Google Analytics datenschutzkonform einsetzen

webanalyse 02
Fachbeitrag

Die Aufsichtsbehörden diskutierten bereits seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics. Auf Grundlage der im November 2009 vom Düsseldorfer Kreise beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. Angepasster Datenschutzhinweis
  5. Löschung von Altdaten

1. Vertrag zur Auftragsdatenverarbeitung

Da nach Ansicht der Aufsichtsbehörden Websitenbetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen.

2. IP-Adressen anonymisieren

Um die Anonymisierung der IP-Adressen zu gewährleisten, hat Google eine Erweiterung des Google Analytics Codes zur Verfügung gestellt. Durch Nutzung der Code-Erweiterung „anonymizeIp“ werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Aktuell werden zwei Varianten des Tracking-Codes genutzt:

  • Universal Analytics
  • Klassisches Analytics

Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden.

Datenschutz mit “Universal Analytics”:

Der datenschutzkonforme Tracking-Code für Universal Analytics könnte wie folgt aussehen:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

Datenschutz mit “Klassisches Analytics”:

Der datenschutzkonforme Tracking-Code für Klassisches Analytics könnte wie folgt aussehen:

<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXXX-X']);
_gaq.push(['_gat._anonymizeIp']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

3. Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird. 

Es müssen beide Arten des Widerspruchs implementiert werden:

  1. Link zum Deaktivierungs-Add-on
  2. Setzen eines Opt-Out-Cookies

Das Deaktivierungs-Add-on verhindert, dass Google Analytics auf jeder besuchten Webseite ausgeführt wird. Webseitenbetreiber haben lediglich die Pflicht, auf diese Software zu verlinken (siehe 4.). Das Add-on ist nur für Desktop-Browser verfügbar, was von den Aufsichtsbehörden beanstandet wurde.

Google hat nun eingelenkt und eine weitere Möglichkeit mit dem Opt-Out-Cookie geschaffen. Der Nutzer hat die Möglichkeit, durch Klicken eines Links in der Datenschutzerklärung (siehe 4.) ein Opt-Out-Cookie zu setzen. Für das Opt-Out-Cookie muss folgendes Script immer vor dem eigentlichen Google Analytics-Script (siehe 2.) im Quelltext eingefügt werden. Dadurch wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.

<script>

var gaProperty = 'UA-XXXXXXX-X';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}

</script>

Weitere Informationen zur Einrichtung finden Sie hier.

4. Angepasster Datenschutzhinweis

Die Nutzung von Google Analytics ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.

Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein jedoch nicht mehr zur Verfügung.

Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt) kann man die bisherige Textvorlage von Google Analytics weiterhin verwenden und mit den von uns vorgeschlagenen Ergänzungen versehen. Diese Ergänzungen sind rot markiert:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Gerne kann unsere Formulierung unter Angabe der Quelle
www.datenschutzbeauftragter-info.de übernommen werden.

Englische Version des Datenschutzhinweises anzeigen »

This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). 
Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website (including your IP address) will be transmitted to and stored by Google on servers in the United States. 
In case of activation of the IP anonymization, Google will truncate/anonymize the last octet of the IP address for Member States of the European Union as well as for other parties to the Agreement on the European Economic Area. 
Only in exceptional cases, the full IP address is sent to and shortened by Google servers in the USA. 
On behalf of the website provider Google will use this information for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing other services relating to website activity and internet usage to the website provider. 
Google will not associate your IP address with any other data held by Google. 
You may refuse the use of cookies by selecting the appropriate settings on your browser. However, please note that if you do this, you may not be able to use the full functionality of this website. 
Furthermore you can prevent Google’s collection and use of data (cookies and IP address) by downloading and installing the browser plug-in available under https://tools.google.com/dlpage/gaoptout?hl=en-GB.

You can refuse the use of Google Analytics by clicking on the following link. An opt-out cookie will be set on the computer, which prevents the future collection of your data when visiting this website:
<a href=”javascript:gaOptout()”>Disable Google Analytics</a>

Further information concerning the terms and conditions of use and data privacy can be found at http://www.google.com/analytics/terms/gb.html or at https://www.google.de/intl/en_uk/policies/. 
Please note that on this website, Google Analytics code is supplemented by “gat._anonymizeIp();” to ensure an anonymized collection of IP addresses (so called IP-masking).

Sollten Sie Erweiterungen von Google Analytics verwenden, um zusätzliche Daten auszuwerten, müssen Sie auch hierauf hinweisen. Für die Auswertung von Daten aus Adwords oder dem DoubleClick-Cookie können Sie z.B. folgenden Hinweistext verwenden:

Wir nutzen Google Analytics zudem dazu, Daten aus AdWords und dem Double-Click-Cookie zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

5. Löschung von Altdaten

Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Properties (ehemals Profile) sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Fazit

Die Einigung der Aufsichtsbehörden und Google zeigt, dass auch Google daran interessiert ist, Rechtsunsicherheiten beim Einsatz von Google Analytics zu beseitigen und nun einen datenschutzkonformen Einsatz zu ermöglichen. Aktuell kann jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen. Hierzu halten wir Sie auch weiterhin auf dem Laufenden.

Stand: 28.04.2014

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

135 Kommentare zu diesem Beitrag

  1. Ich (nahezu 85 J.) nutze Analytics Google auschließlich, um eine Einschätzung der Häufigkeit des “Besuchs” meiner 7 Websites, ausschließlich die Psychobiologie von Hans Lungwitz behandelnd, zu erlangen – zu nichts anderem. Mir ist, bislang jedenfalls, eine mögliche Rechtswidrigkeit meines (auschließlich wissenschaftlich-humanitären Zwecken dienenden) Handelns so gut wie völlig unbekannt gewesen. An wen kann man sich wenden, um etwa mit meinen in Rede stehenden ‘Arbeiten’ unliebsame Schritte insbes. juristischer Art mir gegenüber zu vermeiden? Für Aufklärung hierüber wäre ich sehr dankbar. (H.Stelzenmüller)

    • Sehr geehrter Herr Stelzenmüller,

      vielen Dank für Ihren Kommentar. Der Düsseldorfer Kreis hat den Einsatz von Webanalysetools im November 2009 eingehend diskutiert und schließlich Eckpunkte zum datenschutzkonformen Einsatz solcher Programme verabschiedet.

      Bereits jetzt ist der Einsatz von Google Analytics in seiner ursprünglichen Fassung (wie z.B. bei Ihnen) als nicht datenschutzkonform einzustufen. Die von Ihnen verfolgten Zwecke lassen sich ohne weiteres auch bei Einsatz der im obigen Artikel beschriebenen Maßnahmen weiterhin erreichen. Insoweit können wir Ihnen nur raten:

      • den Google Analytics-Code entsprechend anzupassen,
      • auf das bestehende Widerspruchsrecht hinzuweisen und
      • den Datenschutzhinweis anzupassen bzw. einen solchen zu erstellen!

      Denn der Einsatz von Google Analytics ist laut Nutzungsbedingungen von Google Analytics zwingend im Impressum bzw. in der Datenschutzerklärung anzugeben!

      Aktuelle Diskussion:
      Um Google Analytics wird aktuell erneut viel diskutiert und es ist zu erwarten, dass der Düsseldorfer Kreis das Thema Google Analytics demnächst auf die Tagesordnung setzen wird. Dann ist auch mit einer eindeutigen Positionierung zum „angepassten“ Einsatz von Google Analytics zu rechnen…

  2. Was ist dann eigentlich mit anderen Dienstleistungen von Google? z.B. lässt sich Google Maps als IFrame auf der eigenen Website einsetzen, und hier werden sicherlich ebenfalls Statistiken erfasst, die die vollständige IP-Adresse erfassen. Oder Google AdSense, auch hier werden bestimmt Statistiken erfasst.

