaubnis oder eine Einwilligung notwendig, die aber für Altdaten gerade nicht vorhanden sind. Die Erhebung erfolgte damit unrechtmäßig, daher sind die Daten zu löschen.

    Zu beachten ist im Fall Google Analytics, dass Google anhand von Cookie-Daten die IP-Adressen bestimmten Nutzern zuordnen kann. Noch leichter ist die Identifikation eines eingeloggten Google-Dienst-Nutzers. Google behält sich nämlich die Möglichkeit der Zusammenführung der Daten aus den verschieden Diensten in ihrer Datenschutzerklärung vor. Die Möglichkeit des Missbrauchs ist somit hoch.

  62. Ms. H. schreibt:

    22. Februar 2013 um 13:02

    Danke für Ihre hilfreiche Antwort und Darstellung!

  63. Speedyletti schreibt:

    17. April 2013 um 15:28

    Gelten diese Anforderungen auch wenn der Server der Webseite.de in der Schweiz betrieben wird?

  64. Erdbeerit schreibt:

    10. Mai 2013 um 14:14

    Wo finde ich den die Datenschutzerklärung für Google Analytics auf Spanisch? Es geht um eine Seite, die deutsche, englische und spanische Inhalte anbietet – die englische Übersetzung habe ich bereits gefunden, aber leider keine spanische.

    Kann mir da jemand weiterhelfen? Oder reicht eine deutsche Datenschutzerklärung aus, wenn es an sich eine deutsche Webseite ist?

  65. Tom schreibt:

    12. Mai 2013 um 13:55

    @Dr. Datenschutz
    Die im Artikel oben angegebenen Tracking-Codes stimmen strukturell und inhaltlich nicht mehr mit dem von Analytics ausgegebenen Tracking-Code meiner Analytics-Neuanmeldung überein. Wäre es für euch eine Option, den aktuellen Analytics-Code ergänzt um die IP-Kürzung oben zusätzlich einzubauen? Danke:-)

  66. Dr. Datenschutz schreibt:

    13. Mai 2013 um 18:43

    @Tom:
    Wir haben den Artikel entsprechend erweitert. Vielen Dank für den Hinweis.

  67. Ms. H. schreibt:

    14. Mai 2013 um 18:32

    Hallo Herr Dr. Datenschutz,
    ich habe mir den Vertrag von Google angesehen. Dort wird auch auf Pflichten des Vertragspartners, also Webseitenbetreibers, hingewiesen. z.B. Absatz

    “3. Ihre Rechte und Pflichten und Umfang der Weisungsbefugnisse3.1 Sie sind für die Bewertung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten sowie für den Schutz der Rechte der betroffenen Person verantwortlich.”

    Daher kam mir die Frage, ob ich mich durch Abschluss des Vertrages evtl. schlechter stelle als vorher und eher in die Haftung genommen werden kann als ohne Vertrag. Können Sie dazu etwas sagen?

    Danke schon mal
    Ms. H.

  68. Dr. Datenschutz schreibt:

    16. Mai 2013 um 15:48

    @ Ms. H.

    Beim Einsatz von Google Analytics werden von den Besuchern Ihrer Webseite personenbezogene Daten erhoben und an Google weitergeleitet. Sie sind die verantwortliche Stelle für diese Daten. Eine Weiterleitung der personenbezogenen Daten an Google ist nur mit einer Einwilligung des Betroffenen oder aufgrund einer Erlaubnisnorm gestattet (weitere Infos).

    Mit Abschluss des Vertrages zur Auftragsdatenverarbeitung ist die Weiterleitung der Daten an Google nach § 11 BDSG erlaubt. Zwar bleiben Sie bei der Auftragsdatenverarbeitung nach der Übermittlung der Daten für diese verantwortlich und haften somit auch für mögliche Verstöße von Google, aber nur so ist die Weiterleitung der Daten an Google datenschutzkonform.

