Zum Inhalt springen Zur Navigation springen
Google Analytics datenschutzkonform einsetzen

Google Analytics datenschutzkonform einsetzen

Dieser Beitrag erläutert die aus Sicht des Datenschutzes empfohlenen Einstellungen beim Einsatz von Google Analytics 4 im Sinne einer Risikominimierung.

Kann man Google Analytics datenschutzkonform einsetzen?

Die kurze Antwort vorweg: Ja, man kann Google Analytics datenschutzkonform einsetzen. Es ist jedoch unbedingt zu beachten, dass viele EU-/EWR-Datenschutzbehörden die Betreiber von europäischen Websites dazu zwingen wollen, Google Analytics nicht mehr zu verwenden, egal wie es implementiert wird, und auf europäische Lösungen umzusteigen.

Aus diesem Grund sind die nachfolgenden Hinweise im Sinne einer Risikominimierung zu beachten.

Es ist zunächst wichtig, sich vor einer Entscheidung einen Überblick über die aktuellen rechtlichen Entwicklungen in Bezug auf Google Analytics zu verschaffen:

  • Meinung der Datenschutzbehörden
    Die österreichische und die französische Datenschutzbehörde hatte im vergangenen Jahr Google Analytics wegen des US-Datentransfers für unzulässig erklärt. Ähnliche Stellungnahmen zum Thema kamen auch von anderen Behörden.
  • Neuer Angemessenheitsbeschluss
    Die Europäische Kommission erließ mit Datum vom 10. Juli 2023 einen neuen Angemessenheitsbeschluss in Bezug auf die Vereinigten Staaten (EU-US Data Privacy Framework). Die Kommission erklärt mit diesem Beschluss, dass die Änderungen der USA an ihren nationalen Gesetzen nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen in den USA übermittelt werden. Voraussetzung ist allerdings, dass sich die US-Unternehmen verpflichten, den neuen „Datenschutzrahmen“ einzuhalten.
  • Google ist nach dem Data Privacy Framework zertifiziert
    Google LLC ist bereits für das EU-US Privacy Framework zertifiziert, von daher gilt die Erleichterung auch beim Einsatz von Google Analytics 4. Es sei jedoch bereits jetzt darauf hingewiesen, dass der neue Angemessenheitsbeschluss keinen „Freifahrtschein“ bezüglich der Nutzung von Google Analytics 4 darstellt. Das mangelnde Datenschutzniveau war nur einer der Kritikpunkte der Datenschutzaufsichtsbehörden.
  • Kritik am Data Privacy Framework
    Der Europäische Datenschutzausschuss (EDSA) hatte am 28. Februar 2023 seine im Verfahren notwendige Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework abgegeben und die Änderungen begrüßt, gleichzeitig aber auch Kritik angebracht. Entsprechend ist damit zu rechnen, dass das neue Privacy Framework wie schon das (alte) Privacy Shield rechtlich angegriffen werden wird. Bis dahin sorgt der Angemessenheitsbeschluss aber für Rechtssicherheit beim Datenaustausch mit den USA, der damit deutlich einfacherer wird.

Was ist Google Analytics 4?

Google Analytics 4 (GA4) heißt die aktuelle Version von Googles Trackingtool. Es handelt sich um eine Weiterentwicklung von Google Analytics „App+Web“. GA4 löst Universal Analytics ab, welches auf Googles Website als „vorherige Generation von Google Analytics“ geführt wird. Google Analytics ändert damit seine Trackingtechnologie weg von sitzungsbasierten hin zu Nutzer- und Event-basierten Auswertungen. Eine Google Analytics 4-Property kann zudem für eine Website, eine App oder beides gleichzeitig verwendet werden.

Wer noch nicht gewechselt hat, sollte dies in daher in naher Zukunft tun und die Daten aus Universal Analytics zu GA4 migrieren. Hier gibt es eine Anleitung zur Migration der Daten.

Was ist zu tun?

Im Sinne einer Risikominimierung beim Einsatz von Google Analytics 4 ergeben sich folgende Handlungsempfehlungen, auf die wir in dieser Anleitung inkl. Muster eingehen:

  1. Vertrag zur Auftragsverarbeitung abschließen
  2. Aufbewahrungsdauer der Daten festlegen
  3. Empfohlene Standardeinstellungen anpassen
  4. Einwilligung einholen
  5. IP-Anonymisierung und ggf. Löschung von Altdaten
  6. Datenschutzerklärung anpassen

1. Vertrag zur Auftragsverarbeitung abschließen

Es sollte ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen sein. Aktuell unterfällt Google Analytics unter die „Datenverarbeitungsbedingungen für Google Ads“. Wenn Sie bereits einen Google Analytics-Konto besitzen, scrollen Sie unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Datenverarbeitungsbedingungen“. Dort finden Sie einen Link zu Änderungsvereinbarungen, soweit Sie dem Zusatz zur Datenverarbeitung bereits früher zugestimmt haben.

Google Analytics-Kunden, die einen direkten Kundenvertrag mit Google abgeschlossen haben, können den Datenverarbeitungsbedingungen für Google Ads im Bereich „Verwaltung“ ihrer Kontoeinstellungen auch direkt zustimmen. Für Google Analytics Standard- und GA 360-Kunden mit Unternehmen, die ihren Sitz im EWR, im Vereinigten Königreich oder in der Schweiz haben, und GA 360-Kunden, die die Google Analytics 360-Nutzungsbedingungen akzeptiert haben, ist das nicht erforderlich, weil die Datenverarbeitungsbedingungen für Google Ads bereits Teil ihrer Vereinbarungen sind.

Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen. Ihre Angaben können dort auch im Nachhinein angepasst werden.

Quelle: https://support.google.com/analytics/answer/3379636

2. Aufbewahrungsdauer der Daten festlegen

Google Analytics 4 bietet Steuerelemente zur Datenaufbewahrung. Für GA4-Properties können Sie die Aufbewahrungsdauer für Daten auf Nutzerebene festlegen. Die Voreinstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 2 Monate gespeichert werden. Die maximale Aufbewahrungsdauer beträgt 14 Monate. Diese Aufbewahrungsdauer gilt auch für Conversion-Daten. Für alle anderen Ereignisdaten stehen folgende Zeiträume für die Aufbewahrungsdauer zur Auswahl:

  • 2 Monate
  • 14 Monate
  • 26 Monate (nur 360)
  • 38 Monate (nur 360)
  • 50 Monate (nur 360)

Es sollte vorzugsweise eine möglichst kurze Speicherdauer gewählt werden.

Des Weiteren kann ausgewählt werden, ob die User-Daten bei neuer Aktivität zurückgesetzt werden sollen: Wenn Sie diese Option aktiv lassen, wird die Aufbewahrungsdauer der User-ID bei jedem neuen Ereignis zurückgesetzt. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren.

Die Änderungen der Aufbewahrungsdauer nehmen Sie wie folgt vor:

  1. Wählen Sie „Verwaltung“ aus und klicken Sie auf die Property, die Sie bearbeiten möchten
  2. Klicken Sie in der Spalte „Property“ auf „Dateneinstellungen > Datenaufbewahrung“

 

Sollten Sie eine andere Einstellung wählen, müssen Sie die hier zur Verfügung gestellte Datenschutzerklärung entsprechend anpassen.

3. Empfohlene Standardeinstellungen anpassen

Im Rahmen der Datenfreigabeeinstellungen sollten entsprechend dem Grundsatz der Datenminimierung so wenig Freigaben wie möglich erteilt werden. Je weniger Freigaben erteilt werden, desto weniger besteht Anlass, Google und den Websitebetreiber als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO anzusehen.

So ändern Sie die Standardeinstellungen:

  1. Melden Sie sich in Google Analytics an.
  2. Klicken Sie im Menü links auf „Verwaltung“ und wechseln Sie zu dem Konto, das Sie bearbeiten möchten.
  3. Klicken Sie in der Spalte „Konto“ auf „Kontoeinstellungen“.
  4. Entfernen Sie den Haken in der Checkbox „Google-Produkte & -Dienste“ und klicken Sie auf „Speichern“.
  5. Auch der Zugriff für die „Account Specialists“ sollte deaktiviert werden. Wer auf der sicheren Seite sein will, entfernt auch die Haken bei „Benchmarking“ und „Technischer Support“.

Hier finden Sie eine genaue Beschreibung der einzelnen Datenfreigabeeinstellungen.

Bitte beachten: Nach Einschätzung der Aufsichtsbehörden liegt zwischen Ihnen und Google eine Gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor, wenn Sie die Datenfreigabeeinstellungen für „Google-Produkte und -Dienste aktivieren“. Google hingegen nimmt hier eine getrennte Verantwortlichkeit zwischen sich und dem Nutzer an, wie den „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“ zu entnehmen ist. Ein Vertrag zur Gemeinsamen Verantwortlichkeit bietet Google nicht an.

4. Einwilligung einholen

Wenn Sie Google Analytics 4 verwenden wollen, sollten Sie sich an die von den Aufsichtsbehörden beschriebenen Anforderungen an eine rechtswirksame Einwilligung halten. Eine Übersicht finden Sie in dieser Orientierungshilfe der Aufsichtsbehörden ab Seite 9.

Eine Einwilligung in die Nutzung von Google Analytics muss demnach folgende Angaben enthalten:

  • Eine eindeutige Überschrift, z. B. „Datenverarbeitung Ihrer Nutzerdaten durch Google“
  • Information, dass personenbezogene Daten zum Nutzungsverhalten an Google übermittelt werden
  • Information, um was für Daten es sich dabei genau handelt
  • Information, dass die Verarbeitung im Wesentlichen durch Google erfolgt, und – bei Nutzung mit den von Google empfohlenen Standardeinstellungen – zu eigenen Zwecken wie Profilbildung (und ohne Einflussmöglichkeiten des Websitebetreibers)
  • Information, ob die Daten mit Informationen aus anderen Quellen verknüpft werden können
  • Information, ob die Daten in den USA gespeichert werden und ob staatliche Behörden Zugriff auf diese Daten haben können

Die Einwilligung muss zudem folgende Anforderungen erfüllen:

  • keine allumfassende Einwilligung in die Nutzung von Cookies
  • aktive Handlung, keine vorangekreuzten Checkboxen
  • freiwillig, mit der Möglichkeit die Einwilligung zu verweigern
  • dem Nutzer dürfen keine Nachteile bei Nicht-Einwilligung entstehen
  • einfache, nutzerfreundliche technische Lösung für den Widerruf (bspw. per Consent-Tool)
  • Tracking darf erst aktiviert werden, nachdem der Nutzer eingewilligt hat und nicht vorher

5. IP-Anonymisierung und ggf. Löschung von Altdaten

Die Anonymisierung von IP-Adressen ist in Google Analytics 4 standardmäßig aktiviert. Bei IPv4-Adressen wird das letzte Oktett und bei IPv6-Adressen die letzten 80 Bits im Speicher auf null gesetzt und somit „anonymisiert“. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden akzeptiert.

Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

6. Datenschutzerklärung anpassen

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Unter Beachtung der Anforderungen der DSK muss der Datenschutzhinweis zu Google Analytics gemäß Art. 12 und 13 DSGVO folgende Informationen enthalten:

  • Umfang der Datenerhebung
  • Rechtsgrundlage
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer
  • Hinweis auf das Widerrufsrecht und dessen Umsetzung

Finale Datenschutzerklärung inkl. DSGVO-Hinweise

Sie dürfen dieses Muster gerne für Ihre Datenschutzerklärung verwenden.

Google Analytics 4
Soweit Sie Ihre Einwilligung erklärt haben, wird auf dieser Website Google Analytics 4 eingesetzt, ein Webanalysedienst der Google LLC. Verantwortliche Stelle für Nutzer in der EU/ dem EWR und der Schweiz ist Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google“).

Art und Zweck der Verarbeitung
Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseiten durch Sie ermöglichen. Die mittels der Cookies erhobenen Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

[OPTIONAL: Wir nutzen die Funktion User-ID. Mithilfe der User ID können wir einer oder mehreren Sitzungen (und den Aktivitäten innerhalb dieser Sitzungen) eine eindeutige, dauerhafte ID zuweisen und Nutzerverhalten geräteübergreifend analysieren.]

[OPTIONAL: Wir nutzen Google Signale. Damit werden in Google Analytics zusätzliche Informationen zu Nutzern erfasst, die personalisierte Anzeigen aktiviert haben (Interessen und demographische Daten) und Anzeigen können in geräteübergreifenden Remarketing-Kampagnen an diese Nutzer ausgeliefert werden.]