    Ich verstehe auch die Problematik nicht ganz: gilt das deutsche Datenschutzgesetz nur für in Deutschland gehostete Webseiten/Services? Was ist wenn ich meine deutsche Website/Service auf einem Server in den USA hoste ? Brauche ich dann unser Datenschutzgesetz nicht einhalten? Was für ein Spaß wird das bei einer in der Cloud gehosteten Website, wenn man als Betreiber noch nicht mal mehr weiß wo der Server eigentlich steht. Oder ist nur wichtig, welchen Firmensitz der Betreiber hat?

    • Die internationale Anwendbarkeit des Bundesdatenschutzgesetz (BDSG) ist in § 1 Abs. 5 BDSG geregelt.

      Beim Cloud Computing ist die zentrale Frage stets, welches nationale Datenschutzrecht überhaupt Anwendung findet.

      · Werden Daten durch eine verantwortliche Stelle mit Sitz in einem anderen Mitgliedstaat der EU oder des EWR in Deutschland erhoben, verarbeitet oder genutzt, ist das BDSG nicht anwendbar. Ausnahme: Hat das jeweilige Unternehmen jedoch eine Niederlassung in Deutschland, gilt das BDSG weiterhin. Interessant ist in diesem Zusammenhang auch die Frage, ob ein in Deutschland betriebenes Rechenzentrum bereits als Niederlassung zu werten ist, was wohl zu bejahen ist.

      · Für Unternehmen außerhalb der EU bzw. des EWR gilt das Territorialprinzip, so dass bei einer Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium das BDSG anwendbar bleibt.

      Der Einsatz von Clouds bringt eine Vielzahl von juristischen Herausforderungen mit sich, so dass es stets der Einzelfallprüfung durch einen Experten bedarf.

  3. Hallo,

    danke für den hilfreichen Artikel.

    Allerdings wäre es gut – auch wenn dies eher eine Frage der technischen Umsetzung ist – darauf hinzuweisen, dass die oben beschriebene Anonymisierungsmethode nur im aktuellen Asynchron-Snippet von Google Analytics funktioniert. Leute, die das alte Snippet ga.js auf ihrer Website einsetzen, müssen ihren Code hingegen wie folgt anpassen:


    var pageTracker = _gat._getTracker(“UA-xxxxxx-x”);
    pageTracker._gat._anonymizeIP();
    pageTracker._trackPageview();

    (Quelle: http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html )

    Ich teile dies hier nur mit, weil es nach meiner Erfahrung immer mal vorkommt, dass unbedarftere Webseitbetreiber das alte Snippet mit:

    _gaq.push(['_gat._anonymizeIp']);

    ergänzen. Und das funktioniert nicht! Sie wiegen sich dann im falschen Glauben, dass sie sich damit um den Datenschutz genügend gekümmert hätten, und Google Analytics speichert weiterhin die vollständige IP.

    Viele Grüße
    Felix

  4. Sehr geehrte Damen und Herren,

    die Diskussion verfolge ich nun schon seit einiger Zeit sporadisch. Das Problem erschließt sich mir aber an keiner Stelle.

    Zunächst einmal ist die IP nicht personenbezogen, sondern zugangsbezogen. Selbst wenn die Daten zur IP zur Verfügung stünden, könnte man aus der IP nicht zurückschließen, ob Kollege Michael vom Schreibtisch nebenan oder ich gerade über diesen Zugang eine Webseite besucht habe.

    Zweitens zeigt Google Analytics die IP-Adressen in keiner Auswertung an. D. h. über Analytics kann kein Webmaster dieser Welt IP-Adressen einsehen.

    Allerdings kann jeder Webmaster auf viel einfacherem Weg die IP-Adressen aus den Server-Logfiles seines Providers extrahieren. Alle uns bekannten Provider stellen derartige Logfiles zur Verfügung. Sollten solche Logfiles nicht mehr zur Verfügung stehen, kann sich jeder halbwegs begabter Webmaster die IP-Adressen über php in eine Datenbank schreiben, dies würde man dem Quellcode der Seite nicht einmal entnehmen können. Anders ausgedrückt: Wer die IP-Adressen haben will, kann sie sich besorgen, nur nicht über Analytics.

    Wenn die IPs nun bekannt sind, ist man noch keinen Schritt weiter. Die IP-Adressen gehören üblicherweise einem Serviceprovider, der diese automatisch und dynamisch, d. h. wechselnden Besitzern zuteilt. Wem eine bestimmte IP zu einem bestimmten Zeitpunkt zugeordnet war, bekommt man vom Provider ohne Staatsanwalt nicht mitgeteilt.

    Fazit:
    1. Die IP-Adressen sind auf verschiedenen Wegen mit extrem geringen Aufwand zu erhalten, über Google Analytics jedoch nicht.
    2. Über die IP-Adresse personenbezogene Daten zu erhalten ist extrem aufwändig und nur in Ausnahmefällen möglich.

    Also wo liegt eigentlich das Problem?

    Mit besten Grüßen,

    Klaus Blömeke

    • Sehr geehrter Herr Blömeke,

      ob IP-Adressen als personenbezogene Daten anzusehen sind, ist in Deutschland bislang nicht obergerichtlich entschieden. Inzwischen sind IP-Adressen jedoch in diversen europäischen Ländern als personenbezogene Daten anerkannt.

      Unserer Ansicht nach sind IP-Adressen als personenbezogene Daten anzusehen, da sie zumindest personenbeziehbar sind. Diese Auffassung teilen auch die Landesdatenschutzbehörden…

  5. Natürlich sind IP-Adressen personenbezogen. Aber nur unter Verwendung der temporären Zuordnung. Diese liegt wie Herr Blömeke schön darlegte beim Provider. Da man an diese Daten nur mit rechtlichen Schritten kommt, denke ich, hier sei ausreichende Datensicherheit gegeben. Im Prinzip sind dann doch auch alle KFZ-Kennzeichen nicht dem Datenschutz entsprechend und müssten anonymisiert werden. Wobei diese sich nicht täglich ändern und schon anhand des Fahrzeugtyps und der Kennung eine Zuordnung erleichtert würde. Schließlich korelliert das Kennzeichen häufig mit den ersten beiden Buchstaben des Namens sowie teilen des Geburtsdatums.

    Generell wird mir diese Abgrenzung noch nicht so ganz klar.

  6. “[...] nur bei vorheriger und ausdrücklicher Einwilligung der Betroffenen zulässig sei. Da dies in der Praxis nicht gewährleistet werden kann [...]”

    Das ist nicht richtig.

    Man kann sehr wohl vor der Nutzung der eigentlichen Website die Einwilligung einholen. Sollte diese Einwilligung verweigert werden, kann man z.B. per PHP den Google Code gar nicht erst integrieren. Somit sind auch Quereinstiege in die Website ohne Einwilligung zu regulieren.

    MfG,
    Chb

  7. Wie Sender schreibt, sind die IP-Daten in den allermeisten Fällen temporär vergeben. Als personenebezogen kann ich das nicht sehen, denn die IP wird einem Rechner, einem Modem oder einem Router zugeteilt, nicht einer Person. Welche Person hinter diesem Rechner sitzt ist nicht technisch nicht ermittelbar, so wie aus einem Auto-Kennzeichen nur der Halter, nicht jedoch der Fahrer zu ermitteln ist.

    Abgesehen davon identifizieren verschiedene Dienste Nutzer tatsächlich persönlich. Wenn ich bei FaceBook angemeldet bin, kann FaceBook mein Surfverhalten auf dritten Seiten verfolgen, wenn diese Social Plugins (z. B. der Like-Button) verwenden. Fraglich, ob FaceBook hier als Dritter gilt, schließlich habe ich mit FaceBook freiwillig eine Beziehung eingegangen. Ähnliches gilt für Firmen, die Partner-Programme betreiben (Amazon als populärstes Beispiel).