  69. peter müller schreibt:

    16. Juni 2013 um 09:36

    Sie schreiben unter den zu beachtenden Punkten:

    3. Widerspruchsrecht der Betroffenen

    WO, BITTE, KANN ICH HIER AUF IHRER WEBSEITE WIDERSPRECHEN?
    Laut Ghostery nutzt die Seite “http://www.datenschutzbeauftragter-info.de/ “ Google Analytics
    Ich will in keienr Form durch Google getrackt werden und die NSA mit  meinen Daten beglücken.

    Besten Dank für Ihre Auskunft, gerne auch per Mail

  70. Dr. Datenschutz schreibt:

    18. Juni 2013 um 15:08

    @peter müller

    Sie können die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.. Darauf haben wir Sie auch in unseren Datenschutzbestimmungen hingewiesen (http://www.datenschutzbeauftragter-info.de/datenschutzerklaerung/).

  71. Grisu schreibt:

    20. Juni 2013 um 10:27

    Hallo,
     
    ich habe da mal eine Frage zum datenschutzkonformen Einsatz von Google Analytics.  
    Was ist, wenn der Vertrag mit Google für das Google Analytics Konto schon besteht und man nachträglich ein weiteres Profil einrichtet für eine Website? Im Impressum steht nicht der gleiche Seiteninhaber wie bei dem ersten Profil.
    Muss man erneut einen Vertrag aufsetzen oder gilt der bestehende auch für das neue Profil?
     
    Gruß
    Thorsten

  72. peter müller schreibt:

    23. Juni 2013 um 11:59

    @Dr. Datenschutz

    Sie schreiben ich muss ein “ Widerspruchsrecht der Betroffenen” haben. Dies beinhaltet NICHT, dass ich zusätzliche Software installieren. Ich will widersprechen und nicht verhindern *gg*. Kleiner aber sehr wichtiger semantischer Unterschied. Und Widersprechen bzw auch Zustimmen kann ich nur , wenn Sie beim Besuch Ihrer Webseite fragen, ob ich mit Ihrer Datensammelei einverstanden bin.
    Ganz dumm gesagte, könnten Sie sonst auch von mir verlangen, dass ich erst gar nicht Ihre Seite besuche, im Extremfall sogar meinen Internetzugang lösche.
    Zusätzliche Software birgt nur zusätzliche Risiken. Wer garantiert mir denn, dass das von Ihnen angeführte google plugin auch so funktioniert, wie es beschrieben ist und nicht doch noch Daten an die NSA und andere leitet, das alles natürlich von einem US Geheimgericht kontrolliert, dem Non US Residents völlig egal sind?
    Ich bin der Meinung auf einer Seite wie www.datenschutzbeauftragter-info.de sollte auf jegliche Verknüpfung zu irgendwelchen Zusatzdiensten verzichtet werden, sonst wird hier der Datenschutz konterkarriert!!

    ***********
    Hiermit widerspreche ich jeder Art von elektronischer Datensamelei auf und durch Ihre Internetrepräsentanz! Unabhängig davon, ob diese Sammelei durch Ihre Seite oder durch mit Ihnen verknüpfte Seiten wie zB Google Analytics und ggf. andere erfolgt!
    Ich untersage Ihnen und Ihren Helfern, meine Datenspeicher zum Speichern von Verfolgungscookies aller Art zu nutzen. 
    ***********

    Beste Grüße
    peter müller

  73. Dr. Datenschutz schreibt:

    24. Juni 2013 um 11:19

    @ Thorsten

    Ja, es muss ein neuer Vertrag gemäß § 11 BDSG zwischen dem Auftraggeber und dem Auftragnehmer (Google) abgeschlossen werden. Der Auftraggeber ist die verantwortliche Stelle, die sich aus dem Impressum einer Webseite ergibt.

  74. Bob schreibt:

    14. Juli 2013 um 12:56

    Hallo,
    vielen Dank für den super Artikel.
    Frage: Wie verhält es sich, wenn ich ( als deutsches Unternehmen, Sitz in Deutschland ) eine *.de Domain benutze, diese jedoch weitergeleitet wird und die eigentliche Website bei einem *.com Dienst betrieben wird ( z.B. tumblr )?