Bei Google Analytics 4 ist die Anonymisierung von IP-Adressen standardmäßig aktiviert. Aufgrund der IP-Anonymisierung wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird laut Google nicht mit anderen Daten von Google zusammengeführt.
Während Ihres Website-Besuchs wird Ihr Nutzerverhalten in Form von „Ereignissen“ erfasst. Ereignisse können sein:

  • Seitenaufrufe
  • Erstmaliger Besuch der Website
  • Start der Sitzung
  • Besuchte Webseiten
  • Ihr „Klickpfad“, Interaktion mit der Website
  • Scrolls (immer wenn ein Nutzer bis zum Seitenende (90%) scrollt)
  • Klicks auf externe Links
  • interne Suchanfragen
  • Interaktion mit Videos
  • Dateidownloads
  • gesehene / angeklickte Anzeigen
  • Spracheinstellung

Außerdem wird erfasst:

  • Ihr ungefährer Standort (Region)
  • Datum und Uhrzeit des Besuchs
  • Ihre IP-Adresse (in gekürzter Form)
  • technische Informationen zu Ihrem Browser und den von Ihnen genutzten Endgeräten (z.B. Spracheinstellung, Bildschirmauflösung)
  • Ihr Internetanbieter
  • die Referrer-URL (über welche Website/ über welches Werbemittel Sie auf diese Website gekommen sind)

Zwecke der Verarbeitung
Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre [pseudonyme [NICHT BEI NUTZUNG VON USER-ID]] Nutzung der Website auszuwerten und um Reports über die Website-Aktivitäten zusammenzustellen. Die durch Google Analytics bereitgestellten Reports dienen der Analyse der Leistung unserer Website [OPTIONAL: und des Erfolgs unserer Marketing-Kampagnen].

Empfänger
Empfänger der Daten sind/können sein

  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (als Auftragsverarbeiter nach Art. 28 DSGVO)
  • Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA
  • Alphabet Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA

Drittlandtransfer
Für die USA hat die Europäische Kommission am 10.Juli 2023 ihren Angemessenheitsbeschluss angenommen. Google LLC ist nach dem EU-US Privacy Framework zertifiziert. Da Google-Server weltweit verteilt sind und eine Übertragung in Drittländer (beispielsweise nach Singapur) nicht völlig ausgeschlossen werden kann, haben wir mit dem Anbieter zudem die EU-Standardvertragsklauseln abgeschlossen.

Speicherdauer
Die von uns gesendeten und mit Cookies verknüpften Daten werden nach 2 [ODER: 14 Monaten] automatisch gelöscht. Die maximale Lebensdauer der Google Analytics Cookies beträgt 2 Jahre. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.

Rechtsgrundlage
Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gem. Art.6 Abs.1 S.1 lit.a DSGVO und § 25 Abs. 1 S.1 TTDSG.

Widerruf
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen [HIER DEN LINK ZU DEN EINSTELLUNGSMÖGLICHKEITEN DES CONSENT-TOOLS SETZEN] aufrufen und dort Ihre Auswahl ändern. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Sie können die Speicherung von Cookies auch von vornherein durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wenn Sie Ihren Browser so konfigurieren, dass alle Cookies abgelehnt werden, kann es jedoch zu Einschränkung von Funktionalitäten auf dieser und anderen Websites kommen. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie

a. Ihre Einwilligung in das Setzen des Cookies nicht erteilen oder
b. das Browser-Add-on zur Deaktivierung von Google Analytics HIER herunterladen und installieren.

Nähere Informationen zu Nutzungsbedingungen von Google Analytics und zum Datenschutz bei Google finden Sie unter https://marketingplatform.google.com/about/analytics/terms/de/ und unter https://policies.google.com/?hl=de.

Hinweis: Bitte übernehmen Sie den Text inkl. aller Verlinkungen und passen Sie ihn entsprechend Ihrer Nutzung der Software an.

Google Analytics und Datenschutz: Legal, illegal, nicht egal

Gerade die Sache, den die österreichische Datenschutzbehörde zu betrachten hatte, zeigt, dass die rechtliche Analyse sehr stark von den spezifischen Fakten des Einzelfalles abhängen, sowie davon, inwiefern die Google Analytics nutzende Partei den Einsatz begründen kann. Ebenso ist weiterhin abzuwarten, wie Gerichte den aktuellen rechtlichen Fragen zu Google Analytics umgehen und ob sie der rigorosen Linie einiger Aufsichtsbehörden folgen werden.

Durch den neuen Angemessenheitsbeschluss ist jedenfalls ein Risiko bei der Nutzung von Google-Produkten vorerst weggefallen. Die juristische Debatte hinsichtlich Webanalyse und Tracking setzt sich aber weiter fort. Deshalb ist man auch bei vollständiger Umsetzung dieser Empfehlungen nicht zwangsläufig auf der sicheren Seite. Urteile oder Gesetzesänderungen können in Zukunft weitere Anpassungen erforderlich machen. Zu den aktuellen Entwicklungen halten wir Sie auf dem Laufenden.

Stand: August 2023

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  • Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  • Hallo,

    sind meine Daten beim Besuch der Webseite nicht bereits bei Google Analytics vorhanden? Wenn ich das richtig verstanden habe, hat ein user die Möglichkeit (zumindest im Falle, dass er einen der unterstützten Browser nutzt) die Möglichkeit, seine Daten KÜNFTIG nicht mehr weiterzugeben. Aber was ist mit den alten Daten? Insbesondere die Daten, die durch den Aufruf des Datenschutzhinweises aufgezeichnet werden?

    Grüße R.W.

    • Hallo R.W.,
      leider ist uns nicht möglich auf diese Frage zu antworten, da die Datenschutzerklärung von Google uns darüber keine Informationen gibt. Grundsätzlich müssen die Altdaten gelöscht werden, ob dies aber auch gemacht wird, kann uns nur der Konzern sagen.

  • Sehr geehrter Dr. Datenschutz,
    ich habe bereits einen Google Analytics Account und möchte diesen jetzt auf einen datenschutzkonformen Account umstellen. Ihren Artikel und Ihre Zusatzinformationen finde ich klasse. Vielen Dank! 
    Was ist der beste Weg um den alten Account zu löschen? Einen komplett neuen Account mit neuer Emailadresse bei Google anlegen und den alten löschen? Oder gibt es eine Möglichkeit, die Altdaten innerhalb des bestehenden Accounts zu löschen?
    Danke und herzliche Grüße
    Ms. H.

  • Hallo Herr Dr. Datenschutz,
    ich habe mir den Vertrag von Google angesehen. Dort wird auch auf Pflichten des Vertragspartners, also Webseitenbetreibers, hingewiesen. z.B. Absatz

    „3. Ihre Rechte und Pflichten und Umfang der Weisungsbefugnisse3.1 Sie sind für die Bewertung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten sowie für den Schutz der Rechte der betroffenen Person verantwortlich.“

    Daher kam mir die Frage, ob ich mich durch Abschluss des Vertrages evtl. schlechter stelle als vorher und eher in die Haftung genommen werden kann als ohne Vertrag. Können Sie dazu etwas sagen?

    Danke schon mal
    Ms. H.

    • Beim Einsatz von Google Analytics werden von den Besuchern Ihrer Webseite personenbezogene Daten erhoben und an Google weitergeleitet. Sie sind die verantwortliche Stelle für diese Daten. Eine Weiterleitung der personenbezogenen Daten an Google ist nur mit einer Einwilligung des Betroffenen oder aufgrund einer Erlaubnisnorm gestattet (weitere Infos).

      Mit Abschluss des Vertrages zur Auftragsdatenverarbeitung ist die Weiterleitung der Daten an Google nach § 11 BDSG erlaubt. Zwar bleiben Sie bei der Auftragsdatenverarbeitung nach der Übermittlung der Daten für diese verantwortlich und haften somit auch für mögliche Verstöße von Google, aber nur so ist die Weiterleitung der Daten an Google datenschutzkonform.

  • Hallo,
     
    ich habe da mal eine Frage zum datenschutzkonformen Einsatz von Google Analytics.  
    Was ist, wenn der Vertrag mit Google für das Google Analytics Konto schon besteht und man nachträglich ein weiteres Profil einrichtet für eine Website? Im Impressum steht nicht der gleiche Seiteninhaber wie bei dem ersten Profil.
    Muss man erneut einen Vertrag aufsetzen oder gilt der bestehende auch für das neue Profil?
     
    Gruß
    Thorsten

  • Was nutzt mir ein Hinweis auf Google Analytics im Impressum?
    So ein Hinweis sollte und muss auf eine Startseite und mit einem Klick bestätigt werden – und nicht erst nachdem ich mich schon auf der Seite durchgeklickt habe.

    • Ein Hinweis auf der Hauptseite einer Homepage wäre sicherlich nicht verkehrt. Ist vorliegend allerdings nicht erforderlich.

      Das hat zum einen damit zu tun, dass bei einer, wie im Blog-Artikel beschriebenen, rechtssicheren Nutzung eine Verkürzung der IP-Adresse zwingend erforderlich ist und der Betroffene der Nutzung von Google Analytics widersprechen kann.

      Zum anderen ist vom Gesetz lediglich vorgeschrieben, dass wichtige Informationspflichten – und hierzu gehört auch der Hinweis auf die Verwendung von Google Analytics und Datenschutz – für den Leser leicht verständlich und schnell auffindbar zu erfüllen sind. Für die Datenschutzerklärung wird dies explizit in § 13 Abs. 1 TMG geregelt.

      Die Erfüllung dieser allgemeinen Informationspflichten hat aus Gründen der leichten Auffindbarkeit im Bereich Impressum zu erfolgen. Das hat vor allem damit zu tun, dass die Rechtsprechung bereits vor einigen Jahren entschieden hat, dass das Impressum von jeder Seite aus mit maximal einem Klick (1-Klick-Rechtsprechung) erreichbar zu sein hat und der Leser aufgrund der heute gelebten Praxis hier damit rechnet, dass wichtige Informationen auch zum Datenschutz vorgehalten werden.

  • Hallo, leider wurde ich auf etwas neues aufmerksam gemacht: siehe hier

    D.h. man muss den User nun bevor er auf die Seite kommt fragen ob er damit einverstanden ist, das Google Analytics genutzt wird?

    • Der Beschluss vom 11./12.09.2013 des Düsseldorfer Kreises, auf den Sie verweisen, ist bei Google Analytics nicht relevant, da der Vertrag zur Auftragsdatenverarbeitung mit Google Ireland Ltd geschlossen wird und nicht mit Google Inc. Da Irland zur EU gehört, wird ein angemessenes Datenschutzniveau angenommen.

      Die zweistufige Prüfung ist keine Neuigkeit, sondern geltendes Recht für Datentransfers in sog. unsichere Drittstaaten vgl. §§ 4b, 4c BDSG.

  • Also erstmal vielen Dank für die ausführliche Anleitung. Wir haben eine neue Webseite in WordPress gestaltet. Wir verwenden das Plugin „Google Analytics for WordPress“

    Nun bereitet uns der Teil mit dem „Opt-Out-Cookies“ Kopfzerbrechen. Wo müssen wir diesen Code einfügen? Den Teil mit dem anonymisieren der IP übernimmt ja unser Plugin :-)

    Bin für jede Hilfe Dankbar.

    LG
    Petra

    • Das Opt-Out-Cookie-Script muss immer vor dem eigentlichen Google Analytics-Script im Quelltext eingefügt werden. Wir kennen kein Plugin, das diese Aufgabe übernimmt und es deshalb per Hand eingefügt. (z.B. in die header.php)

  • Guten Tag,
    ich habe zweierlei Anmerkungen zum obigen Text. Vorweg aber erstmal Danke für die hilfreiche Aufstellung, die mir schon geholfen hat. Meine erste Anmerkung ist eine Frage zum Vertrag mit Google. MUSS ich den Vertrag haben und muss dieser auf meiner Seite irgendwo erwähnt/ verlinkt werden?