    Der Witz an der Sache ist, dass sich für die IP als personenbezogenes Datum kein Webmaster interessiert. Über die IP erfolgt bestenfalls eine regionale Zuordnung (“aus welcher Region kamen meine Besucher”). Das Tracking sämtlicher mir bekannten Dienste erfolgt immer über Coockies, nie über die IP (das gilt z. B. für Google Analytics, FaceBook etc.) Cookies sind aus sicht derer, die zählen wollen, der mit Abstand bessere Weg, da sie den Wechsel der IP überleben. Anhand solcher Cookies können z. B. auch Nutzer differenziert werden, die über die gleiche IP surfen. Dieses Verfahren ist
    1. mit Abstand personenbezogener
    2. für den zählenden Dienst mit Abstand zuverlässiger.

    Vor diesem Hintergrund ist aus meiner Sicht die Diskussion, ob IPs personenbezogen sind oder nicht, weltfremd und ein Nebenkriegsschauplatz. Jeglicher datenschutzrechtlich bedenkliche Unfug, den jemand über das Tracken von Besucher betreiben könnte, wird über Cookies und nicht über die IP betrieben. Nun kann man zwar argumentieren, dass jeder Nutzer selber die Coockies ausschalten könnte, das kommt aber in der Praxis so gut wie nicht vor. Die meisten Webseiten mit Login-Funktion (Onine-Banking, Webmailer, Facebook, Twitter, Onlineshops…) funktionieren mit deaktivierten Cookies nicht. Anders ausgedrückt: Natürlich kann jemand selbst entscheiden, ob er aus datenschutzrechtlichen Bedenken Cookies deaktivert, dann funktioniert eben sein Internet weitestgehend nicht mehr. Diese Argumentation ist gleich sinnvoll wie die Argumentation: Wer seine IP nicht preisgeben will, soll halt offline bleiben.

    Und nebenbei: Auch Ihre Webseite hat mich anhand von einem Cookie wiedererkannt, nicht anhand meiner IP

    Mit besten Grüßen,

    Klaus Blömeke

  8. Ich bin zwar auch der Meinung, dass das alles fürchterlich überzogen ist, aber die Argumentation von Herrn Blömeke greift sicher zu kurz. Es mag zwar sein, dass die meisten IP-Adressen temporär vergeben werden, aber man darf ja auch den Schutz der wenigen Fest-IPler nicht außer Acht lassen. Diese sind in der Tat oft leicht und direkt zuzuordnen und nur weil deren Zahl gering ist, sind sie ja nicht weniger Schutzwürdig.
    Auch der Facebook-Vergleich greift hier nicht, denn als Facebook-Nutzer hat man den Datenschutzrichtlinien von Facebook vorab explizit zugestimmt. Das ist in der Regel nicht der Fall, wenn ich irgendeinen Internet-Shop oder eine private Homepage besuche.

    Ich hoffe, dass es hier bald eine Klärung gibt, denn als Instrument zur Kontrolle der Treffsicherheit der Unternehmensseiten, die ich betreue war Analytics in der Vergangenheit unschätzbar.

  9. Pingback: t3n.de/socialnews
  10. Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  11. Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  12. [...] 5. Löschung von Altdaten (bestehende Google Analytics Profile)

    Es ist zu beachten, dass die Anpassungen nur neue Google Analytics Profile erfassen. Davor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen [...]

    Heißt das jetzt wirklich, dass ALLE Google Analytics Profile gelöscht und wieder neu erstellt werden müssen???
    Wenn ja, bis zu welchem Datum sind diese als “alt” einzustufen?

  13. Muß der Vertrag für Google Analytics auch von einem österreichischen Unternehmen unterschrieben werden, das in Österreich unter der top level domain “at.” eine website betreibt, welche aber von einem deutschen Unternehmen mit Sitz in München gehostet wird?

    danke im voraus

    • Hallo Markus825f,

      die Anwendbarkeit des BDSG richtet sich in Ihrem Fall nach § 1 Abs. 5 Satz 1 BDSG:

      “Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.”

      Ob in Ihrem Fall das BDSG anwendbar ist, ist genau zu prüfen. Nach Ihren knappen Ausführungen erscheint mir dies jedoch nicht der Fall zu sein. Vielmehr sind das österreichische DSG sowie die in A geltenden Regelungen zum Einsatz von Webseitenanalysetools zu beachten.

  14. Bitte bei der nächsten Runde mobile Browser berücksichtigen! Das Ziel sollte sein dass es hierfür keine Browserweiche geben muss und es auch rechtlich egal ist, auf welchem Gerät eine Seite aufgerufen wird. Hierzu am besten an die Fachgruppe Mobile des BVDW wenden.

    Außerdem wäre es interessant zu wissen, ob und in welchem Umfang der Text auch in englischen Versionen von deutschen Seiten in das Impressum mit rein muss.

    Vielen Dank,
    Annika Brinkmann

    • Hallo Frau Brinkmann,

      ich stimme Ihnen zu! Bei den inzwischen verfügbaren Deaktivierungs-Add-on muss auch eine Lösung für mobile Endgeräte erarbeitet werden.

      Sofern Webseiten auch auf Englisch angeboten werden, empfiehlt es sich Datenschutzerklärung sowie Impressum mit zu übersetzen.

  15. Hallo,
    in diesem Zusammenhang stellt sich mir die Frage, ob auch eine datenschutzkonforme Möglichkeit zur Nutzung von Google Maps besteht, das wie in obigem Beispiel IP-Adressen anonymisiert. Beispiel: Firma A bietet seinen Kunden in einer Webanwendung den Maps Kartendienst zur Nutzung von Routenberechnung zu Kunden der Firma an. Google könnte doch hier aufgrund der IP Adressen ein Bewegungsprofil erstellen.

  16. Hallo,

    wie funktioniert das mit dem Newsletterpogramm Mailchimp. Mailchimp nutzt ja Google Analytics und ich kann auch sehen wer was anklickt.

    Wie könnte ich das anonymisieren? Muss ich da einen Hinweis in mein Impressum schreiben?

    Vielen Dank

    Andreas

    • So pauschal lässt sich das nicht beantworten. Entscheidend ist zunächst, was von Mailchimp an Informationen erfasst wird. Entscheidend ist hier die Frage des Personenbezugs bzw. der Personenbeziehbarkeit.

      Hier lohnt sich sicherlich eine Anfrage bei Mailchimp.

  17. Sehr gute Darstellung, was man zu tun hat.

    Unter 4. muss der Text allerdings korrigiert werden.

    Derzeit:

    “Hierzu ist in den eine Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“) vor. “

  18. was mich viel mehr interessiert ist, warum google nicht von vorne herein den tracking code so umstellt, damit es passt. sind doch eigentlich zusätzliche steine, die man hier in den weg gelegt bekommt.

  19. Hallo,

    sind meine Daten beim Besuch der Webseite nicht bereits bei Google Analytics vorhanden? Wenn ich das richtig verstanden habe, hat ein user die Möglichkeit (zumindest im Falle, dass er einen der unterstützten Browser nutzt) die Möglichkeit, seine Daten KÜNFTIG nicht mehr weiterzugeben. Aber was ist mit den alten Daten? Insbesondere die Daten, die durch den Aufruf des Datenschutzhinweises aufgezeichnet werden?

    Grüße R.W.

    • Hallo R.W.,
      leider ist uns nicht möglich auf diese Frage zu antworten, da die Datenschutzerklärung von Google uns darüber keine Informationen gibt. Grundsätzlich müssen die Altdaten gelöscht werden, ob dies aber auch gemacht wird, kann uns nur die Google sagen.

  20. Hallo, folgendes Problem; wir haben uns dafür entschieden kein GA mehr auf unserer Seite zu nutzen und sind auf einen anderen Tracker mit Opt Out umgestiegen. Alles schön in die DS-Erklärung formuliert. Rechtsanwalt sagt alles ist i.O.
    Nun nutzen wir ein Plugin von Vimeo und schon haben wir GA wieder auf der Seite, bzw. wird von Ghostery wieder angezeigt. Wie kann man das Tracking über GA unterbinden? Wir sind ja nicht derjenige, der die Daten trackt.