  75. Dr. Datenschutz schreibt:

    15. Juli 2013 um 11:30

    @ Bob

    Es kommt auf den Sitz des Unternehmens an. Da Ihr Unternehmen seinen Sitz in Deutschland hat, müssen die in dem Artikel genannten Punkte beachtet werden.

  76. Armin schreibt:

    18. Juli 2013 um 16:53

    Ich verstehe hier leider nur Bahnhof. Und dieses ganze Datenschutzthema macht mir langsam ernsthafte Sorgen. Kann man sich denn überhaupt nicht irgendwie anonym im Internet aufhalten? Ich habe langsam das Gefühl wirklich gläsern zu werden.

  77. Hans schreibt:

    10. August 2013 um 11:36

    Was nutzt mir ein Hinweis auf Google Analytics im Impressum?
    So ein Hinweis sollte und muss auf eine Startseite und mit einem Klick bestätigt werden – und nicht erst nachdem ich mich schon auf der Seite durchgeklickt habe.

  78. Dr. Datenschutz schreibt:

    13. August 2013 um 13:53

    @Hans:

    Ein Hinweis auf der Hauptseite einer Homepage wäre sicherlich nicht verkehrt. Ist vorliegend allerdings nicht erforderlich.

    Das hat zum einen damit zu tun, dass bei einer, wie im Blog-Artikel beschriebenen, rechtssicheren Nutzung eine Verkürzung der IP-Adresse zwingend erforderlich ist und der Betroffene der Nutzung von Google Analytics widersprechen kann.

    Zum anderen ist vom Gesetz lediglich vorgeschrieben, dass wichtige Informationspflichten – und hierzu gehört auch der Hinweis auf die Verwendung von Google Analytics und Datenschutz – für den Leser leicht verständlich und schnell auffindbar zu erfüllen sind. Für die Datenschutzerklärung wird dies explizit in § 13 Abs. 1 TMG geregelt.

    Die Erfüllung dieser allgemeinen Informationspflichten hat aus Gründen der leichten Auffindbarkeit im Bereich Impressum zu erfolgen. Das hat vor allem damit zu tun, dass die Rechtsprechung bereits vor einigen Jahren entschieden hat, dass das Impressum von jeder Seite aus mit maximal einem Klick (1-Klick-Rechtsprechung) erreichbar zu sein hat und der Leser aufgrund der heute gelebten Praxis hier damit rechnet, dass wichtige Informationen auch zum Datenschutz vorgehalten werden.

  79. Agentur schreibt:

    19. August 2013 um 16:13

    Hallo,

    wie funktioniert das ganze nun mit “Google Tag Manager”? Die Extra-Zeile mit “AnonymizeIP” wird im Quellcode der Website nicht mehr angezeigt. In Google Tag Manager kann ich aber auswählen, dass ich die IP-Adressen anonymiseren möchte. Irgendwie läuft das ganz im Hintergrund ab… Hat jemand bereits Erfahrungen damit gemacht?

    Vielen Dank!

  80. Michael schreibt:

    28. September 2013 um 12:44

    Hallo, gilt das Theater um Google Analytics auch in 2013? Wie sieht es mit anderen Trackern aus wie z.B. Statcounter? Der ist zwar nicht so mächtig wie Analytics aber vielleicht gibt es bei anderen Trackern auch Probleme.
    Die Browser heutzutage bieten doch dieses “Do not Track”, wer Paranoia hat, der kann sich ja selber gegen das Tracken schützen. Oder? :)

  81. Daniel B. schreibt:

    7. Oktober 2013 um 10:24

    Ein alter Beitrag, aber gerade durch die aktuellen Abmahnungen wieder wichtig geworden. Vielen Dank für die ausführliche Ausführung.

    @Michael: Ja, dies ist noch immer aktuell für Analytics. Wie es bei Statcounter aussieht kann ich nicht sagen.