    Die zweite Anmerkung ist ein Tipp meinerseits zur Verbesserung. Ich habe auf meiner Seite neben dem Cookie eine eigene Zusatzfunktion mit eingebaut. Viele der modernen Browser unterstützen die sogenannte „DoNotTrack“ Funktion – zB der Firefox. Aktiviert man diese Einstellung, werden werbetreibende Trackingdienste gebeten, keine Daten zu erheben. Ich nutze diese Einstellung auf meiner Seite um zu entscheiden, ob ich den Google-Code ausführe oder nicht. Das sieht dann so aus:

    if(window.navigator.doNotTrack != ‚yes‘)
    { /* Google Code */ }

    Viele Grüße
    Ruben

  • moin,

    ich hab folgendes Problem, würd google analytics gern verwenden, arbeite mit dem cylex-baukasten, hinweis/ link zum browser-plugin hab ich im Datenschutz drin…aber ich weiß nicht was ich mit dem Opt-Out-Cookie anfangen soll, da mir das script ja nicht zum bearbeiten zur Verfügung steht…bisher keine Nachricht von cylex, (..) die ich angeschrieben habe…möchte meine site am ersten juli online stellen…
    was würden sie mir empfehlen? erstmal google-analytics komplett dann rauszunehmen?

    mit freundlichen Grüßen Christiane

    • Soweit es bei der Implementierung des datenschutzkonformen Einsatzes von Google Analytics noch zu technischen Problemen kommt, raten wir eher dazu, auf den Einsatz von Google Analytics zu verzichten. Als Alternative könnten Sie hier auch auf Piwik oder eTracker zurückgreifen. Möglicherweise lässt sich dies in Ihrem Fall besser einbinden.

  • Hi,
    wenn ich als spanische Firma mit Sitz in Spanien eine dreisprachige Webseite (en, es,de) betreibe, muss ich dann diesen ganzen Kuckuck für die deutsche Sprachversion befolgen oder sollte ich lieber auf eine deutsche Version verzichten, um Abmahnungen zu vermeiden?
    Was ist, wenn ich als spanische Firma einen Webhoster in Deutschland betreibe, muss ich dann das alles ink. Vertrag mit Google, usw. auch befolgen?
    Wäre nett, das zu wissen, sonst nehm ich den deutschen Auftritt komplett raus.

    • Das Bundesdatenschutzgesetz ist grundsätzlich nicht anwendbar, wenn eine Firma außerhalb Deutschlands aber innerhalb der EU personenbezogene Daten erhebt, verarbeitet oder nutzt. Eine Ausnahme besteht lediglich wenn die Erhebung, Verarbeitung oder Nutzung der Daten durch eine Niederlassung in Deutschland erfolgt. Ob von einer Niederlassung bereits dann gesprochen werden kann, wenn für das Webhosting ein Provider in Deutschland genutzt wird, ist gesetzlich nicht geregelt. Es spricht jedoch einiges dafür, nicht den Webhoster sondern weiterhin die betreffende Firma als verantwortliche Stelle anzusehen. In diesem Fall wäre das Bundesdatenschutzgesetz nicht anwendbar. Etwas anderes dürfte sich auch nicht aus den Anforderungen des Telemediengesetzes ergeben, da dessen Anwendungsbereich sich primär nach dem Herkunftsland- bzw. Sitzlandprinzip richtet.

  • Hallo!
    Meine Frage ist, was es für Ausnahmen sein können, bei denen die IP-Adresse erst an einen amerikanischen Google-Server geschickt wird und dann erst gekürzt wird. Ich möchte den Interessierten Leser unserer Datenschutzerklärung nicht mit dem Wort „Ausnahmen“ verunsichern, ohne klarzustellen, wie diese aussehen könnten.
    Ist das festgelegt, wann das passiert?
    Vielen Dank!

    • Im Vertrag zur Auftragsdatenverarbeitung verpflichtet sich Google zu folgendem:
      “Die von Ihnen aktivierte IP-Maskierung erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.”
      In der Regel bedeutet das, dass es auch Ausnahmefälle gibt.

  • Guten Tag,

    bitte teilen Sie mir mit, wie es sich mit dem GTM verhält. Ich habe über ein Plugin die Container-ID eingefügt.

    Wie kann ich hier vorgehen, damit ich dem deutschen Datenschutz gerecht werde?

    Hier wird in der erweiterten Einstellung unter Punkt „Grundkonfiguration“ die „IP-Anonymisierung“ angeboten. Es kann dort ausgewählt werden unter „Wahr“ / „Falsch“

    Was muss ich auswählen und genügt dies?

    Herzlichen Dank

  • Was hier glaube ich viele nicht auf dem Plan haben und auch mir erst kürzlich klar wurde: Egal ob man die Option zur Anonymisierung setzt oder nicht, es wird ein js File von einem Google Server geladen:

    ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;

    Dabei erhält Google zwangsläufig die Client IP und was dieser Server loggt liegt ausserhalb des Wirkungsbereichs und ist wahrscheinlich „Firmengeheimnis“.
    Die „anonymisierten Daten“ im Nachhinein anhand der eigenen Serverlogs und Timestamps wieder zu vollen Daten zu machen dürfte ein Kinderspiel sein. Ganz abgesehen von der Tatsache das man Google glauben müsste das die in der EU erfassten Daten wirklich zu keinem Zeitpunkt nach USA übertragen werden.

    • Danke für den Hinweis. Wir fragen mal bei der Hamburger Aufsichtsbehörde nach, ob dieser Punkt Gegenstand der Überprüfung war.

      • Haben Sie von Herrn [Name gelöscht], dem beim HmbBfDI für Google Analytics zuständigen Mitarbeiter, schon eine Rückantwort erhalten?
        Beste Grüße
        Mighty

        • Von der Hamburger Aufsichtsbehörde haben wir folgende Antwort bekommen:

          1. Die Einbindung des Skripts muss nicht von einem Google-Server, sondern kann technisch auch über den eigenen Server erfolgen.
          2. Typischerweise werden Skripte vom Browser gecacht und daher nicht bei jedem Aufruf einer Seite, in die G.A. eingebunden ist, neu geladen, sondern nur beim ersten Mal oder nach Ablauf des Cache-Zeitraums.
          3. Die Kürzung der IP-Adressen in Europa wurde durch Google nachvollziehbar dokumentiert. Ob dies allerdings vor dem Hintergrund des Wegfalls der Safe-Harbor-Entscheidung noch ausreicht, prüfen wir zurzeit noch.

          • Ich bin wirklich fassungslos ob des technischen Unverstandes.

            Natürlich müssen IP Adressen permanent kommuniziert werden, damit die Daten ankommen wo sie ankommen sollen. Wenn ein Skript (z.B. ga.js) von Google angefordert wird, wird eine kontrete Anfrage an den Google Server geschickt, und die Antwort kann nur erfolgen, wenn der Server die IP Adresse der Anfrage kennt. Selbstverständlich auch, wenn das Skript gecacht wird. Die Antwort schickt zwar nicht das Skript zurück, aber die Nachricht, dass das Skript nicht erneut geladen werden muss. Kann man mit diversen Debugging Tools im Browser live mitverfolgen.

            Ausserdem finde ich es gewagt, dass die Hamburger Aufsichtsbehörde vorschlägt, ich solle doch das Skript von Google (deren geistiges Eigentum) auf meinen Server kopieren. Davon abgesehen, dass das nicht ganz so leicht ist, wie es klingt.

            Das alles ist nichts anderes als ein Gentleman Agreement. Google hält sich daran oder auch nicht. Das wissen nur die Mitarbeiter, die bei Google mit diesen Daten arbeiten. Technisch haben sie alle Informationen.

            Gab es einen Fall, in dem Google den Vertrag zurück geschickt hat?

            • Hallo Harald,
              ich habe den Vertrag zur Auftragsdatenverarbeitung nach ca. 2 Monaten unterschrieben zurück bekommen!

  • Hallo und vielen Dank für die Erläuterung!

    Mich würde interressieren, weshalb der Vertrag zur Auftragsdatenverarbeitung mit Google benötigt wird, wenn durch die verwendete Anonymisierung per se gar keine personenbezogenen Daten an Google übermittelt werden?

    Unter https://support.google.com/analytics/answer/2763052?hl=de wird ausdrücklich darauf hingewiesen, dass die Maskierung der IP unmittelbar durchgeführt wird, bevor eine Speicherung oder Verarbeitung der Daten in Googles Netzwerk stattfindet.

    • Sie haben grundsätzlich recht. Wir würden keinen Vertrag zur Auftragsdatenverarbeitung benötigen, wenn keine personenbezogenen Daten verarbeitet würden. Allerdings ist trotz IP-Maskierung nicht auszuschließen, dass Google einen Personenbezug – wie auch immer – wieder herstellen kann. Dem trägt der Vertrag zur Auftragsdatenverarbeitung durch entsprechende Verpflichtungen Rechnung. Im Übrigen: Solange die Aufsichtsbehörden den Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit Google empfehlen, solange sollten wir die Empfehlung im wohlverstandenen eigenen Interesse auch beherzigen.

  • Hallo Dr. Datenschutz,

    wir wollen Google Analytics einsetzen und haben auch schon den Vertrag ausgefüllt und an Google geschickt. Das erste mal im März und dann nochmals vor ca. 3 Wochen ( bei der Post kann ja dann doch auch mal etwas verloren gehen). Leider haben wir bis dato noch keine Rückmeldung von google bekommen, bzw. unser Exemplar des Vertrages nicht zurückbekommen. Außer die Postanschrift in Irland haben wir keinerlei Info / finden wir keine Angaben an wen wir uns wenden können um nachzufragen. Was raten Sie uns?

    • Haben Sie schon versucht Google zu kontaktieren?
      https://www.google.de/contact/

      • Wir haben versucht, Google zu kontaktieren, weder per Telefon noch per Email ist eine Antwort möglich.. Google antwortet auf unsere Email folgendermaßen:
        Liebe Google-Nutzerin, lieber Google-Nutzer,

        vielen Dank, dass Sie sich an die Google Inc. wenden. Bitte beachten Sie, dass aufgrund der Vielzahl von Anfragen, E-Mails, die unter dieser E-Mail-Adresse support-de@google.com eingehen, nicht gelesen und zur Kenntnis genommen werden können.

        Es ist sehr frustrierend da die Zeit anders genutzt werden könnte.
        Viele Grüsse
        Kathi

  • Ich brächte dringend einen „guten Tipp“

    Als Betreiber einer Plattform, die über aktuelle Veröffentlichungen von DJs und Produzenten berichtet, ist mir aufgefallen, dass durch das Einbinden der iFrames (Beatport / Juno) doch Google Analytics Daten „durchrutschen“.

    Ich selbst setze gar keine Tracking Tools ein, weder GA noch Piwik.

    Problem: „Selbsthosten“ der Sound-Snippets gäbe selbstredend auch wieder sofort mannigfaltige Probleme, also ist der Verweis auf die Online-Stores quasi ein Hilfskonstrukt.

    Soweit, so gut.

    So wie ich die Sache sehe, müsste ich quasi für den Bereich „New Releases“ / „Neuvorstellungen“ einen Hinweis ausgeben, die 100.000 Doller Frage ist wie.

    Hinzu kommt noch das Problem, dass Besucher aus Argentinien oder Canada für all diese Flut an Warnungen kaum Verständnis zeigt, da „wundert“ man sich recht oft über die europäischen Klimmzüge.

    Wie müsste ich denn solch einen Hinweis gestalten (im Datenschutz? /Menüpunkt/), wäre zumindest besser als noch ein weiters Pop-Up, denn dann könnte ich auch selbst GA einsetzen.

    • hört sich für mich nach der üblichen Social Media-Facebook-Button-Problematik an. Die Anbieter in den IFrames setzen eigene Cookies? Übliche Lösung = 2-Klick-Lösung, so dass der Nutzer den Inhalt des IFrames selbst aktivieren muss. (1 Klick = Infofenster über Folgen der Aktivierung popt auf, 2 Klick = Nutzer entscheidet sich aktiv für die Aktivierung des IFrames).
      Es Bleibt die Frage, nach der Anerkennung der deutschen DS-Vorgaben im Ausland.
      Ich würde die Info außerdem in die Datenschutzerklärung aufnehmen.