  21. Hallo, vielen Dank für den tollen Bericht. Wir haben einen Brief von der Aufsichtsbehörde erhalten und sollen nun das Google Profil löschen, was doch einfach nicht sein kann. Es muss doch eine Möglichkeit geben die Daten bei Google nachträglich anonymisieren zu lassen. Datenschutz ist wichtig, doch anstatt alle Webseitenbetreiber zu “bestrafen” sollten sich die zuständigen Herren und Damen lieber mit Google in Verbindung setzen, dass dort an einer serverseitigen Lösung gearbeitet wird. Wenn das erfassen von IP Adressen (in voller Länge) nicht rechtmäßig ist, muss das Anbieterseitig gelöst werden und nicht dem Webseitenbetreiber auferlegt werden. Wie schwer wird es für Google schon sein, die letzten 3 Ziffern aus der IP zu löschen?! Von dem ganzen Papierkram und Briefen die unsere Behörden da wieder verschicken ganz zu schweigen. Absolute Verschwendung, zwar mit dem richtigen Ziel und trotzdem in die verkehrte Richtung!
    Ich für meinen Teil werde in keinem Fall das Profil löschen, auch wenn Daten “zu unrecht” erfasst wurden. Ich wüsste noch nichtmal ob man überhaupt IP Adressen bei Google sehen kann oder ob die nur intern Verarbeitet werden um die geografische Zuordnung zu erledigen.

  22. Hallo,
    wo liegt denn jetzt der Nutzen von Google Analytics, wenn eh alles diese AddOn installieren?
    Und lustig ist ja auch, das bis zur Installation trotzdem irgendwelche Daten gespeichert werden.

    Und was ist mit meiner Datenbank? In dieser speicher ich natürlich die IP, den Hoster und einen Zeitstempel, allein schon zu meiner Absicherung.

    Beste Grüße.
    Pseudo

    • Zunächst einmal werden nicht ALLE gleich das Add-On installieren, wahrscheinlich aus Bequemlichkeitsgründen <10% der Nutzer.
      Ja, bis zur Einführung von “IP-Anonymize” wird natürlich die vollständige IP-Adresse weiterhin an Google übertragen, nur wird man allein damit in den wenigsten Fällen Rückschlüsse auf eine bestimmte Person ziehen können – hinter einer IP-Adresse verbirgt sich i.d.R. ein Unternehmen wie ISPs oder aber Firmen, die sich eine eigene IP reserviert haben (dann braucht es schon deren Log-Files, um auf eine bestimmte Person zu kommen). Anonymizer wie TOR einmal komplett ausgenommen.
      So lange es noch keine rechtverbindlichen Aussagen zur IP-Speicherung und Verwendung für Marketingzwecke gibt, hast Du kein Problem. Willst Du aber erst gar nicht in Probleme laufen, machst Du es wie hier beschrieben. Gruß

  23. Hallo zusammen,

    was hat es mit dem Vertrag aus Punkt 1 auf sich, muss dieser zwingend ausgefüllt und an Google gemailt werden?

    Vielen Dank für Eure Info.

    Gruß

    • Ein solcher Vertrag zur Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist nach Ansicht der deutschen Aufsichtsbehörden zwingend notwendig, wenn der Betreiber einer Webseite Google Analytics verwendet. Andernfalls kann ein Bußgeld nach § 43 Absatz 1 Nr. 2b BDSG drohen.

      Die Bundesländer Bayern und Nordrhein-Westfalen überprüfen gerade verstärkt das Vorliegen solcher Verträge bei Webseiten-Betreibern, die in ihre Zuständigkeit fallen. Dies ging in letzter Zeit viel durch die Medien

      Wie jeder Vertrag, der der Schriftform bedarf, ist auch dieser von beiden Vertragspartnern – hier Google als Auftragnehmer und dem Webseiten-Betreiber als Auftraggeber – zu unterschreiben. Wenn Sie den Link zum Mustervertrag in unserem Artikel öffnen, steht auf der ersten Seite auch nochmal detailliert, wie das Dokument auszufüllen und abzusenden ist.

  24. Vielen Dank für die übersichtliche Auflistung der Informationen.

    Wie verhält es sich denn, wenn man einen mehrsprachigen Auftritt für eine Webseite hat? Ich meine damit z.B. eine Seite, die eine deutsche und eine spanische Version anbietet und für beide zwei unterschiedliche Analytics-Codes verwendet. Muss man dann auch für die spanische Version die Anpassungen vornehmen, weil Sitz des Inhabers in Deutschland ist?

    Gruß

    • Im Datenschutz gilt das Sitzprinzip, so dass das Recht des Landes anwendbar ist, in dem die datenschutzrechtlich verantwortliche Stelle ihren Sitz hat. In Ihrem Beispiel unterfallen Sie demnach der deutschen Datenschutzaufsicht und sollten sich daher an die Vorgaben der jeweiligen Landesaufsichtsbehörden halten.

  25. Tolle Seite, wird alles schön erklärt, vielen Dank!

    Ich finde aber das was der Datenschutz von uns Webmastern verlangt als eine Erbsenzählerei… Ich habe noch nie irgendeinen Nutzen aus den IPs der Leute gehabt und soll nun die Trackingcodes verändern damit kein Schreiben eines Anwalts bei mir im Kasten landet…

    Nein, Danke. Ich habe vorgesorgt. Offshore Server im Ausland, anonyme IPs, kein Impressum und volles Programm bei Analytics. :)

  26. Da zeigt mal die deutsche / EU Gesetzgebung seine beste Seite. Relevanz in der Praxis und in der Gesamtheit im Internet zwecks Datenschutz = 0! Aufwand für eine kleine Website = 100! Da hat Jemand wieder ein super Verhältnis gefunden. Naja, bei den Waisen ist noch nicht ganz angekommen, was Internet ist und wie es funktioniert. Aber in 100 Jahren vielleicht.

  27. Der im Bericht (oben) genannte Link für den Download (…Einen mit den Aufsichtsbehörden abgestimmten Entwurf können Sie hier runterladen…) ist offenbar nicht mehr gültig! Via Google Suche findet man unter http://www.google.com/analytics/terms/de.html bzw. unter http://www.google.com/analytics/terms/de.pdf einen solchen Vertrag. Aber ist diese Fassung verändert bzw. in dieser Fassung mit den Aufsichtsbehörden abgestimmt?

  28. Unter Ziffer 4 wird wie folgt ausgeführt:

    “Hierzu ist in den Google Analytics Bedingungen eine Formulierung vorgegeben (vgl. Ziffer 8.1 der „Google Analytics Bedingungen“).”

    Diese Formulierung wird in denen über den Link abrufbaren Google Analytics Bedingungen nicht mehr angegeben.

  29. Sehr geehrte Datenschützer,

    warum machen wir die Sache in Deutschland eigentlich immer so kompliziert und legen die ganze Verantwortung für die Rechtmäßigkeit von Analytics in die Hände des Endverbrauchers.

    Es wäre doch so einfach, wenn man Goggle zwingen würde, Analytics in der Grundversion so zur Verfügung zu stellen, dass der unbedarfte Websitebetreiber nicht an jeder Ecke über Fallstricke stolpern kann.
    All das, was hier empfohlen wird, was ich in meine private Website einbauen soll, könnte doch in Analytics schon so konfiguriert sein. Mich interessiert weder der Name des Besuchers, noch seine IP-Adresse. Mich interessiert nur, welcher Blog wie oft aufgerufen wird, weil ich damit sehen will, welches Thema meine Leser interessiert.