  82. Karl E. schreibt:

    21. Oktober 2013 um 17:45

    Mit der Einführung der neuen Verwaltungsoberfläche von Google Analytics haben sich bestimmte Bezeichnungen geändert: “Profile” heißen nun “Datenansichten”. Damit ergibt sich für jedes Analytics-Konto folgende Hierarchie: Konto > Property > Datenansicht.

    Was muss ich denn nun tun, um meine Altdaten (datenschutzkonform) zu löschen? Genügt eine Löschung der bestehenden Datenansicht? Oder muss ich die übergeordnete Property oder gar das ganze Konto löschen?

  83. Franz Berger schreibt:

    31. Oktober 2013 um 17:21

    Hallo zusammen

    Vielen herzlichen Dank für die Veröffentlichung, dieses hochinteressanten Artikels.

    Ich habe vor kurzen gelesen, daß aktuell ein datenschutzkonformer Betrieb von Google Analytics gar nicht mehr möglich sein soll, weil die Browser von Smartphones das Deakivierungs-Ad-On von Google NICHT unterstützen würden.

    Damit sei nicht mehr gewährleistet, daß sich mobile Nutzer “abmelden” können und damit der gesamte Betrieb von Google Analytics nicht datenschutzkonform.

    Ist das wirklich so?

    Falls ja, was kann man unternehmen um dem vorzubeugen?

    Ich danke und wünsche einen schönen Feierabend.

    Beste Grüße
    Franz

  84. Dr. Datenschutz schreibt:

    1. November 2013 um 15:36

    @ Karl E.:

    Vielen Dank für den Hinweis auf die neue Verwaltungsoberfläche. In der Datenansicht werden die Tracking-Rohdaten ausgewertet. Löschen Sie eine Datenansicht, sind die Tracking-Rohdaten (inkl. IP-Adresse) allerdings noch vorhanden. Es sollte daher eine Löschung der “Property” erfolgen. Sie müssen dann eine neue Property erstellen und den neuen Tracking-Code in den Quelltext Ihrer Webseite einbauen.

  85. Dr. Datenschutz schreibt:

    1. November 2013 um 15:38

    @Franz Berger:

    siehe Kommentar vom 6. Februar 2013, 17:43 Uhr

  86. Franz Berger schreibt:

    1. November 2013 um 16:35

    Vielen Dank für die Antwort.

    Ich habe mir die Seite

    http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html

    genauer angesehen und bin unten auf ein .pdf mit dem Titel

    GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_01.pdf

    gestossen.

    Dieses .pdf ist NICHT von 2011 wie der Rest der Seite, sondern vom März 2013 – also eine aktualisierte Version. Das Datum der aktualisierten Version liegt zeitlich nach Ihrer Antwort vom 6. Februar 2013.

    In diesem .pdf erwähnt der Hamburger Datenschutzbeauftragte in Punkt 3 eine spezielle Wiederspruchslösung für die Browser von Smartphones, die in den Analytics Code implementiert werden muß.

    Das sehe und höre ich zum ersten Mal. Wir haben Google Analytics immer exakt so eingebaut, wie Sie es auf Ihrer Seite beschreiben.

    Glauben Sie, daß man die Codes an die vom Hamburger Datenschutzbeauftragten vorgegebene Version anpassen muß, um vor Abmahnungen geschützt zu sein?

    Ich danke Ihnen herzlich und wünsche einen schönen Abend.

    Beste Grüße
    Franz

  87. Dr. Datenschutz schreibt:

    5. November 2013 um 15:58

    @Franz Berger:
    Vielen Dank für den Hinweis. Es ist tatsächlich notwendig die Datenschutzhinweise und den Quellcode entsprechend der Vorgaben des Hamburger Datenschutzbeauftragten anzupassen.

    Unsere Recherche hat ergeben, dass mittlerweile der Großteil der Datenschutzbehörden entsprechende Klauseln übernommen haben. Es ist sehr verwunderlich, dass dieses nicht weiter publik gemacht worden ist. Wir werden unseren Artikel entsprechend überarbeiten.