  • Hallo Dr. Datenschutz,
    zuerst einmal vielen Dank für diesen Artikel. Leider wird mir nicht ganz klar, was das Ziel des Datenschutzes hier ist. Geht es hier darum, dass die personenbezogenen Daten Google nicht zur Kenntnis gelangen oder um etwas anderes?
    Hintergrund der Frage: Als ehemaliger OM-Agentur Mitarbeiter setzten viele unserer Kunden Datenschutz konform Google Analytics ein. Gleichzeitig wurde jedoch über das eCommerce Tracking die Bestellnummer an das System übergeben. Somit kann für den Webseiten- / Shopbetreiber einen Bezug zum Nutzer hergestellt werden. Darauf wird jedoch leider in keinem Artikel eingegangen. Eventuell könnten Sie ja diesbezüglich den Artikel noch ergänzen. Viele Grüße

    • Hintergrund der datenschutzrechtlichen Problematik ist hier, dass die Datenschutz-Aufsichtsbehörden 2009 einen Beschluss erlassen haben, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig ist.
      Natürlich macht ein datenschutzkonformer Einsatz von Google Analytics nur dann Sinn, wenn die Daten nicht auf anderem Wege doch übermittelt bzw. verarbeitet werden oder ein Personenbezug auf andere Weise hergestellt werden kann. Der Anonymisierungscode sollte auch in die eCommerce Shopsoftware eingebunden werden.

      • Hallo,
        vielen Dank für Ihre Antwort, aus der hervorgeht, dass das eCommerce Tracking mit der Übergabe von Transaktionsnummern auf keiner Webseite eingesetzt werden dürfte.

  • Hallo,

    Ich habe selbst kürzlich eine Website erstellt und war zunächst etwas mit den deutschen Datenschutz auflagen überfordert.

    Mit diesem Artikel konnte ich schnell alle notwendigen Änderungen vornehmen ohne lange zu recherchieren, vielen Dank dafür!

    Mit freundlichen Grüßen

  • Danke für diesen Artikel. Hat mir eine mögliche Abmahnung erspart. :)
    Liebe Grüße

  • Hallo,
    eine Frage zum ADV-Vertrag mit Google. Wir haben bisher je angelegter Property (wir tracken ca. 175 eigene Domains, jede Property erlaubt nur 25 Datenansichten) einen eigenen ADV-Vertrag abgeschlossen. Ich habe folgende (widersprüchlichen) Informationen hier gefunden:
    1. Je Google-Konto muss (basierend auf der Kontonummer) ein ADV-Vertrag abgeschlossen werden – das würde bedeuten, ein Vertrag genügt.
    2. Der ADV-Vertrag bezieht sich nicht auf „alte“ Properties – wenn also nicht alle Properties eines Kontos unter den Vertrag fallen, würde das bedeuten, ich muss für jede Property (UA-12345678-90) einen eigenen Vertrag mit Google abschließen.
    Weiß das jemand genau?

    • Hallo Henrike, die Frage treibt mich auch um. Am besten wäre es natürlich, wenn ein Vertrag für alle unter einem Google-Analytics-Account laufenden Konten reichen würde. Maximal sind wohl 100 Konten mit jeweils 50 Properties möglich. In dem Vordruck für den ADV ist die Angabe der Kontonummer ja optional („sofern bekannt“). Bist du hierzu weitergekommen?

      • Hallo Alex, offenbar genügt ein Vertrag je Google-Konto – jedenfalls kann man seit dem 25. Mai einen Zusatzvertrag zur Datenverarbeitung je Konto über die GA-Verwaltungsoberfläche abschließen. Habe jetzt alle Instanzen als Properties in einem Konto hinterlegt…

  • Hallo und danke für den tollen Artikel. Auch in den Fragen und Antworten sind viele interessante Sachen zu lesen. Jetzt zu meiner Frage zur ADV mit Google:
    Im Analytics Konto unter dem Punkt Verwaltung / Kontoeinstellung findet man ganz unten den Zusatz zur Datenverarbeitung. Diesem habe ich zugestimmt und abgespeichert. Benötige ich zusätzlich trotzdem noch schriftlich die ADV von Google? Für Infos wäre ich sehr dankbar. Merci! und Gruß Holger

    • Ja, den ADV braucht man schriftlich.

      • Wenn ich bei Google Analytics „Zusatz zur Datenverarbeitung“ zugestimmt habe (klick). Wie bekomme ich dann die ADV schriftlich? Wie ist hier die genaue Vorgehensweise?

        • Der in den Google Analytics-Einstellungen hinterlegte Vertrag ist nicht als „schriftlicher Vertrag“ ausgelegt, da er ab dem 25.Mai 2018 online abgeschlossen werden kann. Sie müssen ab dann nichts schriftlich ausdrucken.
          Möchten sie aktuell einen ADV-Vertrag mit Google abschließen, müssen sie den aktuellen ADV-Vertrag ausdrucken und an die im Vertrag angegebene Adresse nach Irland versenden. Den Vertrag können sie unter hier herunterladen. Auf der ersten Seite des ADV-Vertrages sind alle weiteren Vorgehensschritte beschrieben.

  • Hallo, bald kommt ja die neue DSGVO-Verordnung raus. Am 25. Mai diesen Jahres soll sich einiges ändern. Ich habe mich sehr gefreut, als ich diesen Beitrag gefunden habe. Super :-) Da der Beitrag jetzt doch etwas älter ist, frage ich mich aber ob dieser die Anforderungen zum 25. Mai abdeckt? Oder findet man vielleicht auf Ihrer Webseite etwas aktuelleres? Oder haben Sie einen Tipp, wo ich mich diesbezüglich informieren kann? Wäre super :-)

    Lieben Gruß
    Andy

  • Nehmen wir an der analytics code wird NICHT als tag ins HTML eingebunden, sondern per Plugin, welches um Recource zu sparen eine eigene analytics.js auf dem eigenen Server hosten?
    google.com/search?q=host-analyticsjs-localk&oq=host-analyticsjs-localk&aqs=chrome..69i57j0.4191j0j7&sourceid=chrome&ie=UTF-8

    Im übrigen müsste es einem User möglich sein einen Post zu korrigieren oder zu löschen!

  • Danke, sehr hilfreicher Artikel, der mir das Porto für 18 Seiten nach Irland erspart hat. Opt outs waren eh schon gesetzt…

  • Hallo, zunächst vielen Dank für die ausführlichen Infos. Ich habe die Datenschutzerklärung nun mehrmals durchgelesen und den Hinweis auf auf die Verwendung von anonymizeIp nicht gefunden. Wo hat er sich versteckt?
    Grüße

    • Der Hinweis auf die Verwendung von anonymizeIp „versteckt“ sich in folgendem Satz der Datenschutzerklärung zu Google Analytics:
      „Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.“

      Aufgrund der ständigen Änderungen der Tracking-API (ga.js, analytics.js, gtag.js) bezieht sich der Hinweis auf die Anonymisierung nicht mehr auf den Namen des alten Funktionsaufrufs „anonymizeIp“, sondern allgemein auf „den Fall der IP-Anonymisierung“. Ob diese durch _anonymizeIp(), anonymizeIp oder anonymize_ip umgesetzt wird, kann hinsichtlich der Hinweispflichten keine wesentliche Rolle spielen, da alle Funktionsaufrufe demselben Zweck dienen.

  • Vielen Dank für den tollen Artikel. Wir haben den Code eingebaut, allerdings irritiert mich noch folgendes: nachdem ich den Opt-Out durchgeführt habe, überträgt mein Browser folgende Cookies:

    PHPSESSID=hb0ck56t42uu37unf4n013db02; _ga=GA1.2.766464341.1522434103; _gid=GA1.1.180111348.1122424103; ga-disable-UA-37xxxx-xx=true

    Während das „ga-disabe-UA“ eindeutig das Opt-Out belegt und das PHPSESSID von unserem CMS stammt, wundere ich mich dass TROTZDEM noch die beiden Cookies _gid und _ga Cookies weiter bestehen und übertragen werden. – Ist das wirklich konform so ?

    • Die Daten werden mit dem Opt-Out-Cookie nicht erfasst. Wir haben das mit der Echtzeit-Ansicht überprüft.

      • Die von Ihnen angebotene Lösung bezieht sich anscheinend nur auf den „alten“ GA-Tracking-Code, der mit ga.js arbeitet, nicht für die Variante mit analytics.js. Wenn ich Ihre Variante implementiere, werde ich weiterhin sichtbar als Nutzer in der GA-Echtzeit-Ansicht angezeigt. Gibt es eine Lösung für die analytics.js?

  • Ich habe hier einen Analytics Account (Login über eine Email-Adresse) mit ca. 20 Webseiten die alle über den gleichen Betreiber laufen! Reicht diese Auftragsdatenverarbeitung dann einmalig zu unterzeichnen oder müsste das für jede Webseite gemacht werden?

  • Und ist eigentlich die SSL Verschlüsselung auch für einfache Onepager Pflicht? Sprich ohne Kontaktformular und Pipapo. Nur einfaches Impressum wo man prinzipiell zur Kontaktaufnahme die angegebene Email-Adresse kopieren und somit diese zum Anschreiben nutzen kann und ein Startseitentext mit Verlinkung zu Amazone. Dafür braucht man doch kein https oder?

    • Wenn ich Sie richtig verstanden habe, nutzen Sie kein Kontaktformular, sondern haben nur ein Impressum auf Ihrer Website. Meines Erachtens benötigt man in diesen Fall keine SSL-Verschlüsselung. Ich möchte aber noch kurz auf die Verlinkung zu Amazon eingehen. Falls die Amazon-Verlinkung durch Sie gewerbsmäßig genutzt wird, müssten Sie eine E-Mail-Verschlüsselung zu Verfügung stellen. Aufgrund der gewerblichen Nutzung, wäre dann § 13 Abs. 7 TMG einschlägig.

  • Hallo, danke für die Anleitung!
    Ich habe mit Google Chrome geschaut, ob der „ga-disable-“ Cookie gesetzt wird. Das funktioniert, nur aber lediglich für die Seite mit „www“. In der Liste taucht die Seite ja einmal mit „www.“ und einmal ohne auf und der Cookie ist nur bei der Seite mit www zu finden. Ist das korrekt oder kann man das für beide einstellen?

    meineseite.de
    http://www.meineseite.de
    ga-disable-UA-xxx…

  • Hallo
    Wahrscheinlich eine blöde Frage, aber brauche ich eine Datenschutzerklärung, wenn ich Google Analytics für meine Webseite deaktiviere bzw. gar nicht aktiviere?

  • Hallo, erstmal vielen Dank für diesen tollen Beitrag! Er war schon sehr hilfreich und hat mir vieles erleichtert. Ich habe allerdings noch zwei Fragen, von denen ich mich sehr freuen würde, wenn ihr mir diese noch beantworten könntet.

    1. Ich habe die ersten Schritte alle durchgearbeitet, sprich den Code geändert und die Datenschutzerklärung auf meiner Seite angepasst. Bzgl dem Vertrag, wollte ich jetzt einfach bis Mai warten, um ihn dann online abschließen zu können. Das ist korrekt bzw. in Ordnung, richtig?

    2. Ich habe ein paar Probleme mit »4. Löschung der Altdaten«. Ich habe die Daten gelöscht, doch nun frage ich mich, wann die neuen Daten sichtbar werden bzw. getrackt werden. Wann oder wie geht es von vorne los?
    Nach Löschung der Altdaten kann ich keine neuen Daten sichten. Dort steht, mir fehle die Berechtigung… Wenn ich die Daten aus dem Papierkorb wieder herstelle, habe ich wieder die Berechtigung und sehe auch aktuelle Daten.. Versteht ihr das Problem und könnt mir ggf. weiterhelfen? Das wäre super!

    Viele Grüße
    Lena

    • Zu ihrer 1. Frage: Soweit sie – Stand heute – keinen schriftlichen ADV-Vertrag mit Google haben, ist der Einsatz von Google Analytics vor dem 25. Mai 2018 nicht rechtskonform.
      Sie sollten daher, wenn ein schriftlicher ADV-Vertrag mit Google nicht vorliegt, Google Analytics nicht vor dem 25. Mai 2018 auf ihrer Webseite einsetzen.
      Ab dem 25.Mai 2018 genügt es dann, die Angaben wie im Artikel beschrieben online auszufüllen und abzusenden.

      Zu ihrer 2. Frage: Eine Ferndiagnose und Beantwortung einer so spezifischen Frage ist von hier leider nur schwer möglich. Eventuell besteht das Problem darin, dass sie vor einem neuen Tracking zuerst ein neues Property anlegen müssen, da das Tracking Property-gebunden funktioniert. Im Zweifel sollten sie sich hier an einen geschulten Admin wenden.