    Wer also Analytics nutzen will um persönliche Daten abzufischen, der könnte dann ja die Möglichkeit bekommen, die entsprechenden Gadgets (oder wie die Dinger heißen) in die Seite einzubauen. Dann hat er damit auch bewießen, dass er die Fachkenntnis dazu hat und trägt auch die Verantwortung dafür.

    Auf diese Weise wäre auch gleich der Nährboden für dubiose Abmahnanwälte entzogen, denn der private Website-Betreiber könnte gar nichts falsch machen.
    Aber leider ist es auch hier wie im richtigen Leben, der unbedarfte Endverbraucher ist am Ende der Dumme. Wer also nicht die entsprechenden Fachkenntnisse hat (und wer hat die schon) dem bleibt nichts anderes übrig, als einen Spezialisten zu engagieren und viel Geld für nichts auszugeben, oder in Unwissenheit auf die nächste Abmahnung zu warten.

    Mit freundlichen Grüßen

    Klaus Burkhard

  30. Nun jetzt bin ich verwwirt, Das alte PDF ist nicht mehr abrufbar, ohne das Google da ne Umleitung etc einrichtet oder sich äußert, Es schwirren neue aber abgeänderte Pdfs umher. Haben die nun noch Bestand  oder nicht?

  31. Ich frage mich immer, ob die Leute die solche Gesetze entwerfen überhaupt eine Ahnung haben, wie das Internet funktioniert. Sobald ich ins Internet gehe, muss meine IP auch gespeichert werden. Einfach mal die Architektur von einem Server anschauen oder von einem kleinen Netzwerk und im Internet ist dies in einem großen Rahmen vorhanden. 

    Ich wäre für folgenden Vorschlag: Wenn man ein Auto kauft, muss man mit dem Bundesverkehrsministerium einen Vertrag aufsetzen, dass man sich über die tödlichen Folgen im klaren ist, welche mit dem Kauf existieren. Immerhin sind die schlechten Straßen ja nicht ungefährlich. Zusätzlich sollen Schilder aufgestellt werden, sobald ich in eine Straße fahre. Ideal wäre ein iPad, wo man schriftlich bestätigt, dass man vor dem befahren der öffentlichen Straße aufgeklärt wurde, dass die Straße eventuell gefährlich ist und NICHT erst, wenn ich auf der Straße bin. Eine Art Double-Opt-In

  32. Sehr geehrte Datenschutzbeauftragte,

    gibt es eine EU Richtlinie (/Gesetzesgrundlage?), die die Verpflichtung der Angabe bei Verwendung von Google Analytics abdeckt? Ich habe im Internet bereits über die sogenannte “Cookie-Richtlinie” gelesen, ich brauche jedoch die genaue Angabe hierzu.

    Wie muss generell das Impressum einer EU-Webiste (z.B. Website eines EU-Projekts) aussehen?

    Vielen Dank,
    ihr EU-Projektmanager

    • Zwingende Verpflichtungen ergeben sich aus Richtlinien grundsätzlich nicht. Sie bedürfen erst der Umsetzung in nationales Recht. Es sind daher die jeweiligen nationalen Vorgaben zu beachten.

      Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische
      Kommunikation (Richtlinie 2002/58/EG) sieht die Information über eingesetzte Analysetools vor. Eine Stellungnahme der Artikel 29 Gruppe ist unter hier abrufbar.

      Angaben zum Inhalt eines Impressums enthät u.a. Artikel 5 der E-Commerce Richtlinie (Richtlinie 2000/31/EG).

  33. Wie setzt man in Analytics das Widerspruchsrecht des TMG 13 auf mobilen Endgeräten um? Das Google Plugin ist z.B. nicht für iOS Geräte verfügbar. Ist das nicht ein Verstoß gegen das TMG?

    • Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar hat im Auftrag für den Düsseldorfer Kreis den Einsatz von Google Analytics unter den oben beschriebenen Voraussetzungen für beanstandungsfrei erklärt.

      Ihm war zu diesem Zeitpunkt bereits die fehlende Opt-Out Möglichkeit für Smartphone-Nutzer bekannt. Der Handlungsbedarf wurde somit im September 2011 gesehen. Passiert ist leider bis heute nichts. Der Nutzer eines Smartphones hat de facto keine Möglichkeit sein Widerspruchsrecht nach § 13 TMG geltend zu machen.

  34. Sehr geehrter Dr. Datenschutz,
    ich habe bereits einen Google Analytics Account und möchte diesen jetzt auf einen datenschutzkonformen Account umstellen. Ihren Artikel und Ihre Zusatzinformationen finde ich klasse. Vielen Dank! 
    Was ist der beste Weg um den alten Account zu löschen? Einen komplett neuen Account mit neuer Emailadresse bei Google anlegen und den alten löschen? Oder gibt es eine Möglichkeit, die Altdaten innerhalb des bestehenden Accounts zu löschen?
    Danke und herzliche Grüße
    Ms. H.

  35. “Es ist richtig, dass Sie die bereits erhobenen Daten löschen müssen, denn diese sind unrechtmäßig von Ihnen erhoben worden.”
    Vollkommen Sinnfrei – oder was ist die Begründung hierfür?
    Deutsche Provider speichern die IP Adressen ihrer Kunden von 7 Tagen bis zu 6 Monaten. Danach werden sie gelöscht.
    Folglich ist danach keine Zuordnung von IP zu Anschlußnehmer mehr möglich.
    Ist jetzt der Schutz der Bevölkerung oder eine kopflose Schnellreaktion die Ursache für diesen Schildbürgerstreich?

    • Bei der ursprünglichen Version von Google Analytics wurde die komplette IP-Adressen erhoben, gespeichert und an Google übermittelt. Diese Daten werden bei Google frühestens nach neun Monaten gelöscht. Ob es sich bei IP-Adressen um personenbezogene Daten handelt, ist umstritten. Lesen Sie hierzu unseren Beitrag IP-Adressen – personenbezogene Daten.
      Die Landesdatenschutzbehörden vertreten die Ansicht, dass IP-Adressen personenbezogene Daten sind. Folglich ist für die Verwendung eine gesetzliche Erlaubnis oder eine Einwilligung notwendig, die aber für Altdaten gerade nicht vorhanden sind. Die Erhebung erfolgte damit unrechtmäßig, daher sind die Daten zu löschen.

      Zu beachten ist im Fall Google Analytics, dass Google anhand von Cookie-Daten die IP-Adressen bestimmten Nutzern zuordnen kann. Noch leichter ist die Identifikation eines eingeloggten Google-Dienst-Nutzers. Google behält sich nämlich die Möglichkeit der Zusammenführung der Daten aus den verschieden Diensten in ihrer Datenschutzerklärung vor. Die Möglichkeit des Missbrauchs ist somit hoch.

  36. Wo finde ich den die Datenschutzerklärung für Google Analytics auf Spanisch? Es geht um eine Seite, die deutsche, englische und spanische Inhalte anbietet – die englische Übersetzung habe ich bereits gefunden, aber leider keine spanische.

    Kann mir da jemand weiterhelfen? Oder reicht eine deutsche Datenschutzerklärung aus, wenn es an sich eine deutsche Webseite ist?

  37. Dr. Datenschutz
    Die im Artikel oben angegebenen Tracking-Codes stimmen strukturell und inhaltlich nicht mehr mit dem von Analytics ausgegebenen Tracking-Code meiner Analytics-Neuanmeldung überein. Wäre es für euch eine Option, den aktuellen Analytics-Code ergänzt um die IP-Kürzung oben zusätzlich einzubauen? Danke:-)

  38. Hallo Herr Dr. Datenschutz,
    ich habe mir den Vertrag von Google angesehen. Dort wird auch auf Pflichten des Vertragspartners, also Webseitenbetreibers, hingewiesen. z.B. Absatz

    “3. Ihre Rechte und Pflichten und Umfang der Weisungsbefugnisse3.1 Sie sind für die Bewertung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten sowie für den Schutz der Rechte der betroffenen Person verantwortlich.”