  88. 6 coole Joomla-Erweiterungen schreibt:

    6. November 2013 um 15:06

    […] So setzten Sie Google Analytics datenschutzkonform ein. […]

  89. Robert Sommer schreibt:

    8. November 2013 um 09:43

    Hallo,

    es hat sich bzgl. des OptOut-JavaScripts ein Tippfehler eingeschlichen: Die fragliche Funktion lautet gaOptout(). Nun steht aber leider ausgerechnet im Link zur Auslösung des Scripts steht gaOutput().

    Vermutlich eine Art Buchstabendreher, der aber – wenn ich es richtig sehe – gravierende Folgen hat, indem er zu KEINER Ausführung des fraglichen JavaScripts führt.

  90. Dr. Datenschutz schreibt:

    8. November 2013 um 17:21

    @Robert Sommer:

    Vielen Dank für den Hinweis. Wir haben den Artikel entsprechend geändert.

    Der Fehler hatte sich eingeschlichen, weil Google selbst diesen Buchstabendreher in der Anleitung hat.

  91. Jens schreibt:

    16. November 2013 um 12:34

    Über das Script mit meinen Daten von Google wird keine Anonymisierung der IP-Adressen bei http://www.seitenreport.de festgestellt :-(
    Wo liegt der Fehler ??
    ——–

    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);

    ga(‘create’, ‘UA-XXXXXXX-X’, ‘website.de’);
    ga(‘set’, ‘anonymizeIp‘, true);
    ga(‘send’, ‘pageview’);

    ——–

  92. A. Heinemann schreibt:

    22. November 2013 um 09:04

    Danke für die ausführliche Info.
    Das mit den “Altlasten” in einem Google – Profil ist nicht so schön, aber wer kontrolliert das denn? Meiner Meinung nach geht das technisch kaum, jedenfalls nicht ohne Google’s MIthilfe, oder?

    Danke und viele Grüße

  93. Uwe schreibt:

    25. November 2013 um 11:11

    Habe die Info über die neuen “Pflichten” erst gestern und eher zufällig entdeckt. Vielen Dank für den ausführlichen Lösungsansatz.
    Dennoch, so macht Analytics nicht mehr wirklich Spaß! Außerdem bin ich gespannt, was uns als nächstes erwartet.

  94. Max schreibt:

    27. November 2013 um 12:49

    Hallo, leider wurde ich auf etwas neues aufmerksam gemacht: siehe hier

    D.h. man muss den User nun bevor er auf die Seite kommt fragen ob er damit einverstanden ist, das Google Analytics genutzt wird?

  95. Dr. Datenschutz schreibt:

    28. November 2013 um 15:40

    @Max:

    Der Beschluss vom 11./12.09.2013 des Düsseldorfer Kreises, auf den Sie verweisen, ist bei Google Analytics nicht relevant, da der Vertrag zur Auftragsdatenverarbeitung mit Google Ireland Ltd geschlossen wird und nicht mit Google Inc. Da Irland zur EU gehört, wird ein angemessenes Datenschutzniveau angenommen.

    Die zweistufige Prüfung ist keine Neuigkeit, sondern geltendes Recht für Datentransfers in sog. unsichere Drittstaaten vgl. §§ 4b, 4c BDSG.

  96. Jakob schreibt:

    3. Dezember 2013 um 15:43

    Ihr solltet vielleicht die Codes bei Schritt 2 anpassen. Wenn man nur die Zeile

    ga(‘set’, ‘anonymizeIp‘, true);

    kopiert und in seinen Code einfügt, werden keine Daten erfasst. Stattdessen muss mal wohl diese Zeichen: ‘

    durch die im Analytics-Code normalerweise verwendeten: ‘

    ersetzen.

  97. Dr. Datenschutz schreibt:

    4. Dezember 2013 um 14:20

    @Jakob:

    Vielen Dank für den Hinweis. WordPress wandelt in der Standard-Einstellung diese Zeichen automatisch um. Wir haben das entsprechend korrigiert.