      • Vielen Dank für die Antwort.
        Ich verstehe. Ich habe jetzt sicherheitshalber das Analytics-Konto gelöscht und auch den Code entfernt. Ich fange dann im Sommer einfach nochmal von vorne an und mache direkt alles richtig. :)
        Viele Grüße

  • Gibt es eigentlich auch schon irgendwo Empfehlungen für die Nutzung des Google Tag Manager in Verbindung mit Google Analytics

    • Hallo Julius,

      wir haben uns daran orientiert: metrika.de/blog/web-analytics/google-analytics-anonymizeip/

      Siehe Absatz „anonymizeIP im Universal Analytics Code mit Google Tag Manager und Settings-Variable“
      In den Kommentaren findest du noch eine Anmerkung von Maik Bruns (09.01.) wie man das ganze überprüfen kann.

      Ich hoffe, das hilft etwas weiter.
      VG

  • Hallo,
    auch von mir eine Frage zum AV-Vertrag mit Google. Eine ähnliche Frage hat bereits Henrike am 15.01.18 gestellt.
    Wir verwalten für eine Vielzahl von unseren Kunden die Google Analytics Accounts. D.h. wir haben zur Zeit 65 Konten und teilweise mehrere Properties pro Konto.

    Nun sind wir natürlich nicht die Webseitenbetreiber und ich frage mich, ob ich ob wir rechtlich gesehen, die digitalen AV-Verträge mit Google dafür überhaupt schließen dürfen.

    Wenn das möglich ist, muss ich dann bei den Details zum Zusatz der Datenverarbeitung den Webseitenbetreiber bei „Legal entities“ eintragen und bei den Kontakten dann den Datenschutzbeauftragten des Webseitenbetreibers + noch einen Kontakt von uns als Dienstleister/ Datenverarbeiter?

    Vielen Dank vorab für ein Feedback.

  • Mich irritiert beim Zusatz zur Datenverarbeitung die Passage „unter der Voraussetzung (…) dass Sie einen Direktkundenvertrag mit Google zur Verwendung von Google Analytics abgeschlossen haben“. Um welchen Vertrag handelt es sich hierbei? Ist zusätzlich zur Zustimmung zum Zusatz zur Datenverarbeitung noch ein Vertrag nötig?

  • Hallo,
    vielen Dank für den Artikel. Mir ist irgendwie nicht klar, ob Google Webmaster Tools (Search Console) und Google Analytics das selbe sind. Was muss man tun um die Search Console datenschutzkonform einsetzen zu können?

    • Hallo Dr. W.
      die Google Webmaster Tools bzw. Search Console ist nicht dasselbe wie Google Analytics.
      Im Bezug auf die Search Console spielt die DSGVO für Sie keine Rolle, da die dort erfassten Daten nicht auf Ihrer Website, sondern bei Google (in der Google Suche) erhoben werden.
      VG

  • Hallo,
    muss der Benutzer, der auf eine meiner Seiten kommt, dem Tracking von Google Analytics aktiv zustimmen und nicht wie vorgeschlagen das Tracking aktiv deaktivieren? Da man ja bereits vor der aktiven Zustimmung des Benutzers Daten über diesen erhebt.

  • vielen Dank für die ausführlichen Erklärungen1
    Eins ist mir aber noch nicht klar: wenn ich wie unter Pkt 5 beschrieben die Property lösche – dann verliere ich doch die Einstellungen für die betroffene Website – inkl Tracking-code u.ä. – dann muss ich das alles doch neu anlegen – oder wo ist mein Fehler?

  • Vielen Dank für diesen Artikel!

    Wie hier in einem älteren Kommentar verwende ich auch das Plugin Google Analytics für WordPress. Dort gibt es (erst jetzt?) die Option bzw den Schalter „enable support for user opt-out“, (Einstellungen des Plugin, tracking-code/erweiterte Einstellungen) Im Bereich Tracking-code gibt es diese Option immer ganz unten unter „erweitertes tracking“, in den o.g. erweiterten Einstellungen auch weiter oben (kurioser Weise die gleiche Überschrift „Erweitertes Tracking“ oben und unten in diesem Reiter. Erfüllt das die Funktion ihres o.g. Scriptes? Ansonsten habe ich auch das Problem, dass ich nicht weiß, wo ich das Script unter Pkt 2 bei mir einbauen soll – den Tracking Code baut ja das plugin ein….

    Verstehe ich das ansonsten korrekt, das ich die property löschen muss um die Alt-Daten zu löschen? Ich muss dann eine neue property anlegen und den dafür neu erhaltenen Tracking-code einbinden bzw im Plugin eintragen?

    • Wir können leider nichts zu einzelnen Plugins sagen. Sie sollten in jedem Fall das Script im Quellcode kontrollieren und prüfen, ob das Opt-Out-Cookie tatsächlich gesetzt wird. Firefox kann beispielsweise einzelne Cookies anzeigen.

      Alt-Daten löschen: Ja, neue Property anlegen und die alte dann löschen. Die neue ID muss dann auch ins Plugin eingetragen werden.

  • Danke für diesen Artikel, sie sollten jedoch noch erwähnen das beim anlegen einer neuen Property, die Einstellungen für diese Property erneut vorgenommen werden müssen. ( Aufbewahrung von Nutzer- und Ereignisdaten)

  • Hallo, sehr interessant, danke. Allerdings halte ich es für sinnlos, das Nutzertracking per Link in der Datenschutzerklärung mit einem Cookie zu unterbinden oder unterbinden zu lassen. Bei mir ist das Cookie dann beim schliessen des Browsers wieder weg, und ich gehe doch beim Besuch einer Seite nicht jedes mal in die Datenschutzerklärung, um das Tracking per Link erneut zu unterbinden. Es mag gesetzlich reichen, ist aber eigentlich Unfug.

  • Hallo, bezugnehmend auf das Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018: gehe ich recht in der Annahme, dass ein Dienst wie etwa cookiebot (zumindest von der Idee her) diese Lücke zufriedenstellend lösen sollte?

  • Hallo Dr. Datenschutz,

    in dem von Ihnen verlinkten „AVV“ wird unter Punkt 7.2 vom „BDSG“ gesprochen. Sollte es sich hier nicht um die DSGVO handeln?

  • Sehr geehrte Damen und Herren,
    vielen Dank für die Informationen. Leider funktioniert der Link für die Englische Version der Datenschutzerklärung anzeigen nicht

    • Können Sie das Problem etwas genauer beschreiben? Wir haben von unserer Seite keine Probleme die englische Version auszuklappen.

  • Hallo, eine etwas akribische Frage zu dem Link „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“: Dort soll eine „juristische Person“ angegeben werden. Als Einzelunternehmer (keine Firma, kein Kaufmann, nicht eingetragen) bin ich eine natürliche Person. Soll ich jetzt dort meinen Namen eintragen? Kriege ich Ärger, wenn dort nichts steht? Kriege ich Ärger, wenn ich vorgebe eine juristische Person zu sein? Hört sich vielleicht lächerlich an, aber als nicht-Jurist …

  • Vielen Dank für diesen sehr hilfreichen und informativen Beitrag! Ein paar Fragen hätte ich dennoch, über deren Antwort ich mich sehr freuen würde.

    Zu Punkt 2: Ich möchte die IP-Adressen anonymisieren jedoch finde ich in meinem Code nur: und nicht den typischen Tracking Code wie er auch bei Google Analytics zu finden ist. Zudem sieht der dort angegebene Tracking Code aus.
    Kann ich anstatt einfach den hier aufgeführten „Finaler Code inkl. IP-Anonymisierung und Opt-Out-Cookie“ einsetzten oder wie kann ich die IP-Anonymisierung umsetzten?

    Und zu Punkt 5: Kann ich die gesamte Property einfach löschen? Was genau wird dort in den Papierkorb verschoben?

    Vielen Dank! Und viele Grüße!

  • Inwieweit ist der finale Code von oben bitte noch aktuell?
    Gehe ich in meinen Google Analytics Account, wird mir dort als Codeschnipsel nicht mehr der von analytics.js ausgegeben, sondern ein Javascript gtag.js, das auf den Tagmanager zu verweisen scheint (obwohl ich diesen weder eingerichtet habe noch nutze): https://pastebin.com/LN6Xi3iB

  • Vielen Dank für diese tolle und verständliche Aufbereitung des Themas! Hat mir sehr geholfen!

  • Danke für den Artikel. Hinweis: Die DSGVO spricht von Auftragsverarbeitungs-Vertrag (AV-Vertrag) und nicht mehr von ADV-Verträgen.

  • Vielen Dank für die ausführlichen Informationen :-)
    Allerdings habe ich eine Frage: Das Opt-Out-Cookie wird mit „ga-disable-UA-xxxxxxxx-xx“ gesetzt. Gut, nun sollte sich GA daran halten.
    Was aber passiert, wenn der Besucher alle Cookies deaktiviert? Dann ist auch das Opt-Out-Cookie weg. Und schon darf GA wieder Daten sammeln?

  • Hallo,

    vielen Dank für diesen äußerst umfangreichen Artikel zum Thema Google Analytics.

    Beste Grüße,
    Gerd Kretzschmar

  • Hallo,
    vielen Dank für die praktische Anleitung. Hat uns sehr weiter geholfen.
    Beste Grüße
    Schorsch

  • Die Kompliziertheit wie man in Google diese neuen Bestimmungen annehmen muss ist nicht zu überbieten. Wir haben es jedenfalls nicht geschafft! Google + Verknüpfung, 360suite Verknüpfung, Adresseingaben noch und nochmal und am Ende „Zusätze zur Datenverarbeitung können auf dieser Seite nicht angenommen werden. Die Möglichkeit dazu besteht auf den Kontoeinstellungsseiten der einzelnen Analytics 360 Suite-Produkte.“ und dort natürlich keine Möglichkeit!

  • Hallo Intersoft Consulting Team,

    vielen vielen Dank für die ausführlichen und verständlich erklärten Informationen nicht nur in diesem Artikel.

    Ich frage mich bzgl. Analytics ob ich als Anwender bzw. als derjenige der den Tracking Code einbaut mich um die Anonymisierung der IP und um die Einstellungen bzgl. Aufbewahrungsdauer überhaupt kümmern muss?

    Wenn ich von den Prinzipien der „Privacy by design“ und „Privacy by default“ ausgehe, wäre da nicht Google, als Programmierer von Analytics, in der Pflicht die IP Anonymisierung von sich aus für EU Nutzer einzuschalten ohne, dass ich, als Anwender bzw. Einbauer des Tracking Codes, das machen muss? Auch in der Pflicht die Aufbewahrungsdauer per default auf DSGVO konforme Einstellungen zu setzen?

    Ich habe mit Google einen Auftragsdatenverwaltungsvertrag und Google hat erklärt die DSGVO einzuhalten, darum kann ich davon ausgehen, dass Google DSGVO konform arbeitet, also „Privacy by design“ und „Privacy by default“ umsetzt. Wenn sie das nicht machen ist das Googles Problem. Könnte man nicht so argumentieren?

    Klar, wenn Google es nicht macht, kümmere ich mich sicherheitshalber darum. Es geht mir nicht darum bei meiner Frage.

    Prinzipiell würde mich interessieren, ob nicht Google gefordert wäre. Könnte ich nicht argumentieren: ich setzte Analytics „out-of-the-box“ ein, da ich berechtigter Weise (Google hat sich verpflichtet das EU-US-Datenschutzschild oder wie nennt man das? einzuhalten) davon ausgehen kann, dass Google nach den Prinzipien von „Privacy b design“ und „Privacy by default“ arbeitet.

    Was würden Sie zu diesen Gedankengängen sagen?
    (Es geht mir darum zu verstehen ob theoretisch in der Auftragsdatenverwaltung zwischen großen Player-kleines Licht nicht viel mehr der große Player gefordert wäre.)