    Daher kam mir die Frage, ob ich mich durch Abschluss des Vertrages evtl. schlechter stelle als vorher und eher in die Haftung genommen werden kann als ohne Vertrag. Können Sie dazu etwas sagen?

    Danke schon mal
    Ms. H.

    • Beim Einsatz von Google Analytics werden von den Besuchern Ihrer Webseite personenbezogene Daten erhoben und an Google weitergeleitet. Sie sind die verantwortliche Stelle für diese Daten. Eine Weiterleitung der personenbezogenen Daten an Google ist nur mit einer Einwilligung des Betroffenen oder aufgrund einer Erlaubnisnorm gestattet (weitere Infos).

      Mit Abschluss des Vertrages zur Auftragsdatenverarbeitung ist die Weiterleitung der Daten an Google nach § 11 BDSG erlaubt. Zwar bleiben Sie bei der Auftragsdatenverarbeitung nach der Übermittlung der Daten für diese verantwortlich und haften somit auch für mögliche Verstöße von Google, aber nur so ist die Weiterleitung der Daten an Google datenschutzkonform.

  39. Sie schreiben unter den zu beachtenden Punkten:

    3. Widerspruchsrecht der Betroffenen

    WO, BITTE, KANN ICH HIER AUF IHRER WEBSEITE WIDERSPRECHEN?
    Laut Ghostery nutzt die Seite “http://www.datenschutzbeauftragter-info.de/ ” Google Analytics
    Ich will in keienr Form durch Google getrackt werden und die NSA mit  meinen Daten beglücken.

    Besten Dank für Ihre Auskunft, gerne auch per Mail

    • Sie können die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.. Darauf haben wir Sie auch in unseren Datenschutzbestimmungen hingewiesen (http://www.datenschutzbeauftragter-info.de/datenschutzerklaerung/).

      • Dr. Datenschutz

        Sie schreiben ich muss ein ” Widerspruchsrecht der Betroffenen” haben. Dies beinhaltet NICHT, dass ich zusätzliche Software installieren. Ich will widersprechen und nicht verhindern *gg*. Kleiner aber sehr wichtiger semantischer Unterschied. Und Widersprechen bzw auch Zustimmen kann ich nur , wenn Sie beim Besuch Ihrer Webseite fragen, ob ich mit Ihrer Datensammelei einverstanden bin.
        Ganz dumm gesagte, könnten Sie sonst auch von mir verlangen, dass ich erst gar nicht Ihre Seite besuche, im Extremfall sogar meinen Internetzugang lösche.
        Zusätzliche Software birgt nur zusätzliche Risiken. Wer garantiert mir denn, dass das von Ihnen angeführte google plugin auch so funktioniert, wie es beschrieben ist und nicht doch noch Daten an die NSA und andere leitet, das alles natürlich von einem US Geheimgericht kontrolliert, dem Non US Residents völlig egal sind?
        Ich bin der Meinung auf einer Seite wie http://www.datenschutzbeauftragter-info.de sollte auf jegliche Verknüpfung zu irgendwelchen Zusatzdiensten verzichtet werden, sonst wird hier der Datenschutz konterkarriert!!

        ***********
        Hiermit widerspreche ich jeder Art von elektronischer Datensamelei auf und durch Ihre Internetrepräsentanz! Unabhängig davon, ob diese Sammelei durch Ihre Seite oder durch mit Ihnen verknüpfte Seiten wie zB Google Analytics und ggf. andere erfolgt!
        Ich untersage Ihnen und Ihren Helfern, meine Datenspeicher zum Speichern von Verfolgungscookies aller Art zu nutzen.
        ***********

        Beste Grüße
        peter müller

  40. Hallo,
     
    ich habe da mal eine Frage zum datenschutzkonformen Einsatz von Google Analytics.  
    Was ist, wenn der Vertrag mit Google für das Google Analytics Konto schon besteht und man nachträglich ein weiteres Profil einrichtet für eine Website? Im Impressum steht nicht der gleiche Seiteninhaber wie bei dem ersten Profil.
    Muss man erneut einen Vertrag aufsetzen oder gilt der bestehende auch für das neue Profil?
     
    Gruß
    Thorsten

    • Hallo Thorsten,

      Ja, es muss ein neuer Vertrag gemäß § 11 BDSG zwischen dem Auftraggeber und dem Auftragnehmer (Google) abgeschlossen werden. Der Auftraggeber ist die verantwortliche Stelle, die sich aus dem Impressum einer Webseite ergibt.

  41. Hallo,
    vielen Dank für den super Artikel.
    Frage: Wie verhält es sich, wenn ich ( als deutsches Unternehmen, Sitz in Deutschland ) eine *.de Domain benutze, diese jedoch weitergeleitet wird und die eigentliche Website bei einem *.com Dienst betrieben wird ( z.B. tumblr )?

  42. Ich verstehe hier leider nur Bahnhof. Und dieses ganze Datenschutzthema macht mir langsam ernsthafte Sorgen. Kann man sich denn überhaupt nicht irgendwie anonym im Internet aufhalten? Ich habe langsam das Gefühl wirklich gläsern zu werden.

  43. Was nutzt mir ein Hinweis auf Google Analytics im Impressum?
    So ein Hinweis sollte und muss auf eine Startseite und mit einem Klick bestätigt werden – und nicht erst nachdem ich mich schon auf der Seite durchgeklickt habe.

    • Ein Hinweis auf der Hauptseite einer Homepage wäre sicherlich nicht verkehrt. Ist vorliegend allerdings nicht erforderlich.

      Das hat zum einen damit zu tun, dass bei einer, wie im Blog-Artikel beschriebenen, rechtssicheren Nutzung eine Verkürzung der IP-Adresse zwingend erforderlich ist und der Betroffene der Nutzung von Google Analytics widersprechen kann.

      Zum anderen ist vom Gesetz lediglich vorgeschrieben, dass wichtige Informationspflichten – und hierzu gehört auch der Hinweis auf die Verwendung von Google Analytics und Datenschutz – für den Leser leicht verständlich und schnell auffindbar zu erfüllen sind. Für die Datenschutzerklärung wird dies explizit in § 13 Abs. 1 TMG geregelt.

      Die Erfüllung dieser allgemeinen Informationspflichten hat aus Gründen der leichten Auffindbarkeit im Bereich Impressum zu erfolgen. Das hat vor allem damit zu tun, dass die Rechtsprechung bereits vor einigen Jahren entschieden hat, dass das Impressum von jeder Seite aus mit maximal einem Klick (1-Klick-Rechtsprechung) erreichbar zu sein hat und der Leser aufgrund der heute gelebten Praxis hier damit rechnet, dass wichtige Informationen auch zum Datenschutz vorgehalten werden.

  44. Hallo,

    wie funktioniert das ganze nun mit “Google Tag Manager”? Die Extra-Zeile mit “AnonymizeIP” wird im Quellcode der Website nicht mehr angezeigt. In Google Tag Manager kann ich aber auswählen, dass ich die IP-Adressen anonymiseren möchte. Irgendwie läuft das ganz im Hintergrund ab… Hat jemand bereits Erfahrungen damit gemacht?

    Vielen Dank!

  45. Hallo, gilt das Theater um Google Analytics auch in 2013? Wie sieht es mit anderen Trackern aus wie z.B. Statcounter? Der ist zwar nicht so mächtig wie Analytics aber vielleicht gibt es bei anderen Trackern auch Probleme.
    Die Browser heutzutage bieten doch dieses “Do not Track”, wer Paranoia hat, der kann sich ja selber gegen das Tracken schützen. Oder? :)

  46. Mit der Einführung der neuen Verwaltungsoberfläche von Google Analytics haben sich bestimmte Bezeichnungen geändert: “Profile” heißen nun “Datenansichten”. Damit ergibt sich für jedes Analytics-Konto folgende Hierarchie: Konto > Property > Datenansicht.