  98. Petra schreibt:

    13. Januar 2014 um 18:15

    Also erstmal vielen Dank für die ausführliche Anleitung. Wir haben eine neue Webseite in WordPress gestaltet. Wir verwenden das Plugin “Google Analytics for WordPress”

    Nun bereitet uns der Teil mit dem “Opt-Out-Cookies” Kopfzerbrechen. Wo müssen wir diesen Code einfügen? Den Teil mit dem anonymisieren der IP übernimmt ja unser Plugin :-)

    Bin für jede Hilfe Dankbar.

    LG
    Petra

  99. Kati schreibt:

    14. Januar 2014 um 13:47

    Hallo Zusammen, 
    aufgrund der irgendwann kommenden Umstellung des Tracking Codes auf Universal Analytics bleibt die Frage offen – finde ich – inwiefern der Datenverarbeitungsvertrag mit Google angepasst werden muss. Die Vorlage beinhaltet noch nicht die neue Tracking Methode. Hat irgendjemand eine aktuelle Vorlage bereits gefunden bzw. wie muss dieser angepasst werden?  

    Freue mich auf eure Hilfe und Feedback. 

  100. Dr. Datenschutz schreibt:

    14. Januar 2014 um 13:49

    @Petra:

    Das Opt-Out-Cookie-Script muss immer vor dem eigentlichen Google Analytics-Script im Quelltext eingefügt werden. Wir kennen kein Plugin, das diese Aufgabe übernimmt und es deshalb per Hand eingefügt. (z.B. in die header.php)

  101. Michael schreibt:

    30. Januar 2014 um 13:44

    Ich habe eine Frage zum unter 5. in der “Anlage 1 – Regelungen zur Auftragsdatenverarbeitung” im Google-Vertrag genannten “von einem unabhängigen Wirtschaftsprüfer erstellten Prüfbericht”.
    Wo kann ich diesen herbekommen? Also schon vor Vertragsunterzeichnung.
    Für eine Antwort wäre ich sehr dankbar.

  102. Michael schreibt:

    3. Februar 2014 um 13:45

    Weiß jemand, wo man diesen “von einem unabhängigen Wirtschaftsprüfer erstellten Prüfbericht” herbekommen kann? (siehe meine Frage zuvor). Es wäre wichtig für uns. Google selbst kann keine Auskunft dazu geben (zumindest die Stellen, die ich erreicht habe, nicht). 

  103. Origondo schreibt:

    12. Februar 2014 um 11:47

    @Michael: 

    bin auch schon lange auf der Suche nach dem Prüfbericht. Bei Google wirst du sicher kein Glück haben. Da wäre ein weiteres Nachfragen glaub ich sinnlos… 

  104. schlimpf schreibt:

    26. Februar 2014 um 14:41

    Unter welcher Lizenz darf man den o.g. Disclaimer nutzen?

  105. Dr. Datenschutz schreibt:

    26. Februar 2014 um 17:26

    @schlimpf:

    Gerne kann unsere Disclaimer-Formulierung unter Angabe der Quelle mit Verlinkung (www.datenschutzbeauftragter-info.de) übernommen werden.

  106. schlimpf schreibt:

    2. März 2014 um 21:22

    Dieser Disclaimer stammt ursprünglich von https://sites.google.com/a/akmedialtd.com/google-analytics-hinweise/, ist es Lizenzrechtlich erlaubt, durch eine kleine Anpassung wie hier zu sehen zu verlangen, einen Link auf das eigene Angebot zu setzen?

  107. Dr. Datenschutz schreibt:

    3. März 2014 um 10:41

    Der von Ihnen verlinkte Disclaimer unterscheidet sich in vielen Formulierungen von unserer Version.

    Google hat den Disclaimer veröffentlicht, damit der Text von Nutzern verwendet wird. Dasselbe gilt für unseren Disclaimer. Urheberrechtliche Ansprüche werden weder von Google noch von uns erhoben.

    Der Link auf unser Angebot ist eher als Dankeschön für den gesamten Artikel anzusehen. Wir haben viel Zeit investiert und waren z.B. die Ersten, die auf das Opt-Out-Cookie-Script hingewiesen haben. Andere Anleitungen haben das bis heute nicht integriert.