    Grüße aus dem Süden Südtirols
    Dietmar

    • Sie sprechen die Frage an, inwieweit Google als Auftragsverarbeiter und Hersteller von Google Analytics selbst für die Einhaltung der DSGVO (hier konkret Art. 25 DSGVO) in der Pflicht steht. Im Grundsatz ist der Gedanke richtig, dass bei der Implementierung von Google Analytics Google als Hersteller ein „Privacy by Design“ und „Privacy per Default“ Ansatz verfolgen muss. Anhand Ihres Beispiels zeigt sich, dass dies tatsächlich jedoch nicht unbedingt der Fall ist. Der Verantwortliche (Webseitenbetreiber) wird sich jedoch nicht darauf ausruhen können, dass der Auftragsverarbeiter als Hersteller es eigentlich „selbst regeln sollte“. Dies ist insbesondere vor dem Hintergrund zu sehen, dass Google dem Verantwortlichen die Möglichkeit gibt, bei der Einbindung selbst bestimmte Einstellungen – wie etwa die ip-anonymize()-Funktionalität – vorzunehmen. Soweit der Verantwortliche den Dienst nutzt und hierbei selbst datenschutzfreundliche Einstellungen vornehmen kann, ist er in letzter Konsequenz selbst für die datenschutzkonforme Verarbeitung verantwortlich. Hiervon gehen auch die Aufsichtsbehörden in ihren Stellungnahmen aus.
      Da das Konzept „Datenschutz durch datenschutzfreundliche Voreinstellungen“ ein Novum darstellt, wird sich erst zeigen müssen inwieweit Hersteller hier tatsächlich in die Pflicht genommen werden.

  • Hallo,
    sehr guter Beitrag. Eine Frage: ist der schriftliche Vertrag nicht mehr erforderlich? Dem Link (https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf) zu urteilen scheint sich das mit der schriftlichen Version erübrigt zu haben, sehe ich das richtig? Eine Antwort auf die Frage von Herbert „Hallo, eine etwas akribische Frage zu dem Link „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“: Dort soll eine „juristische Person“ angegeben werden. Als Einzelunternehmer (keine Firma, kein Kaufmann, nicht eingetragen) bin ich eine natürliche Person. Soll ich jetzt dort meinen Namen eintragen? Kriege ich Ärger, wenn dort nichts steht? Kriege ich Ärger, wenn ich vorgebe eine juristische Person zu sein? Hört sich vielleicht lächerlich an, aber als nicht-Jurist …“ würde mich auch sehr interessieren.
    Ich freue mich auf eine Rückmeldung
    Viele Grüße
    Jewels

  • Hallo,
    vielen Dank für die sehr ausführlichen Infos in diesem Beitrag.

    Soweit ist weiß, hat Google die Unternehmensform geändert. Aus Google Inc. ist Google LLC als Dienstanbieter geworden. Der Text müsste dementsprechend geändert werden.

    Viele Grüße
    Sven

  • Liebes Datenschutz-Team,

    Vielen Dank für den ausführlichen Artikel. Ich empfehle in meinem Unternehmen als DSB nur noch Matomo (ehem. Piwik), da es m.E. datenschuztfreundlicher (z.B. was den Opt-out anbelangt) und v.a. ohne AV-Vertrag nutzbar ist. Würden Sie diese Einschätzung (soweit in der allg. Form möglich) teilen?

    Vielen Dank und Gruß
    Patrick

    • Die auf dem Markt angebotenen Tracker unterscheiden sich hinsichtlich Serverstandort, Einrichtungsaufwand, Funktionsumfang, Trackinggenauigkeit und Kosten. Matomo ermöglicht im Gegensatz zu Google Analytics den Betrieb auf einem eigenen Webserver, was mehrere Vorteile mit sich bringt, wie etwa, dass keine Daten außerhalb des EWR-Raumes übermittelt werden und auch der Anbieter keinen Zugriff auf die erfassten Analysedaten erhält, wodurch die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages entfällt. Welches „Gesamtpaket“ am meisten überzeugt, muss jedes Unternehmen für sich entscheiden.

  • Wird bei Einbindung des Codes eine Opt-In Meldung angezeigt bzw. was genau Bewirkt der Code?

    • Der Code ist eine Kombination aus Universal Analytics, IP-Anonymisierung und Opt-Out-Cookie-Skript. Mit diesem Code wird keine Opt-In-Meldung angezeigt, sondern nur beim Opt-Out erfolgt ein Hinweis.

  • Die DSGVO schreibt ja auch vor, dass man Auskunft darüber geben muss, welche Daten überhaupt im Rahmen von Google Analytics verarbeitet werden.

    Weiß jemand, welche das sind? Das wird doch sicher nicht nur die gekürzte IP-Adresse sein, sondern auch noch weitere Daten, etwa eine ID o.ä.?

  • Unter Punkt 1: Zusatz zur Datenverarbeitung: weitere Informationen (Schweiz und nicht EU Land). Euer Link funktioniert nicht

    • Dabei handelt es sich um ein Bild und nicht um einen Link. Diesen finden Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ bei der Rubrik „Zusatz zur Datenverarbeitung“.

  • Das Thema Zulässigkeit bzw. Rechtsgrundlage ist aus meiner Sicht eher stiefmütterlich behandelt. Zwar wurden die zwei Alternativen aus Art. 6. Abs. 1 S. 1 DS-GVO richtig genannt, es ist die Einwilligung (lit. a)) und die berechtigten Interessen (lit. f)).

    Jedoch steht der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO übergeordnet über den beiden Rechtsgrundlagen und besagt, dass ausschließlich solche personenbezogenen Daten und nur in einem solchen Umfang verarbeitet werden dürfen, wie es erforderlich ist, um den Zweck zu erreichen.

    An dieser Stelle kommt eine praktische Krux zum Zuge: Aus meiner anwaltlichen Berurfserfahrung mit einer Vielzahl von Datenschutzhinweisen wurden die allermeisten Tracking-Tools für Websites (mit und ohne Webshop) von Websiteprogrammierern eingebunden, weil das zu deren Standardbaukasten gehört. Der Websitebetreiber benutzt die Tools nach dem GoLive überhaupt nicht. In diesen Fällen kann man sich den Aufwand für die Einwilligung oder den AV-Vertrag mit Google sparen. Die Datenverarbeitung erfolgt nämlich grundlos und ist damit per se unzulässig.

    Empfehlung: Entweder nutzen und nutzungsumfang protokollieren (d.h. welche Erkenntnisse wurden wie umgesetzt oder warum nicht umgesetzt). Oder das Tracking schlicht von der Website löschen.

    Gruß, RA Roman Pusep

    • Danke für Ihre Hinweise. Es handelt sich hier um eine praktische Anleitung für den Anwender wie GA rechtskonform einsetzbar ist. Eine breite theoretische Auseinandersetzung mit den einschlägigen Rechtsgrundlagen ist deswegen ganz bewusst nicht vorgenommen worden. Ihre Anmerkung bezüglich der Unzulässigkeit von Webtracking-Tools, wenn deren Ergebnisse überhaupt nicht genutzt werden, ist sicherlich richtig. Allerdings richtet sich der Artikel wie gesagt an die tatsächlichen Nutzer von GA, bei denen sich diese Problematik erst einmal nicht ergeben sollte. Ihrer Empfehlung, ungenutzte Tracking-Tools besser von der Webseite zu löschen, kann man sich natürlich nur anschließen.

  • Ich finde den Artikel super hilfreich. Google hat auf das gtag umgestellt. Welche Änderungen bezüglich der Implementation ergeben sich hier? Schritt 2 ist mit dem gtag nicht umzusetzten, oder hab ich da was übersehen?

  • Leider ist der Text zum Datenschutz veraltet und irreführend. Die Textstelle „Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.“ trifft nicht mehr zu und ist lange veraltet. Ich würde empfehlen, die Texte entsprechend anzupassen.
    Vielen Dank!

    • Wir danken für den Hinweis. In der Vergangenheit hatte Google sich dahingehend geäußert, dass nur in Ausnahmefällen die volle IP-Adresse an einen Server übermittelt werden kann. In der aktuellen Dokumentation (https://support.google.com/analytics/answer/2763052?hl=de) findet sich kein Hinweis mehr auf ein solches Vorgehen, soweit die anonymizeIP-Funktion durch den Seitenbetreiber genutzt wird. Wir haben den Text entsprechend angepasst.

      • Hallo, ich habe mit Interesse den Artikel gelesen, da auf der Unternehmenswebseite Google Analytics eingesetzt wird. Nun möchte ich die eigenen DS-Hinweise anpassen und habe die Vorlage studiert. Leider sind die in den Kommentaren genannten Anpassungen nicht ersichtlich oder gab es wieder neue Änderungen?

        • Wir passen den Beitrag immer wieder an, um die Informationen aktuell zu halten. Würden wir jede Änderung sichtbar machen, wäre der Artikel sehr unübersichtlich. Der aktuelle Stand ist vom 15. September 2020.

  • Hallo,
    wir wollen GA einsetzen. Bei einern Durchsicht das Google AV Musters sind uns ein paar Ungereimtheiten beim Einsatz von Unterauftragnehmern aufgefallen. So ist es zwar allgemein möglich einen AV Vertrag online abzuschließen, für die Genehmigung der Subunternehmer ist jedoch die Schriftform erforderlich, die hier nicht bei GA gegeben ist. Das Thema Schriftformerfordernis in solchen Fällen wird nicht nur bei GA ein Thema sein und es handelt sich auch vemrutlich um ein Rechtsversehen bei der Erstellung der DSGVO. Aber wie ist damit in der Praxis umzugehen?

    • Das Problem, welches Sie schildern ist in der Tat für eine Vielzahl von Auftragsverarbeitungsverhältnissen relevant und wird nach wie vor heiß diskutiert. Wie Sie richtig anmerken spricht der Wortlaut des Art. 28 Abs. 2 DSGVO ausdrücklich vom Schriftformerfordernis. Zwar nennt Art. 28 Abs. 9 DSGVO ebenfalls die Schriftform, fügt jedoch hinzu, dass dies auch elektronisch erfolgen kann. Da ein vergleichbarer Zusatz in Abs. 2 fehlt, müsste man im Umkehrschluss davon ausgehen, dass der Gesetzgeber hier bewusst die elektronische Form nicht genügen lassen wollte.

      Dies wird teilweise damit begründet, die allgemeine Genehmigung würde ein hohes Risiko beinhalten. Klar ist aber auch, dass in einer Vielzahl von Fällen dieses Ergebnis nicht überzeugen kann. Aus Art. 28 Abs. 3 lit. d DSGVO geht hervor, dass die Bedingungen für die Beauftragung von Unterauftragnehmern im Auftragsverarbeitungsvertrag – der ja gerade auch elektronisch geschlossen werden kann – geregelt werden sollen. Dass ein einzelner Bestandteil des Vertrages einer strengeren Form unterworfen wird, erscheint nicht interessengerecht.

      Leider können wir an dieser Stelle keine klare Aussage darüber treffen, welche Form nun ausreichend ist. Hier wird derzeit vieles mit nachvollziehbaren Argumenten vertreten. Jedoch spricht die Ausfüllhilfe des BayLDA (https://www.lda.bayern.de/media/muster_adv.pdf) sowie das Kurzpapier der DSK Nr. 13 dafür, dass die Genehmigung grundsätzlich auch in Textform erfolgen kann. Klar ist jedenfalls, dass der reine Wortlaut auf die faktischen Verhältnisse zwischen Google und seinen Nutzern wohl nicht passen dürfte.

  • Hallo,
    vielen Dank für diese Übersicht! Hat sich Ihrer Ansicht nach durch die DSK-Konferenz und die neue „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ aus April 2019 etwas geändert?

    etracker geht bspw. davon aus, dass GA „nur mit Einwilligung einsetzbar“ sei. (https://www.etracker.com/blog/endlich-klarheit-zum-dsgvo-konformen-tracking-von-den-deutschen-datenschutzbehoerden/)

  • Vielen Dank für die tollen Hinweise. Definitiv kein einfaches Thema. Auch nicht wegen der technischen Anforderungen. Mit etwas Übung hat das allerdings funktioniert. Besten Dank!

  • Der tracking code den GA heute mitteilt ist 14 stellig, die tracking code Vorlage im finalen code unter 1. Tracking code anpassen ist jedoch nur 13 stellig. Kann der 13 stellige Zeichensatz durch den 14 stelligen GA tracking code im finalen code ersetzt werden?
    Paula

  • Guten Tag, Ist ein Opt-out für GA nach dem Facebook-Like Button Urteil von Ende Juli 2019 noch möglich? Oder muss auch für GA jetzt ein OPT-IN eingesetzt werden? (Was Google Analytics dann insgesamt ziemlich sinnlos macht)
    Was ist die Meinung der Datenschutzbeauftragten hierzu?
    Danke

    • Es bleibt abzuwarten ob das Facebook Like-Button Urteil Auswirkungen auf den Einsatz von Google Analytics haben wird. Wir gehen mittelfristig davon aus. Die Aufsichtsbehörden haben auf Fachveranstaltungen angedeutet, dass nach der EuGH-Entscheidung zu Facebook hier nicht mehr von einer Auftragsverarbeitung ausgegangen werden könne. Die nachgelagerte Verarbeitung von Daten zu eigenen Zwecken spräche für eine gemeinsame Verantwortlichkeit, eine neue Betrachtung von offizieller Seite wird im Detail noch folgen. Wann sich die Behörden hierzu offiziell äußern, ist noch nicht abzusehen.