    Was muss ich denn nun tun, um meine Altdaten (datenschutzkonform) zu löschen? Genügt eine Löschung der bestehenden Datenansicht? Oder muss ich die übergeordnete Property oder gar das ganze Konto löschen?

    • Vielen Dank für den Hinweis auf die neue Verwaltungsoberfläche. In der Datenansicht werden die Tracking-Rohdaten ausgewertet. Löschen Sie eine Datenansicht, sind die Tracking-Rohdaten (inkl. IP-Adresse) allerdings noch vorhanden. Es sollte daher eine Löschung der “Property” erfolgen. Sie müssen dann eine neue Property erstellen und den neuen Tracking-Code in den Quelltext Ihrer Webseite einbauen.

  47. Hallo zusammen

    Vielen herzlichen Dank für die Veröffentlichung, dieses hochinteressanten Artikels.

    Ich habe vor kurzen gelesen, daß aktuell ein datenschutzkonformer Betrieb von Google Analytics gar nicht mehr möglich sein soll, weil die Browser von Smartphones das Deakivierungs-Ad-On von Google NICHT unterstützen würden.

    Damit sei nicht mehr gewährleistet, daß sich mobile Nutzer “abmelden” können und damit der gesamte Betrieb von Google Analytics nicht datenschutzkonform.

    Ist das wirklich so?

    Falls ja, was kann man unternehmen um dem vorzubeugen?

    Ich danke und wünsche einen schönen Feierabend.

    Beste Grüße
    Franz

      • Vielen Dank für die Antwort.

        Ich habe mir die Seite

        http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html

        genauer angesehen und bin unten auf ein .pdf mit dem Titel

        GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_01.pdf

        gestossen.

        Dieses .pdf ist NICHT von 2011 wie der Rest der Seite, sondern vom März 2013 – also eine aktualisierte Version. Das Datum der aktualisierten Version liegt zeitlich nach Ihrer Antwort vom 6. Februar 2013.

        In diesem .pdf erwähnt der Hamburger Datenschutzbeauftragte in Punkt 3 eine spezielle Wiederspruchslösung für die Browser von Smartphones, die in den Analytics Code implementiert werden muß.

        Das sehe und höre ich zum ersten Mal. Wir haben Google Analytics immer exakt so eingebaut, wie Sie es auf Ihrer Seite beschreiben.

        Glauben Sie, daß man die Codes an die vom Hamburger Datenschutzbeauftragten vorgegebene Version anpassen muß, um vor Abmahnungen geschützt zu sein?

        Ich danke Ihnen herzlich und wünsche einen schönen Abend.

        Beste Grüße
        Franz

      • Vielen Dank für den Hinweis. Es ist tatsächlich notwendig die Datenschutzhinweise und den Quellcode entsprechend der Vorgaben des Hamburger Datenschutzbeauftragten anzupassen.

        Unsere Recherche hat ergeben, dass mittlerweile der Großteil der Datenschutzbehörden entsprechende Klauseln übernommen haben. Es ist sehr verwunderlich, dass dieses nicht weiter publik gemacht worden ist. Wir werden unseren Artikel entsprechend überarbeiten.

  48. Hallo,

    es hat sich bzgl. des OptOut-JavaScripts ein Tippfehler eingeschlichen: Die fragliche Funktion lautet gaOptout(). Nun steht aber leider ausgerechnet im Link zur Auslösung des Scripts steht gaOutput().

    Vermutlich eine Art Buchstabendreher, der aber – wenn ich es richtig sehe – gravierende Folgen hat, indem er zu KEINER Ausführung des fraglichen JavaScripts führt.

  49. Über das Script mit meinen Daten von Google wird keine Anonymisierung der IP-Adressen bei http://www.seitenreport.de festgestellt :-(
    Wo liegt der Fehler ??
    ——–

    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);

    ga(‘create’, ‘UA-XXXXXXX-X’, ‘website.de’);
    ga(‘set’, ‘anonymizeIp‘, true);
    ga(‘send’, ‘pageview’);

    ——–

  50. Danke für die ausführliche Info.
    Das mit den “Altlasten” in einem Google – Profil ist nicht so schön, aber wer kontrolliert das denn? Meiner Meinung nach geht das technisch kaum, jedenfalls nicht ohne Google’s MIthilfe, oder?

    Danke und viele Grüße

  51. Habe die Info über die neuen “Pflichten” erst gestern und eher zufällig entdeckt. Vielen Dank für den ausführlichen Lösungsansatz.
    Dennoch, so macht Analytics nicht mehr wirklich Spaß! Außerdem bin ich gespannt, was uns als nächstes erwartet.

  52. Hallo, leider wurde ich auf etwas neues aufmerksam gemacht: siehe hier

    D.h. man muss den User nun bevor er auf die Seite kommt fragen ob er damit einverstanden ist, das Google Analytics genutzt wird?

    • Der Beschluss vom 11./12.09.2013 des Düsseldorfer Kreises, auf den Sie verweisen, ist bei Google Analytics nicht relevant, da der Vertrag zur Auftragsdatenverarbeitung mit Google Ireland Ltd geschlossen wird und nicht mit Google Inc. Da Irland zur EU gehört, wird ein angemessenes Datenschutzniveau angenommen.

      Die zweistufige Prüfung ist keine Neuigkeit, sondern geltendes Recht für Datentransfers in sog. unsichere Drittstaaten vgl. §§ 4b, 4c BDSG.

  53. Ihr solltet vielleicht die Codes bei Schritt 2 anpassen. Wenn man nur die Zeile

    ga(‘set’, ‘anonymizeIp‘, true);

    kopiert und in seinen Code einfügt, werden keine Daten erfasst. Stattdessen muss mal wohl diese Zeichen: ‘

    durch die im Analytics-Code normalerweise verwendeten: ‘

    ersetzen.

  54. Also erstmal vielen Dank für die ausführliche Anleitung. Wir haben eine neue Webseite in WordPress gestaltet. Wir verwenden das Plugin “Google Analytics for WordPress”

    Nun bereitet uns der Teil mit dem “Opt-Out-Cookies” Kopfzerbrechen. Wo müssen wir diesen Code einfügen? Den Teil mit dem anonymisieren der IP übernimmt ja unser Plugin :-)

    Bin für jede Hilfe Dankbar.

    LG
    Petra

    • Das Opt-Out-Cookie-Script muss immer vor dem eigentlichen Google Analytics-Script im Quelltext eingefügt werden. Wir kennen kein Plugin, das diese Aufgabe übernimmt und es deshalb per Hand eingefügt. (z.B. in die header.php)

  55. Hallo Zusammen, 
    aufgrund der irgendwann kommenden Umstellung des Tracking Codes auf Universal Analytics bleibt die Frage offen – finde ich – inwiefern der Datenverarbeitungsvertrag mit Google angepasst werden muss. Die Vorlage beinhaltet noch nicht die neue Tracking Methode. Hat irgendjemand eine aktuelle Vorlage bereits gefunden bzw. wie muss dieser angepasst werden?  

    Freue mich auf eure Hilfe und Feedback. 

  56. Ich habe eine Frage zum unter 5. in der “Anlage 1 – Regelungen zur Auftragsdatenverarbeitung” im Google-Vertrag genannten “von einem unabhängigen Wirtschaftsprüfer erstellten Prüfbericht”.
    Wo kann ich diesen herbekommen? Also schon vor Vertragsunterzeichnung.
    Für eine Antwort wäre ich sehr dankbar.

  57. Weiß jemand, wo man diesen “von einem unabhängigen Wirtschaftsprüfer erstellten Prüfbericht” herbekommen kann? (siehe meine Frage zuvor). Es wäre wichtig für uns. Google selbst kann keine Auskunft dazu geben (zumindest die Stellen, die ich erreicht habe, nicht). 