  108. Jürgen schreibt:

    24. März 2014 um 12:34

    Hallo,

    muss der schriftliche Vertrag mit Google für jedes Analytics Konto einzeln geschlossen werden oder kann ich all meine Analytics Nummern aufführen?

  109. Fernanda Suguino schreibt:

    25. März 2014 um 17:47

    Hallo,

    zu dem Opt-Out-Cookie habe ich eine Frage. Im Google Developers-Artikel steht, dass der im Widerspruchsrecht-Teil abgebildete Code (s. Teil 3 des Textes) nur eine einzige GA-Property unterstützt.

    Im Google-Artikel steht:

    “Note: This example code assumes that you are using a single web property on your site and are only using a single domain. It only provides an opt-out function which is based on a long-term cookie. If you require opt-in functionality or if your site uses multiple web properties or domains, you will need to modify this example code, write your own opt-out code, or use other opt-out tools.”

    Wie soll man den Code anpassen, wenn man mit mehreren Properties in GA arbeitet? Kann ich einfach weitere Properties (UA-XXXXXXX-X) zu dem Code hinzufügen?

    Gruß, Fernanda

  110. Tina schreibt:

    26. März 2014 um 09:52

    Hallo,
    woran kann es liegen, dass immer wenn ich den zweiten Code für den Opt-OutCookie in den Header einfüge, mir Google analytics plötzlich sagt, dass kein Datenempfang aktiv ist?
    Vorher war der Tracking Code korrekt installiert und der Datenempfang aktiv.
    Vielen Dank

  111. Katharina schreibt:

    29. März 2014 um 08:05

    Vielen Dank für die ausführliche Erläuterung des Analytics Problems. Ich habe soweit auch alles eingerichtet (über Plugins, da ich keine Zugangsberechtigung für den Server habe), allerdings ist eine Frage übergeblieben:

    Wie kann ich den Link “Google Analytics deaktivieren” setzen?

    “Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
    Google Analytics deaktivieren

  112. Dr. Datenschutz schreibt:

    2. April 2014 um 15:51

    @Jürgen:
    Leider können wir im Rahmen dieses Blogs nicht auf alle speziellen technischen Voraussetzungen eingehen. Grundsätzlich ist ein Vertrag mit Google ausreichend, da dieser unternehmensbezogen geschlossen wird. Dabei ist die Angabe des GA Kontos sogar optional.

    @Fernanda und @Tina:
    Allerdings muss je nach Aufbau des Webauftritts, ggf. der Opt-out-Cookie-Code an mehreren Stellen eingebaut werden. Ob eine Quellcode Implementierung Plug-in-basiert erfolgen kann, ohne den Quellcode des Webauftrtitts anzupassen, können wir so nicht beantworten.

    @Katharina:
    Grundsätzlich muss der unter Punkt 3 aufgeführte Quellcode an der entsprechenden Stelle eingebaut und die Datenschutzhinweise entsprechend aufgebaut werden. Ob der Link funktioniert, können Sie prüfen, indem Sie sich die Cookies anzeigen lassen.

  113. Cognac schreibt:

    7. April 2014 um 20:38

    Hallo,

    der unter Punkt 4 erwähnte Link:
    http://www.google.com/intl/de/analytics/privacyoverview.html
    erzeugt bei Aufruf einen 404. 
    Ist dies ggf. der nun korrekte Link?
    https://www.google.de/intl/de/policies/privacy/
    oder ganz allgemein hier:
    https://www.google.de/intl/de/policies/

    Beste Grüße,
    Cognac

  114. Dr. Datenschutz schreibt:

    8. April 2014 um 11:28

    @Cognac:

    Vielen Dank für den Hinweis. Wir haben den Link aktualisiert.

  115. Janine schreibt:

    15. April 2014 um 11:03

    Hallo,

    gilt der Code für das OptOut ebenfalls für Universal Analytics? Bzw. gibt es dafür auch schon eine so eine Erweiterung? Oder muss man den Code für das OptOut dort nicht einbauen?

    Viele Grüße
    Janine

Jetzt kommentieren


Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.