  • 2GDPR geht bspw. davon aus, dass Google Analytics nur mit Einwilligung einsetzbar sei (2gdpr.com)
    Dies wird gemeldet, wenn die Website nicht den OPT-IN-Anforderungen entspricht.

  • Braucht MATOMO (ehemals Piwik) als selbst gehostetes Tracking-Tool ein Opt-In nach dem neuesten EuGH Urteil?

    • Das “Fashion-ID”-Urteil bzw. „Facebook Like-Button“- Urteil des EuGH vom 29.07.2019 trifft keine konkrete Aussage über den Einsatz von Tracking Tools, denn es behandelt in erster Linie die Verantwortlichkeit bei Einsatz von sog. Social Plugins (konkret dem „Gefällt-mir“-Button von Facebook.

      Die Besonderheit bei einem selbst gehosteten Tracking-Tool wie MATOMO (ehemals Piwik) ist, dass die Tracking-Daten für die Verhaltens-Analyse nicht an einen Dritten (hier dem Analyse-Tool-Anbieter) übermittelt werden, sondern lokal auf dem eigenen Server gehostet werden kann.

      Ob der lokale Einsatz von Tracking-Tools wie MATOMO einwilligungsbedürftig ist, wurde bisher nicht vom EuGH entschieden.
      Die Tendenz geht jedoch dahin, dass auch hierfür Einwilligungen nötig sein werden.

      – In der Orientierungshilfe zum Webtracking vom März 2019
      wurde die Einwilligungsbedürftigkeit bei Einsatz von „lokalen“ Tracking-Tools noch offen gelassen und angedeutet, dass hier auch das berechtigte Interesse in Betracht kommen kann (siehe hierzu unseren Blogartikel).

      – Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat Ende April 2019 in einem FAQ geäußert, dass das Nutzerverhalten der Website ohne Einwilligung erfasst werden kann, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zugegriffen wird.

      – Dieselbe Aufsichtsbehörde hat im Anschluss an das Planet49-Urteil des EuGH vom 01. Oktober 2019 jedoch am 09.Oktober 2019 den Hinweis veröffentlicht: „Wer etwa Cookies nutzt, um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen, benötigt dafür grundsätzlich die informiert, freiwillig, vorherig, aktiv, separat und widerruflich erklärte Einwilligung des Nutzers.
      Hier unterscheidet die Behörde erkennbar nicht mehr zwischen externem Tracking-Tool (z.B. Google Analytics) und lokal gehosteten Tracking-Tool bezüglich des Einwilligungserfordernisses.

      Hieran lässt sich insgesamt ablesen, dass die rechtlichen Anforderungen an den Einsatz eines lokalen Tracking-Tools wie MATOMO für Webseite-Betreiber leider weiterhin ein Stück weit undurchsichtig bleiben.

  • Meines Erachtens ist man mit der IP Anonymisierung nicht auf der sicheren Seite, da nach Aussage von Google auch Device Fingerprinting genutzt wird, um Tracking Daten einer identifizierbaren Person zuzuordnen.

  • Guten Tag! Verstehe ich richtig, dass Punkt 5 nur gilt, wenn die IP nicht anonymisiert wird?

    • Nein, aber uns würde interessieren, aus welcher Passage Sie diese Schlussfolgerung ziehen. Grundsätzlich sind wie am Anfang des Beitrags dargestellt alle Punkte umzusetzen:

      „Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt sechs Punkte, die einzuhalten sind:“

      • Die Seite mein-datenschutzbeauftragter.de/webanalyse-datenschutz stellt „Webanalyse mit Einwilligung des Nutzers“ und „Anonymisierte Webanalyse“ als „zwei Varianten“ vor, um die rechtskonforme Erfassung und Verarbeitung von Nutzerdaten zu gewährleisten. Sie stellen beide Maßnahmen als obligatorisch dar. Daher meine Verwirrung. Über eine kurze Stellungnahme würde ich mich sehr freuen. MfG

        • IP-Anonymisierung und Einwilligung müssen (neben den anderen im Artikel genannten Voraussetzungen) kumulativ vorliegen, um Google Analytics datenschutzkonform verwenden zu können.

          Warum die von Ihnen genannte Website dies anders darstellt, ist für uns nicht ersichtlich. Möglicherweise wurde diese seit dem Planet49-Urteil des EuGHs und den im Artikel verlinkten Pressemittelungen der Aufsichtsbehörden nicht aktualisiert oder der Autor vertritt eine andere Meinung. Eine Orientierung an der Ansicht der Aufsichtsbehörden aus Gründen der Risikominimierung ist jedoch empfehlenswert.

  • Ich sitze momentan an der Implementierung von Google Analytics inkl. Opt-In (Rechtsgrundlage „Einwilligung“). Ich stehe nun vor einem Konflikt: Ich weiß, dass ich die Einwilligung und einen etwaigen Widerruf mit einem Timestamp dokumentieren muss. Mir ist nicht klar, wie ich das umsetzen soll, um (z.B. vor Gericht?) einen sauberen Nachweis einer Einwilligung zu haben. Im Endeffekt müsste eine Einwilligung ja auf einen konkreten Nutzer zurückzuführen sein, um eine rechtliche Belastbarkeit der Einwilligung. Andererseits möchte ich die Analytics ja möglichst vollständig anonym halten. Meines Erachtens ein Zielkonflikt.

    Haben Sie einen Ratschlag oder eine Best-Practice, wie man die Einwilligung eines Nutzers im Internet rechtssicher dokumentiert? Ich habe mir die Frage schon häufiger gestellt; auf Websites, die bspw. Cookie-Consent verlangen, muss normalerweise kein personenbezogenes Datum (z.B. E-Mail?) bei der Consent-Dokumentation eingegeben werden – d.h. hier muss der Consent anhand anderer Informationen dokumentiert werden (IP-Adresse?). Ich frage mich nur: Welche Mehrwert soll eine solche „weiche“ Dokumentation bringen?

    Vielen Dank!

  • Über die Einstellungen der Opt-In-Pflicht zu entkommen entgegen der ausdrücklichen Maßgabe der Behörden erscheint mir extrem riskant. Wir sind lieber zu etracker gewechselt – reibungslos und nachweislich ohne Einwilligungspflicht.

  • Hallo, herzlichen Dank für Ihre Ausführungen! Allerdings erschließt sich mir nicht, wie Sie zur Auffassung gelangen, dass bei einer ANONYMISIERUNG einer IP-Adresse mittels AnonymizeIP i. V. mit GoogleAnalytics bspw. noch ein Widerrufsrecht eingeräumt oder die Nutzung von GoogleAnalytics dem Besucher der Webseite angezeigt werden müsse? Eine anonymisierte IP-Adresse stellt kein personenbezogenes Datum mehr dar! Primärer Sinn und Zweck der Erhebung und Verarbeitung der IP-Adresse des Besuchers einer Webseite ist zunächst deren technische Erforderlichkeit für die Kommunikation zwischen Webserver und Clientanwendung (Browser), die i. d. R. gesondert in der Datenschutzerklärung behandelt wird.

    Viele Grüße
    Sidney

    • Die DSK vertritt dazu die Rechtsansicht, dass die Kürzung der IP-Adresse eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer darstellt, sie jedoch nicht dazu führt, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben.

  • Vielen Dank für die wie immer guten Informationen! Ich habe den Text für die Datenschutzerklärung um die Stellungnahme der AB ergänzt. Zu IP-Masking: Wir weisen darauf hin, dass die Kürzung der IP-Adresse eine zusätzliche Maßnahme zum Schutz der Nutzer darstellt, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Zu Empfänger: Wir weisen darauf hin, dass Google eine Reihe von Daten nicht als personenbezogen ansieht und in eigener Verantwortung verarbeitet. Zu Übermittlung in Drittstaaten: Wir weisen Sie darauf hin, dass das Datenschutzniveau in den USA aufgrund der dort geltenden Gesetze unter dem europäischen Niveau liegt. Ihre Daten können ggf. von US-amerikanischen Strafverfolgungsbehörden und Geheimdiensten eingesehen werden. Noch ein Hinweis zum Text unter Speicherdauer: sofern man ein Consent Tool wie cookiebot einsetzt, kann man sich die Plug-Ins m.E. sparen – kein consent, kein Tracking.

  • Den Artikel finde ich etwas verwirrend: im Update vom 15.9.2020 wird auf einen Beschluß aus dem Mai verwiesen, mit keinem Wort aber das SchremsII-Urteil zum Privacy Shield erwähnt.
    Dann wird im Abschnitt 1 empfohlen, eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen, der Abschnitt endet aber mit der Aussage „Bitte beachten: Google bietet derzeit keine Vereinbarung an, die den Anforderungen des Art. 26 DSGVO gerecht wird.“
    Das bedeutet nun also für mich als Anwender konkret?

    • Es wird z.T. argumentiert, dass es keine reine Auftragsverarbeitung ist, weil Google eigene Zwecke verfolgt (und auch einige Daten nicht als personenbezogen ansieht). Also wäre eine Vereinbarung zur gemeinsamen Verantwortung notwendig (Art. 26 DSGVO). Ich verweise in der Datenschutzerklärung deshalb auf die „processorterms“ von Google, die mittlerweile die Standadrdatenschutzklauseln einschließen.

  • Muss ein aktives Opt In vom Websitenbesucher erfragt werden? Oder reicht ein Verweis in der Form: wir verwenden cookies, näheres in der Datenschutzerklärung… Und dort findet man: Browsereinstellungen können angepasst werden. Aber bis ich da ankomme, habe ich doch schon Daten hinterlassen?

  • Seit der letzten EUGH-Entscheidung zu Schrems II EuGH-Urteils C-311/18 „Schremps II“ vom 16.Juli 2020 müsste der Artikel doch eigentlich vollständig neu geschrieben oder einfach gelöscht werden!

    • Es ist richtig, dass die Schrems-II-Entscheidung den Transfer von personenbezogenen Daten in die USA erheblich erschwert hat. Eine 100%ige DSGVO-Konformität ist derzeit gar nicht möglich. Darauf haben wir in unserem Fazit ausdrücklich hingewiesen. Wir haben natürlich die aktuelle Rechtsprechung und die aktuelle Rechtslage bestmöglich berücksichtigt, siehe auch unser Update unter „4. Einwilligung einholen“. Gerade weil hier noch nicht das „letzte Wort“ gesprochen ist, halten wir eine komplette Überarbeitung derzeit für nicht zielführend.

    • Sehe ich ähnlich. Weiterhin ist anzumerken, dass es relativ unmöglich ist eine wirksame Einwilligung einzuholen. Dies wird regelmäßig an einer ausreichenden Aufklärung über die Rechtslage in den USA scheitern, die diesseits des Atlantiks nur mit viel Aufwand/Kosten geleistet werden könnte. Der Weg über die Standardvertragsklauseln ist zwar prinzipiell noch gangbar, ist allerdings mit Vorsicht zu genießen, denn es müsse geeignete Maßnahmen erhoben werden, die garantieren, dass die US-amerikanischen Strafverfolgungs- und Sicherheitsbehörden (zu denen auch deren Geheimdienste zählen) keine Kenntnis von den transferierten Daten erlangen. Eine Einschränkung, die in Anbetracht der Größe Googles und der Undurchsichtigkeit der Abläufe und Datenverarbeitungen der Googleservices, ebenfalls kaum umsetzbar sein wird. Alles in allem, sind die Google Services, im speziellen Google Analytics seit Schrems-II tot.

  • Stellt die DSK unter Ziff. II nicht eher fest, dass es sich um eine gemeinsame Verantwortung handelt? Zitat: „Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DS-GVO zu beachten sind.“ Bietet ihres Wissens nach Google einen entsprechenden Vertrag an und wenn nicht, wissen sie wie man hiermit umgehen soll. Danke!