    • Bin auch schon lange auf der Suche nach dem Prüfbericht. Bei Google wirst du sicher kein Glück haben. Da wäre ein weiteres Nachfragen glaub ich sinnlos…

      • Der von Ihnen verlinkte Disclaimer unterscheidet sich in vielen Formulierungen von unserer Version.

        Google hat den Disclaimer veröffentlicht, damit der Text von Nutzern verwendet wird. Dasselbe gilt für unseren Disclaimer. Urheberrechtliche Ansprüche werden weder von Google noch von uns erhoben.

        Der Link auf unser Angebot ist eher als Dankeschön für den gesamten Artikel anzusehen. Wir haben viel Zeit investiert und waren z.B. die Ersten, die auf das Opt-Out-Cookie-Script hingewiesen haben. Andere Anleitungen haben das bis heute nicht integriert.

  58. Hallo,

    muss der schriftliche Vertrag mit Google für jedes Analytics Konto einzeln geschlossen werden oder kann ich all meine Analytics Nummern aufführen?

    • Leider können wir im Rahmen dieses Blogs nicht auf alle speziellen technischen Voraussetzungen eingehen. Grundsätzlich ist ein Vertrag mit Google ausreichend, da dieser unternehmensbezogen geschlossen wird. Dabei ist die Angabe des GA Kontos sogar optional.

  59. Hallo,

    zu dem Opt-Out-Cookie habe ich eine Frage. Im Google Developers-Artikel steht, dass der im Widerspruchsrecht-Teil abgebildete Code (s. Teil 3 des Textes) nur eine einzige GA-Property unterstützt.

    Im Google-Artikel steht:

    “Note: This example code assumes that you are using a single web property on your site and are only using a single domain. It only provides an opt-out function which is based on a long-term cookie. If you require opt-in functionality or if your site uses multiple web properties or domains, you will need to modify this example code, write your own opt-out code, or use other opt-out tools.”

    Wie soll man den Code anpassen, wenn man mit mehreren Properties in GA arbeitet? Kann ich einfach weitere Properties (UA-XXXXXXX-X) zu dem Code hinzufügen?

    Gruß, Fernanda

    • Allerdings muss je nach Aufbau des Webauftritts, ggf. der Opt-out-Cookie-Code an mehreren Stellen eingebaut werden. Ob eine Quellcode Implementierung Plug-in-basiert erfolgen kann, ohne den Quellcode des Webauftrtitts anzupassen, können wir so nicht beantworten.

  60. Hallo,
    woran kann es liegen, dass immer wenn ich den zweiten Code für den Opt-OutCookie in den Header einfüge, mir Google analytics plötzlich sagt, dass kein Datenempfang aktiv ist?
    Vorher war der Tracking Code korrekt installiert und der Datenempfang aktiv.
    Vielen Dank

    • Allerdings muss je nach Aufbau des Webauftritts, ggf. der Opt-out-Cookie-Code an mehreren Stellen eingebaut werden. Ob eine Quellcode Implementierung Plug-in-basiert erfolgen kann, ohne den Quellcode des Webauftrtitts anzupassen, können wir so nicht beantworten.

  61. Vielen Dank für die ausführliche Erläuterung des Analytics Problems. Ich habe soweit auch alles eingerichtet (über Plugins, da ich keine Zugangsberechtigung für den Server habe), allerdings ist eine Frage übergeblieben:

    Wie kann ich den Link “Google Analytics deaktivieren” setzen?

    “Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:
    Google Analytics deaktivieren

    • Grundsätzlich muss der unter Punkt 3 aufgeführte Quellcode an der entsprechenden Stelle eingebaut und die Datenschutzhinweise entsprechend aufgebaut werden. Ob der Link funktioniert, können Sie prüfen, indem Sie sich die Cookies anzeigen lassen.

  62. Hallo,

    gilt der Code für das OptOut ebenfalls für Universal Analytics? Bzw. gibt es dafür auch schon eine so eine Erweiterung? Oder muss man den Code für das OptOut dort nicht einbauen?

    Viele Grüße
    Janine

    • Code funktioniert auch für Universal A. und ist dort ebenso erforderlich. Es heißt ja im Text klar, dass man beide Möglichkeiten anbieten muss, also auch das Cookie.

  63. Vorsicht beim Kopieren des Links von dieser Seite. Hier werden Sonderzeichen für die Anführungszeichen verwendet, die beim Einsatz in einem HTML-Code zu Fehlern führen.
    Google Analytics deaktivieren
    Also nach dem Kopieren unbedingt die Anführungszeichen ersetzten!

  64. Guten Tag,
    ich habe zweierlei Anmerkungen zum obigen Text. Vorweg aber erstmal Danke für die hilfreiche Aufstellung, die mir schon geholfen hat. Meine erste Anmerkung ist eine Frage zum Vertrag mit Google. MUSS ich den Vertrag haben und muss dieser auf meiner Seite irgendwo erwähnt/ verlinkt werden?

    Die zweite Anmerkung ist ein Tipp meinerseits zur Verbesserung. Ich habe auf meiner Seite neben dem Cookie eine eigene Zusatzfunktion mit eingebaut. Viele der modernen Browser unterstützen die sogenannte “DoNotTrack” Funktion – zB der Firefox. Aktiviert man diese Einstellung, werden werbetreibende Trackingdienste gebeten, keine Daten zu erheben. Ich nutze diese Einstellung auf meiner Seite um zu entscheiden, ob ich den Google-Code ausführe oder nicht. Das sieht dann so aus:

    if(window.navigator.doNotTrack != ‘yes’)
    { /* Google Code */ }

    Viele Grüße
    Ruben

  65. Im Google-ADV heißt es so “Standardversion des Dienstes Google Analytics”.
    Ist damit auch der Einsatz von Google Analytics Universal abgedeckt? Weiß das jemand?

    • Diese Frage ist in der Tat interessant. Aus dem Bauch heraus würde ich sagen ja, da der neue UA Tracking Code ja mittlerweile Standard ist. Allerdings ist das so schwammig formuliert, dass man sich da nicht sicher sein kann.

  66. Vielen Dank für die Tips!
    Wir haben daraufhin unsere Codes angepasst. Wichtig hierbei ist , dass die Sachlage der Aktenlage aus den Datenschutzbestimmungen der entsprechenden Webseite synchron ist.

  67. moin,

    ich hab folgendes Problem, würd google analytics gern verwenden, arbeite mit dem cylex-baukasten, hinweis/ link zum browser-plugin hab ich im Datenschutz drin…aber ich weiß nicht was ich mit dem Opt-Out-Cookie anfangen soll, da mir das script ja nicht zum bearbeiten zur Verfügung steht…bisher keine Nachricht von cylex, (..) die ich angeschrieben habe…möchte meine site am ersten juli online stellen…
    was würden sie mir empfehlen? erstmal google-analytics komplett dann rauszunehmen?

    mit freundlichen Grüßen Christiane

    • Soweit es bei der Implementierung des datenschutzkonformen Einsatzes von Google Analytics noch zu technischen Problemen kommt, raten wir eher dazu, auf den Einsatz von Google Analytics zu verzichten. Als Alternative könnten Sie hier auch auf Piwik oder eTracker zurückgreifen. Möglicherweise lässt sich dies in Ihrem Fall besser einbinden.

  68. Hallo, vielen Dank für die ausführlichen Informationen, die wir auch immer gerne weiterempfehlen. Leider scheint es seit dem 17.7.2014 so zu sein, dass eine Nutzung des unter Punkt 3 angegebenen Skript-Prefix die Zugriffserfassung durch GA komplett verhindert. Zumindest hatten wir bei allen Präsenzen, die dieses Skript benutzten, eine Nulllinie zu verzeichnen. Zugriffe wurden erst wieder nach Entfernen dieses Skripts erfasst. Ob dieses nur auf GA Classic oder auch auf Universal Analtics zutrifft, haben wir allerdings noch nicht überprüft.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.