    • Ja, wie unter Punkt 1 oben gesagt: Nach Einschätzung der Aufsichtsbehörden ist eine Einbindung von Google Analytics (GA) über eine Auftragsverarbeitung gemäß Art. 28 DSGVO nicht mehr zulässig, wenn Google Analytics mit den von Google derzeit (Stand März 2020) empfohlenen Standardeinstellungen betrieben wird. Vielmehr liegt in diesem Fall eine sog. gemeinsame Verantwortlichkeit zwischen Google und dem Webseitenbetreiber gemäß Art. 26 DSGVO vor.
      Entscheidend ist hier die Frage der Zwecke und Mittel über die nur ein Controller entscheiden kann/darf. Allgemein für die Nutzung von GA bietet Google keinen Joint-Controller-Vertrag an.

      • Vielen Dank für die Antwort. Was genau bedeutet denn „Standardeinstellungen“? Gibt es überhaupt eine Möglichkeit GA so einzustellen, dass es keine gemeinsame Verantwortung wäre bzw. woher wüsste man das? Besten Dank

  • Liebes Dr. Datenschutz Team,

    wenn ich es richtig interpretiere ist beim Einsatz von Google Analytics auch bei Nutzung der Funktion IP-Maskierung („anonymizeIP“) eine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO, durch den Websiten-Betreiber einzuholen. Mir stellt sich hier die Frage warum dem so ist, da dadurch doch eine Identifizierbarkeit durch den Websiten-Betreiber ausgeschlossen ist. Meine spontane Vermutung ist, das die Einwilligung trotzdem geboten ist, weil einfach nicht zu 100 % klar ist, welche Daten Google genau beim Einsatz von Google Analytics durch Websiten-Betreiber erhebt. Liegt das Problem soz. darin, dass Google nicht anonymisierte und somit personenbezogene Daten erhebt, auch wenn der Websiten-Betreiber durch die IP-Maskierung keinen Personenbezug herstellen kann?

    Ich freue mich über Ihre Rückmeldung.
    Vielen Dank im Voraus.

    VG
    Moritz

    • Die DSK vertritt dazu die Rechtsansicht, dass die Kürzung der IP-Adresse eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer darstellt, die jedoch nicht dazu führt, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben.

      • Vielen Dank für die rasche Rückmeldung. Also auch trotz IP-Maskierung („anonymizeIP“) eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO?

        • Ja. Vereinfacht gesagt gilt: Das Setzen von Cookies, die nicht unbedingt erforderlich sind, bedürfen der aktiven Einwilligung des Internetnutzers.
          Insoweit noch ergänzend der Hinweis auf das deutsche TTDSG (insbesondere § 25), welches am 01.12.2021 in Kraft treten wird.

  • 2022 Update: Google Analytics ohne Rechtsgrundlage – und damit unzulässig in Deutschland und Österreich?!

    Österreich
    [Zitiert aus Newsletter von Prof. Dr. Hoeren, ITM, Münster]
    „Österreichische Datenschutzaufsicht: Google analytics verboten

    Österreichische Datenschutzbehörde. Entscheidung vom 22. Dezember 2021 – D 155.027
    Die Nutzung von Google Analytics nur auf Basis von (alten) Standardvertragsklauseln reicht NICHT. Die Österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google analytics auf einer Website eines österreichischen Unternehmens nach dem Urteil des EuGH Schrems II nur auf Basis der (online) abgeschlossenen Standardvertragsklauseln mit Google ohne zusätzliche Maßnahmen nicht zulässig ist. Es werden dabei nämlich Daten, die auf Google’s Servern landen, in die USA übermittelt. Und die dort ansässigen Behörden haben nach den dort geltenden Gesetzen potentiell Zugang zu all diesen Daten.
    Volltext.

    Deutschland
    [Zitiert aus neuem DSK Papier]
    „Gerade im Zusammenhang mit der Einbindung von Dritt-Inhalten und der Nutzung von Tracking-Dienstleistungen werden allerdings oft keine ausreichenden ergänzenden Maßnahmen möglich sein. In diesem Fall dürfen die betroffenen Dienste nicht genutzt, also auch nicht in die Webseite eingebunden werden.49 Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“

    @Dr. Datenschutz: Auf welche Rechtsgrundlage kann man den GA Einsatz noch stützen, wenn die Basis (Standardvertragsklauseln) fehlt und eine „regelmäßige Einwilligung“ gar nicht wirksam möglich ist? Vorausgesetzt natürlich, man will nicht gegen die Behörden vor Gericht ziehen…

    Vielleicht ist es eine gute Idee, den Artikel mit der Antwort entsprechen anzupassen, denn bis hier lesen nur die ganz Mutigen ;-)

    • Hallo Herr Bennefeld,

      erst mal danke für den Hinweis. Die Überarbeitung ist seit gestern Abend / heute Morgen auf der To-do-Liste der Redaktion und wird in nächster Zeit erfolgen [Wir haben das oben derweil im Artikel gekennzeichnet]. An der Entscheidung der österreichischen DSB kam man ja gestern kaum vorbei. Da diese auf eine der 101 europaweit von noyb eingereichten Musterbeschwerden zurückgeht, wird sich damit nicht nur in Deutschland und Österreich etwas ändern. Denn der Europäische Datenschutzausschuss hatte für deren möglichst einheitliche Bearbeitung eigens eine Task Force eingerichtet. Und zumindest die niederländische Aufsichtsbehörde hat ihre Entscheidungen in der Sache schon angeteasert. Aktuell schauen wir, ob die anderen Aufsichtsbehörden zeitnah nachziehen und ihre Entscheidungen veröffentlichen, um zu sehen, ob / bzw. wie sehr diese voneinander abweichen.

      Unter der von Ihnen genannten Bedingung ist der Einsatz von Google Analytics nicht möglich. Das war er aber auch schon zum letzten Stand (09.2020) nicht mehr, da theoretisch die Möglichkeit bestand, mit der Aufsichtsbehörde aneinander zu geraten. Das wurde im Beitrag und den Kommmentaren aber auch immer wieder deutlich gemacht, so beginnt der Artikel bspw. mit „Im Sinne einer Risikominimierung beim Einsatz von Google Analytics ergeben sich folgende Handlungsempfehlungen“.

  • Es wirkt schon verstörend, dass der Artikel immer noch nicht an die neuen Entwicklungen angepasst wurde. Offenbar kann man sich auf die „Beratung“ hier nicht verlassen – außer man sucht Streit mit den Aufsichtsbehörden. Schade!

  • Es scheint, dass Google Analytics jetzt Europa-weit illegal ist, wenn man die Meldung von heute ließt: cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply Ist die Headline „Google Analytics datenschutzkonform einsetzen“ jetzt Fake News oder gibt es einen Trick? Eine Klarstellung wäre wirklich hilfreich!

    • Grundsätzlich handelt es sich bei der Meldung erst mal nur um die Rechtsauffassung einer Aufsichtsbehörde, die abschließende Auslegung der DSGVO ist den Gerichten und insbesondere dem europäischen Gerichtshof vorbehalten. Aus der Pressemitteilung kann man mitnehmen, dass die französische Datenschutzbehörde der Meinung ist, dass ein Datentransfer an Google in die USA auf Basis der Standardvertragsklauseln rechtswidrig ist und daher einen Websitebetreiber nach einer Beschwerde aufgefordert hat, die Datenverarbeitungen seiner Seite in Einklang mit der DSGVO zu bringen.

      Die Überschrift unseres Beitrags stammt aus der Zeit des Veröffentlichungsdatums. Der Beitrag wird zur Zeit intern überarbeitet (Siehe oben. Erster Satz). Ansonsten verweisen wir auch auf diesen Kommentar und unsere Antwort.

      • Heißt das also die Anleitung hier ist doch korrekt und man kann Google Analytics getrost weiter betreiben bis ein Gerichtsurteil vorliegt?

        Sorry, das ich so blöd nachfrage, bin kein Jurist. Eine klare(!) Antwort wäre großartig, denn ich will uns keinen Ärger mit den Behörden ins Haus holen – und ein Analytics System wechselt man nicht wie die Unterwäsche. Das will geplant sein…

        • Die Anleitung ist mittlerweile angepasst und gibt jetzt auch eingangs die Risiken wieder. Wenn Sie keinen Ärger mit der Behörde haben wollen, können Sie Google Analytics nicht getrost weiterbetreiben. Diese haben eine gemeinsam abgestimmte und gefestigte Rechtsauffassung und werden zumindest nach Betroffenenbeschwerden auch entsprechend tätig werden.

          Ob diese Auffassung einer gerichtlicher Überprüfung standhält, steht wiederum auf einem anderen Blatt. Bisher stehen wir hier am Anfang. Eine erste Entscheidung zu der Theamtik gab es z.B. beim Anbieter Cookiebot, die wir auch besprochen hatten. Diese wurde aber mittlerweile wieder aufgehoben.

  • Ist es möglich auch keinen Cookie-Hinweis einzubauen, wenn man Analytics nicht verwendet (und sonst auch keine Marketing-Cookies)? Bzw. arbeitet Google nicht an einem „consent“-mode? Wenn ich das richtig verstanden habe, muss Analytics dann nicht bestätigt werden? Ich würde mir evtl. dazu auch ein Beitrag wünschen, wenn möglich. Ich habe auch oft überlegt, ob man auf sowas wie Matamo (matomo.org) wechseln kann und die nervigen Cookie Hinweis (vor allem den aller neusten mit 3 gleichfarbige Buttons…) entfernen kann, weil das Tracking dann nicht an Dritte (Google) gesendet wird, meinst du, das wäre möglich/sinnvoll? Was müsste man da beachten?

    • Ja, es ist möglich, dass eine Website kein Cookie-Hinweis braucht. Mehr dazu finden Sie in unserem Beitrag Cookies und Datenschutz: Zwischen TTDSG und DSGVO.

      Der consent mode von Google ist ein Feature, mit dem die Google-Tags aufgrund der Auswahl im Cookie-Banner dynamisch angepasst werden, näheres dazu finden Sie auf deren Website.

      Für die Erforderlichkeit eines Cookie Hinweises ist es unerheblich, ob Daten an Dritte gesendet werden oder nicht. Es geht dabei um die Frage, ob Informationen aus dem Endgerät ausgelesen werden. Näheres dazu entnehmen Sie auch dem oben verlinkten Beitrag zu Cookies und Datenschutz.

      • Ich blicke nicht mehr durch. Wir haben Ärger wg. Google und suchen eine Alternative, die ohne Banner funktioniert. Wo finde ich dazu konkzete Hinweise? Eine Anbieterübersicht wäre hilfreich. Danke!

  • Die Frage, ob Google Auftragsverarbeiter ist oder eine gemeinsame Verantwortlichkeit vorliegt (dazu auch oben schon der Beitrag v. 20.07.2021), scheint beim Einsatz Von GA 4 unklar.

    Google hat mittlerweile Controller-Controller-Terms und sieht in der sperrigen Ziff. 4.4. Google Irland als Endverantwortlichen an (https://support.google.com/analytics/answer/9012600). Andererseits können hier und da Akteure als Auftragsverarbeiter auftreten.

    Eine klare Einordnung scheint da nicht möglich, oder?

    • Sie haben Recht, eine 100%ige Abgrenzung ist nicht möglich, da nach dem Urteil des EuGH zu Facebook Fanpages verschiedene Rechtsauffassungen vertretbar erscheinen. Persönlich gehe ich nicht von einer gemeinsamen Verantwortlichkeit aus. Gewollt ist eigentlich eine Auftragsverarbeitung, die zwischenzeitlich in ein Controller-to-Controller-Verhältnis abdriftet. Dies betrifft aber bereits Universal Analytics. Grundsätzlich gehe ich bei Nutzung von GA4 von einer Auftragsverarbeitung aus.

  • So oft erzählen mir Kunden im Zuge meiner Beratung für Webseitenoptimierung ganz stolz, dass Sie ja bereits Google Analytics nutzen. In meiner Prüfung der Properties sehe ich dann, dass sensible, DSGVO/Datenschutz relevante Dinge, wie die Anonymisierung der IP-Adressen von Usern, nicht aktiviert sind. Es ist signifikant wichtig, dass man sich entweder selbst vernünftig einliest oder einen Experten kontaktiert, bevor man auf eigene Faust irgendwas installiert.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.